it-swarm.com.de

Wann geht die Phishing-Ausbildung zu weit?

Derzeit arbeite ich in leitender Funktion im IT-Sicherheitsteam an meinem Arbeitsplatz. Kürzlich habe ich das Management bei der Gestaltung der Phishing-/Social-Engineering-Schulungskampagnen unterstützt, mit denen die IT-Sicherheit Phishing-Test-E-Mails versendet, um festzustellen, wie bewusst die Mitarbeiter des Unternehmens sind, solche E-Mails zu erkennen.

Wir haben eine sehr zielgerichtete Strategie entwickelt, die nicht nur auf der Jobrolle des Benutzers basiert, sondern auch auf den Inhalten, die diese Mitarbeiter wahrscheinlich sehen werden. Der Inhalt wurde so variiert, dass er E-Mails enthält, in denen nach vertraulichen Inhalten gefragt wird (z. B. Aktualisierung eines Kennworts), gefälschte Social-Media-Beiträge und gezielte Werbung.

Wir haben Push von Endbenutzern erhalten, dass sie keine Möglichkeit haben, eine legitime E-Mail, die sie täglich erhalten würden, von wirklich böswilligen Phishing-E-Mails zu unterscheiden. Sie wurden von unserem Team gebeten, die Schwierigkeit dieser Tests zu verringern.

Bearbeiten, um einige Kommentare zu adressieren, die besagen, dass Spear-Phishing-Simulationen zu extrem sind/schlechtes Design von Simulationen

Bei der Analyse der früheren Ergebnisse von Phishing-Simulationen zeigten die Benutzer, die darauf geklickt haben, tendenziell bestimmte Muster. Ein besonders erfolgreicher Phish, der zu finanziellen Verlusten führte (unnötiger Online-Kauf), gab vor, Mitglied der Geschäftsleitung zu sein.

Um auf Kommentare zur Tiefe des Targeting/GDPR zu antworten, basieren die Anpassungsmethoden auf öffentlichen Unternehmensdaten (d. H. Jobfunktion) und nicht auf privaten Benutzerdaten, die nur dieser Person bekannt sind. Der "Inhalt, den Benutzer gerne sehen" basiert auf "typische Szenarien", nicht dem Inhalt, den Benutzer an unserem Arbeitsplatz sehen speziell

Fragen

  1. Wann geht die Phishing-Ausbildung zu weit?

  2. Zeigt ein Pushback der Endbenutzer, dass ihr Bewusstsein noch fehlt und weitere Schulungen erforderlich sind, insbesondere die Unfähigkeit, legitime von böswilligen E-Mails zu erkennen?

87
Anthony

Ich denke, es gibt ein zugrunde liegendes Problem, das Sie angehen müssen. Warum kümmern sich die Benutzer darum, dass sie versagen?

Phishing-Simulationen sollten in erster Linie ein Lernwerkzeug sein, kein Testwerkzeug.

Wenn das Scheitern negative Folgen hat, werden sich Ihre Benutzer beschweren wenn die Tests schwieriger sind, als Sie sie vorbereitet haben. Sie würden sich auch beschweren.

Ihre Antwort sollte also lauten:

  • erziehe sie mehr (oder anders), damit sie die Tests (oder besser gesagt die Verständnistests, die sie sein sollten) bestehen können.
  • negative Konsequenzen für das Scheitern beseitigen

Dies erfordert möglicherweise keine inhaltlichen Änderungen an Ihrem Schulungsmaterial, erfordert jedoch möglicherweise nur eine Neuformulierung der Phishing-Simulationen für Benutzer, Management und Ihr Sicherheitsteam.

Eine andere Taktik besteht darin, die Phishing-Simulationen so zu absolvieren, dass sie schwieriger werden, da die Benutzer erfolgreich auf Phishing reagieren können. Ich habe dies mit meinen benutzerdefinierten Programmen gemacht. Im Backend ist es komplexer, aber die Auszahlungen sind enorm, wenn Sie es schaffen.

