La "user education" è effettivamente fattibile?

0

Stavo per chiedere come educare gli utenti, ma ora che ci penso, vorrei innanzitutto sapere se è effettivamente possibile fare in modo efficace.

Ci sono storie sorprendenti (o orribili insuccessi) che riguardano la formazione degli utenti e approcci diversi a questo? Qualche statistica sul fatto che le aziende che tentano di educare la propria base di utenti riguardo la sicurezza del computer sono, in effetti, meno probabilità di subire un compromesso importante?

La mia esperienza personale è che spesso le persone non sono disposte a modificare le loro abitudini di utilizzo: specialmente gli utenti più esperti, i quali ritengono di conoscere abbastanza per evitare compromessi. Ma la mia esperienza qui è piuttosto limitata e basata principalmente sull'uso domestico / desktop piuttosto che su ufficio / workstation. Sono interessato a sentire come questa roba si diffonde su una scala più ampia.

    
posta DanL4096 18.07.2014 - 19:56
fonte

2 risposte

1

Non ho esempi o statistiche documentati, ma posso dire che, sebbene sia difficile e costoso, è certamente possibile educare gli utenti. È abbastanza facile avere una formazione sulla consapevolezza della sicurezza e quant'altro, ma il vero problema sta nel far rispettare le politiche e verificarne l'efficacia. I controlli di compromesso di maggior successo sono tecnici perché non danno alle persone una scelta. Non lasciare che qualcuno acceda finché non cambiano la password è molto più efficace che avere qualcuno che firma un foglio di carta dicendo che cambieranno la password ogni 90 giorni. Molte altre vulnerabilità derivano da cose che non puoi controllare con mezzi tecnici. Ad esempio il phishing.

Affinché l'educazione degli utenti abbia successo, i risultati devono essere osservati e le politiche devono essere applicate, devono essere effettuate revisioni periodiche e ci devono essere ripercussioni per non seguire la politica / formazione. Solo perché è difficile o costoso, non significa che non dovrebbe essere fatto affatto però. Non fare nulla nel modo di educare i tuoi utenti sarà quasi certamente peggio che almeno assicurarti che i dipendenti siano consapevoli dei rischi associati ai loro vari comportamenti.

    
risposta data 18.07.2014 - 20:16
fonte
1

Non posso rispondere per gli altri ma nella mia esperienza personale come amministratore ho visto risultati misti. Quando ho creato una politica di sicurezza per una società alcuni anni fa, che includeva le regole di base della password--

Mi sono imbattuto in alcune persone molto arrabbiate che volevano che la loro password fosse "password" o "password1" o il loro cognome e mi hanno inviato e-mail per un paio di settimane o più, rifiutando di cambiarlo. La nostra compagnia si occupa di molte località negli Stati Uniti continentali e intorno a noi e ciò non era accettabile, naturalmente.

Dovevo quindi dire loro che l'avrei inserito in una pessima lista di caratteri alfanumerici ... che li ho mandati ... e che li ha portati a darmene uno migliore.

Non mi sono preoccupato di chiedere nient'altro, dovevo solo fare quello che potevo per criptare e altrimenti proteggere le informazioni sui nostri server in background, che ovviamente era comunque una buona politica. È disponibile un'automazione, ma più di così è difficile da gestire per le persone che non conoscono o si prendono cura dell'importanza.

    
risposta data 18.07.2014 - 20:21
fonte

Leggi altre domande sui tag