Installa un sistema di ricompensa per comportamenti sicuri, in modo che i dipendenti si abituino a chiedere credenziali anche da parte del personale IT che conoscono bene.
Ancora più importante, non punire i dipendenti per comportamenti sicuri o premiarli per motivi di sicurezza.
Scenario
Il New-hire VIP (VIP) entra in ufficio, ha dimenticato la password. VIP chiede di utilizzare il login di segreteria (SEC) oggi in modo che possano mettersi al lavoro. SEC è conforme. VIP - con abilità di persone accettabili - dice "grazie" e porta forse le rose il giorno dopo. La SEC è stata rafforzata nel comportamento "Aiuta le persone ad accedere al sistema."
Scenario
Il VIP entra in ufficio, ha dimenticato la password. VIP chiede di usare il login di SEC oggi per poter andare al lavoro. La SEC nega. VIP recupera il diretto superiore di SEC che rimprovera la SEC per ostacolare il posto di lavoro. La SEC è stata rafforzata nel comportamento "Rispetta le richieste dei superiori anche se non sai per certo che sono superiori. "
La metà del problema è che il tuo VIP e SEC sono in esecuzione su hardware progettato per funzionare in una società tribale neolitica e quindi SEC (stato inferiore nella tribù) ha una naturale inclinazione a fare da VIP (stato superiore, forse anche capo della tribù) vuole a meno che non ci sia un tabù contro di essa. Installa quel tabù. Fai capire a tutti che VIP, non SEC, è quello che si sbaglia in questa situazione. Chiedete ai manager di tornare a SEC, non a VIP - anche quando VIP è il gestore .
Questo, come molte altre cose, non accadrà senza il supporto della gestione.