Gli utenti di computer ― a casa e al lavoro spesso adottano comportamenti che creano rischi per la sicurezza e minacce alla privacy, pur avendo a disposizione una varietà di opzioni di sicurezza.

Cliccando su link sconosciuti, la scelta di password deboli e la condivisione di informazioni personali può esporre il computer o il datore di lavoro di un utente al furto di informazioni.

Per le imprese, questo è particolarmente preoccupante perché i dipendenti che si impegnano in comportamenti rischiosi a casa possono portare quelle abitudini sul posto di lavoro, mettendo la società, colleghi e clienti a rischio. Secondo IBM e il Ponemon Institute, il costo medio di una violazione dei dati per le aziende nel 2017 è stato di oltre 3,5 milioni di dollari.

Dai ai dipendenti un motivo per preoccuparsi

Un recente studio pubblicato su Journal of Management Information Systems suggerisce che i responsabili e i supervisori della sicurezza delle informazioni potrebbero avere maggiore successo nel motivare i dipendenti ad agire in modo più sicuro evitando il raffreddore, comandi autorevoli, e invece creare messaggi di sicurezza che siano riconoscibili e fornire opzioni su come i dipendenti possono proteggere meglio le informazioni e rispondere alle minacce.

Secondo il ricercatore e coautore della Washington State University Rob Crossler, Carson College of Business assistente professore di sistemi informativi, i dipendenti potrebbero non rendersi conto che stanno mettendo a rischio i dati aziendali o avere meno interesse a prendere provvedimenti per garantire la sicurezza perché non sono i loro dati personali.

"Se vuoi che le persone all'interno di un'organizzazione cambino veramente i loro comportamenti di sicurezza, devi dare loro un motivo per preoccuparsi, " ha detto Crossler. "Devi motivarli per essere efficace nel cambiare i comportamenti".

Scelte non obblighi

Secondo Crosser, quando i dipendenti sentono di avere una scelta nella loro risposta in ciò che funziona meglio per loro, tendono a intraprendere azioni più sicure.

Raccomanda ai gestori dei sistemi informativi di evitare messaggi troppo rigidi nelle sue istruzioni, e si concentra invece su diverse strategie per proteggere le informazioni e rispondere alle minacce. Per esempio:

Le tue password sono le chiavi della tua vita digitale, e i tuoi account online sono una proverbiale miniera d'oro per qualcuno che cerca di rubare la tua identità. Gli hacker spesso realizzano il furto di identità scoprendo le password online. Indipendentemente da quanto sei sicuro delle tue capacità informatiche, puoi imparare come creare password complesse e gestirle utilizzando un gestore di password. Un gestore di password è un software che aiuta a tenere traccia di più password. Si consiglia di utilizzare Dashlane, 1Password, KeePass o LastPass. Ognuna di queste è una soluzione adeguata, quindi sentiti libero di scegliere il software che ti piace di più come gestore di password.

L'obiettivo è "cambiare la conversazione in modo che riguardi una partnership, " Crossler ha detto. "Il focus dovrebbe essere 'Siamo in questo insieme, e hai opzioni su cosa puoi fare per aiutare, ' al contrario di 'Devi fare questo o quello.'"

Migliore sicurezza non perfezione

"Quando si tratta di proteggere ciò che si sta facendo, falliremo tutti. Non saremo perfetti. Gli attacchi di phishing stanno diventando così efficaci che anche l'individuo più attento commetterà un errore, " ha detto. "Se falliscono nelle loro azioni, i dipendenti dovrebbero essere incoraggiati a segnalarlo immediatamente e a fare la cosa giusta senza timore di essere rimproverati".

Le organizzazioni possono lavorare per proteggersi dalle minacce alla sicurezza e incoraggiare i propri dipendenti a prendere decisioni migliori fornendo informazioni e formazione sulla sicurezza su base più frequente, base per tutto l'anno, disse Crossler. I manager e i supervisori possono anche trovare le informazioni più recenti su problemi e minacce alla sicurezza, nonché accedere a risorse educative e formative aggiornate, sul sito Web del team di preparazione alle emergenze informatiche degli Stati Uniti (http://www.us-cert.gov).