it-swarm-eu.dev

Wie schreibe ich eine E-Mail bezüglich IT-Sicherheit, die vom Endbenutzer gelesen und nicht ignoriert wird?

Ich habe festgestellt, dass einige unserer Benutzer Nachrichten ignorieren, die von IT-Sicherheitsmanagern gesendet wurden, und dass das System auch Benachrichtigungen "Sie haben gerade einen Virus gesendet" generiert hat.

Das Problem scheint bei Leuten zu liegen, die nicht mit Computern vertraut sind und IT SEC in keiner Weise feindlich gegenüberstehen. Sie sind einfach keine "Computer" -Leute.

Welche Richtlinien gibt es, um sicherzustellen, dass die IT-Manager und Systembenachrichtigungen verstanden und befolgt werden? Ich möchte eine einzige Nachricht für die gesamte Benutzerbasis erstellen und nicht die Verantwortung dafür übernehmen, die "besonderen" Leute in der Hand zu halten.

Ich hoffe, dass ich eine Reihe von Best Practices für E-Mails entwickeln kann, die bei der Kommunikation mit allen Endbenutzern verwendet werden, um Benutzerbenachrichtigungen für IT-Sicherheit per E-Mail zu senden.

  • Wie soll ich die Gedanken hinter der Nachricht auslegen?
  • Sind HTML-Nachrichten effektiver? Wie das?
  • Gibt es Beispiele zum Ausschneiden und Einfügen?
  • Ist die "Von" -Adresse wichtig?
  • Was soll das Thema sagen?

Beispiele für Benachrichtigungen sind (ohne darauf beschränkt zu sein):

  • Automatische E-Mail-Nachrichten von Antigen- oder Forefront-AV-Systemen
  • Überarbeitungen der IT-Sicherheitsrichtlinie
  • Allgemeine Benachrichtigungen, die lediglich informativ sind
    • "Die Wartung wird zwischen 23:00 und 06:00 Uhr durchgeführt. Erwarten Sie eine Betriebsstörung"
  • Allgemeine Benachrichtigungen, die gelesen und bearbeitet werden sollen. Sie gelten für den Endbenutzer.
    • "Alle Anwendungen schließen und zum Patchen abmelden"
  • Andere Benachrichtigungen, die möglicherweise für den Endbenutzer gelten oder nicht.
    • Zusammenfassung der SPAM-Quarantäne-E-Mails: "Anbei eine Liste der unter Quarantäne gestellten Nachrichten ..."
    • "Ein Sicherheitspatch für eine alte Version der Software, die möglicherweise nicht installiert ist"

Diese Frage war IT-Sicherheitsfrage der Woche.
Lesen Sie den 26. August 2011 Blogeintrag für weitere Details oder eigene einreichen Frage der Woche.

77

Ein kleiner Trick, den ich vor Jahren gelernt habe - legen Sie Ihre E-Mail so aus:

Kurzfassung

  • Kleine Anzahl sehr kurzer prägnanter Punkte
  • Wenn X, müssen Sie dies tun
  • Sonst müssen Sie das tun (oder nichts tun)

Langfassung oder Vollständige Details

... und hier legen Sie die gewünschte Vollversion an.

97% Ihrer Benutzer werden die lange Version nie lesen. Lassen Sie also die kurze Version zählen. Der Schlüssel hier ist jedoch , dass die meisten Benutzer die Kurzversion lesen, wenn sie die Wahl haben und die lange Version . Wenn Sie die Überschrift des Abschnitts "Kurzversion" einfügen, verleiten Sie sie zum Lesen, da sie das Gefühl haben, mit dem Lesen der Kurzversion "davonzukommen". Es ist wie Psychologie oder so.

Viele Ihrer Benutzer lesen immer noch keine Nachrichten , egal was Sie tun . Ich habe mit dieser Methode bessere Trefferquoten erzielt als nicht.

103
gowenfawr

Wie @ gowenfawr sagt viele Benutzer lesen keine Nachrichten , egal was Sie tun .

In Fällen, in denen Sie sicherstellen müssen, dass die Nachricht an das Gehirn und nicht nur an den Posteingang gesendet oder bearbeitet wurde, benötigen Sie einen Feedback-Mechanismus.

