这个最初的活动首先建立了一个基线。所以，是的，这很正常。“作为一家公司，我们的立场如何？我们需要培训到什么水平？作为一个整体，我们是否拥有安全的用户，或者作为一个整体，我们是否拥有不安全的用户？” 本报告确定了这一点以及管理层需要参与网络钓鱼培训的程度。如果只有 5% 的用户因网络钓鱼尝试而堕落，那么培训重点就会大不相同。就目前而言，现在管理层知道他们基本上存在整个公司范围的问题，并且网络钓鱼活动基本上有 70% 的成功机会。

现在，当公司未来进行网络钓鱼培训时，他们可以比较结果并确定培训是否成功。“我们最初有 70% 的时间为它而堕落。这次，我们有 68% 的时间为它而堕落。因此，它没有成功。” 或者“我们最初有 70% 的时间支持它，现在有 50% 的时间支持它。我们做得更好，但需要进一步培训。”

不，因为通过命名你是在指责，安全需要远离指责个人，而是将其作为一个整体。这与在网站中发现安全漏洞相同：您不应该责怪开发人员，而应该寻求改进整个过程。

我们开展网络钓鱼活动并且不识别用户。我们用它来识别我们的弱点，我们需要更好地培训我们的员工。将这种培训集中在一个人身上是没有意义的。

活动结束后，我们向所有员工发送电子邮件，提供失败/成功的统计数据，然后提供发现网络钓鱼的提示以及如何处理电子邮件。

我认为看待这个问题的正确角度是问以下问题：

鉴于未通过测试的人数众多，如果公司拥有这些名称，将实现哪些（安全）目标？

我会说：没有。

无论如何，公司范围内的网络钓鱼测试的安全目标是什么？

通常，在每家依赖 IT 并拥有一定数量员工的公司中，这些员工都会接受信息安全培训。这些培训主要涵盖电子邮件通信、桌面安全等基本主题。运行网络钓鱼测试时，管理层想知道：

1. 如果这些培训成功（如：物有所值）
2. 如果属于公司的任何数据或 IT 系统可能由于缺乏良好的培训而受到损害

如果您作为他们的承包商告诉他们“您的员工中有 70% 未通过测试”，那么您就可以回答上述两个问题。如果管理层询问拥有 300 多名员工的公司的姓名，他们将无法获得更多相关信息，也无法正确完成工作。

下一步是现在，定义一个新的安全目标。它应该是这样的：

“在接下来的 X 个月内，每个员工都必须参加安全培训。到每年的一个月，我们希望 $contractor 进行另一次网络钓鱼测试，并且未通过此测试的人的百分比应该低于 X%。”

如果只有那些未通过网络钓鱼测试的员工必须参加，这些培训会更具成本效益吗？大概。
但是：您将它们呈现给公司 30% 的人（那些不必去的人）“太愚蠢了，无法识别网络钓鱼尝试”。这对士气的影响超过了让所有员工参加培训的所有成本。另外：另外提醒 30% 的人关于信息安全并没有真正的伤害。
这是一个好主意的另一个原因：通常，如果您进行网络钓鱼测试，您不知道为什么人们没有上当。也许他们中的一些人没有阅读电子邮件，因为他们正在度假、生病或只是跳过它，因为他们的收件箱里装满了更重要的邮件。没有人能告诉你，他们下次是否能通过考试。员工始终是您的第一大风险因素，如果可以，请培训他们。

我想提到的另一点到目前为止在其他答案中被遗漏了，这取决于你如何传达结果：大多数人都会知道他们自己没有通过该测试。
您必须以一种或另一种方式通知您的员工，我认为这是大多数公司的做法：发送一封全公司范围的电子邮件，其中包含网络钓鱼邮件的屏幕截图。

“亲爱的员工，很抱歉告诉你，这是一次网络钓鱼测试。没有免费的游艇等着你。没有通过测试的人数很糟糕，这就是为什么我们会在不久的将来。承包商为我们做了这件事，我们没有收集任何个人数据，所以我们不知道谁点击了链接，谁没有点击。不会有任何影响。网络钓鱼邮件可能会产生非常糟糕的后果，例如……亚达，亚达，亚达……”。

人们会检查他们的收件箱，如果不是很久以前，请记住他们做了什么。这将提高对安全培训和行为调整的接受度。唤起恐惧和向人们施压是没有好处的。

关于这些测试的目的似乎存在一些误解。

使用标识符意味着找到负责任的人，教育和/或惩罚他们。无法识别任何人可能是测试的一个明确参数。在许多欧洲国家，当地工人委员会或工会代表必须同意这样的测试，并可能将此作为条件。

使用统计数据意味着识别性能指标。您可以将这些相互衡量以识别，例如，您是否正在改进，或者您开展的某些宣传活动是否有效。您不需要为此确定人员，它甚至可能会模糊结果。

最后，客户支付账单。您为他们工作，因此尽管您应该指出您的任何专业顾虑或想法，除非它违反您的个人或职业道德（例如，如果您是会员，请遵守 ISACA 道德标准），您应满足客户的要求。