題:
公司不希望在網絡釣魚報告中使用任何名稱
pm1391
2018-01-30 06:53:36 UTC
view on stackexchange narkive permalink

我們最近與我們簽訂了為一家公司進行網絡釣魚測試的合同。我們稱它為公司,但根據法律,基本上他們有義務通過網絡釣魚活動來評估其環境的安全性。

我們不久前進行了第一次活動,結果很糟糕。超過70%的用戶信任我們發送的“惡意電子郵件”,並按照電子郵件的要求進行處理。

結束後,我們當然會簡短地詳細介紹我們的發現。長話短說,他們並不想〜誰〜誰是網絡釣魚者的標識符(電子郵件,用戶名或其他)。他們希望“ 300之X”無法識別電子郵件。他們的理由是他們不想得罪任何人。 (我想說的是,當您的員工因潛在的攻擊和洩漏信息而倒下時,您的客戶感覺會受到傷害。)我禮貌地指責他們選中一個複選框,而實際上並沒有興趣教育他們的用戶。他們不是很高興。我要詳細說一下,他們甚至不需要2個報告,其中一個顯示電子郵件,而另一個不顯示。我之所以將它們提供給他們,是因為至少他們可以看到這些人如何加班應對不同的競選活動。如果用戶“ Sam”在十個廣告系列的過程中每次都單擊電子郵件中的每個鏈接,則絕對有幫助。當然,您想對Sam進行與其他用戶不同的教育嗎?

我的問題是,這是否違背了網絡釣魚活動和提高網絡信息安全性的目的?這甚至正常嗎?

“我禮貌地指責他們勾選了一個複選框,實際上並沒有興趣教育他們的用戶。”禮貌地做到這一點實際上是不可能的。
這是一次單一的網絡釣魚活動嗎?或正在進行中?在以前的公司中,我們一直在進行運行-每月,每季度...有常規報告(300個中的8個)和管理方面的特定報告(運行測試的人可以知道誰是屢犯者。“吉爾單擊了一次電子郵件”和“吉爾連續四次單擊了電子郵件,儘管有反复的上課和警告”之間有區別。。。不止一次導致可見性增加和後果增加。
@pm1391正在進行中...有不同的報告嗎?“ 300之八” ... vs,例如屢犯者的詳細分類?第一輪與第五輪不同-反复警告後。管理層是否不願意對付屢犯者(如果您已經走了那麼遠)?那將是一個更大的問題...
它們是否可以按部門/位置/職位劃分細分?以我的經驗,這對幫助縮小需要幫助的領域非常有用。這樣,您不必與個人打交道。同樣從經驗來看,我之前已經看過這個請求。而這正是決策者不想被確定的時候...
討厭不斷問問題:如果他們拒絕詳細的報告,結果卻沒有改善……臀位是誰的罪魁禍首?如果您沒有提供良好的信息-您有錯嗎?如果他們拒絕信息,他們是否有過錯?換句話說-在發生違規行為的一年中...誰將被起訴?
評論不用於擴展討論或回答問題。此對話已[移至聊天](http://chat.stackexchange.com/rooms/72590/discussion-on-question-by-pm1391-company-does-not-want-any-names-on-phishing-代表)。
作為非專家,我覺得這很聰明,因為它避免了假裝被測人員是問題,而不是系統/文化。
八 答案:
baldPrussian
2018-01-30 07:01:50 UTC
view on stackexchange narkive permalink

此初始活動首先建立了基準。所以,是的,這很正常。 “我們作為一家公司的立場如何?我們需要培訓到什麼水平?我們總體上擁有安全的用戶,還是整體上有不安全的用戶?”該報告確定了這一點以及管理層需要進行網絡釣魚培訓的程度。如果只有5%的用戶因網絡釣魚而墮落,那麼培訓重點將大為不同。就目前而言,現在管理層知道他們在本質上存在企業範圍的問題,網絡釣魚活動基本上有70%的成功機會。

