it-swarm-id.com

Bagaimana cara menulis email tentang Keamanan IT yang akan dibaca, dan tidak diabaikan oleh pengguna akhir?

Saya telah mengamati bahwa beberapa pengguna kami mengabaikan pesan yang dikirim dari manajer Keamanan TI, dan juga sistem yang menghasilkan pemberitahuan "Anda baru saja mengirim virus".

Masalahnya tampaknya di antara orang-orang yang tidak mengerti komputer, yang sama sekali tidak memusuhi IT SEC. Mereka bukan orang-orang "komputer".

Bimbingan apa yang ada untuk memastikan bahwa Manajer TI dan Pemberitahuan Sistem dipahami, dan ditindaklanjuti? Saya ingin membuat satu pesan untuk seluruh basis pengguna, dan tidak bertanggung jawab untuk memegang orang-orang "istimewa".

Harapan saya adalah saya dapat mengembangkan serangkaian praktik terbaik email yang digunakan saat berkomunikasi dengan semua pengguna akhir, untuk tujuan mengirim pemberitahuan pengguna Keamanan TI melalui email.

  • Bagaimana saya harus mengungkapkan pemikiran di balik pesan?
  • Apakah pesan HTML lebih efektif? Bagaimana?
  • Apakah ada sampel potong dan tempel?
  • Apakah alamat "Dari" itu penting?
  • Apa yang harus dikatakan subjek?

Contoh pemberitahuan termasuk (tetapi tidak terbatas pada):

  • Pesan Email Otomatis dari sistem Antigen atau Forefront AV
  • Revisi kebijakan keamanan TI
  • Pemberitahuan umum yang hanya informatif
    • "Pemeliharaan akan dilakukan pukul 11 ​​malam - 6 pagi. Haruskan gangguan dalam layanan"
  • Pemberitahuan umum yang dimaksudkan untuk dibaca dan ditindaklanjuti. Mereka memang berlaku untuk pengguna akhir.
    • "Tutup semua aplikasi dan logout untuk menambal"
  • Pemberitahuan lain yang mungkin atau mungkin tidak berlaku untuk pengguna akhir.
    • Email Ringkasan Karantina SPAM: "Terlampir adalah daftar pesan yang dikarantina ..."
    • "Patch keamanan untuk versi lama perangkat lunak yang mungkin tidak diinstal"

Pertanyaan ini adalah Pertanyaan Keamanan IT Minggu Ini.
Baca tanggal 26 Agustus 2011 entri blog untuk lebih jelasnya atau kirim milik Anda sendiri Pertanyaan dalam Pekan.

77

Trik kecil yang saya pelajari bertahun-tahun yang lalu - bagikan email Anda seperti ini:

Versi Singkat

  • Sejumlah kecil poin singkat yang sangat singkat
  • Jika X, maka Anda perlu melakukan ini
  • Lain, maka Anda perlu melakukan itu (atau tidak perlu melakukan apa pun)

Versi Panjang atau Detail Lengkap

... dan di sini Anda mengeluarkan versi lengkap apa pun yang Anda inginkan.

97% pengguna Anda tidak akan pernah membaca versi yang panjang, jadi hitung versi pendeknya. Namun , kuncinya di sini adalah sebagian besar pengguna akan membaca versi singkat jika mereka diberi pilihan antara itu dan versi panjang . Ketika Anda memasukkan tajuk "Versi Pendek" itu, Anda membujuk mereka untuk membacanya karena mereka merasa "dapat pergi" hanya dengan membaca versi singkatnya. Itu seperti psikologi atau semacamnya.

Banyak pengguna Anda masih tidak akan membaca pesan apa pun yang Anda lakukan . Saya mendapatkan tingkat hit yang lebih baik dengan metode ini daripada tidak.

103
gowenfawr

Seperti @ gowenfawr mengatakan banyak pengguna tidak akan membaca pesan apa pun yang Anda lakukan .

