Izbrani osebi lahko dodelimo status administratorja neke opreme (tipično računalnika, ki ji ga dodelimo). Vendar pravica administratorja (računalnika, tiskalnika ipd) pomeni tudi določeno tveganje oziroma ranjivost, če oseba nima pravega IT znanja.

Bolj varno je, da uporabnikom statusa administratorjev ne dodelimo, pač pa to damo (tudi za osebne računalnike) "sistemcu", torej skrbniku IT, ki smo ga v pisarni nastavili.

Osebe lahko izberemo z miško in jih zaposlimo (ali pa prekličemo zaposlitev). Nekaj na levi strani oseb je "prostih". Tako osebo lahko izberemo in zaposlimo. Zaposlenim osebam lahko tudi prekinemo delovno razmerje.

Če zaposleno osebo "povlečemo" z miško iz območja pisarne, se šteje, da opravlja delo na daljavo (torej izven interne mreže).To pa je možno le, če smo v sistemu vključili možnost oddaljenega dostopa. Tako delo je varno le, če uporabljamo za komunikacijo šifrirane, torej zaščitene kanale. Če kanali niso zaščiteni. se črtkane linije do zunanjih sodelavcev pobarvajo rdeče. Sicer pa so "zunanji" sodelavci povezani z modrimi črtkanimi liniijami.

Če osebo premaknemo v področje pisarne, se šteje, da dela v okviru interne mreže.

V začetni konfiguraciji tudi ni nobenega skrbnika za informacijsko tehnologijo, ki bi skrbel za ustrezno zaščito sistema. Vse osebe nimajo enakega predznanja z informacijsko tehnologijo. Na "prostem trgu" je še več oseb in med njimi sta dve s potrebno računalniško izobrazbo (zelena in črna oseba). Eno od teh lahko zaposlimo za skrbnika IT. A pozor, črna oseba nima dobrih namenov (a tega ne moremo vedeti). Njegovi negativni nameni so razvidni iz njegove IT usposobljenosti, ki je sicer visoka, a ima negativni predznak.

Seveda lahko za IT skrbnika zaposlimo tudi "navadno" osebo, a dokler ni ustrezno usposobljena, s tem ne bomo kaj prida pridobili. "IT usposabljanje" posameznikov simuliramo tako, da jim višamo številčni parameter "IT znanje". Bolj ko je absolutna vrednost tega parametra visoka, večje IT znanje ima taka oseba. Negativni predznak pa pomeni, da bo to svoje znanje uporabljala v slabe namene (nezadovoljstvo v pisarni, maščevalnost, pohlep,..)

V levem kotu lahko opazujemo, kaj se dogaja z ranljivostno naše pisarne. Opazujemo  lahko stopnjo zaščite in ranljivosti ter stanje treh klasičnih parametrov kibernetske varnosti: zaupnost, celovitost in razpoložljivost. Grafični prikaz je bolj pregleden in predstavlja kvalitativno stanje. Možen pa je tudi numeričen, torej kvantitativni prikaz.

Potek simulacije

Pred samim začetkom simulacije se lahko igramo z nastavljanjem parametrov pisarne, oseb in opreme. Te lahko spreminjamo tudi  med potekom simulacije.

Sicer pa predstavlja simulacija prehod od enega dogodka do drugega. Vsak dogodek (tipično poskus napada) povzroča v pisarni neke posledice. Simulacijo lahko tudi ponavljamo, morda z drugače nastavljenimi parametri.

Nekaj najpogostejših ranljivosti delovnih mest

Osebne in poslovne naprave
Možnost uporabe osebnih naprav za delo s pošto, dokumenti, video in avdio klici zagotavlja mobilnost zaposlenih. Hkrati obstaja veliko tveganje, da bo naprava izgubljena ali ogrožena, gesla ali osebni podatki pa ukradeni.

Nepooblaščena uporaba informacij podjetja
Zunaj pisarne in zunaj omrežja podjetja skrbniki IT izgubijo nadzor nad tem, kako se uporabljajo korporativne informacije – baze podatkov in osebni podatki zaposlenih ter pravni in finančni dokumenti.

Na katere e-poštne naslove vaši zaposleni pošiljajo e-pošto? Kateri programi so kopirani ali nameščeni na službenih računalnikih? V katere aplikacije se nalagajo delovni dokumenti? Ali lahko informacije natisnejo tretje osebe ali jih uporabijo v nezakonite namene?

Napadi z lažnim predstavljanjem in vsiljeno pošto, škodljive priponke
Na primer, med pandemijo, ko je večina zaposlenih v podjetju začela delati na daljavo, se je stopnja lažnega predstavljanja povečala za 667 %. Gre za napade, ko oseba prejme elektronsko pošto z na videz varnimi informacijami. Vsebuje povezavo, ki ob kliku uporabnika odpelje na stran z zlonamerno kodo, ki zbira identifikacijske podatke za nadaljnjo uporabo v nezakonite namene.

Nevarne in nepooblaščene aplikacije, nameščene iz trgovine z aplikacijami
Najbolj ranljivi so brezplačni programi, ki jih uporabljamo za delo. Zaposleni nameščajo aplikacije iz trgovin Apple Store in Google Play na svoje službene naprave brez nastavitve varnostnih pravilnikov. Posledično se lahko ukradejo pripomočki, dokumenti, prijave in gesla iz računov.

Kaotični komunikacijski kanali in vstopne točke v interno korporativno omrežje
Shranjevanje in posredovanje dokumentov tretjim osebam prek programov, ki jih varnostna služba ni odobrila, je ena najpogostejših vrst uhajanja korporativnih informacij.