Dies kann mithilfe eines sozialen Ansatzes einfach sein - beispielsweise indem Benutzern eine im Wesentlichen gefälschte Frage gestellt wird, während Informationen bereitgestellt werden. Wenn Sie beispielsweise mehrere Methoden zur Behandlung eines bestimmten Problems bereitstellen, können Sie diese bitten, Ihnen mitzuteilen, welche für ihre Arbeit am besten geeignet ist, oder sie bitten, sie nach Belieben zu bestellen und auf der Antwort zu bestehen. Leute, die nicht antworten, haben es wahrscheinlich nicht gelesen und Sie können mit ihnen weitermachen.

Sie können noch einen Schritt weiter gehen und tatsächlich einen Schnelltest erstellen, den sie durchführen müssen, um zu beweisen, dass sie "die Nachricht erhalten" haben (dies wird Beschwerden verursachen, aber ist effektiv und falls Sie grünes Licht vom Management erhalten, kann dieser Ansatz einige Dinge wirklich umkehren).

19
Unreason

Ich halte mich für hochtechnisch und finde mich normalerweise dabei, diese Art von Nachrichten selbst zu überfliegen oder einfach zu ignorieren. Ich habe jedoch kürzlich ein Google-Produkt installiert, das den folgenden Header hatte:

Please read this carefully - It's not just the usual yada yada.

Aufgrund dieser Unbeschwertheit musste ich die Dokumente gründlich lesen und habe begonnen, diese Technik in meinem Job anzuwenden.

Ich habe festgestellt, dass Benutzer im Allgemeinen administrative Nachrichten lesen, wenn eine physische/psychische Verbindung zwischen dem Systemadministrator und dem Benutzer hergestellt wird. In Googles Fall war dies eine witzige Bemerkung.

Eine andere Methode, die sich als erfolgreich erwiesen hat, ist das Hinzufügen von Interaktivität zu Ihrer Nachricht mit einem sehr klare Belohnung für die Interaktion. Etwas Einfaches wie "Würden Sie diesem JA | NEIN zustimmen" oder Daumen hoch/runter für bestimmte Richtlinien und eine Belohnung für Druckguthaben zum Beispiel.

15
Greg

Einige Punkte, die mir in den Sinn kommen:

  • Seien Sie präzise und präzise. Zu lange Nachrichten werden normalerweise gelöscht.

  • Kategorisieren Sie die Nachricht anhand des Themas: Wartung, Hinweis, wichtig. Und machen Sie das Thema klar (aber kurz).

  • Wenn möglich, konfigurieren Sie den E-Mail-Client so, dass E-Mail-Header standardmäßig eingefärbt werden. Mit einem konsistenten Regelwerk können Sie mehr Aufmerksamkeit erhalten. Machen Sie wichtige Dinge in Rot, aber missbrauchen Sie sie nicht.

  • Trainieren Sie endlich Ihren Benutzer. Organisieren Sie Sensibilisierungssitzungen, um ihnen das Reagieren beizubringen. Ist die Wartung eine wichtige Meldung? Was soll ich tun, wenn ich einen wichtigen Hinweis erhalte? Wer schickt mir eine Nachricht?

11
M'vy

Ein Punkt ist, E-Mails nur dann zu versenden, wenn es wichtig und wichtig ist, dass sie gelesen werden. Verwenden Sie sie nicht für normale Newsletter oder langweilige Informationen. Benutzer werden lernen, sie sehr schnell zu ignorieren.

Verwenden Sie für ein allgemeines Sicherheitsbewusstsein jedes Mal andere Mechanismen und machen Sie sie interessant, lohnenswert oder wenn diese fehlschlagen: obligatorisch, zusammen mit der jährlichen Genehmigung der Richtlinie zur akzeptablen Nutzung durch das Unternehmen.

Wie @RobertDavidGraham sagte - senden Sie ihnen keine Wartungs-E-Mails - sollten diese sowieso von Ops oder dem Änderungsmanagement stammen.