Jadi, dalam kasus ketika Anda perlu menjamin bahwa pesan itu dikirim ke otak dan tidak hanya kotak masuk, atau ditindaklanjuti, apa yang Anda butuhkan adalah mekanisme umpan balik.

Ini bisa sederhana, menggunakan pendekatan sosial - misalnya mengajukan pertanyaan yang pada dasarnya palsu kepada pengguna sembari memberikan informasi. Misalnya, jika Anda menyediakan beberapa metode untuk menangani masalah tertentu, Anda mungkin meminta mereka untuk memberi tahu Anda mana yang paling cocok untuk pekerjaan mereka atau meminta mereka untuk memesannya sesuai dengan kenyamanan dan menuntut jawaban. Orang yang tidak membalas mungkin tidak membacanya dan Anda dapat menindaklanjutinya.

Anda dapat melangkah lebih jauh dan benar-benar membuat tes cepat yang harus mereka selesaikan untuk membuktikan bahwa mereka "mendapat pesan" (ini akan menimbulkan keluhan, tetapi efektif dan jika Anda mendapat lampu hijau dari manajemen pendekatan ini benar-benar dapat membalikkan beberapa hal).

19
Unreason

Saya menganggap diri saya memiliki keterampilan teknis yang tinggi, dan biasanya menemukan diri saya membaca sekilas atau mengabaikan pesan-pesan semacam ini sendiri. Namun, saya menginstal produk Google baru-baru ini yang memiliki tajuk berikut:

Please read this carefully - It's not just the usual yada yada.

Karena sifat hati yang ringan ini, saya mendapati diri saya membaca dokumen secara menyeluruh, dan sudah mulai menggunakan teknik ini dalam pekerjaan saya.

Saya menemukan bahwa pengguna umumnya membaca pesan administratif ketika koneksi fisik/psikologis dibuat antara sysadmin dan pengguna. Ini, dalam kasus Google, adalah komentar lucu.

Metode lain yang telah terbukti berhasil adalah menambahkan interaktivitas ke pesan Anda dengan hadiah yang sangat jelas untuk berinteraksi. Sesuatu yang sederhana seperti "Apakah Anda setuju dengan ini YA | TIDAK" atau jempol ke atas/ke bawah untuk kebijakan tertentu, dan hadiah kredit cetak, misalnya.

15
Greg

Beberapa poin yang muncul di benak saya:

  • Ringkas dan tepat. Pesan yang terlalu panjang biasanya dijatuhkan.

  • Kategorikan pesan menggunakan topik: pemeliharaan, pemberitahuan, penting. Dan buat topiknya jelas (tapi singkat).

  • Jika memungkinkan, konfigurasikan klien email untuk memberi warna pada header email secara default. Dengan seperangkat aturan yang konsisten, Anda bisa mendapatkan lebih banyak perhatian. Buat hal penting dengan warna merah, tetapi jangan menyalahgunakannya.

  • Akhirnya, latih pengguna Anda. Aturlah sesi kesadaran untuk mengajari mereka bagaimana bereaksi. Apakah pesan pemeliharaan itu penting? Apa yang harus saya lakukan ketika saya menerima pemberitahuan penting? Siapa yang mengirim saya pemberitahuan?

11
M'vy

Satu hal adalah mengirim email ketika penting dan kritis agar dibaca - jangan menggunakannya untuk buletin biasa atau info membosankan - pengguna akan belajar mengabaikannya dengan sangat cepat.

Untuk kesadaran keamanan umum, gunakan mekanisme yang berbeda setiap waktu, dan buat itu menarik, layak untuk sementara atau jika gagal: wajib, bersama dengan penandatanganan tahunan kebijakan penggunaan perusahaan yang dapat diterima misalnya.

Seperti yang dikatakan @RobertDavidGraham - jangan kirimi mereka email pemeliharaan - ini harus berasal dari ops atau ubah manajemen.