Ihr Fokus muss auf der Weiterentwicklung der Fähigkeit Ihres Unternehmens liegen, Phishing-Angriffen zu widerstehen, damit nicht jeder bei Tests perfekt ist. Sobald Sie diese Perspektive einnehmen, wird sich die Kultur um diese Tests und die Beschwerden ändern.

Wenn Sie es richtig machen, werden Ihre Benutzer darum bitten, dass die Phishing-Simulationen härter nicht einfacher sind. Wenn Sie dieses Endergebnis anstreben, haben Sie eine viel widerstandsfähigere Organisation.

101
schroeder

Wir haben Push von Endbenutzern zurückbekommen, die sie haben keine Möglichkeit zu unterscheiden eine legitime E-Mail, die sie täglich von wirklich böswilligen Phishing-E-Mails erhalten würden.

Dies ist ein Hinweis darauf, dass Tests, die von geschulten Sicherheitsexperten als Fälschungen eingestuft werden könnten, verwendet werden, um Personen zu bewerten, die dies nicht sind. Möglicherweise haben Sie die Fähigkeit, eine E-Mail auseinander zu nehmen und die Überschriften zu interpretieren, aber Dan im Rechnungswesen ist wahrscheinlich nicht der Meinung, und sein Management ist sich wahrscheinlich nicht einig, dass eine Meisterklasse in RFC 822 seine Zeit gut nutzt.

Das Erstellen gezielter E-Mails zur Erhöhung der Trefferquote muss auf der Grundlage der über Ihre Benutzer und Ihren angeblichen Absender gesammelten Informationen erfolgen. Dies sind keine Informationen, mit denen ein Phisher vertraut sein wird, und er erhebt sich, wie Michael Hampton in seinem Kommentar hervorhob, zum Spearphishing. Das ist ein anderes Ballspiel, das auf einem anderen Feld gespielt wird.

Wenn es Gegner gibt (echte oder potenzielle), die in der Lage sind, Ihr Unternehmen durch Spearphishing zu schädigen, helfen alle Gegenmaßnahmen und Schulungen gegen Phishing nicht weiter. Ihre Aufgabe ist es, Tools bereitzustellen, mit denen Dan in Accounting die echten von den Fälschungen unterscheiden kann. Dies kann Sicherheit auf der Sendeseite bedeuten, z. B. eine kryptografische Signatur, die die E-Mail-Clients der Benutzer überprüfen und eine auffällige Warnung senden können, wenn etwas nicht signiert ist oder die Signatur nicht übereinstimmt. Sie können sich nicht darauf verlassen, dass Menschen dieses Zeug 100% der Zeit richtig machen, zumal Ihre Organisation größer wird und die Leute sich nicht so gut kennen.

59
Blrfl

Es gibt einen möglichen Punkt, den ich in anderen Antworten nicht gesehen habe, aber in der realen Welt gesehen habe.

Benutzer sagen, dass sie "keine Möglichkeit haben, eine legitime E-Mail, die sie täglich erhalten würden, von wirklich böswilligen Phishing-E-Mails zu unterscheiden". Dies kann Ihnen sagen, dass legitime E-Mails über Kennworterneuerungen, Dienständerungen und dergleichen nicht den Regeln entsprechen, die von den Benutzern erwartet werden.

Ich habe sicherlich Organisationen gesehen, deren Schulungsunterlagen den Benutzern sagen, dass sie nicht auf Links in E-Mails klicken und ihre Passwörter definitiv nicht in die Websites einfügen sollen, auf die diese Links verweisen, oder Software von ihnen installieren sollen. Die Serviceteams dieser Organisationen senden dann Massen-E-Mails mit Serviceaktualisierungen, für die Maßnahmen erforderlich sind (z. B. Kennwortaktualisierungen, Softwareinstallationen usw.), mit hilfreichen Links zum Klicken.

