Kris17h ago

Das hier ist die OSHA Hierarchy of Controls aus

https://www.osha.gov/sites/default/files/Hierarchy_of_Controls_02.01.23_form_508_2.pdf

Lest Euch das mal durch und denkt Euch dann den Umgang Eurer IT-Organisation mit Gefahr durch Phishing.

Wo würdet Ihr Phishing-Trainings ansetzen und wieso?

Gibt es andere Maßnahmen auf höheren Ebenen der OSHA Hierarchy of Controls, die besser geeignet wären, solche Risiken zu vermeiden und setzt Eure Firma die um?

Warum dann noch das Phish-Training?

Show threadOliver D. Reithmaier
@isotopp wir haben mittlerweile auch gute Daten, dass das Zeug eh nicht funktioniert (siehe Link). Man hätte vor der Entwicklung Arbeitspsychologen fragen können, die hätten das stark angezweifelt. Hätte hätte... https://ieeexplore.ieee.org/abstract/document/11023357
Mar 26 at 12:48pmWeb
Show threadVarbin  ​16h ago

@odr_k4tana @isotopp Diese Pyramide gibt es ja auch im deutschen Arbeitsschutz - aber auch in durchaus üblichen Regelwerken zur IT-Sicherheit, oder allgemeinen Werken zum Risikomanagement. Und das ist ja in vielen Verträgen oder teils sogar gesetzlich vorgeschrieben.

Daher wundert es mich ja, wie sich diese Phishingtests jemals so weit verbreiten konnten.

Show threadOliver D. Reithmaier8h ago
@varbin @isotopp mehrere Gründe. Sie zählen als Compliance Maßnahme und sind relativ easy durchzuführen. Dazu sind sie einfaches Geld für Beratungsbuden. Es gibt finanziell gesehen keinen Grund, andere Maßnahmen zu implementieren, gerade in Organisationen mit hohem technischen Nachholbedarf.