Nella mia esperienza, gli utenti non segnalano problemi di sicurezza a causa di un paio di motivi:
- A loro non importa o non crede che non sia il loro lavoro
- Non capiscono il possibile impatto di una vulnerabilità della sicurezza e quindi lo lasciano
- Hanno paura di esporre la loro negligenza in determinate situazioni
Per combattere i motivi sopra esposti, potresti provare due cose:
- Corso di sensibilizzazione sulla sicurezza
- Programmi di bontà, anonimi o di altro tipo
Ho coperto un incidente di una società che inviava le informazioni della carta di credito via e-mail attraverso la loro rete interna. Dopo che sono stati violati, ho intervistato i dipendenti per ottenere maggiori informazioni su quando hanno iniziato questo processo di condivisione di dati sensibili via email. I dipendenti mi hanno detto una data e poi il 75% di loro, senza che me lo chiedessi, mi ha detto che pensavano che fosse sempre una cattiva idea. Quindi la domanda è rimasta, perché non hai detto niente?
Era principalmente a causa dei numeri 2 e 3 sopra. È necessario chiarire che l'obiettivo della sicurezza è migliorare la postura generale dell'organizzazione. Sottolinea l'importanza che gli utenti non sono il problema, ma la cattiva cultura della sicurezza deve cambiare nel suo complesso. Questo alla fine è responsabilità e problemi del management.