En mi experiencia, los usuarios no informan problemas de seguridad debido a un par de razones:
- No les importa o creen que no es su trabajo
- No entienden el posible impacto de una vulnerabilidad de seguridad y por eso lo dejan
- Tienen miedo de que pueda exponer su negligencia en ciertas situaciones
Para combatir las razones anteriores, puedes intentar dos cosas:
- Entrenamiento de conciencia de seguridad
- Programas de recompensas, anónimos o de otro tipo
Cubrí un incidente de una compañía que estaba enviando información de la tarjeta de crédito por correo electrónico a través de su red interna. Después de que fueron pirateados, entrevisté a los empleados para obtener más información sobre cuándo comenzaron este proceso de compartir datos confidenciales por correo electrónico. Los empleados me dijeron una fecha y luego el 75% de ellos, sin que yo preguntara, me dijeron que pensaban que siempre era una mala idea. Así que la pregunta seguía siendo, ¿por qué no dijiste nada?
Fue principalmente debido a los números 2 y 3 anteriores. Debe dejar claro que el objetivo de la seguridad es mejorar la postura general de la organización. Haga hincapié en la importancia de que los usuarios no sean el problema, pero la mala cultura de seguridad debe cambiar en su totalidad. Esto en última instancia es responsabilidad y problema de la gerencia.