it-swarm.dev

Come scrivere un'email relativa alla sicurezza IT che verrà letta e non ignorata dall'utente finale?

Ho osservato che molti dei nostri utenti stanno ignorando i messaggi inviati dai responsabili della sicurezza IT e anche il sistema ha generato notifiche "Hai appena inviato un virus".

Il problema sembra essere tra le persone che non sono esperti di computer, che non sono in alcun modo ostili all'IT SEC. Semplicemente non sono persone "computer".

Quali indicazioni ci sono per garantire che i responsabili IT e le notifiche di sistema siano compresi e rispettati? Vorrei creare un singolo messaggio per l'intera base di utenti e non assumermi la responsabilità di tenere in mano le persone "speciali".

La mia speranza è di poter sviluppare una serie di migliori pratiche e-mail che vengono utilizzate durante le comunicazioni con tutti gli utenti finali, allo scopo di inviare notifiche degli utenti di sicurezza IT tramite e-mail.

  • Come dovrei esporre i pensieri dietro il messaggio?
  • I messaggi HTML sono più efficaci? Come mai?
  • Ci sono campioni taglia e incolla?
  • L'indirizzo "Da" è importante?
  • Cosa dovrebbe dire il soggetto?

Esempi di notifiche includono (ma non limitato a):

  • Messaggi di posta elettronica automatici da sistemi Antigen o Forefront AV
  • Revisioni della politica di sicurezza IT
  • Notifiche generali che sono semplicemente informative
    • "La manutenzione verrà eseguita alle 23: 00-18: 00. Prevedere un'interruzione del servizio"
  • Notifiche generali che devono essere lette e applicate. Si applicano all'utente finale.
    • "Chiudi tutte le applicazioni e disconnettiti per l'applicazione di patch"
  • Altre notifiche che possono o meno essere applicabili all'utente finale.
    • Email di riepilogo della quarantena SPAM: "In allegato è un elenco di messaggi in quarantena ..."
    • "Una patch di sicurezza per una vecchia versione del software che potrebbe non essere installata"

Questa domanda era Domanda sulla sicurezza IT della settimana.
Leggi il 26 agosto 2011 post di blog per maggiori dettagli o invia il tuo Domanda della settimana.

77

Un piccolo trucco che ho imparato anni fa: stendi la tua email in questo modo:

versione breve

  • Piccolo numero di punti succinti molto brevi
  • Se X, allora devi farlo
  • Altrimenti, devi farlo (o non devi fare nulla)

Versione lunga o Dettagli completi

... e qui esponi la versione completa che desideri.

Il 97% dei tuoi utenti non leggerà mai la versione lunga, quindi conta la versione breve. Tuttavia , la chiave qui è che la maggior parte degli utenti leggerà la versione breve se gli viene data una scelta tra e la versione lunga . Quando inserisci l'intestazione della sezione "Versione breve", li induci a leggerlo perché hanno la sensazione di poter "cavarsela" semplicemente leggendo la versione breve. È tipo psicologia o qualcosa del genere.

Molti dei tuoi utenti non leggeranno ancora i messaggi indipendentemente da ciò che fai . Tuttavia, con questo metodo ho ottenuto percentuali di hit migliori rispetto a non.

103
gowenfawr

Come dice @ gowenfawr molti utenti non leggeranno i messaggi qualunque cosa tu faccia .

Quindi, nei casi in cui è necessario garantire che il messaggio sia stato recapitato al cervello e non solo nella casella di posta in arrivo o su cui si sia basato, ciò di cui si ha bisogno è un meccanismo di feedback.

Questo può essere semplice, usando l'approccio sociale, ad esempio ponendo agli utenti una domanda sostanzialmente falsa mentre si forniscono informazioni. Ad esempio, se stai fornendo diversi metodi per gestire un determinato problema, potresti chiedere loro di dirti quale è più adatto per il loro lavoro o chiedere loro di ordinarli in base alla convenienza e insistere sulla risposta. Le persone che non rispondono probabilmente non l'hanno letto e puoi seguirle.

