我运行一项服务，测试人员和组织发现并正确响应网络钓鱼尝试的能力。

您必须让所有用户知道将执行测试，甚至是 CEO。这并不意味着您通知他们然后立即尝试对他们进行网络钓鱼。延迟几天，人们将不再对测试保持警惕。

如何做到这一点，如果做到这一点，需要取决于您组织的管理和人力资源部门。即使有警告，人们也会感到被困、被瞄准，甚至可能被欺负。警告有助于减少这些感觉，您的人力资源部门将帮助您设计一种方式让人们表达他们的担忧（如果有的话）。

除了您的管理层之外，没有人可以告诉您在您的组织中这样做是否合适。未经您的管理层授权和批准，请勿启动测试。

第一件事是未经许可不得这样做。

为了防止人们受到冒犯，请让他们知道将在未来几周内进行网络钓鱼测试。

最后，如果有人成为您的网络钓鱼攻击的受害者，重要的是不要将任何人单独挑出来。在任何报告中匿名他们的回应，并简单地总结统计数据以衡量其成功。

例如

Emails sent = 100
Beacons received = 80
Clicks received = 50
Credentials harvested = 5

人们对这些测试的反应很大程度上与他们认为进行测试的原因有关。人们似乎可以通过测试来衡量企业培训计划的有效性，但如果他们觉得自己正在接受单独测试，他们就会不太高兴。

明确表示他们在测试中的表现没有奖励或惩罚。如果他们“失败”，就不会有特殊教育或公众尴尬。相反，声明数据将用于为整个公司生成统计数据，并衡量现有培训的有效性。

而且您几乎必须事先告诉人们将进行一些测试，因为您需要在测试之前教育他们当他们收到可疑电子邮件时该怎么做。您可以使用一些工具来支持可疑电子邮件的用户报告，但将电子邮件转发到 spam@mycompany.example.com 可能就足够了。培训是让他们知道将进行抽查以收集有关培训有效性的统计数据的好时机。