De meeste organisaties weten niet hoe weerbaar ze zijn tegen phishing. Een audit geeft u dat antwoord op drie lagen: de techniek aan de poort, het proces na een melding, en het gedrag van uw mensen onder druk.
Technische audit: de poort
De auditor controleert SPF, DKIM en DMARC op uw domein en subdomeinen. DMARC op p=none telt niet als bescherming. Vervolgens de mailgateway: wordt Microsoft Defender met de juiste presets gebruikt, staan veilige bijlagen aan, is Safe Links actief op alle mailboxen? MX-records die nog naar oude leveranciers wijzen zijn een klassieker.
Procesaudit: wat na een klik
De vraag is niet of een gebruiker klikt, maar hoe snel u dat weet. De auditor beoordeelt incident response: hoe lang duurt het van klik tot wachtwoordreset, wie wordt gebeld, is er een runbook? Een organisatie zonder gedocumenteerd phishing-runbook scoort hier vrijwel altijd laag, zelfs met goede techniek.
Human audit: simulatie als baseline
Een eenmalige PhishWise- of KnowBe4-simulatie geeft de klikrate, de meldrate en de tijd-tot-melding. De klikrate alleen zegt weinig. Een organisatie waar 12 procent klikt maar 40 procent meldt, is veiliger dan een waar 8 procent klikt en niemand iets zegt. Meet beide.
Awareness-cyclus en training
De auditor kijkt of training jaarlijks of structureel is. Een uur e-learning bij indiensttreding helpt niet tegen een vishing-poging in maand acht. Korte modules per kwartaal, gekoppeld aan recente cases, halen de meldrate omhoog. Bestuurders en finance-medewerkers krijgen een eigen module.
De rapportage
Een goede phishing-audit eindigt met een prioritering: drie quick wins die binnen twee weken klaar zijn (DMARC strikt, MFA op laatste accounts, runbook), drie middellange acties (training, incident response oefenen) en een onderhoudsplan voor het jaar erna. Een audit zonder vervolgafspraken levert een rapport op dat in de la verdwijnt.
Verwant: ZZP Cybersecurity consultant, Freelance Microsoft 365 consultant.