11
Rory Alsop

Saya pikir Anda tidak dapat melihat hanya satu pesan email. Setelah menyaksikan kelompok IT dan ITSEC kami berevolusi selama bertahun-tahun, saya perhatikan bahwa persepsi umum mereka berkaitan dengan keseluruhan email yang mereka terima matikan, tidak ada yang diperbaiki hanya dengan beberapa email yang bagus.

Inilah beberapa pemikiran keseluruhan:

  • jangan gunakan hanya satu media komunikasi - Saya tahu Anda ingin menyelesaikan ini dengan 1 email ringkas, tetapi itu mungkin tidak layak. Ketika ada sesuatu yang penting - kirimkan berkali-kali dan buat pengguna mengetahui pengulangannya. Setiap kali ada informasi di email, ada juga arsip di situs internal perusahaan yang bisa diakses dengan mudah oleh pengguna, dan simpan di tumpukan paling atas untuk orang-orang yang melakukan dukungan telepon. Ketika itu benar-benar kritis, pertimbangkan memposting tanda di pintu keluar utama.

  • bantu pengguna memprioritaskan - Anda telah mencantumkan koleksi jenis pesan khas Nice. Beberapa di antaranya adalah dead-dead-must-on-a-deadline (yaitu, kami memperbarui komputer Anda, jika Anda tidak melakukan apa yang kami katakan kepada Anda, Anda perlu 3 hari untuk pulih ke sistem yang bisa diterapkan), beberapa adalah perubahan kecil yang mungkin tidak memengaruhi mereka. Untuk hal-hal besar, pukul mereka dengan keras. Untuk hal-hal kecil - beri mereka alat, di muka, untuk menentukan apakah mereka cocok dalam kelompok yang terkena dampak. Ini berarti Anda harus cukup tahu tentang pengguna Anda dan bagaimana mereka mendefinisikan diri mereka sendiri untuk memberikan audiensi Anda beberapa baseline.

  • perlu diketahui, secara keseluruhan, rasio noise to volume Anda - pesan harian, tidak peduli seberapa baik artinya, akan diabaikan. Pengguna tidak akan terlalu peduli dengan keamanan. Bundel perubahan dampak besar bersama-sama, temukan cara untuk menunjukkan hal-hal FYI prioritas rendah sebagai prioritas rendah, dan sadari, secara keseluruhan, tentang berapa banyak informasi yang dikeluarkan departemen Anda secara keseluruhan.

7
bethlakshmi

Lol.

Hal pertama adalah menyadari bahwa pengguna pada umumnya akan mengabaikan semua email Anda. Berhentilah membayangkan bahwa masalah ini dapat diselesaikan.

Tentu saja, ada beberapa hal yang dapat Anda lakukan untuk membuat email Anda dibaca oleh LEBIH BANYAK pengguna.

Tidak, pesan HTML tidak lebih baik. Penelitian telah menunjukkan bahwa pengguna lebih memperhatikan pesan teks dan halaman HTML.

Semakin pendek email, semakin baik. Semakin lama email, semakin besar kemungkinan pengguna mengabaikannya. Atau, jika pengguna membacanya, ia hanya akan membaca dua kalimat pertama. Pertimbangkan piramida terbalik dari artikel surat kabar: bit impor paling banyak dalam kalimat pertama, paragraf pertama, bagian pertama. Semakin jauh Anda membaca artikel, semakin kurang penting informasi menjadi, sebagian karena pembaca cenderung bosan dan jaminan sebelum menyelesaikan artikel.

Berhenti memberi tahu mereka apa yang harus dilakukan. "Tutup semua aplikasi dan logout untuk menambal" adalah email yang bodoh. Yang lebih baik adalah "Sistem Anda akan restart untuk menambal; jika Anda memiliki aplikasi terbuka, Anda mungkin kehilangan data".

