Los usuarios de computadoras, en el hogar y en el trabajo, a menudo se involucran en comportamientos que crean riesgos de seguridad y amenazas a la privacidad, a pesar de tener una variedad de opciones de seguridad disponibles.

Al hacer clic en enlaces desconocidos, elegir contraseñas débiles y compartir información personal puede dejar la computadora de un usuario o el empleador expuesto al robo de información.

Por negocios, Esto es especialmente preocupante porque los empleados que adoptan comportamientos de riesgo en el hogar pueden llevar esos hábitos al lugar de trabajo. poniendo la empresa, compañeros de trabajo y clientes en riesgo. Según IBM y el Ponemon Institute, el costo promedio de una violación de datos para las empresas en 2017 fue de más de $ 3.5 millones.

Dar a los empleados una razón para preocuparse

Un estudio reciente publicado en el Revista de sistemas de información de gestión sugiere que los gerentes y supervisores de seguridad de la información podrían tener más éxito en motivar a los empleados para que actúen de manera más segura evitando el frío, mandatos autorizados, y en su lugar, cree mensajes de seguridad que sean identificables y brinden opciones sobre cómo los empleados pueden proteger mejor la información y responder a las amenazas.

Según el investigador y coautor de la Universidad Estatal de Washington, Rob Crossler, Profesor asistente de sistemas de información de Carson College of Business, Es posible que los empleados no se den cuenta de que están poniendo en riesgo los datos de la empresa o que tengan menos interés en tomar medidas para garantizar la seguridad porque no son sus datos personales.

"Si desea que las personas de una organización cambien realmente sus comportamientos de seguridad, tienes que darles una razón para preocuparse, ", dijo Crossler." Tienes que motivarlos para que sean efectivos en el cambio de comportamientos ".

Opciones, no mandatos

Según Crossler, cuando los empleados sienten que pueden elegir en su respuesta lo que funciona mejor para ellos, tienden a realizar acciones que son más seguras.

Recomienda a los administradores de sistemas de información que eviten los mensajes que sean demasiado rígidos en su instrucción, y, en cambio, se centra en diferentes estrategias para proteger la información y responder a las amenazas. Por ejemplo:

Tus contraseñas son las claves de tu vida digital, y sus cuentas en línea son una mina de oro proverbial para alguien que busca robar su identidad. Los piratas informáticos a menudo logran el robo de identidad al descubrir contraseñas en línea. Independientemente de su confianza en sus habilidades informáticas, puede aprender a crear contraseñas seguras y administrarlas con un administrador de contraseñas. Un administrador de contraseñas es un software que ayuda a realizar un seguimiento de varias contraseñas. Recomendamos usar Dashlane, 1 contraseña, KeePass o LastPass. Cada uno de estos es una solución adecuada, así que siéntase libre de elegir el software que más le guste como administrador de contraseñas.

El objetivo es "cambiar la conversación para que se trate de una asociación, ", Dijo Crossler." El enfoque debería ser 'Estamos juntos en esto, y tienes opciones sobre lo que puedes hacer para ayudar, 'en lugar de' Tienes que hacer esto o aquello '".

Mejor seguridad, no perfección

"Cuando se trata de asegurar lo que está haciendo, todos vamos a fracasar. No vamos a ser perfectos. Los ataques de phishing se están volviendo tan buenos que incluso la persona más alerta cometerá un error, ", dijo." Si fallan en sus acciones, se debe alentar a los empleados a que lo informen de inmediato y hagan lo correcto sin temor a ser reprendidos ".

Las organizaciones pueden trabajar para protegerse contra las amenazas a la seguridad y alentar a sus empleados a tomar mejores decisiones al brindar capacitación en información y seguridad de manera más frecuente, todo el año, —dijo Crossler. Los gerentes y supervisores también pueden encontrar la información más reciente sobre problemas y amenazas de seguridad, así como acceder a recursos educativos y de formación actualizados, en el sitio web del Equipo de preparación para emergencias informáticas de los Estados Unidos (http://www.us-cert.gov).