火災訓練とフィッシングテスト

現代のフィッシングテストは、早期の火災避難テストと同じように、個人パフォーマンスに焦点を当て、シミュレーション攻撃に引っかかった従業員を非難する結果を生み出す。FedRAMPのような規制で義務付けられているこれらのテストは、フィッシング攻撃の成功を減らす証拠がなく、むしろ逆効果を生むことが研究で示されており、「繰り返しクリッカー」に関する研究が示すように、フィッシングテストは従業員とセキュリティーチームの信頼関係を損なう。 代わりに、サイバーセキュリティー業界は、現代の火災安全慣行と同じように、「フィッシング消防演習」アプローチを採用すべきである。このアプローチでは、従業員がフィッシングメールを識別し、効果的に報告する方法を学び、演習を通じて練習させる。 フィッシング消防演習は、従業員がフィッシングメールを識別し、効果的に報告することを学び、従業員を騙すのではなく、フィッシングメールを報告する速度と従業員の参加度に関するメトリクスを収集し、セキュリティーチームに有益なデータを提供する。このアプローチは、従業員が組織のセキュリティーにおいて積極的な参加者となることを促し、組織がフィッシング攻撃のリスクをより効果的に緩和することを可能にする。