Kris1d ago

Das hier ist die OSHA Hierarchy of Controls aus

https://www.osha.gov/sites/default/files/Hierarchy_of_Controls_02.01.23_form_508_2.pdf

Lest Euch das mal durch und denkt Euch dann den Umgang Eurer IT-Organisation mit Gefahr durch Phishing.

Wo würdet Ihr Phishing-Trainings ansetzen und wieso?

Gibt es andere Maßnahmen auf höheren Ebenen der OSHA Hierarchy of Controls, die besser geeignet wären, solche Risiken zu vermeiden und setzt Eure Firma die um?

Warum dann noch das Phish-Training?

Show threadgrob (teeth era) 🇺🇦🏳️‍🌈🏳️‍⚧️1d ago
@isotopp ist Training da überhaupt mit drauf? Wäre das nicht noch unterhalb von PPE? Awareness muss ja erstmal funktionieren.
Show threadKris1d ago

@grob Lies die Erklärung zu Administrative Controls durch.

Der Schutzmechanismus "Keine Links anklicken" ist jedoch noch primitiver als ein Lockout oder ein anderer Sicherungsmechanismus an gefährlichen Maschinen.

Show threadgrob (teeth era) 🇺🇦🏳️‍🌈🏳️‍⚧️

@isotopp find ich interessant, dass das effektiver ist als PPE. Vielleicht gibts bei Phishing einfach kein sinniges PPE Analogon.

Was man zu administrativen Controls sagen muss: wenn man die netto betrachtet, also die ganzen legitimen Mails, die eine Firma intern verschickt, die aber von Phishing nicht zu unterscheiden sind, mit einrechnet, glaub ich nicht, dass man das mit Trainings auffangen kann.

Mar 26 at 12:45pmWeb