現在,當公司進行以後的網絡釣魚培訓時,他們可以比較結果並確定培訓是否成功。 “我們最初的失敗率是70%。這次,我們的失敗率是68%。因此,這並不成功。”或者說:“我們最初70%的時間都失敗了,現在50%的時間都失敗了。我們做得更好,但需要進一步培訓。”

好一點,我傾向於同意你的意見,但是當我表達自己的擔憂時,他們從沒有對建立基準發表任何意見。此外,他們甚至都不希望我存儲結果,所以我感到困惑。
您就是進行網絡釣魚測試的人。您應該知道改善需要訓練和時間
可能有人會爭辯說,如果一家公司的用戶中有70%參加網絡釣魚活動,那麼該公司基本上有100%的機會遭受網絡釣魚活動的侵害,因為通常來說,一個人為此而倒足。
確實,有1個人因網絡釣魚而墮落,一個人太多了。並且,如果這是一個普遍存在的問題,那麼就需要對是否分配名稱進行培訓,那麼可能就不需要了。無論如何都要對所有人進行培訓。如果它是一個很小的子集,則標識可能會很好,尤其是如果它是一個核心可標識的組,例如具有以C(美國)或D(英國)開頭的職位名稱,特定部門等的人員列表。
+1並挑剔:如果預期70%的用戶會積極回應,則i。e。每個用戶都有一個p = 0.7的可能性來對網絡釣魚活動做出積極響應,那麼該活動成功的機會就是至少一個積極響應的可能性P和“ P = 1-(1-p)^ n”,其中n是廣告活動期間解決的用戶數。這與@Christoph的評論非常一致。
…對於n = 50和p = 0.7的中型公司,活動*失敗* 1-P的可能性大約為10 ^ -26。
@pm1391我不知道您的廣告系列是如何運行的,但是在我經歷的數十次中,單擊錯誤鏈接或任何錯誤內容的用戶都會被召喚,因為該鏈接會導致頁面顯示“您失敗了測試”或類似內容。無需(至少在開始時)準確報告“誰失敗”,因為廣告系列本身就是一種培訓。
另一方面,向安全團隊舉報可疑活動的人背對了個人,這積極地增強了他們的行為。可能會有一份報告以實際的用戶名和響應傳遞到了食品鏈的更高端,但是我看不到(特別是在一家大公司中)如何構成/消費有用的支出。
@thanby對,我們做了類似的事情(通知用戶他們失敗了)。但是管理層不希望有任何用戶信息,他們也不想跟踪任何超時信息。在我看來,您可以從網絡釣魚測試中獲取大量信息,並將其縮小到被點擊的x / 300,這在我看來是愚蠢的
公平地說,對此沒有太多爭論。但是最後,您所能做的就是提供最佳建議,如果他們不希望這樣做,則不要強求問題。只要證明他們沒有遵循您對CYA的建議
@pm1391的確,他們付錢給您做某事,只要這不是違法,不道德或不道德的行為,那麼他們在您的工作中所做的確實是他們的問題。我們很難接受“我們得到了報酬,他們可以隨心所欲地完成我們的工作”,但這就是諮詢工作的本質。是的,他們可以做得更多。但是最後,我們提供了所需的服務,並且知道我們已盡力而為。
@DavidFoerster:表示,“等等,網絡釣魚活動失敗的可能性為10 ^ -26等等”在美國任何董事會中都不會給人留下任何印象。正確的表達方式是:“除非您立即做大膽的事情,否則這個房間裡的每個人都會在美聯儲關門後失去獎金,股票贈款,期權和遣散費”。這將引起人們的關注,甚至*將*導致的只是解僱一些管理人員和改組高級管理層。只需重新佈置這些躺椅,我們就很好了,船長..!
@BobJarvis:當然可以。我的論點並非是為了董事會。它是針對問題的作者和對他們的數學的批評。
McMatty
2018-01-30 08:47:08 UTC
view on stackexchange narkive permalink