11
Rory Alsop

Ich denke, Sie können nicht nur eine E-Mail-Nachricht anzeigen. Nachdem ich beobachtet habe, wie sich unsere IT- und ITSEC-Gruppen im Laufe der Jahre weiterentwickelt haben, habe ich festgestellt, dass ihre gemeinsame Wahrnehmung mit dem Gesamtbestand der E-Mails zu tun hat Mit ein paar tollen E-Mails wird nichts repariert.

Hier sind einige allgemeine Gedanken:

  • verwenden Sie nicht nur ein Kommunikationsmedium - Ich weiß, dass Sie dies mit einer kurzen E-Mail lösen möchten, aber das ist möglicherweise nicht möglich. Wenn etwas wichtig ist - senden Sie es mehrmals per E-Mail und machen Sie die Benutzer auf die Wiederholungen aufmerksam. Wenn eine Information per E-Mail verfügbar ist, sollten Sie auch ein Archiv auf der internen Unternehmensseite haben, auf das Benutzer problemlos zugreifen können, und es für die Mitarbeiter, die telefonischen Support leisten, oben auf dem Stapel haben. Wenn es absolut blutig kritisch ist, sollten Sie an wichtigen Ausgängen Schilder anbringen.

  • Hilfe bei der Priorisierung von Benutzern - Sie haben bereits eine schöne Sammlung typischer Nachrichtentypen aufgelistet. Einige davon sind ein absolutes Muss (dh wir aktualisieren Ihren Computer, wenn Sie nicht das tun, was wir Ihnen sagen, dauert es 3 Tage, bis Sie ein funktionsfähiges System wiederhergestellt haben), andere sind geringfügige Änderungen, die sie möglicherweise nicht beeinflussen. Schlagen Sie sie für die großen Sachen hart. Geben Sie ihnen für die kleinen Dinge die Werkzeuge im Voraus, um festzustellen, ob sie in eine betroffene Gruppe passen. Dies bedeutet, dass Sie genug über Ihre Benutzer und deren Definition wissen müssen, um Ihrem Publikum eine Basis zu geben.

  • Beachten Sie insgesamt Ihr Rausch-zu-Lautstärke-Verhältnis - Tägliche Nachrichten, egal wie gut sie gemeint sind, werden ignoriert. Den Benutzern ist die Sicherheit einfach nicht so wichtig. Bündeln Sie große Auswirkungen auf Änderungen, finden Sie eine Möglichkeit, FYI-Inhalte mit niedriger Priorität als niedrige Priorität anzuzeigen, und achten Sie insgesamt darauf, wie viele Informationen Ihre Abteilung insgesamt veröffentlicht.

7
bethlakshmi

Lol.

Das erste ist zu erkennen, dass Benutzer im Allgemeinen alle Ihre E-Mails ignorieren. Hör auf, dir vorzustellen, dass dieses Problem gelöst werden kann.

Natürlich gibt es Dinge, die Sie tun können, um Ihre E-Mails von MEHR Benutzern lesen zu lassen.

Nein, HTML-Nachrichten sind nicht besser. Studien haben gezeigt, dass Benutzer Textnachrichten und HTML-Seiten mehr Aufmerksamkeit schenken.

Je kürzer die E-Mail, desto besser. Je länger die E-Mail ist, desto wahrscheinlicher ist es für den Benutzer, sie zu ignorieren. Wenn der Benutzer es liest, liest er nur die ersten beiden Sätze. Betrachten Sie die umgekehrte Pyramide von Zeitungsartikeln: Das wichtigste Bit befindet sich im ersten Satz, im ersten Absatz und im ersten Abschnitt. Je weiter Sie den Artikel durchgehen, desto weniger wichtig werden die Informationen, auch weil sich die Leser wahrscheinlich langweilen und vor Abschluss des Artikels auf Kaution gehen.

Hör auf, ihnen zu sagen, was sie tun sollen. "Alle Anwendungen schließen und zum Patchen abmelden" ist eine blöde E-Mail. Eine bessere ist "Ihr System wird zum Patchen neu gestartet; wenn Sie offene Anwendungen haben, können Sie Daten verlieren".