Eine Sache, die helfen könnte, wäre zu klären, dass Benutzer diese legitimen E-Mails melden. Dies kann den Benutzern möglicherweise nicht direkt helfen, aber es kann hilfreich sein, das Serviceteam daran zu erinnern, dass in ihren E-Mails Regeln zu beachten sind, die den Benutzern auf lange Sicht die Dinge klarer machen sollen.

36
James_pic
  1. Wann geht die Phishing-Ausbildung zu weit?

Wenn die Kosten den Nutzen übersteigen. Der Nutzen wird im Allgemeinen in niedrigeren Klickraten und höheren Berichterstattungsraten für echte Phishing-E-Mails gemessen. Die Kosten können gemessen werden in:

  • der Aufwand, den Test durchzuführen
  • falsch positive Meldung von (nicht) Phishing-E-Mails
  • niedrigere Engagement-Raten für legitime E-Mails
  • böser Wille gegenüber der Sicherheitsgruppe.

Das letzte ist am schwierigsten zu messen und wird oft ignoriert. Wenn es jedoch Ihre Aufgabe ist, Ihre eigenen Leute auszutricksen, sollten Sie sich nicht wundern, wenn sie Sie mit Argwohn betrachten.

  1. Zeigt ein Pushback der Endbenutzer, dass ihr Bewusstsein noch fehlt und weitere Schulungen erforderlich sind, insbesondere die Unfähigkeit, legitime von böswilligen E-Mails zu erkennen?

Ähm, vielleicht?

Wenn ihre Klickraten hoch bleiben, fehlt das Bewusstsein immer noch und sie müssen weitergebildet werden.

Wenn die Klickraten im Allgemeinen gesunken sind, die Test-E-Mails sie jedoch ständig täuschen, sind ihre Bedenken hinsichtlich der Tests möglicherweise berechtigt.

Es hört sich so an, als ob Ihre Inhalte ziemlich genau auf Ihre Benutzer und sogar deren Jobrollen zugeschnitten sind. Dies kann die negative Reaktion hervorrufen. Im Idealfall sollte ein Phishing-Test nicht auf dem Wissen oder dem Verständnis interner E-Mail-Praktiken beruhen, so wie ein Angreifer keinen Zugriff darauf haben sollte. (Und beachten Sie, dass Ihre internen Nachrichten aus demselben Grund nicht wie Ihre externen Nachrichten aussehen sollten.).

Möglicherweise möchten Sie Ihre Phishing-Tests auslagern. Die Organisationen, die diesen Service anbieten, haben ein besseres Gefühl dafür, wie "in the wild" aussieht, und ihre Tools zum Messen und Berichten von Engagement-Raten sind normalerweise besser als Sie es alleine tun können.

Persönlich mag ich Phishing-Tests nicht, weil ich glaube, dass dies das Vertrauen zwischen Benutzern und Sicherheit untergräbt. Tatsache ist jedoch, dass dies eine der besten Möglichkeiten ist, die Abwehrkräfte Ihrer Benutzer zu verbessern.

15
gowenfawr

Es gibt einen Weg, auf dem dies möglicherweise zu weit gegangen ist:

Wir haben eine sehr zielgerichtete Strategie entwickelt, die nicht nur auf der Jobrolle des Benutzers basiert, sondern auch auf den Inhalten, die diese Mitarbeiter wahrscheinlich sehen.

Sie müssen sich fragen, ob Mitarbeiter in Ihrem Unternehmen tatsächlich diesem Spearphishing-Level ausgesetzt sind. Wenn die Antwort nein ist, sind Sie zu weit gegangen. Dies hängt natürlich alles davon ab, was die Gruppe tut. Wenn es die DNC ist, lautet die Antwort ja.

8
Cliff AB

Sie haben anscheinend einen sehr häufigen Fehler unter uns Sicherheitsexperten begangen: Sie sind zu viel in die Denkweise des Angreifers geraten und versuchen zu sehr, zu besiegen = Ihre Kollegen, anstatt sie zu Ihren Verbündeten zu machen.

