De woorden test en simulatie worden door elkaar gebruikt, maar in de praktijk verschillen ze. Een phishing test is doorgaans eenmalig, vaak onderdeel van een audit of pen-test. Een phishing simulatie is een doorlopend programma. Wie de twee verwisselt koopt het verkeerde.
Wat een test is
Een phishing test stuurt één campagne naar een afgebakende groep, meet de klikratio en meldt de uitkomst. Soms zit er een korte training na een klik. Het doel is een momentopname. Hoe staat het ervoor. Een test past bij een audit-kader, of bij de eerste keer dat u een idee wilt krijgen van uw blootstelling voordat u een groter programma optuigt.
Baseline klikratio
De waarde van een eerste test zit in de baseline. Stuur een mail van gemiddelde moeilijkheid, geen tegenstander op niveau van CEO-fraud, geen extreem makkelijke Nigeriaanse prins. Iets wat plausibel is en plausibel zou kunnen klikken. Voor de meeste NL-organisaties valt de eerste klikratio tussen 18 en 28 procent. Daaronder is uw test te makkelijk geweest. Daarboven is er werk aan de winkel.
Meten zonder mensen op te jagen
Een test moet niet voelen als een hinderlaag. Communiceer vooraf dat het bedrijf in dit kwartaal een phishing test gaat doen, zonder de datum te noemen. Zo weet iedereen dat het kan komen, maar niet wanneer. Wie klikt krijgt een korte uitleg, geen sanctie. De ondernemingsraad vraagt vaak om dit beleid op papier voor de eerste test loopt. Doe dat ook als ze het niet vragen.
Wie test doet, doet vaak ook simulatie
Leveranciers als PhishWise, KnowBe4 en Cofense bieden zowel eenmalige tests als doorlopende programma's. Een eenmalige test is goedkoper qua licentie, duurder per uitkomst. U betaalt opzet en rapportage zonder de leereffecten van herhaling. Wie verder dan jaar één denkt rekent meestal uit dat een jaarcontract beter past.
Wat een test niet oplost
Een test laat zien wie klikt. Een test verandert geen gedrag. Voor gedragsverandering hebt u herhaling nodig, microlearning, een meldknop in Outlook die werkt, en directie die de cijfers leest. Zonder die stappen levert een phishing test een PDF op die in een SharePoint verdwijnt.
Verwant: Freelance cybersecurity consultant, Freelance IT consultant.