不,因為通過給您指名來指責,安全需要遠離指責個人,而應將其視為一個整體。這與在網站中發現安全漏洞相同:您不應責怪開發人員,而應著眼於改善整個過程。

我們運行網絡釣魚活動,並且不識別用戶。我們使用它的目的是發現我們自己的弱點,並且我們需要更好地培訓我們的員工。

運動結束後,我們向所有員工發送電子郵件,提供失敗/成功的統計信息,然後提供發現網絡釣魚的技巧以及一般如何處理電子郵件的提示

“從整體上考慮安全”不是由您的個人組成的嗎?因此,從這個意義上講,您的環境僅與您的個人一樣安全。我知道這並不是在指責用戶,而是有可能某些用戶更容易受到攻擊,因此應區別對待和接受教育。我認為這與Web開發人員無關,因為我會責怪Web開發人員的網站設置不正確,這是他的工作。
如果可以識別出用戶,@pm1391可能會想到的一個潛在問題是,很難忘記那些用戶,並且將來在與信任某物相關的事件(例如數據洩漏,等等。)。
@pm1391如果您考慮到用戶傾向於離開並加入的事實,那麼您會了解到,沒有理由只專注於培訓過程和安全程序來專注於特定用戶。
70%的人顯然存在系統性問題。他們可以在全公司範圍內進行培訓,從而獲得巨大的進步,而無需責怪任何人。在這些級別上,如果有人要怪,那就是那些最高級別的人(假設公司不是由應該了解這些事情的安全專家組成);另外30%的人可能會在自己的時間上稍加註意,或者他們只是太忙而忽略了網絡釣魚的嘗試。
同樣,擁有非主觀的報告並不將其約束於私人數據法規,同時仍可提取有意義的結果。
@pm1391您應該始終嘗試給予所有人相同的待遇。如果您開始挑選人,那麼將來他們可能會受到歧視。
我同意,你們所有人都改變了主意。我只是不喜歡他們給我的答案。但這是我的事,不是我的
這是正確的答案。我不知道“以假人為善”的想法從何而來。如果有的話,它會使人們更具防禦性,也不太可能聽從建議。我真的希望安全性“專業人員”能夠意識到他們的小領域之外還有一個廣闊的世界。
在這種情況下,@Jorrit的確是正確的,約有70%的原因為此付出。可能整個公司都需要培訓。但是,如果整個公司中有2%的人容易受此影響,那麼基於一些錯誤來培訓整個公司是沒有意義的。在這裡進行個人談話可能會更有效。
@ChrisH存在應對網絡釣魚的壓力。如果您的主管例行地從他/她的個人帳戶發送電子郵件給您,並期望得到答复,則對網絡釣魚攻擊做出響應是合理的。考慮到組織的實際運作方式,有70%的人可能只是在做“正確的事情”……如果那是真的,那不是他們的錯。
@emory,就是我要面對的內容*在這些層次上,如果有人要怪,那就是那些在最高層次上的*
如果我經營那家公司的安全管理部門,並且有我的名字,那麼我想與一小部分受害者交談,以便在教育整個公司之前嘗試找出具體問題。否則我的“教育”可能會完全錯過分數!您找出問題所在,然後解決。您不只是在不知道問題的情況下將修補物扔在牆上,直到它們粘住為止。
Tom K.
2018-01-30 20:21:58 UTC
view on stackexchange narkive permalink

我認為看待這個問題的正確角度是,提出以下問題:

隨著測試失敗的人數眾多,如果公司擁有這些目標,將會實現哪些(安全)目標?

我會說:

公司範圍內的網絡釣魚測試的安全目標是什麼?