Puoi fare un ulteriore passo avanti e effettivamente creare un test rapido che devono completare per dimostrare che "hanno ricevuto il messaggio" (questo causerà reclami, ma è efficace e nel caso in cui si ottenga il via libera dalla direzione questo approccio può davvero invertire alcune cose).

19
Unreason

Mi considero dotato di elevate competenze tecniche e di solito mi ritrovo a scremare o semplicemente ignorare questo tipo di messaggi. Tuttavia, di recente ho installato un prodotto Google con la seguente intestazione:

Please read this carefully - It's not just the usual yada yada.

A causa della natura leggera di questo, mi sono ritrovato a leggere attentamente i documenti e ho iniziato a utilizzare questa tecnica nel mio lavoro.

Ho scoperto che gli utenti in genere leggono messaggi amministrativi quando viene stabilita una connessione fisica/psicologica tra l'amministratore di sistema e l'utente. Questo, nel caso di Google, era un'osservazione scherzosa.

Un altro metodo che si è dimostrato efficace è l'aggiunta di interattività al tuo messaggio con un premio molto chiaro per l'interazione. Qualcosa di semplice come "Saresti d'accordo con questo SÌ | NO" o pollice su/giù per alcune politiche, e una ricompensa del credito di stampa, per esempio.

15
Greg

Alcuni punti che mi vengono in mente:

  • Sii conciso e preciso. I messaggi troppo lunghi vengono generalmente eliminati.

  • Classificare il messaggio usando l'argomento: manutenzione, avviso, importante. E chiarisci l'argomento (ma breve).

  • Se possibile, configurare il client di posta elettronica per colorare le intestazioni delle e-mail per impostazione predefinita. Con un insieme coerente di regole puoi ottenere più attenzione. Fai una cosa importante in rosso, ma non abusarne.

  • Infine, forma il tuo utente. Organizza sessioni di sensibilizzazione per insegnare loro come reagire. Il messaggio di manutenzione è importante? Cosa devo fare quando ricevo un avviso importante? Chi mi manda un avviso?

11
M'vy

Un punto è quello di inviare e-mail solo quando è importante e fondamentale che vengano lette - non usarle per normali newsletter o informazioni noiose - gli utenti impareranno a ignorarle molto rapidamente.

Per la consapevolezza generale della sicurezza, utilizzare ogni volta meccanismi diversi e renderlo interessante, vale la pena o se quelli falliscono: obbligatorio, insieme alla firma annuale della politica di utilizzo accettabile dell'azienda, ad esempio.

Come ha detto @RobertDavidGraham - non inviare loro e-mail di manutenzione - dovrebbero comunque provenire da operazioni operative o gestione delle modifiche.

11
Rory Alsop

Penso che non puoi guardare solo un messaggio di posta. Dopo aver visto i nostri gruppi IT e ITSEC evolversi nel corso degli anni, ho notato che la percezione comune di loro ha a che fare con il complessivo corpo di e-mail che messo fuori, nulla viene risolto con solo poche e-mail grandiose.

Ecco alcuni pensieri generali:

  • non usare un solo mezzo di comunicazione - So che vuoi risolverlo con 1 e-mail concisa, ma potrebbe non essere fattibile. Quando qualcosa è importante, invialo più volte e rendi gli utenti consapevoli delle ripetizioni. Ogni volta che un'informazione è disponibile via e-mail, disponi anche di un archivio sul sito aziendale interno a cui gli utenti possano accedere facilmente e mettilo in cima alla pila per i ragazzi che fanno assistenza telefonica. Quando è assolutamente, sanguinantemente critico, prendi in considerazione l'invio di segnali alle uscite principali.

  • aiuta gli utenti a stabilire le priorità - hai già elencato una bella raccolta di tipi tipici di messaggi. Alcuni di questi sono drop dead must-know-on-a-deadline (ad esempio, stiamo aggiornando il tuo computer, se non fai ciò che ti diciamo, ti ci vorranno 3 giorni per ripristinare un sistema funzionante), alcuni sono modifiche minori che potrebbero non influire su di esse. Per le cose grandi, colpiscili duramente. Per le cose minori: dai loro gli strumenti, in anticipo, per determinare se si adattano a un gruppo interessato. Ciò significa che dovrai conoscere abbastanza i tuoi utenti e come si definiscono per fornire al tuo pubblico una base di riferimento.

