Фишинг в корпоративной почте: что реально работает в обучении сотрудников

Зачем вообще «осведомлённость»

Технические фильтры перехватывают массу угроз, но целевые письма с обходом SPF/DKIM и социальной инженерией доходят до людей. Обучение не заменяет DMARC и sandbox, но снижает долю кликов по вредоносным ссылкам и ускоряет репорты в SOC.

Что измерять

Считайте не только «прошёл курс», а поведение: время до репорта, доля ложных срабатываний, повторные инциденты по подразделениям. Сравнивайте периоды до и после изменения политики — иначе графики в PowerPoint не коррелируют с риском.

Симуляции без токсичности

Агрессивные фейковые письма с увольнением в теме повышают стресс и снижают доверие к ИБ. Лучше сценарии, близкие к реальным рабочим процессам: счёт, календарь, «обновление пароля». Прозрачно объясняйте цель и давайте обратную связь сразу после клика.

Технические якоря

Встройте в шаблоны писем визуальные маркеры доверенных доменов, единый адрес для репортов и короткую памятку в подписи. Это дешевле бесконечных вебинаров и работает для новичков.

Итог

Эффективная программа — баланс фильтров, понятных процессов репорта и уважительных тренировок. Измеряйте результат в инцидентах и времени реакции, а не в часах «просмотренного видео».