Senden Sie keine nutzlosen E-Mails mehr wie "Die Wartung wird zwischen 23:00 und 06:00 Uhr durchgeführt. Erwarten Sie eine Betriebsstörung". Es gilt sowieso nicht für 99% der Benutzer. Warum also alle mit etwas belästigen, das für 1% der Benutzer gilt? Die Leute, die zu späten Stunden arbeiten, wissen, dass Störungen sowieso wahrscheinlich auf Wartung zurückzuführen sind.

Je mehr E-Mails Sie senden, desto wahrscheinlicher ist es, dass sie ignoriert werden. Senden Sie so wenig wie möglich - oder noch weniger.

Beenden Sie beispielsweise das Phishing Ihrer Benutzer, indem Sie ihnen mitteilen, dass sie einen Patch installieren müssen. Wenn Sie ihnen solche E-Mails rechtmäßig senden, sind sie eher Opfer von Phishing-Angriffen, die mit den von Ihnen gesendeten E-Mails identisch sind, aber auf einen falschen Patch hinweisen.

Ja, die FROM-Adresse ist wichtig. Ja, das Thema ist wichtig. Sie können davon ausgehen, dass sie die Betreffzeile lesen - und dass dies normalerweise das einzige ist, was sie lesen. Wenn Sie versuchen, die gesamte E-Mail in die Betreffzeile zu setzen, OR MAKE IT ALL CAPS), wird dies wahrscheinlich ignoriert.

6

Beobachtungen:

Einige Benutzer verstehen möglicherweise, dass Ihre Nachricht wichtig ist, lassen sie aber dennoch "für später" oder denken, dass sie eine gute Referenz ist, legen sie jedoch für eine Zeit beiseite, in der "etwas Schlimmes passiert" (dies passiert häufig mit unseren Bewusstseinsnachrichten).

Ich musste mich auch der Forderung von Managern auf mittlerer Ebene stellen, dass alle intern an die Organisation gerichteten Nachrichten einem bestimmten offiziellen Stil folgen sollten, ein sicheres Ausschalten für jeden Benutzer, der sie lesen würde.

Also, meine 2 Vorschläge:

  1. Denken Sie an Ihr Publikum. Was interessiert sie, was erregt ihre Aufmerksamkeit, wie sie Ihre Nachricht am besten erhalten würden. Sie sind schließlich Ihre Kollegen.

  2. Konzentrieren Sie sich auf wichtige Nachrichten wie Sensibilisierungstraining oder automatische Benachrichtigungen. Wenn sie wirklich wichtig sind, komponieren Sie sie in einem Stil, der sie "unwiderstehlich" macht.

Einige Hinweise (meistens nützlich für Bewusstseinsbotschaften):

  • Lassen Sie die offizielle Organisationssprache fallen, lassen Sie die Legalese fallen, seien Sie persönlich.

  • Versuchen Sie, wie Ihre Benutzer zu denken, und stellen Sie hypothetische Fragen, die sie dazu bringen, über das "Was wäre wenn" nachzudenken. Machen Sie Ihr Sicherheitsgespräch spannend! Und wie wäre es, wenn sie sich auch ein bisschen Sorgen um die Sicherheit ihrer eigenen persönlichen Daten machen? Ein ausgenutztes System könnte verwendet werden, um sowohl persönliche als auch Unternehmensdaten zu stehlen. Zusätzlicher Bonus: Sie nehmen die Lektion mit nach Hause.

  • Verwenden Sie (Farb-) Textfelder, die Ihre Nachricht zusammenfassen. Ihre Augen werden sie dorthin bringen.

  • Hinterlassen Sie Hinweise zu ihren Verantwortlichkeiten in der Organisation.

6
George

Ein Trick, den ich mit Erfolg für Dinge verwendet habe, die Benutzeraktionen erfordern, besteht darin, eine Besprechungsanfrage zu senden. Trick funktioniert aus mehreren Gründen:

  • Die Leute neigen dazu, auf Besprechungsanfragen zu antworten.
  • Hiermit können Sie Erinnerungen vor Ereignissen erstellen, für die Benutzeraktionen erforderlich sind.
  • Tatsächlich werden Dinge wie geplante Ausfallzeiten in die Kalender der Benutzer aufgenommen.

Ich würde es nicht für alles tun, da es sich selbst besiegen könnte, aber für wichtig genug macht es Sinn.