通常,在每個依賴IT且擁有一定數量員工的公司中,這些員工都接受信息安全培訓。這些培訓主要涵蓋基本主題,例如電子郵件通信,桌面安全性等。在進行網絡釣魚測試時,管理層想知道:

  1. 這些培訓是否成功(例如:物有所值)
  2. 是否屬於任何數據或IT系統如果缺乏良好的培訓,公司可能會受到損害。
    3. ol>

    如果您作為承包商,告訴他們“您的員工中有70%的測試不及格”,那就可以回答上述兩個問題。如果管理層要求在擁有300多名員工的公司中提供姓名,他們將無法獲得更多相關信息,並且不能正確地完成工作。

    下一步是定義新的安全目標。它應顯示如下內容:

    ”“在接下來的X個月中,每位員工都必須參加安全培訓。在$ year美元的月份之前,我們希望$ contractor進行另一次網絡釣魚測試,並要求百分比

    如果只有那些不得不通過網絡釣魚測試的員工必須參加,這些培訓是否會更具成本效益?可能是。
    但是:您將它們呈現給公司30%的股份(不必去),因為它們“愚蠢到無法識別網絡釣魚企圖”。這對鼓舞士氣的影響超過了僅僅派遣所有員工參加培訓的所有成本。另外:30%關於信息安全的另一個提示並沒有真正受到傷害。
    這是一個好主意的另一個原因是:通常,如果您進行網絡釣魚測試,您將不知道為什麼人們不喜歡它。也許其中一些人由於正在休假,生病或只是略過而沒有閱讀電子郵件,因為他們的收件箱中充滿了更重要的郵件。沒有人可以告訴您,他們下次是否會通過測試。員工始終是您的頭號風險因素,如果可以的話,對他們進行培訓。

    我想提一提的是,到目前為止,其他答案中還沒有提到的另一點是,這取決於您如何傳達結果:大多數人會知道自己在測試中未通過
    您必須以一種或多種方式通知您的員工,我認為這是大多數公司這樣做的方式:發送全公司範圍的電子郵件,其中包含網絡釣魚郵件的屏幕快照。

    “親愛的員工們,很抱歉告訴您,但這是一次網絡釣魚測試。沒有免費的遊艇在等您。未通過測試的人數很糟糕,那就是為什麼我們會在不久的將來接受一些安全培訓?承包商為我們做了這件事,我們沒有收集任何個人數據,所以我們不知道是誰點擊了鏈接,誰沒有點擊鏈接,因此不會有任何影響。仿冒郵件可能會造成非常嚴重的後果,例如... yadda,yadda,yadda ..”。

    人們會檢查他們的收件箱,如果不是很久以前,請記住他們做了什麼。 將提高對安全培訓和行為調整的接受度。施加恐懼和向人們施壓是沒有好處的。

“發送全公司範圍的電子郵件,其中包含網絡釣魚郵件的屏幕快照。”好點子
+1特別是要指出您不知道為什麼他們失敗或通過以及對道德有多大影響。在某種程度上,即使失敗也同樣重要!是的,即使沒有通過測試的人對公司也確實有害,但是即使是那個人也可能受到環境的影響。並且,如果公司的情況可能使一個人失敗,那麼任何人都可能會失敗。再一次,將責任歸咎於一個人仍然會公開存在潛在的結構性問題,而一個僱員則感到可怕。
如果有多個網絡釣魚測試,我認為了解其中每個用戶下降的比例可能會很有用,而且我不確定如果不以某種方式記錄哪些用戶下降了哪些測試,如何確定這一點。
超過編輯批准的“帖子所有者或mod”,請解釋為什麼“參加安全培訓”和“一些安全培訓”這兩個短語比“參加安全培訓”和“一些安全培訓”更好的英語。“訓練”沒有復數,也沒有“訓練”這樣的東西。它不是名詞。
[實際上這是一個可數名詞](https://english.stackexchange.com/questions/354625/what-is-the-correct-plural-of-training)。更重要的是,問題(和答案)指的是幾次培訓*。您的修改改變了答案的含義,這就是我壓倒一切的原因。
我希望作為管理人員看到的一件事是按部門或職能領域進行細分……不是個人名字,而是哪個個人辦公室比較弱。這可能很有價值,因為它給處於較弱地區的經理們施加了壓力,要求他們自己跟進。
您鏈接的SE解答中的@TomK,:培訓既可計數又不可計數。*通常指的是過程,它是不可數的,並且沒有復數。*您的用法是錯誤的。我是一個以英語為母語的人,並且像該問題中的以英語為母語的人一樣,對您濫用該詞也同樣感到“被逗樂”。對於可數名詞,您需要“培訓課程”(然後將成為“培訓課程”)。
@Phil您是否已閱讀接受的答案?如果沒有,請這樣做。如果您隨後想要繼續對此進行辯論,請通過聊天而不是在此答案的註釋中進行。謝謝。
Tom
2018-01-30 18:59:43 UTC
view on stackexchange narkive permalink