  • attenzione, nel complesso, del rapporto rumore/volume - i messaggi giornalieri, indipendentemente dal significato, verranno ignorati. Agli utenti non importa molto della sicurezza. Raggruppa insieme i cambiamenti di grande impatto, trova un modo di mostrare le cose FYI a bassa priorità come bassa priorità e sii consapevole, nel complesso, di quante informazioni il tuo dipartimento pubblica nel suo insieme.

7
bethlakshmi

Lol.

La prima cosa è rendersi conto che gli utenti generalmente ignoreranno tutte le tue e-mail. Smetti di immaginare che questo problema possa essere risolto.

Certamente, ci sono cose che puoi fare per far leggere le tue e-mail da PIÙ utenti.

No, i messaggi HTML non sono migliori. Gli studi hanno dimostrato che gli utenti prestano maggiore attenzione ai messaggi di testo e alle pagine HTML.

Più breve è l'e-mail, meglio è. Più è lunga l'e-mail, più è probabile che l'utente la ignori. Oppure, se l'utente lo legge, leggerà solo le prime due frasi. Considera la piramide inversa degli articoli di giornale: la parte più importante è nella prima frase, nel primo paragrafo, nella prima sezione. Più vai in fondo all'articolo, meno le informazioni diventano importanti, in parte perché è probabile che i lettori si annoino e si caudano prima di finire l'articolo.

Smetti di dire loro cosa fare. "Chiudi tutte le applicazioni e disconnettiti per il patching" è una stupida email. Uno migliore è "Il tuo sistema verrà riavviato per il patching; se hai applicazioni aperte, potresti perdere dati".

Non inviare più e-mail inutili come "La manutenzione verrà eseguita alle 23: 00-18: 00. Aspettatevi un'interruzione del servizio". Non si applica comunque al 99% degli utenti, quindi perché disturbare tutti con qualcosa che si applica all'1% degli utenti? Le persone che lavorano a tarda ora sanno che le interruzioni sono probabilmente dovute alla manutenzione.

Più email invii, più è probabile che vengano ignorate. Invia il minor numero possibile - o anche meno.

Smetti di phishing i tuoi utenti, ad esempio, dicendo loro che devono installare una patch. Quando invii loro tali e-mail in modo legittimo, è più probabile che cadano vittime di attacchi di phishing che sembrano identici alle e-mail che hai inviato, ma che indicano una falsa patch.

Sì, l'indirizzo DA è importante. Sì, l'argomento è importante. Puoi presumere che leggano la riga dell'oggetto e che di solito sia l'unica cosa che leggono. Naturalmente, se si tenta di inserire l'intera e-mail nella riga dell'oggetto, OR RENDI TUTTO MAIUSCOLO, è probabile che venga ignorato.

6

Osservazioni:

Alcuni utenti potrebbero capire che il tuo messaggio è importante ma "lasciarlo per dopo" o pensare che sia un buon riferimento ma metterlo da parte per un periodo in cui "succede qualcosa di brutto" (succede molto con i nostri messaggi di consapevolezza).

Ho anche dovuto affrontare l'insistenza dei manager di medio livello sul fatto che tutti i messaggi indirizzati internamente all'organizzazione dovevano seguire un certo stile ufficiale, una sicura disattivazione per qualsiasi utente che avrebbe iniziato a leggerli.

Quindi, i miei 2 suggerimenti:

  1. Pensa al tuo pubblico. Ciò che li rende interessati, ciò che attira la loro attenzione, come riceverebbero meglio il tuo messaggio. Dopotutto sono i tuoi colleghi.

  2. Concentrati sui messaggi importanti, ad esempio Training di sensibilizzazione o Notifiche automatiche. Se sono davvero importanti, componili in uno stile che li renderà "irresistibili".