Ihre Phishing-Kampagne sollte auf Ihrem Bedrohungsmodell und Risikoanalyse basieren. Sind Ihre Mitarbeiter wahrscheinlich ein Ziel sorgfältig ausgearbeiteter Spearphishing-Angriffe, oder ist das höhere Risiko die häufigere, nicht zielgerichtete Massen-Phishing-Kampagne mit moderaten Angreiferfähigkeiten?

Im späteren Fall sollten Sie Ihren Mitarbeitern keine Dinge antun, die laut Ihrer Risikoanalyse außergewöhnlich unwahrscheinlich sind. Sie können dem Management einfach nicht erklären, warum Sie es tun, und es scheint, dass Sie versuchen, ein High zu erreichen, wenn Sie klüger erscheinen und reguläre Mitarbeiter "schlagen". (was Sie natürlich in Ihrem Fachgebiet können, genau wie sie Sie bei der Budgetierung, der Bearbeitung von Kundenbeschwerden oder dem Beschaffungsmanagement zweifellos schlagen könnten).

Wenn Sie tun gezielte, hochqualifizierte Spearphishing-Kampagnen in Ihrem Bedrohungsmodell durchgeführt haben, müssen Sie schrittweise eskalieren und eine Kampagne in mehreren Schritten planen. Denn dein Ziel ist es, zu lehren, nicht zu besiegen und in Verlegenheit zu bringen. Sie tun also, was jeder Lehrer tut: Sie beginnen mit der einfachen Grundübung und folgen dann den schwierigeren.

Beispiel

In einem dreistufigen Prozess würden Sie beispielsweise mit einer E-Mail beginnen, die relativ leicht als Fälschung zu erkennen ist, aber auch Elemente enthält, die schwieriger zu erkennen sind. Wenn ein Benutzer es korrekt als Phishing-Mail identifiziert, gratulieren Sie ihm und weisen dann auf alle Hinweise hin, einschließlich der besser versteckten. Dies ist der Lernteil - sie erhalten eine positive Verstärkung für die Hinweise, die sie entdeckt haben, und sie erhalten zusätzliche Hinweise, die sie verpasst haben.

In der zweiten Runde senden Sie eine Phishing-Mail, die grob ausgerichtet ist (z. B. an eine Abteilung oder Funktion) und weniger offensichtliche und schwer zu erkennende Hinweise enthält. Mindestens die Hälfte von ihnen sollte diejenigen enthalten, die in der vorherigen Mail unterrichtet wurden. Wenn ein Benutzer den Phishing-Versuch wieder richtig erkennt, gratulieren Sie und weisen auf all die Hinweise hin, einschließlich der neuen, die Sie eingeführt haben. Dies verstärkt, lehrt neue Hinweise und erhöht das Bewusstsein, dass einige Hinweise schwieriger zu erkennen sein können, als der Benutzer zuvor gedacht hat.

In der dritten Runde senden Sie Ihre persönlichen E-Mails ohne offensichtliche Hinweise, aber mindestens die Hälfte der versteckten Hinweise muss sich in dem Satz befinden, den der Benutzer zuvor gelernt hat. Wenn sich ein Benutzer korrekt identifiziert, gratulieren Sie und markieren alle Hinweise, damit er wieder mehr lernen kann.

In allen Fällen, wenn ein Benutzer die Phishing-Mail falsch identifiziert, weisen Sie auch auf alle die Hinweise hin und dann wiederholen Sie diesen Schritt bis er es bekommt. Gehen Sie nicht zu schwierigeren Lektionen über, während die lernende Person noch mit der aktuellen kämpft.

Dies ist viel mehr Arbeit von Ihrer Seite, wird aber eine viel stärkere Verstärkung und stärkere Beteiligung der Mitarbeiter bewirken, und am Ende tun Sie dies für sie.

5
Tom

Die Frage "zu weit gehen" erfordert Kontext; Welcher Teil geht zu weit?