4
Wyatt Barnett

Die Sache ist, dass Benutzer, die nicht viel über Computer wissen, sich nicht sehr für E-Mails interessieren, die sie nicht verstehen. Und zweitens gewöhnen sich die Leute einfach an ähnliche E-Mails, die häufig eingehen, und beginnen, sie nicht zu lesen.

Können Sie etwas dagegen tun ... wahrscheinlich nicht so sehr.

Ich würde empfehlen, eine Kategorie in Ihrer E-Mail als Titel anzugeben. Ich würde empfehlen, für jede Kategorie einen FARBCODE zu erstellen. Ich würde empfehlen, eine kurze Erklärung am Anfang des Körpers und eine lange Detailinformation direkt nach der kurzen Erklärung zu schreiben.

Achten Sie auch auf die Wörter, die Sie verwenden, und versuchen Sie zu verstehen, dass einige Leute mit den technischen Begriffen des Computers nicht vertraut sind. Vermeiden Sie es, sie zu verwenden, oder definieren Sie sie, wenn sie verwendet werden.

Überlegen Sie, was nicht-technische Leute denken, wenn Sie sie vor einem Virus warnen? Sie denken, sie haben ein Biest in der Maschine ... und sonst nichts.

Sei pädagogisch mit ihnen. Verwenden Sie Wörter, die sie kennen. Machen Sie sich klar, was sie tun sollen.

2
Xenus98

Stellen Sie bei Virenalarm-E-Mails zusätzlich zum Ändern des Nachrichteninhalts sicher, dass der Header "Nachricht von:" angibt, dass er vom Vorgesetzten des Benutzers stammt. CC diese Person auch. Betrügt das nicht? Nein. Es liegt in der Verantwortung des Vorgesetzten, sicherzustellen, dass die Richtlinien verbreitet und von ihren Berichten gefolgt werden. Sie senden die Nachricht also in ihrem Namen.

Bei Ausfallzeiten und Wartungsbenachrichtigungen gibt es zwei Faktoren: Der erste besteht darin, zu vermeiden, dass Benutzer bei der Durchführung von Wartungsarbeiten gestört werden. Das zweite ist, dass Sie in Betracht ziehen sollten, Benutzer über Broadcast- oder Message-of-the-Day-Systeme zu benachrichtigen, da E-Mails, wie Sie festgestellt haben, kein gutes Medium sind.

2
user185

Wenn Sie wirklich etwas zu sagen haben (nicht die Art der E-Mail "Störung erwarten"), können Sie die setzen Empfängername im Betreff . Ja, das tun Spammer normalerweise.

Betreff wie Richard, bitte schauen Sie sofort auf und Sie haben ca. 10 Sekunden Zeit, um drücken Sie das Problem kurz aus ( dh erklären Sie die geänderten Richtlinien, die Software wird aktualisiert usw.).

Bitte verwenden Sie dies niemals für any automatisch generierte Nachrichten.
Stellen Sie sicher, dass die Absenderadresse auf allen Computern auf der Whitelist steht.

2
Dan

Abhängig von der Hierarchie Ihrer Organisation habe ich einige Dinge als sehr effektiv empfunden.

Ich sende eine E-Mail an den Manager oder die Vorgesetzten der übrigen Benutzer, wenn sie diese zusammen mit einem kurzen Liner "Lesen Sie dies, wenn Sie noch Ihren Job benötigen" weiterleiten (normalerweise nicht so grob, aber Sie verstehen es). Ich würde sagen, schließen bis 70% der Benutzer versuchen, das wichtige Bulletin zu lesen, das verschickt wurde.

Zweitens verwende ich eine Betreffzeile, die Aufmerksamkeit erregt. Nachfolgend einige Beispiele und eine kurze Erläuterung der technischen Seite.

Betreff: E-Mails mit schlechten Nachrichten enthalten etwas in der Natur, das wir möglicherweise als schlechte Nachrichten betrachten, aber der Benutzer bemerkt es möglicherweise nicht einmal. Wir müssen jedoch dokumentieren, was wir tun, falls weniger Personen Schwierigkeiten haben, zu verstehen, wofür wir bezahlt werden "Fordern Sie in ihren eigenen Augen jedes Problem heraus, vor dem wir sie" gewarnt "haben.