Berhenti mengirimi mereka email yang tidak berguna seperti "Pemeliharaan akan dilakukan pada jam 11 malam - 6 pagi. Harapkan gangguan dalam layanan". Itu tidak berlaku untuk 99% dari pengguna, jadi mengapa repot-repot semua orang dengan sesuatu yang berlaku untuk 1% dari pengguna? Orang-orang yang bekerja pada jam kerja terlambat mengetahui bahwa gangguan kemungkinan besar disebabkan oleh pemeliharaan.

Semakin banyak email yang Anda kirim, semakin besar kemungkinannya untuk diabaikan. Kirim sesedikit mungkin - atau bahkan lebih sedikit.

Hentikan phishing pengguna Anda, misalnya, dengan memberi tahu mereka bahwa mereka perlu menginstal tambalan. Saat Anda mengirimi mereka email seperti itu secara sah, mereka lebih cenderung menjadi korban serangan phishing yang terlihat identik dengan email yang Anda kirim, tetapi yang mengarah ke patch palsu.

Ya, alamat FROM itu penting. Ya, subjek itu penting. Anda dapat menganggap mereka membaca baris subjek - dan biasanya itu satu-satunya yang mereka baca. Tentu saja, jika Anda mencoba untuk meletakkan seluruh email di baris subjek, OR BUAT SEMUA CAPS, kemungkinan besar akan diabaikan.

6

Pengamatan:

Beberapa pengguna mungkin memahami bahwa pesan Anda penting tetapi masih "tinggalkan untuk nanti", atau berpikir bahwa itu adalah referensi yang baik tetapi sisihkan untuk sementara waktu bahwa "sesuatu yang buruk terjadi" (sering terjadi pada pesan kesadaran kami).

Saya juga harus menghadapi desakan dari manajer tingkat menengah bahwa semua pesan yang ditujukan secara internal ke organisasi harus mengikuti gaya resmi tertentu, pasti mematikan untuk setiap pengguna yang akan mulai membacanya.

Jadi, 2 saran saya:

  1. Pikirkan tentang audiens Anda. Apa yang membuat mereka tertarik, apa yang menarik perhatian mereka, bagaimana mereka akan menerima pesan Anda. Mereka adalah kolega Anda.

  2. Berkonsentrasilah pada pesan-pesan penting, yaitu Pelatihan Kesadaran atau Pemberitahuan Otomatis. Jika mereka benar-benar penting maka buat mereka dalam gaya yang akan membuat mereka "tak tertahankan".

Beberapa petunjuk (sebagian besar bermanfaat untuk pesan kesadaran):

  • Drop bahasa resmi organisasi, drop legalese, menjadi pribadi.

  • Cobalah untuk berpikir seperti pengguna Anda, ajukan pertanyaan hipotetis yang akan membuat mereka berpikir "bagaimana jika". Buat pembicaraan keamanan Anda menarik! Dan bagaimana juga membuat mereka sedikit khawatir tentang keamanan data pribadi mereka sendiri? Sistem yang dieksploitasi dapat digunakan untuk mencuri data pribadi maupun perusahaan. Bonus tambahan: mereka membawa pulang pelajaran.

  • Gunakan kotak teks (warna) yang merangkum pesan Anda. Mata mereka akan membawa mereka ke sana.

  • Tinggalkan petunjuk tentang tanggung jawab mereka dalam organisasi.

6
George

Salah satu trik yang saya gunakan dengan beberapa keberhasilan untuk hal-hal yang memerlukan tindakan pengguna adalah mengirimkannya permintaan rapat. Trick bekerja karena beberapa alasan:

  • Orang cenderung merespons permintaan rapat.
  • Memungkinkan Anda membuat pengingat sebelum acara yang membutuhkan tindakan pengguna.
  • Sebenarnya menempatkan hal-hal seperti jadwal henti dalam kalender orang.