Die Sache, die Phishing-Tests versuchen , ist, Leute gegenüber ihrer E-Mail misstrauisch zu machen, denn wenn sie es nicht sind, laufen sie Gefahr, buchstäblich einzuladen Nicht autorisierte Benutzer in das Netzwerk.

Es sollte also keine überwältigende Anzahl von E-Mails geben, bis sie bekannte schlechte E-Mails durchsuchen, um zu denjenigen zu gelangen, die sie für ihre Arbeit benötigen, aber es sollte genug E-Mails geben, von denen allgemein bekannt ist, dass es sich um jemanden in der Organisation handelt Darstellung eines Angreifers und Versuch, ihn dazu zu bringen, auf den falschen Link zu klicken , da bereits Personen außerhalb der Organisation versuchen, ihn dazu zu bringen .

Die Frage wird dann, wann sich jemand für den Trick entscheidet. Bist du froh, dass du ihn anstelle eines böswilligen Schauspielers erwischt hast? Wie andere Leute hier erwähnt haben (und @BoredToolBox sollte meiner Meinung nach nicht herabgestuft worden sein), geht es hier um Bildung.

Wenn Sie das in den Wortlaut der Frage aufnehmen, ist es sicher nicht so gemeint wie "Wie viel Bildung geht zu weit?" Recht?

Was in den meisten Organisationen wahrscheinlich zu weit geht, ist die Reaktion auf Leute, die gründlich klicken, und insbesondere, wenn es einen strafenden Aspekt gibt. Sie sollten froh sein, wenn Sie derjenige sind, der die Aktion erfasst hat, da Sie dem Benutzer die Möglichkeit geben, zu verstehen, was möglicherweise passiert sein könnte und warum Sie diese Übung durchführen. Menschen sollten nicht bestraft oder beschämt werden.

Stellen Sie sich vor, dies wäre eine Übung, um zu verhindern, dass sich eine Krankheit von Arbeiter zu Arbeiter ausbreitet. Ein tödlicher Virus, der schlummert, bis er einen geeigneten Host gefunden hat und dann möglicherweise alle tötet, aber sie wissen nicht, dass er von Leuten verbreitet wird, die zufällig in die Haustür kommen und ihnen Pakete geben.

Wir haben genug gesunden Menschenverstand, um zu wissen, dass wir nicht nur Pakete von Personen annehmen, die das Gebäude betreten, sondern dass die Menschen nicht sehen, dass genau dies mit ihren E-Mails geschieht. Es geht also um einen Kultur- und Perspektivenwechsel, und ich sehe nicht wirklich, welcher Teil des Wissens darüber zu weit geht, wenn Sie über Bildung sprechen.

1
Roostercrab

Konfrontiert mit etwas Ähnlichem und ist derzeit Teil eines Teams, das etwas Ähnliches leitet. Hier sind meine zwei Cent:

Bildung ist ein sehr kniffliges Konzept, da die Art und Weise, wie Menschen lernen, für verschiedene Personen unterschiedlich ist. Aber was ich gesehen habe ist, dass, wenn Sie versuchen, die Informationen, die Sie vermitteln möchten, in 2-4 Punkten zusammenzufassen, in so wenigen Worten wie möglich, die immer helfen. Wir machen so etwas, wenn es darum geht, Menschen zu erziehen:

Wenn Sie eine E-Mail von jemandem außerhalb der Organisation erhalten, stellen Sie folgende Fragen:

  • Kennen Sie diese E-Mail-ID persönlich?
  • Sehen die E-Mail-ID und der Domain-Name für Sie faul aus?
  • Möchten Sie wirklich auf diesen Link klicken oder diesem Typen Ihre persönlichen Daten geben?

Und zum Schluss erwähnen wir immer Folgendes:

  • wenn Sie sich nicht sicher sind, leiten Sie diese E-Mail bitte an {E-Mail-ID weiter, die dies überprüft

    1. Bestimmt. Da alles, was sie tun müssen (ich denke), ist, diese E-Mail zu ignorieren oder sie zur Überprüfung an Ihr internes Sicherheitsteam weiterzuleiten.

