שלחתם סימולציית Phishing, 23% מהעובדים לחצו על הקישור, שלחתם להם הדרכה של 20 דקות, וסגרתם את הטיקט. שנה הבאה – אותו אחוז. מחקרים מראים שהדרכות Compliance-חיוביות אפיות משנות התנהגות לשבועות ספורים בלבד. אז מה כן עובד?
מחקר
Stanford Behavioral Design Lab: הדרכות שמתחברות לרגש, לרלוונטיות אישית, ולסיפורים אמיתיים יעילות פי 6 מהדרכות מבוססות-מידע בלבד.
עקרונות ההדרכה האפקטיבית
- 1Just-in-Time Learning – הדרכה ממוקדת בזמן ה-"teachable moment" – מיד אחרי אירוע, לא ב-Quarterly Webinar.
- 2Relevant Scenarios – דוגמאות מהתחום והתפקיד הספציפי. מייל Phishing שמחקה ספק שהם עובדים איתו.
- 3Positive Reinforcement – עובד שדיווח על מייל חשוד? חגגו אותו. אל תרק מניפולציה ובושה.
- 4Short & Frequent – 5 דקות פעם בשבוע עדיפות על שעה פעם ברבעון (Spaced Repetition).
- 5Measurement – עקבו אחרי מדדים: Reporting Rate, Click Rate, MTTD על Phishing.
תוכנית שנתית מעשית
- Q1 – Phishing Basics: כיצד לזהות מייל חשוד, "Stop and Think Before You Click"
- Q2 – Password & MFA: ניהול סיסמאות, Password Manager, אימות דו-שלבי
- Q3 – Social Engineering: מתקפות בטלפון, ב-LinkedIn, ב-WhatsApp
- Q4 – Physical Security: מסמכים בהדפסה, Tailgating, מסכים פתוחים בפרהסיה
- כל רבעון – סימולציה ו-Micro-training מותאם לתוצאות
KPIs שכדאי לעקוב
- Phishing Click Rate – יעד: <5% לאחר שנה
- Phishing Report Rate – עד כמה עובדים מדווחים? יעד: >30%
- Time-to-Report – כמה זמן עד שאירוע מדווח?
- Training Completion Rate – יעד: >95% תוך 30 יום
תרבות אבטחה טובה נמדדת לא בכמה עובדים לחצו על קישור – אלא בכמה מהם דיווחו עליו. הדרכה שמטרתה לבייש גורמת לעובדים להסתיר אירועים, לא לדווח עליהם.
הדרכות אבטחהPhishingמודעותעובדיםתרבות