對於這些測試的目的似乎有些誤解。

使用標識符意味著找到負責任的人,以教育和/或懲罰他們。沒有人可以被識別可能是測試的一個明確參數。在許多歐洲國家/地區,地方工人委員會或工會代表必須同意這種測試,並可能以此作為條件。

使用統計信息意味著確定績效指標。您可以相互衡量這些指標,以識別(例如)您是否在進步,或者您開展的某些宣傳活動是否有效。您不需要確定的人員,這甚至可能使結果模糊。

最後,客戶付款。您為他們工作,因此儘管您應該指出自己的任何專業問題或想法,除非這違反了您的個人或職業道德(例如,如果您是會員,則是ISACA道德標準),則可以滿足客戶的要求。 / p>

明白了我只是感到不安的是,他們不想為以後的網絡釣魚測試保留此參考。它確實在某種程度上違背了我的“個人”道德。我以讓人們負責為榮。但是從其他答案看來,系統地解決它更重要
“我以讓人們負責為榮。”-但是在這種情況下,您將如何做?您是否希望公司因網絡釣魚而對他們的客戶進行懲罰?他們是否應該發送第二封電子郵件,說“如果您不喜歡上一封電子郵件,您會感到難過”。
-1
@industry7的責任是,在進行10次運動之後,如果用戶x沒有改善,我們需要與用戶x坐下來。因為用戶x並沒有改善,所以不在乎。
@pm1391在高層管理級別上,個人績效是無關緊要的。他們要炸更大的魚。他們可能會對在10個活動後沒有得到回報的員工百分比感興趣,但對個人沒有興趣。
-1
這很可能是正確的,您應該將其包括在影響分析中。但是,您所處理的管理級別仍然可能不想與個人打交道。
Wadih M.
2018-01-30 20:28:50 UTC
view on stackexchange narkive permalink

回答您的問題:

這是否不破壞網絡釣魚活動和提高網絡信息安全性的目的?這甚至正常嗎?

否。如果客戶希望獲得研究結果的精簡版本,那麼最終就是他們的要求。但是您擁有提供最佳建議並給予他們選擇權的所有權利。

面對這些類型的客戶反應是否正常?是的,它可能一直發生,這可能是很多事情的結果。客戶可能有自己的不安全感(例如,如果管理層成員被抓住,該如何處理),或者可能不想輕視自己的員工,一旦報告公開後可能不知道如何處理他們的培訓。

如果他們為此付出代價,作為顧問,您必須最終尊重他們的決定。

作為補充說明,關於我注意到的一些事情

我有禮貌地指責他們選中了一個框,實際上對教育沒有興趣他們的用戶。

無法禮貌地說出您剛才說的話。但是還有其他說法可以避免遇到任何錯誤。歡迎來到政治世界。我看到其他大多數答案都涉及安全方面,因此我希望在我的答案中涵蓋其他微妙的政治方面。