Ich denke, was hier getan werden muss, ist mehr Bildung. Denn die Mitarbeiter müssen wissen, wie ein erfolgreicher Phishing nicht nur das Unternehmen, sondern auch den Mitarbeiter schädigen kann.

0
BoredToolBox

Ich weiß nicht, ob dies auf Ihren Fall zutrifft oder nicht, aber ein potenzielles Problem kann sein, wenn Ihre Erwartungen an das Benutzerbewusstsein höher sind als die verwendeten Sicherheitsnormen. Zum Beispiel:

  • Sie können Benutzer dazu erziehen, die https-Zertifikate immer zu überprüfen. Gleichzeitig verwenden einige interne Websites möglicherweise selbstsignierte oder abgelaufene Zertifikate oder müssen sogar Benutzernamen und Kennwörter über ein unverschlüsseltes http senden.
  • Sie können Benutzer auch darüber informieren, dass sich alle offiziellen internen Tools in Ihrer Unternehmensdomäne befinden. In Wirklichkeit verwenden Sie jedoch beliebte Dienste von Drittanbietern wie Google Mail oder Slack, die mit OAuth verbunden sind.

Während das erste Beispiel ein tatsächliches Problem mit der Infrastruktur darstellt, ist das zweite eine sichere Vorgehensweise, gepaart mit veralteten Empfehlungen. Ich habe gesehen, dass beides in freier Wildbahn geschieht, und in diesen Fällen können die Prinzipien, die Sie zu lehren versuchen, nicht in der täglichen Praxis angewendet werden und können letztendlich zu Verwirrung und Nichteinhaltung führen.

0
Zoltan

Ich bin mir nicht sicher, wie groß Ihre Organisation ist, aber der praktischste Rat, den ich geben kann, ist, dass Sie zu weit gehen können, wenn Sie darüber nachdenken. - Machen Sie einige gefälschte E-Mails, senden Sie sie an Benutzer und sehen Sie, was Benutzer tun.

Wir verwenden ein Tool (KnowBe4) - führen Sie einige Testversionen gegen die Benutzer durch und verwenden Sie diese, um sie zu schulen/auf sie aufmerksam zu machen. Wir erfassen, wer bestanden hat, wer nicht bestanden hat, und verwenden den gesamten Prozess, um zu erziehen und zu demonstrieren, dass wir erziehen.

Überdenken Sie das Publikum nicht mit benutzerdefiniertem Targeting. Machen Sie keine komplizierten Datenanalysen ... Wenn ja, verschwenden Sie wahrscheinlich Zeit, die Sie für die nächste Herausforderung aufwenden könnten.

Wenn Sie sehen, dass Ihre Führungskräfte oder bestimmte Leute Spear-Phishing betreiben, engagieren Sie sie persönlich und häufig und tun Sie möglicherweise etwas Operatives, um sicherzustellen, dass Sie es fangen, wenn sie betrogen werden. Wenn beispielsweise jemand versucht, Ihren CFO dazu zu bringen, Überweisungszahlungen freizugeben, sollte der CFO durch eine betriebliche Änderung einen zusätzlichen Maker/Checker-Prozess durchführen oder eine sekundäre Nicht-E-Mail-Bestätigung (Voice?) Erhalten, dass eine Überweisung ausgehen soll.

0
subs

Es klingt für mich so, als ob es hier zwei Probleme geben könnte:

  1. Benutzer sind frustriert, dass sie regelmäßig beschimpft werden, weil sie einen Test nicht bestehen, den sie für unmöglich halten.

