Hvordan måler man succes i phishing tests uden at påføre medarbejderne skyld?

undgå phishing i virksomhedenPhishing tests kan give virksomheder et vigtigt indblik i, hvordan medarbejdere reagerer på falske mails. Men hvis testen kun bliver brugt til at måle, hvem der klikker, risikerer virksomheden at skabe skyld, modstand og utryghed.

Derfor bør succes i phishing tests ikke kun måles på klikrater. Det bør også måles på læring, rapportering, forbedring over tid og virksomhedens evne til at skabe en sund sikkerhedskultur.

SecureFirst, der arbejder med phishing simulation, awareness-træning og compliance, fremhæver netop den læringsorienterede tilgang. I SecureFirsts phishing simulation får medarbejderen øjeblikkelig feedback, hvis der bliver klikket på en testmail. Det gør fejlen til en konkret læringssituation i stedet for en negativ markering i en rapport.

For virksomheder, der vil styrke cybersikkerheden, handler spørgsmålet derfor ikke kun om: “Hvor mange klikkede?” Det bør i højere grad være: “Bliver medarbejderne bedre til at opdage og rapportere mistænkelige mails?”

Hvorfor phishing tests ikke bør handle om skyld

En phishing test er en kontrolleret øvelse, hvor medarbejdere modtager realistiske, men ufarlige phishing-mails. Formålet er at undersøge, hvordan organisationen reagerer på mistænkelige beskeder, og hvor der er behov for mere træning.

Problemet opstår, hvis testen bliver brugt som en fælde.

Hvis medarbejdere føler sig udstillet, kan det få den modsatte effekt af det ønskede. De kan blive mere tilbageholdende med at spørge, rapportere eller indrømme fejl. Og netop det er farligt, fordi god cybersikkerhed kræver åbenhed.

En sund tilgang til phishing tests bør derfor bygge på tre principper:

·       Testen skal skabe læring.

·       Resultaterne skal bruges til forbedring.

·       Medarbejdere skal føle sig hjulpet, ikke hængt ud.

SecureFirsts tilgang til phishing simulation er et eksempel på dette. Når en medarbejder klikker, får vedkommende en forklaring på, hvad der gjorde mailen mistænkelig. Feedbacken kommer med det samme, mens oplevelsen stadig er frisk. Det gør det lettere at forstå fejlen og handle bedre næste gang.

5 KPI’er du bør måle efter

Phishing tests handler ikke kun om klikraten. Klikraten er ofte det første tal, virksomheder som regel kigger på. Det er et relevant nøgletal, men det er ikke nok. En høj klikrate kan vise, at der er behov for mere træning. En lav klikrate kan vise fremgang. Men tallet fortæller ikke hele historien.

Vi har samlet 5 KPI’er, som du ifølge SecureFirst bør måle efter, for at få et mere retvisende billede af, om jeres phishing tests faktisk styrker medarbejdernes adfærd og virksomhedens sikkerhedskultur.

KPI 1: Færre klik over tid

Den mest oplagte KPI er udviklingen i klikraten. Hvis virksomheden gennemfører phishing tests løbende, bør man kunne se, om medarbejderne bliver bedre til at stoppe op, vurdere mailen og undgå at klikke.

Men målet bør ikke være nul klik fra dag ét. Det er sjældent realistisk, og det kan skabe en usund forventning.

Et mere brugbart mål er forbedring over tid.

Eksempel:

·       Første test: 24 procent klikker.

·       Efter awareness-træning: 17 procent klikker.

·       Efter flere realistiske tests: 11 procent klikker.

Den udvikling viser, at medarbejderne lærer. For ledelsen og IT-afdelingen er det mere værdifuldt end et enkeltstående resultat.

KPI 2: Flere rapporterede mistænkelige mails

En virksomhed bør ikke kun måle, hvem der klikker. Den bør også måle, hvem der reagerer rigtigt.

Derfor er rapporteringsraten en vigtig KPI.

Hvis medarbejdere opdager en mistænkelig mail og rapporterer den til IT eller en intern sikkerhedsfunktion, er det et positivt tegn. Det viser, at medarbejderne ikke bare undgår fejl, men aktivt bidrager til virksomhedens sikkerhed.

Rapportering er særlig vigtig, fordi en enkelt medarbejders advarsel kan hjælpe virksomheden med at opdage et angreb, før det rammer flere.

En god phishing test bør derfor måle:

·       hvor mange der rapporterer testmailen

·       hvor hurtigt de rapporterer den

·       om rapporteringen bliver bedre over tid

·       om medarbejderne ved, hvor de skal sende mistænkelige mails hen

SecureFirsts awareness- og phishingunivers lægger op til, at medarbejderne ikke kun skal lære at undgå klik, men også forstå, hvordan de bør reagere i praksis. Det er vigtigt, fordi sikker adfærd ikke kun handler om at undgå fejl. Det handler også om at gøre det rigtige, når noget virker mistænkeligt.

KPI 3: Bedre læring efter feedback

En phishing test har størst værdi, når den fører til læring.

Derfor bør virksomheder måle, om medarbejderne forbedrer sig efter feedback. Det kan for eksempel være, om personer eller afdelinger, der tidligere klikkede, klarer sig bedre i næste test. Det kan også være, om bestemte typer mails bliver lettere at gennemskue efter målrettet awareness-træning.

