Op deze pagina leggen we stap voor stap uit hoe een phishingtest bij BSM verloopt. Zo weet u precies wat u kunt verwachten wanneer u een phishingtest bij ons afneemt. Bij BSM onderscheiden we drie fasen in elke phishingtest: de voorbereiding, de uitvoering van de phishingtest en de afronding.
Hieronder gaan we dieper in op wat er in elke fase gebeurt en wat er van u verwacht wordt. Op deze manier bent u zo goed mogelijk voorbereid.
Tijdens de kick-off meeting bespreken we welk phishing-scenario het beste past bij uw organisatie. We adviseren u hierin, maar de uiteindelijke keuze ligt bij u. U kunt ervoor kiezen om zelf een scenario aan te dragen dat wij verder uitwerken, of u kiest een van onze semi-maatwerk scenario’s. Daarnaast bekijken we samen de planning: wat is het beste moment om de phishingtest te starten? Tot slot bespreken we wie er binnen uw organisatie betrokken zullen zijn. Deze collega’s kunnen wij eventueel betrekken in de voorbereiding en hen voorbereiden op de phishingtest zelf.
De deelnemerslijst moet de volgende informatie bevatten: de voor- en achternamen van de deelnemers, hun bijbehorende e-mailadressen en eventueel de afdelingen waar zij werkzaam zijn.
De laatste stap in de voorbereiding is de goedkeuring van het scenario.
We sturen u een testmail om te controleren of de phishingmail correct wordt afgeleverd. Vaak wordt er gekozen voor whitelisting, waarvoor wij duidelijke instructies geven. Op deze manier zorgen we ervoor dat alle e-mails goed aankomen bij de deelnemers.
Wanneer de testmail correct is afgeleverd, kunt u de phishingmail bekijken. Indien er aanpassingen nodig zijn, kunnen we die nog doorvoeren. Daarnaast kunt u op de link in de mail klikken om de phishingwebsite te bekijken. Hier kunt u een “test” wachtwoord invullen om zo te kunnen controleren of alles naar behoren werkt. Zodra dit allemaal is voltooid, zijn we klaar voor de volgende fase: de phishingtest zelf. Hiervoor spreken we een datum en tijdstip af, en 30 minuten voordat de test begint, nemen we altijd nog even contact met u op.
Zodra de phishingtest van start is gegaan, ontvangt u van ons een e-mail met alle relevante informatie. De phishingmails worden geleidelijk afgeleverd om eventuele spamfilters te omzeilen.
Het is belangrijk om te weten dat, wanneer een collega op de phishingmail ingaat, geen volledige gegevens worden opgeslagen. Elk ingevuld wachtwoord wordt zowel aan de client-side als server-side gestript. Hierdoor kunnen wij alleen de lengte van het wachtwoord en de eerste twee tekens zien, zonder de volledige inhoud te kunnen achterhalen.
Zodra de phishingtest is gestart, kunnen er verschillende reacties binnen uw organisatie plaatsvinden. Collega’s kunnen elkaar waarschuwen of contact opnemen met de ICT-afdeling. Om ervoor te zorgen dat de phishingtest optimaal verloopt, bereiden wij alle betrokken partijen goed voor en zorgen we dat zij weten hoe ze op de juiste manier moeten handelen.
Tijdens de test ontvangt u van ons een tussentijdse rapportage met informatie over wie op de link in de phishingmail heeft geklikt en wie een wachtwoord heeft ingevuld. Het is belangrijk om te onthouden dat dit geen reden is voor ongerustheid of boosheid. Het doel van de phishingtest is om te leren en het bewustzijn te vergroten. Door dit als een leermoment te zien, vergroot je het leereffect en verbeteren we de veiligheid binnen uw organisatie.
Hoewel sommige deelnemers doorhadden dat ze een phishingmail ontvingen, is dit niet voor iedereen het geval. Bovendien kan het zijn dat degenen die het wel doorhadden, niet op de juiste manier hebben gehandeld. Niks doen met een phishingmail is namelijk niet genoeg; de beste actie is om de phishingmail te melden bij de juiste afdeling binnen de organisatie.
Na elke phishingtest bieden wij een formulier aan dat u eventueel kunt aanpassen en met uw organisatie kunt delen. Hierin leggen we uit wat er is gebeurd, waarom de phishingtest is uitgevoerd en wat de juiste manier van handelen was. Dit formulier vormt een goed leermoment, omdat het kort na de test wordt gedeeld en de phishingmail nog vers in het geheugen van de deelnemers zit.
Daarnaast is het mogelijk om een bewustwordings training te krijgen waarin we de resultaten van de phishing test verwerken. De training is maatwerk, zodat deze zo effectief mogelijk is afgestemd op de behoeften van uw organisatie. We richten ons specifiek op de punten waar het tijdens de phishingtest mis is gegaan. De training is volledig anoniem: er worden geen persoonlijke gegevens gedeeld, zodat alle medewerkers zich comfortabel voelen en de training voor iedereen zowel toegankelijk als waardevol is.
De bevindingen van de phishing simulatie worden samengevat in een uitgebreid rapport. Dit rapport kan dienen als referentie voor toekomstige phishingtests, zodat de resultaten van nieuwe tests kunnen worden vergeleken met eerdere. Op deze manier kunnen we niet alleen beoordelen of medewerkers alerter zijn geworden, maar ook of andere typen phishingtests mogelijk effectiever zijn.
Elke phishingtest dient tegelijkertijd als een leermoment. De rapportages die we opleveren, kunnen bovendien gebruikt worden voor certificeringen zoals ISO 27001 en NEN 7510, als bewijs dat uw personeel actief getraind wordt.
Na de phishingtest bieden wij de mogelijkheid om een op maat gemaakte bewustwordingstraining te volgen. In deze training verwerken we de resultaten van de test en richten we ons specifiek op de punten waar het misging binnen uw organisatie. Door de training af te stemmen op de behoeften van uw medewerkers, zorgen we ervoor dat de inhoud zo effectief mogelijk is.
De training is volledig anoniem; er worden geen persoonlijke gegevens gedeeld, zodat alle medewerkers zich vrij voelen om deel te nemen. Dit zorgt ervoor dat de training niet alleen toegankelijk, maar ook waardevol is voor iedereen. Het doel is om het bewustzijn rond phishing en online veiligheid te vergroten, zodat uw medewerkers in de toekomst beter voorbereid zijn om phishingpogingen te herkennen en te melden.
Het is mogelijk om een training te verzorgen voor uw gehele organisatie of specifiek voor de ‘high-risk’ groepen, zoals leidinggevenden en medewerkers met toegang tot gevoelige informatie. Deze gerichte aanpak zorgt ervoor dat juist de personen die een groter risico lopen, extra aandacht en training krijgen om phishingpogingen effectief te herkennen en te melden.
Om uw collega’s scherp te houden op phishing, is het belangrijk om phishing-simulaties regelmatig te herhalen. Het besef dat er periodiek een test kan plaatsvinden, motiveert medewerkers om elke e-mail extra aandachtig te beoordelen. Een hertest hoeft niet altijd een complex scenario te bevatten. Veel van onze klanten kiezen ervoor om twee phishingtests per jaar uit te voeren: één semi-maatwerkscenario en één volledig maatwerkscenario.
Door regelmatig te hertesten, blijft het bewustzijn rondom phishing op peil en kunnen we eventuele verbeteringen in de alertheid van uw medewerkers goed monitoren.