  2. Benutzer ärgern sich darüber, dass die IT ihre Zeit mit endlosen Tests von zweifelhaftem Wert verschwendet.

RE # 1 gibt es drei Möglichkeiten:

A: Sie stellen unmögliche Anforderungen an Ihre Benutzer. Zumindest unmöglich in dem Sinne, dass Sie es fordern, zeigen sie ein Niveau an Raffinesse, das weit über das hinausgeht, was vernünftigerweise von Menschen erwartet werden kann, die keine Experten für Sicherheit sind. Um eine Analogie zu ziehen, könnte es vernünftig sein, zu fordern, dass alle Mitarbeiter bereit sind, grundlegende Erste Hilfe zu leisten: einen Verband anlegen, jemandem ein Aspirin geben usw. Aber Sie würden sicherlich nicht erwarten, dass alle Mitarbeiter in der Lage sind, eine Notfall-Herzoperation durchzuführen . Wenn Sie anfangen, ihnen Übungsübungen zur Notfall-Herzoperation zu geben und die Mitarbeiter zu sprengen, die nicht angemessen beschreiben können, wie sie einen Stent implantieren würden, oder die nicht alle 182 Schritte einer Herztransplantation korrekt auflisten können, wäre dies eindeutig unvernünftig. Unrealistische Forderungen zu stellen und dann Mitarbeiter dafür zu beschimpfen, dass sie diese nicht erfüllen, bewirkt nichts anderes, als Ressentiments aufzubauen und die Moral zu töten.

B: Ihre Erwartungen sind völlig vernünftig und die Mitarbeiter sind unzureichend geschult. Wenn dies der Fall ist, besteht die offensichtliche Antwort darin, Schulungen anzubieten. Wenn Sie noch nie eine Schulung durchgeführt haben und Mitarbeiter jetzt beschimpfen, weil sie etwas nicht wissen, was ihnen nie beigebracht wurde, sind Sie unvernünftig. Denken Sie daran, dass das, was für einen Computersicherheitsfachmann "offensichtlich" ist, für jemanden ohne solchen Hintergrund nicht unbedingt offensichtlich ist. Ich bin sicher, dass es viele Dinge in der Buchhaltung gibt, die für professionelle Buchhalter offensichtlich sind, aber nicht für mich, oder Dinge über die automatische Wartung, die für professionelle Mechaniker usw. offensichtlich sind.

C: Ihre Erwartungen sind völlig vernünftig und die Mitarbeiter sind zu faul oder verantwortungslos, um sich anzustrengen. Wenn dies der Fall ist, handelt es sich um ein Managementproblem. Jemand muss den Mitarbeitern den richtigen Anreiz geben, härter zu arbeiten, was von einem ermutigenden Aufmunterungsgespräch bis zur Entlassung derjenigen reichen kann, die nicht mithalten können.

RE # 2: Als ich in der Luftwaffe war, war die Sicherheit natürlich ein wichtiges Anliegen. Wir hatten Leute, die unser Flugzeug zerstören und uns töten wollten. Aber selbst in dieser extremen Situation waren sich die Sicherheitsleute bewusst, dass strengere Sicherheit nicht immer die beste ist. Der Standard war, dass Sicherheit so effektiv wie möglich sein sollte, um mit realistischen Risiken umzugehen und gleichzeitig die Menschen, die ihre Arbeit erledigen, so wenig wie möglich zu beeinträchtigen.

In diesem Fall ist es natürlich eine schlechte Sache, wenn ein feindlicher Hacker Passwörter erhält und Ihre Daten stiehlt oder vandalisiert. Das könnte Sie viel Geld kosten, vielleicht sogar aus dem Geschäft bringen. Aber wenn die Bedrohung nicht groß ist, können Sie nicht erwarten, dass die Mitarbeiter 90% ihrer Zeit damit verbringen, Bedrohungen abzuwehren, und nur 10% Arbeiten ausführen, die dem Unternehmen Einkommen bringen. Das ist auch ein Rezept, um pleite zu gehen. Sie müssen ein angemessenes Gleichgewicht zwischen dem Schutz vor Bedrohungen und der Unmöglichkeit finden, dass jemand seine Arbeit erledigt.

0
Jay