您顯然擁有很多善意和專有技術,並且您的客戶出現了從您的角度出發,固執己見,因為他沒有充分進行這項練習。

我發現交流這樣的事情的最好方法是使用稍微不同的說法,這可以促進您的事業,而不必惹惱客戶或讓客戶覺得您不讓他們打電話鏡頭,否則您會批評他並遇到錯誤的方式。

您可以通過以下幾種方式說出來,這可能有助於提升您的視野。這都是政治因素,可以單獨研究。

  • 大多數政治上正確的方法(最大程度地稀釋信息):如果我們省略練習的那一部分,那麼我們將錯失良機。您確定要這樣做嗎?客戶先生?
  • 在政治上不太正確,但信息不那麼分散,仍然沒有脫口而出:如果我們不盡全力允許培訓在適當的時候進行,那將會浪費很多時間的能量。您確定要這樣做嗎?客戶先生?

在這兩種情況下,我都完成了您確定要這樣做嗎?客戶先生?。這就是選擇的力量,在任何試圖改變他們的行為或思想的嘗試結束時,將選擇權交還給他們。

如果您沒有成功,但他們仍然不願意,那就順其自然。無論如何,您沒有權限,您所能做的就是盡力建議他們。但是,在另一種情況下,您可能會影響客戶的想法並按自己的方式行事。但這並非總是如此。

謝謝,正如您提到的,您在戰鬥的政治方面發表了講話。我在這個領域還很年輕,可能還沒有學過交易語言。不能說是否應該回答,但是我很欣賞這個觀點
WoJ
2018-02-01 04:13:45 UTC
view on stackexchange narkive permalink

我剛剛完成了這樣的活動(作為客戶),並希望用戶絕對匿名。

原因有很多,其中最重要的原因是

  • 隱私權,在某些國家/地區是一件複雜的事情
  • 我將向全球發送有關該運動及其結果的說明

您的客戶可能還有其他原因原因。您給了他們獲得完整結果的機會,可能還會提供一些建議。他們想要匿名版本,他們的選擇。

注意:很抱歉輸入錯誤(或者實際上是我的手機錯誤填寫),使我的最初回答看起來很奇怪。

是的,我尊重這是他們的決定。但是令我感到痛苦的是,有太多數據可以用來進一步保護他們的環境。他們仍然可以保留數據,而不會將責任歸咎於個人。
隱私是一個大問題,尤其是在歐盟國家。
@pm1391天真的名字對於保護他們的環境毫無價值。正如您已經正確地確定的那樣,這與創建抗網絡釣魚的環境有關-而不是為Sam提供反網絡釣魚助手。另外,通過的30%的人可能會錯過它,所以教育必須統一。 作為負責安全性工作的人,您應該最清楚地知道“您將不會存儲您不需要的任何數據” **。那是一個等待發生的突破。他們很聰明,拒絕查看您的列表,這樣,如果列表浮出水面,那隻會是您的錯。我建議你銷毀它。
Harper - Reinstate Monica
2018-01-31 03:06:57 UTC
view on stackexchange narkive permalink

我完全掌握您捕獲數據的願望。因此,將它們匿名化。一般的想法是,您將其小寫的電子郵件地址作為MD5哈希,並根據需要獲取盡可能多的分辨率,然後將其保留為 b7R + 或轉換為“ AOL密碼”,例如-pen-osram 。

禁止

 約翰·史密斯(John Smith)失敗弗蘭克·弗林克(Frank Frink)失敗朱莉安娜·克蘭(Juliana Crain)通行證

可能會允許您使用什麼

  Rufus-Castle-Uniform-Enemy FAIL Zion-Lathe-Shoot-Loyal FAIL Flee-Worldly-Variable-Key PASS

還有什麼更安全的

  Bucket Stop-Bad 4/6失敗(66%)Bucket Wax-Scissors 5/6失敗(83%)Bucket Memory-Egg 4/5失敗(80%)

