通过为员工提供更多选择来改善您的信息安全

计算机用户 - 无论是在家还是在工作中 - 经常参与可能产生安全风险和隐私威胁的行为,尽管有各种可用的安全选项。

点击不熟悉的链接,选择弱密码和共享个人信息可能会使用户的计算机或雇主开放信息被盗。

对于企业而言,这尤其令人担忧,因为在家中从事危险行为的员工可能会将这些习惯带入工作场所,从而使公司,同事和客户面临风险。根据IBM和Ponemon Institute的数据,2017年公司数据泄露的平均成本超过350万美元。

让员工有理由关心

最近发表在“管理信息系统杂志”上的一项研究表明,信息安全管理人员和主管可以通过避免冷酷,权威的命令来激励员工更安全地采取行动,从而创建相关的安全信息并为员工提供选择更好地保护信息并应对威胁。

根据华盛顿州立大学研究员和共同作者,卡森商学院信息系统助理教授Rob Crossler的说法,员工可能没有意识到他们正在将公司数据置于风险中,或者没有兴趣采取措施来确保安全,因为它不是他们的个人资料。

“如果你希望组织内部的人真正改变他们的安全行为,你必须给他们一个理由去关心,”克罗斯勒说。“为了有效地改变行为,你必须激励他们。”

选择不是强制性的

根据Crossler的说法,当员工认为他们的回答中有最适合他们的选择时,他们倾向于采取更安全的行动。

他建议信息系统管理人员避免在其指令中过于严格的消息传递,而是关注保护信息和响应威胁的不同策略。例如:

您的密码是您数字生活的关键,您的在线帐户对于想要窃取您身份的人来说是一个众所周知的金矿。黑客经常通过弄清楚在线密码来完成身份盗用。无论您对计算机技能的信心如何,您都可以学习如何使用密码管理器创建强密码并对其进行管理。密码管理器是帮助跟踪多个密码的软件。我们建议使用Dashlane,1Password,KeePass或LastPass。这些都是适当的解决方案,因此您可以随意选择您最喜欢的软件作为密码管理器。

克罗斯勒说,目标是“将谈话改为伙伴关系”。“焦点应该是'我们在一起,你可以选择你可以做些什么来帮助',而不是'你必须做这个或那个'。”

更好的安全性并不完美

“当谈到确保你正在做的事情时,我们都将失败。我们不会完美。网络钓鱼攻击变得非常好,即使是最警觉的个人也会犯错误,”他说。“如果他们的行动失败,应该鼓励员工立即报告并做正确的事情而不必担心受到谴责。”

Crossler说,组织可以通过提供更频繁,全年的信息和安全培训来保护安全威胁,并鼓励员工做出更好的决策。管理人员和主管还可以在美国计算机应急准备团队网站上找到有关安全问题和威胁的最新信息,以及访问最新的教育和培训资源(http://www.us-cert.gov))。