Saya tidak akan melakukannya untuk semuanya karena mungkin akan mengalahkan diri sendiri, tetapi untuk hal-hal yang cukup penting masuk akal.

4
Wyatt Barnett

Masalahnya adalah bahwa pengguna yang tidak tahu banyak tentang komputer tidak terlalu peduli dengan email yang tidak mereka mengerti. Dan juga, poin kedua, orang hanya terbiasa dengan email serupa yang sering datang dan mulai tidak membacanya.

Bisakah Anda melakukan sesuatu terhadap itu ... mungkin tidak begitu banyak.

Saya akan merekomendasikan membuat beberapa kategori dalam email Anda sebagai judul. Saya akan merekomendasikan membuat KODE WARNA untuk setiap kategori. Saya akan merekomendasikan untuk menulis pernyataan singkat di awal tubuh, dan informasi detail panjang setelah pernyataan singkat.

Juga, perhatikan kata-kata yang akan Anda gunakan dan cobalah untuk memahami bahwa beberapa orang tidak terbiasa dengan istilah teknis komputer. Hindari menggunakannya atau jika digunakan maka definisikan.

Pertimbangkan apa yang dipikirkan orang-orang non-teknis ketika Anda memperingatkan mereka tentang virus? Mereka pikir mereka punya binatang buas di mesin ... dan tidak ada yang lain.

Bersikap pedagogis dengan mereka. Gunakan kata-kata yang mereka tahu. Perjelas apa yang harus mereka lakukan.

2
Xenus98

Untuk email tanda virus, selain mengubah konten pesan, pastikan bahwa pesan Dari: tajuk menunjukkan itu dari manajer lini pengguna. CC orang itu juga. Bukankah itu curang? Tidak. Adalah tanggung jawab manajer lini untuk memastikan bahwa kebijakan disebarluaskan dan diikuti oleh laporan mereka, sehingga Anda mengirim pesan atas nama mereka.

Untuk pemberitahuan waktu henti dan perawatan, ada dua faktor: yang pertama adalah menghindari gangguan pengguna untuk melakukan pemeliharaan. Yang kedua adalah Anda harus mempertimbangkan untuk memberi tahu pengguna melalui sistem broadcast atau message-of-the-day, karena seperti yang Anda temukan email bukan media yang baik.

2
user185

Jika Anda benar-benar memiliki sesuatu untuk dikatakan (bukan jenis email "gangguan harapan"), Anda dapat meletakkan nama penerima dalam subjek . Ya, inilah yang biasanya dilakukan spammer.

Subjek seperti Richard, silakan lihat segera memperhatikan dan Anda memberi Anda sekitar 10 detik untuk mengungkapkan masalah singkatnya ( yaitu menjelaskan kebijakan yang diubah, perangkat lunak diperbarui, dll).

Tolong tidak pernah gunakan ini untuk apa saja pesan yang di-autogenerasi.
Dan pastikan alamat Dari dimasukkan dalam daftar putih di semua komputer.

2
Dan

Bergantung pada hierarki organisasi Anda, saya telah menemukan beberapa hal yang cukup efektif.

Saya mengirim email kepada manajer atau penyelia dari pengguna lainnya, ketika mereka meneruskannya bersama dengan singkat "baca ini jika Anda masih membutuhkan pekerjaan Anda" tipe satu liner (biasanya bukan yang kasar tetapi Anda mengerti maksudnya) Saya akan mengatakan tutup hingga 70% pengguna mencoba membaca buletin penting yang dikirim.

Kedua, saya menggunakan baris subjek yang menarik perhatian, di bawah ini adalah beberapa contoh dan dengan penjelasan singkat tentang sisi teknis.