Betreff: Konformitätsproblem oder Konformitätsprüfung Dies führt normalerweise dazu, dass mein Telefon klingelt, da MENSCHEN den Nachrichtentext NICHT LESEN, aber es handelt sich normalerweise um eine Erneuerung der Verschlüsselungsdienste. Wenn mein Betreff dies jedoch sagt, wird es bis zum ignoriert Der Dienst wird wegen mangelnder fristgerechter Zahlung eingestellt. dann muss ich außerhalb der regulären Geschäftszeiten ohne zusätzliche Vergütung/Überstunden arbeiten.

Betreff: DRINGEND! (X Probleme) Wenn Sie dies verwenden, ist dies das letzte Mittel. Zum Beispiel DRINGEND! Das Client-System wird heruntergefahren, bis die Lizenz erneuert wird. (Sie können wahrscheinlich sagen, dass mein Unternehmen gerne alles LETZTE ZWEITE zahlt, und natürlich liegt es an mir, es zu "reparieren". Zumindest mit diesem Betreff und den Informationen in der E-Mail, wenn das Management angreift, warum zahlen wir Mitarbeiter in der Filiale? Büros, die nicht in unserem System arbeiten können?! Es ist ausgefallen/kaputt "Ich antworte einfach mit, wenn es so dringend ist, wie Sie behaupten, dass es die Erneuerung (en) pünktlich bezahlt, um die Situation von Anfang an zu vermeiden. Magisch sie Haben Sie Kreditkarten, um die Lizenzen erneut zu kaufen, sobald dies geschieht (alle 6-12 Monate). YAY!

Betreff: Systemausfall Ich benutze dies, um zu benachrichtigen, dass ein bestimmtes System für einen bestimmten Zeitraum wegen Wartungsarbeiten oder Aktualisierungen/Upgrades ausfallen soll.

Schließlich, und ich denke, ich hätte sagen sollen, dass dies nicht dazu dient, nicht mehr E-Mails zu versenden, als Sie müssen, und Bilder scheinen Aufmerksamkeit zu erregen (vorausgesetzt, ihre E-Mail-Clients sind so konfiguriert, dass sie angezeigt werden). Da ich das meiste Management nur ein paar Mal pro Woche per E-Mail versende, es sei denn, ich beantworte eine Frage. Meine E-Mails haben mehr Gewicht als die anderen Administratoren, mit denen ich früher gearbeitet habe. Leider, es sei denn, etwas ist kaputt, LESEN die meisten Benutzer immer noch NICHT, solange Sie den Beweis dokumentiert haben, dass jemand benachrichtigt wurde, dass Ihr Grund ziemlich solide sein sollte. Ich sage immer: "Wenn sie zuerst nicht verstehen, was Sie sagen wollen, senken Sie Ihre Erwartungen." ;-);

2
Brad

Viele ausgezeichnete Antworten hier, nur das, was hinzugefügt werden sollte, ist für den SELTENEN Fall, dass Sie wirklich die Aufmerksamkeit und/oder Antwort der Benutzer benötigen Bei vielen E-Mail-Clients (z. B. Outlook) kann der Absender ein Erinnerungsdatum/eine Erinnerungszeit angeben. Zu diesem Zeitpunkt würde der Client tatsächlich ein Erinnerungsnachrichtenfeld öffnen.
Bitte verwenden Sie dies jedoch sparsam, da es ziemlich aufdringlich ist - obwohl es sehr hilfreich ist, wenn Sie es brauchen. (Wenn Sie es überbeanspruchen, wird es überschrieben/ignoriert).

2
AviD

Einziger Weg, um Dinge wirklich nur per E-Mail zu erledigen:

  • MASSNAHMEN im Betreff erforderlich
  • Eine Möglichkeit, anzuzeigen, dass sie es gelesen oder die angeforderte Aktion ausgeführt haben.
  • Eskalation zum Manager, wenn nicht.
  • Eskalation zum Manager des Managers, wenn dies immer noch nicht der Fall ist.

Denn egal was Sie in Ihrer E-Mail tun, ein guter Prozentsatz öffnet sie nicht einmal.

0
Scott McIntyre