有匿名化有兩種方法,假設 n 位可以包含僱員數量(例如,employees = 700 n = 10)。

  • 您可以很少的額外位,例如 n +6位,在這種情況下,匿名化是可逆的,並且員工可能會暴露: Rufus-Castle-Uniform-Enemy 通常僅散佈到jsmith@foo.com ... 陷阱!可能會有第二封電子郵件,但是位數越多,可能性就越小。
  • 您可以添加幾個太短位,例如 n -3位,在這種情況下,反向運行將顯示 Stop-錯誤的散佈到jsmith,emccarthy,jcrian,tkido,ctagawa, ffrink,使得報復變得不切實際。這樣就照原樣創建了一組“存儲桶”。
  • 您可以給MD5加鹽,但是如果迫害者
    • 通過蠻力加密攻擊來學習鹽,則失敗
    • 簡單地命令您將其翻轉
    • 記錄已記錄的活動模式,並推斷出用戶

您不同意他們的原因是一個經典的 workplace.se問題,但他們可能沒有告訴您所有的原因*。無論您必須遵守向他們提交的報告。

我在此處提供的匿名化方法使您可以在報告中呈現要呈現的詳細數據,同時在技術上遵循其指令。您可以使用 n +許多表單來執行此操作,如果他們確實願意,則可以允許他們回溯到單個用戶;也可以不使用存儲桶表單。

除非您顯示“在類別127中,有4/6個用戶被網絡釣魚吸引”,否則,以70%的百分比進行套準是完全沒有用的。當點擊率是存儲桶數量的1/3或更少時,存儲桶效果最好,因此在同一存儲桶中2次匹配是很少見的。 “在512個桶中,有90個桶受到了打擊,很可能是90-95人,這是您想要的人數。

*作為訴訟人,我可以想到一個非常大的人。如果是我,我將“作為日常事務”刪除個性化數據,直到傳票傳出為止,永久保存所有東西都是很有趣的遊戲。

-1
好的,現在,作為一種使用可逆匿名化在數據中呈現個人的方式,這使“一點”變得更有意義,因此客戶可以選擇刺穿該面紗。但是天哪,一開始還不清楚。
@schroeder還有什麼我可以解決的嗎?例子?
僅使用一些隨機生成的ID代替散列會更容易嗎?
這種方案的問題在於,它仍然不一定能防止反匿名化。如果您在會計部門,30-40歲的僱員和承包商列表的數據集中看到Rufus-Castle,則可能只有一位與該資料匹配的僱員。如果您確實希望有一種技術來匿名化數據,同時仍然收集有用的統計信息,則建議改用[差異性隱私](https://en.m.wikipedia.org/wiki/Differential_privacy)。
@LieRyan完全同意,我提出它是因為防止去匿名化並不是OP想要的。桶技術確實可以幫助您。Sourav會容易得多,但不允許您將後續測試與以前的結果聯繫起來。您會知道自己從70%的失敗變為44%的失敗,但不知道56%的先前失敗者成功了,並且(警報地)61%的先前失敗者失敗了。
我退休的地方進行了年度“員工滿意度調查”。該調查從未詢問過人口統計信息,但確實獲得了員工ID號。少於七個人向他們報告的任何人都不會獲得報告-太容易猜測誰在說什麼。領導下屬的領導者會得到每個問題的平均得分報告。
WGroleau
2018-01-31 08:34:21 UTC
view on stackexchange narkive permalink

我同意,客戶的選擇似乎阻止了任何改進的機會。但是,還有另一種改進方法。

讓所有員工都知道:“我們不知道誰為之付出了,誰沒有為此付出,所以我們無法解僱或獎勵任何人。但是,我們每個月都會進行一次此測試,並且我們將發布百分比。如果到年底將70%的比例降低到20%,則所有員工都將獲得獎金。獎金的大小將取決於二十以下。為了幫助我們實現這一目標,每週將有一封電子郵件介紹一種識別網絡釣魚的技術。明年,獎金將是每個季度,但目標也將是每個季度較小。”



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...