Subj: Email Bad News akan berisi sesuatu yang sifatnya dapat kita anggap sebagai berita buruk, tetapi pengguna mungkin bahkan tidak menyadarinya, namun kita harus mendokumentasikan "apa yang kita lakukan" jika individu yang lebih kecil yang memiliki kesulitan memahami "apa yang kita dibayar untuk melakukan "Di mata mereka sendiri menantang masalah apa pun yang kami" peringatkan tentang "

Subj: Masalah Kepatuhan atau Audit Kepatuhan Ini biasanya membuat ponsel saya berdering sejak ORANG TIDAK MEMBACA isi pesan tetapi biasanya sesuatu yang sejalan dengan memperbarui layanan enkripsi, tetapi jika subjek saya mengatakan itu, maka ia akan diabaikan hingga layanan dimatikan karena kurangnya pembayaran tepat waktu; maka saya harus bekerja di luar jam kerja reguler tanpa kompensasi tambahan/lembur.

Subj: URGENT! (Masalah X) Saat menggunakan ini, itu sebagai pilihan terakhir. Misalnya URGENT! Sistem klien AKAN DI BAWAH sampai lisensi diperbarui. (Anda mungkin dapat mengatakan bahwa perusahaan saya suka membayar semuanya TERAKHIR KEDUA dan tentu saja pekerjaan itu jatuh pada saya untuk "memperbaikinya" Setidaknya dengan subjek ini dan informasi dalam email ketika diserang oleh manajemen pada "mengapa kita membayar karyawan di cabang kantor yang tidak dapat bekerja di sistem kami ?! Ini rusak/hancur "Saya hanya merespons, jika ini sama mendesaknya dengan yang Anda klaim, lalu membayar pembaruan tepat waktu untuk menghindari situasi awalnya. Secara ajaib mereka miliki kartu kredit untuk membeli kembali lisensi begitu ini terjadi (setiap 6-12 bulan) YAY!

Subj: Sistem Down Saya menggunakan ini untuk memberi tahu bahwa sistem tertentu akan dijadwalkan untuk periode waktu tertentu untuk pemeliharaan atau pembaruan/peningkatan.

Terakhir, dan saya kira saya harus mengatakan ini dulu adalah untuk tidak mengirim email lebih dari yang Anda harus, dan gambar tampaknya menarik perhatian (asalkan klien email mereka dikonfigurasi untuk menampilkannya.). Karena saya mengirim email ke sebagian besar manajemen hanya beberapa kali seminggu, kecuali menjawab pertanyaan; email saya memiliki bobot lebih dari admin lain yang dulu bekerja dengan saya. Sayangnya kecuali ada sesuatu yang rusak, sebagian besar pengguna masih TIDAK MEMBACA selama Anda telah mendokumentasikan bukti bahwa seseorang diberi tahu tanah Anda harus cukup solid. Saya selalu berkata, "Jika pertama mereka tidak mengerti apa yang Anda coba katakan, turunkan harapan Anda." ;-)

2
Brad

Banyak jawaban bagus di sini, satu-satunya hal yang layak ditambahkan adalah, untuk JARANG bahwa Anda sungguh-sungguh memerlukan perhatian dan/atau respons pengguna , banyak klien email (misalnya Outlook) memungkinkan pengirim untuk menetapkan tanggal/waktu pengingat, di mana saat itu klien akan memunculkan kotak pesan pengingat.
Mohon gunakan ini dengan hemat, karena ini cukup mengganggu - meskipun sangat membantu, jika Anda membutuhkannya. (Jika Anda terlalu sering menggunakannya, itu akan diganti/diabaikan).

2
AviD

Satu-satunya cara untuk menyelesaikan sesuatu hanya melalui email:

  • AKSI DIBUTUHKAN dalam subjek
  • Beberapa cara untuk menunjukkan mereka membacanya atau melakukan tindakan yang diminta.
  • Eskalasi ke manajer jika tidak.
  • Meningkat menjadi manajer manajer jika mereka masih tidak.

Karena apa pun yang Anda lakukan di email, persentase yang baik bahkan tidak akan membukanya.

0
Scott McIntyre