【企業網路安全】社交工程演練的重要性

企業需要社交工程演練的原因

請問大家有針對企業員工做過資安提升的教育訓練嗎?我們會幫企業做社交攻擊演練，在做調研的時候，第一次先寄釣魚信件過去，然後會陸續回收很多回應，哪些人在什麼時間點了釣魚信件，之後做成報告向企業經營者提報。

隨後開始進行企業的教育訓練，講完以後沒多久，一、兩個禮拜再寄一次，一定還是會有員工點擊攻擊信件。雖然教育訓練講得很清楚，而且攻擊信件的破綻都已經放得這麼明顯，但還是有些員工會中招，所以，公司真的不能不預防這樣的神助攻。

企業為什麼需要社交攻擊演練，因為這樣的員工真的存在，所以，社交工程演練就是為了測試員工，面對社交工程攻擊的時候有沒有警覺性，有沒有能力去判斷哪些是釣魚信件、攻擊信件。

資訊安全教育訓練不一定每天都要做，但是社交工程演練的頻率要高一點，提升員工的資安意識，使其有足夠的警覺性，培養出更多思考與檢查的習慣。

如何取得較佳的社交工程演練效果

企業的社交工程演練如何取得最好的成果?

1.無預警實施演練，不要跟員工講說要演練，偷偷寄送攻擊信件；

2.進行社交演練時，可以結合時事議題或是公司活動議題。比如說：萊豬又爆驚天大案，然後再發新聞稿裡面夾帶連結，測試員工是否可以判斷。

我們公司內部也演練過，但是結果很不理想，因為我們用了第三季績效獎金的議題，所有員工無招架之力，檔案寄出後，大概有七成的人去點了連結，還有人會很熱心的報告總經理說連結失效了。大家可以發現平常都在接觸資安的人，遇到他真正關心的議題時，他會瞬間腦袋空白，失去任何抵抗能力。

3.搭配公司定期的資安認知提升訓練，要定期跟員工做資安宣導，教他們認識及判斷釣魚信件。

演練結果可以結合不同的評核方式，例如：演練失敗的員工，可以再做一次教育訓練，或是結合績效考核辦法，公司可以靈活運用不同的評核方式，以利有效提升員工的資安認知。

專家：林崇裕 講師

經歷：鼎新近20年服務經歷，10年企業客戶服務經歷，10年資安規劃及資安顧問經歷，深知企業目前面對的資訊安全挑戰及存在企業內部的漏洞。

證照：ITIL V3 Foundation、ISO 27001 LA

想要進階學習《企業網路安全》相關議題，推薦您相關課程資訊

【面授課程】：企業網路安全攻防

立即下載折扣碼享課程優惠