Instituya un sistema de recompensa para un comportamiento seguro, de modo que los empleados se acostumbren a solicitar credenciales incluso del personal de TI que conocen bien.
Más importante aún, no castiga a los empleados por comportamientos seguros, ni los recompensa por inseguros.
Escenario
El nuevo empleado VIP (VIP) entra a la oficina, ha olvidado la contraseña. VIP solicita usar el inicio de sesión del Secretario (SEC) hoy para que puedan ponerse a trabajar. SEC cumple. VIP - con habilidades de personas aceptables - dice "gracias" y tal vez trae rosas al día siguiente. La SEC ha sido reforzada en el comportamiento "Ayuda a las personas a acceder al sistema".
Escenario
VIP entra en la oficina, ha olvidado la contraseña. VIP solicita usar el inicio de sesión de SEC hoy para que puedan ponerse a trabajar. La SEC niega. VIP busca al superior inmediato de SEC que reprende a SEC por obstruir el lugar de trabajo. Se ha reforzado el comportamiento de SEC "Cumplir con las peticiones de los superiores incluso si no está seguro de que sean superiores. "
La mitad del problema es que tu VIP y SEC se ejecutan en hardware diseñado para funcionar en una sociedad tribal neolítica, por lo que SEC (estado más bajo en la tribu) tiene una inclinación natural a hacerlo como VIP (estado más alto, quizás incluso jefe de tribu) quiere a menos que haya un tabú contra ella. Instituye ese tabú. Haga que sea obvio para todos que VIP, no SEC, es el equivocado en esta situación. Haga que los administradores respalden a SEC, no a VIP - incluso cuando VIP es el administrador .
Esto, como muchas otras cosas, no sucederá sin el respaldo de la administración.