Alcuni suggerimenti (utili soprattutto per i messaggi di sensibilizzazione):

  • Rilascia il linguaggio ufficiale dell'organizzazione, lascia cadere il legale, sii personale.

  • Prova a pensare come i tuoi utenti, fai domande ipotetiche che li faranno pensare al "what ifs". Rendi entusiasmanti i tuoi discorsi sulla sicurezza! E che ne dici di renderli anche un po 'preoccupati della sicurezza dei propri dati personali? Un sistema sfruttato potrebbe essere utilizzato per rubare dati personali e aziendali. Bonus aggiunto: portano la lezione a casa.

  • Usa caselle di testo (a colori) che riassumono il tuo messaggio. I loro occhi li porteranno lì.

  • Lascia suggerimenti sulle loro responsabilità nell'organizzazione.

6
George

Un trucco che ho usato con un certo successo per le cose che richiedono azioni dell'utente è l'invio di una convocazione di riunione. Il trucco funziona per alcuni motivi:

  • Le persone tendono a rispondere alle richieste di incontro.
  • Consente di creare promemoria prima di eventi che richiedono azioni dell'utente.
  • In realtà mette cose come i tempi di inattività programmati nei calendari delle persone.

Non lo farei per tutto in quanto potrebbe autodistruggersi, ma per cose abbastanza importanti ha senso.

4
Wyatt Barnett

Il fatto è che gli utenti che non conoscono molto i computer non si preoccupano molto delle e-mail che non comprendono. Inoltre, in secondo luogo, le persone si abituano a email simili che arrivano spesso e iniziano a non leggerle.

Puoi fare qualcosa contro questo ... probabilmente non così tanto.

Consiglierei di creare una categoria nella tua e-mail come titolo. Consiglierei di creare un CODICE COLORE per ogni categoria. Consiglierei di scrivere una breve dichiarazione all'inizio del corpo e una lunga informazione di dettaglio subito dopo la breve dichiarazione.

Inoltre, prenditi cura delle parole che utilizzerai e cerca di capire che alcune persone non hanno familiarità con i termini tecnici del computer. Evitare di usarli o se vengono utilizzati, quindi definirli.

Considera cosa pensano le persone non tecniche quando le avverti di un virus? Pensano di avere una bestia nella macchina ... e nient'altro.

Sii pedagogico con loro. Usa parole che loro conoscono. Sii chiaro su cosa dovrebbero fare.

2
Xenus98

Per le e-mail di avviso virus, oltre a modificare il contenuto del messaggio, assicurarsi che l'intestazione del messaggio Da: indichi che proviene dal gestore della linea dell'utente. CC anche quella persona. Non è barare? No. È responsabilità del responsabile della linea garantire che le politiche vengano divulgate e seguite dai loro rapporti, quindi stai inviando il messaggio per loro conto.

Per i tempi di inattività e le notifiche di manutenzione, ci sono due fattori: il primo è quello di evitare di interrompere la manutenzione degli utenti. Il secondo è che dovresti prendere in considerazione la possibilità di avvisare gli utenti tramite sistemi di trasmissione o di messaggistica del giorno, perché come hai scoperto l'e-mail non è un buon supporto.

2
user185

Se hai davvero qualcosa da dire (non il tipo di email "prevedere interruzione"), puoi inserire il nome del destinatario nell'oggetto . Sì, questo è ciò che fanno di solito gli spammer.

Oggetto come Richard, per favore dai un'occhiata immediatamente attira l'attenzione e ti concedi circa 10 secondi per esprimi il problema in breve ( ad es. spiegare le politiche modificate, il software viene aggiornato, ecc.).

Per favore non usare mai per qualsiasi messaggi generati automaticamente.
E assicurati che l'indirizzo del mittente sia autorizzato su tutti i computer.

2
Dan

A seconda della gerarchia della tua organizzazione, ho trovato alcune cose abbastanza efficaci.

