¿Es realmente factible la "educación del usuario"?

Navega tus respuestas
0

Iba a preguntar cómo educar a los usuarios, pero ahora que lo pienso, primero quiero saber si realmente es posible hacerlo de manera efectiva.

¿Hay historias de éxito asombroso (o de fracaso horrible) que flotan en torno a la educación del usuario y diferentes enfoques al respecto? ¿Alguna estadística sobre si las empresas que intentan educar a su base de usuarios sobre seguridad informática son, de hecho, menos propensas a sufrir un gran compromiso?

Mi propia experiencia es que las personas a menudo no están dispuestas a alterar sus hábitos de uso, especialmente los usuarios finales más informados, que asumen que saben lo suficiente como para evitar compromisos. Pero mi experiencia aquí es bastante limitada, y se basa principalmente en el uso del hogar / escritorio en lugar de la oficina / estación de trabajo. Me interesa escuchar cómo se desarrollan estas cosas en una escala más grande.

    
pregunta DanL4096 18.07.2014 - 19:56
fuente

2 respuestas

1

No tengo ningún ejemplo documentado o estadísticas, pero puedo decir que aunque es difícil y costoso, ciertamente es posible educar a los usuarios. Es bastante fácil tener capacitación en conciencia de seguridad y otras cosas, pero el problema real radica en hacer cumplir las políticas y auditar su efectividad. Los controles de compromiso más exitosos son técnicos porque no les da a las personas una opción. No permitir que alguien inicie sesión hasta que cambien su contraseña es mucho más efectivo que pedirle a alguien que firme una hoja de papel diciendo que cambiará su contraseña cada 90 días. Muchas otras vulnerabilidades se derivan de cosas que no se pueden controlar a través de medios técnicos. Como el phishing.

Para que la educación de los usuarios sea verdaderamente exitosa, los resultados deben observarse y las políticas deben aplicarse, deben realizarse revisiones periódicas y debe haber repercusiones por no seguir la política / capacitación. Sin embargo, solo porque es difícil o costoso no significa que no se deba hacer. Seguramente, hacer nada para educar a sus usuarios será peor que al menos asegurarse de que los empleados estén conscientes de los riesgos que conllevan sus diferentes comportamientos.

    
respondido por el JekwA 18.07.2014 - 20:16
fuente
1

No puedo responder por otros, pero en mi experiencia personal como administrador, he visto resultados mixtos. Cuando creé una política de seguridad para una empresa hace unos años, que incluía reglas de contraseña básicas:

Me encontré con algunas personas muy enojadas que querían que su contraseña fuera 'password' o 'password1' o su apellido y me enviaron correos electrónicos durante un par de semanas o más negándome a cambiarla. Nuestra compañía se ocupa de muchas ubicaciones en y alrededor del territorio continental de los Estados Unidos y eso no era aceptable, por supuesto.

Luego tuve que decirles que lo pondría en una lista muy mala de alfanuméricos ... que les envié ... y que lograron que me dieran una mejor.

No me molesté en preguntar sobre otra cosa, solo tenía que hacer lo que pudiera para cifrar y de otra manera asegurar la información de nuestros servidores en segundo plano, lo cual, por supuesto, era una buena política. Hay una automatización disponible, pero más que eso es difícil de manejar para las personas que no saben o se preocupan por la importancia.

    
respondido por el Jeff Clayton 18.07.2014 - 20:21
fuente

Lea otras preguntas en las etiquetas

¿cómo protege tor los paquetes de datos? [duplicar] Localización de un dispositivo robado