SecureFirsts phishing simulation giver medarbejderen øjeblikkelig feedback, hvis der bliver klikket. Feedbacken forklarer, hvilke tegn der afslørede mailen, og hvad medarbejderen bør lægge mærke til fremover.

Det kan være:

·       en afsenderadresse med små afvigelser

·       et link, der peger til en forkert side

·       en uventet vedhæftet fil

·       usædvanligt tidspres

·       en besked, der beder om loginoplysninger

·       en mail, der ikke passer til den normale arbejdsgang

Når feedbacken er konkret og kommer med det samme, bliver testen mere end en måling. Den bliver en træningssituation.

KPI 4: Gennemførsel af awareness-træning

Phishing tests viser, hvordan medarbejdere reagerer. Awareness-træning giver dem den viden, de skal bruge for at reagere bedre næste gang.

Derfor bør virksomheder også måle, hvor mange medarbejdere der gennemfører træningen.

Relevante KPI’er kan være:

·       hvor mange der har gennemført træningsmoduler

·       hvor hurtigt de gennemfører dem

·       hvordan de klarer quizzer eller korte tests

·       om træning påvirker klikraten

·       om afdelinger med høj gennemførsel klarer sig bedre i phishing tests

SecureFirst samler phishing simulation og awareness-træning i samme platform. Det gør det lettere at koble testresultater med træningsdata, så virksomheden kan se, om medarbejdernes viden faktisk udvikler sig.

For ledelse, HR og compliance er det en fordel, fordi træning ikke kun bliver en aktivitet, man “har gennemført”. Den kan kobles til konkret adfærd og dokumenteres over tid.

KPI 5: Udvikling på team- eller afdelingsniveau

Det kan være fristende at kigge på resultater på individniveau. Men i mange virksomheder giver det bedre mening at analysere mønstre på team- eller afdelingsniveau.

Det fjerner fokus fra den enkelte medarbejder og gør det lettere at tale om læring uden skyld.

Hvis én afdeling klikker mere end andre, kan årsagen være, at de modtager flere eksterne mails, arbejder med fakturaer, håndterer leverandører eller ofte får beskeder med links og vedhæftede filer. Det betyder ikke nødvendigvis, at medarbejderne er mindre opmærksomme. Det kan betyde, at deres arbejdsfunktion gør dem mere udsatte.

Derfor bør virksomheder bruge resultaterne til at stille bedre spørgsmål:

·       Hvilke typer mails skaber flest fejl?

·       Hvilke teams har mest eksponering?

·       Hvilken træning passer bedst til deres hverdag?

·       Hvilke arbejdsgange kan gøre det lettere at handle sikkert?

Sådan kommunikeres phishing tests bedst til medarbejdere

Måden testen kommunikeres på, har stor betydning for resultatet.

Hvis medarbejderne oplever phishing tests som kontrol, kan de blive skeptiske. Hvis de forstår testen som træning, er der større chance for, at de tager den alvorligt og lærer af den.

Virksomheden kan med fordel forklare:

·       hvorfor phishing er en risiko

·       at testene gennemføres for at styrke fælles sikkerhed

·       at formålet ikke er at udstille fejl

·       hvordan medarbejderne får feedback

·       hvor de skal rapportere mistænkelige mails

·       hvordan resultater bruges på en ansvarlig måde

En formulering kan for eksempel være:

Vi gennemfører løbende phishing-træning for at styrke vores fælles sikkerhed. Formålet er at lære af realistiske situationer, så vi bliver bedre til at opdage og rapportere mistænkelige mails.”

Hvad bør ledelsen se efter i rapporteringen?

For ledelsen bør rapportering på phishing tests være enkel og handlingsorienteret. Det er sjældent nødvendigt med lange tekniske rapporter. Det vigtigste er at kunne se udvikling, risiko og næste skridt.

En god ledelsesrapport kan vise:

·       samlet klikrate

·       udvikling siden sidste test

·       rapporteringsrate

·       gennemført awareness-træning

·       særligt udsatte mailtyper

·       anbefalede næste handlinger

·       status på fremdrift over tid

Med en platform som SecureFirst’s er relevant i denne sammenhæng, fordi den samler phishing simulation, awareness-træning og dokumentation. Det gør det lettere for virksomheden at vise, hvad der er gjort, hvor risikoen er størst, og hvordan indsatsen udvikler sig.

For virksomheder med krav fra kunder, cyberforsikring, bestyrelse eller compliance kan den dokumentation være vigtig. Den viser, at virksomheden arbejder struktureret med medarbejdernes sikkerhedsadfærd.

Succes handler om bedre adfærd, ikke perfekte tal

Succes i phishing tests bør ikke måles på, om virksomheden kan opnå et perfekt resultat. Det bør måles på, om medarbejderne bliver bedre til at opdage, undgå og rapportere mistænkelige mails.

De vigtigste tegn på succes er derfor:

·       færre klik over tid

·       flere rapporterede mistænkelige mails

·       bedre gennemførsel af awareness-træning

·       mere konstruktiv dialog mellem IT og medarbejdere

·       tydeligere dokumentation til ledelse og compliance

·       en kultur, hvor medarbejdere tør spørge, når de er i tvivl

SecureFirsts phishing simulation er et eksempel på en løsning, der hjælper virksomheder med at gøre denne udvikling målbar. Platformen kobler realistiske phishing tests med feedback, awareness-træning og rapportering, så virksomheden kan følge fremdrift uden at gøre medarbejderne til problemet.