Mando un'e-mail al gestore o ai supervisori del resto degli utenti, quando lo inoltrano insieme a una breve lettera di tipo "leggi questo se hai ancora bisogno del tuo lavoro" (di solito non è rozzo ma ottieni il punto) direi vicino al 70% degli utenti tenta di leggere l'importante bollettino che è stato inviato.

In secondo luogo, utilizzo una riga tematica che attira l'attenzione, di seguito sono riportati alcuni esempi e con una breve spiegazione del lato tecnico.

Subj: Le e-mail di cattive notizie conterranno qualcosa di naturale che potremmo considerare cattive notizie, ma l'utente potrebbe anche non accorgersene, tuttavia dobbiamo documentare "cosa facciamo" nel caso in cui le persone minori che hanno difficoltà a comprendere "cosa siamo pagati per fare "ai loro occhi sfidano qualsiasi problema di cui" li abbiamo avvertiti "

Subj: Problema di conformità o controllo di conformità Questo di solito fa squillare il mio telefono poiché LE PERSONE NON LEGGONO il corpo del messaggio ma di solito è qualcosa sulla falsariga del rinnovo dei servizi di crittografia, ma se il mio soggetto lo dicesse, allora sarebbe ignorato fino a quando il il servizio è chiuso a causa della mancanza di pagamento tempestivo; quindi devo lavorare al di fuori del normale orario lavorativo senza ulteriori compensi/straordinari.

Subj: URGENT! (X Problemi) Quando si utilizza questo, è come ultima risorsa. Ad esempio URGENTE! Il sistema client sarà DISATTIVATO fino al rinnovo della licenza. (probabilmente puoi dire che alla mia azienda piace pagare tutto l'ULTIMO SECONDO e ovviamente il lavoro spetta a me per "sistemarlo" Almeno con questo argomento e le informazioni nell'e-mail quando attaccato dal management su "perché stiamo pagando i dipendenti nella filiale uffici che non riescono a lavorare nel nostro sistema ?! È inattivo/rotto "Rispondo semplicemente, se è urgente come si afferma, è necessario pagare il rinnovo (i) in tempo per evitare che la situazione inizi. Magicamente essi disporre di carte di credito per riacquistare le licenze una volta che ciò accade (ogni 6-12 mesi) YAY!

Subj: System Down Uso questo per avvisare che un determinato sistema verrà programmato per un certo periodo di tempo per manutenzione o aggiornamenti/upgrade.

Infine, e suppongo che avrei dovuto dire che questo prima non è inviare e-mail più del necessario e le immagini sembrano attirare l'attenzione (a condizione che i loro client e-mail siano configurati per visualizzarle). Dal momento che invio e-mail alla maggior parte della gestione solo poche volte a settimana, a meno che non risponda a una domanda; le mie e-mail hanno più peso dell'altro amministratore con cui lavoravo. Sfortunatamente, a meno che qualcosa non sia rotto, la maggior parte degli utenti NON LEGGONO fintanto che hai documentato la prova che qualcuno è stato avvisato che il tuo terreno dovrebbe essere piuttosto solido. Dico sempre: "Se prima non capiscono cosa stai cercando di dire, abbassa le tue aspettative". ;-)

2
Brad

Molte risposte eccellenti qui, l'unica cosa che vale la pena aggiungere è, per il RARO caso in cui davvero richieda l'attenzione e/o la risposta degli utenti , molti client di posta elettronica (ad es. Outlook) consentono al mittente di designare una data/ora di promemoria, momento in cui il client visualizzerà effettivamente una finestra di messaggio di promemoria.
Per favore, usa questo con parsimonia, poiché è abbastanza invadente, anche se è molto utile, se ne hai bisogno. (Se lo usi in modo eccessivo, verrà sostituito/ignorato).

2
AviD

L'unico modo per fare davvero le cose solo via e-mail:

  • AZIONE RICHIESTA nell'argomento
  • Qualche modo per indicare che hanno letto o fatto l'azione richiesta.
  • Escalation al manager se non lo fanno.
  • Escalation al manager del manager se ancora non lo fanno.

Perché non importa cosa fai nella tua e-mail, una buona percentuale non la aprirà nemmeno.

0
Scott McIntyre