Deficiencias de las notificaciones de violaciones de seguridad, Las mejores prácticas para las advertencias de phishing y las lecciones aprendidas del uso de análisis para mejorar el rendimiento de los estudiantes se encuentran entre varios estudios que los investigadores de la Universidad de Michigan presentarán a partir de este fin de semana en el Reino Unido.

Florian Schaub, profesor asistente de la Facultad de Información de la U-M, y colegas compartirán su trabajo del 4 al 9 de mayo en la Conferencia CHI sobre Factores Humanos en Computación en Glasgow, Escocia.

Violaciones de datos

Sobre la base de una investigación anterior que mostró que los consumidores a menudo toman pocas medidas cuando se enfrentan a violaciones de seguridad, El equipo de la Escuela de Información dirigido por la estudiante de doctorado Yixin Zou y Schaub analizó las notificaciones de violación de datos que las empresas envían a los consumidores para ver si las comunicaciones podrían ser responsables de parte de la inacción.

Descubrieron que el 97% de las 161 notificaciones muestreadas eran difíciles o bastante difíciles de leer según las métricas de legibilidad, y que el lenguaje utilizado en ellos puede haber contribuido a la confusión sobre si el destinatario de la comunicación estaba en riesgo y debería tomar medidas.

"Nuestro análisis muestra que exigir por ley a las empresas que envíen notificaciones de violación de datos no es suficiente, "Es importante asegurar que la información importante, como lo que sucedió y lo que los consumidores deben hacer para protegerse, se comuniquen en esas notificaciones de una manera que sea comprensible y procesable por los consumidores", dijo Zou.

Citando estadísticas de la Cámara de Compensación de Derechos de Privacidad, los autores señalan que en 2017 se violaron 853 datos que comprometieron 2050 millones de registros, que incluía nombres de consumidores, información de contacto números de cuenta, detalles de la tarjeta de crédito, números de seguro social, registros de compras y compras, publicaciones y mensajes en redes sociales, y registros de salud.

En respuesta, La mayoría de los países, incluidos los Estados Unidos, adoptó leyes de notificación de violación de datos. En los EE.UU., cada estado tiene su propia ley de violación de datos, por lo tanto, el umbral en el que se debe notificar a los consumidores, qué tan pronto después de una infracción, y el aspecto que debe tener esa notificación varía de un estado a otro.

Esto permite mucha libertad para que las empresas utilicen términos de cobertura que minimicen el riesgo, utilizando frases como "usted podría verse afectado" y "es probable que se vea afectado" en el 70% de las notificaciones y diciendo "en este momento, no tenemos evidencia de que los datos expuestos hayan sido mal utilizados "el 40% de las veces.

También permite una falta de coherencia al abordar la causa de la infracción, la fecha de ocurrencia y la cantidad de tiempo de exposición, dicen los investigadores.

"Hay pocos incentivos para que las empresas inviertan en hacer que las notificaciones de violación de datos sean más utilizables, ", Dijo Schaub." Para la mayoría de las empresas, esas notificaciones solo se consideran un requisito para cumplir con las leyes de notificación de violaciones de datos, más que una forma de educar y proteger a sus clientes. Necesitamos repensar y reelaborar leyes de protección al consumidor como estas para garantizar que las notificaciones de las empresas sean realmente útiles para los consumidores ".

La mayoría de las leyes estatales exigen que las empresas notifiquen a los consumidores afectados por escrito o por teléfono. Correos electrónicos, anuncios del sitio web, Los avisos a los medios de comunicación estatales u otros métodos electrónicos suelen ser sustitutos. El estudio muestra un patrón consistente con el 95% de las notificaciones analizadas enviadas por correo. Los investigadores dicen que la velocidad lenta de una carta enviada por correo podría aumentar el tiempo en que los consumidores permanecen desinformados sobre la infracción.

Suplantación de identidad

Justo cuando pensamos que tenemos un control sobre los trucos que los ladrones de datos tienen bajo la manga para piratear nuestros dispositivos en un intento de robar nuestra información, alguien viene con una nueva forma de engañarnos, y los esquemas de phishing en la computadora pueden atrapar incluso a los usuarios más inteligentes.

Organizaciones que brindan servicios de correo electrónico, incluidos los clientes de correo electrónico comercial que los consumidores utilizan todos los días, han puesto en marcha numerosas medidas para luchar contra los intentos de suplantación de identidad, y trabajar para educar a los usuarios sobre cómo evitar enlaces sospechosos en el correo electrónico. Entre los esfuerzos se encuentran varias advertencias que alertan a los usuarios sobre enlaces potencialmente sospechosos.

En un estudio en el que participaron 700 participantes de entre 20 y 71 años, Schaub y sus colegas de la Escuela de Información evaluaron tres características de diseño de advertencia para ayudar a los usuarios a evaluar de manera más efectiva el riesgo de suplantación de identidad y evitar sitios web sospechosos. Los compararon con el banner de correo electrónico estático más utilizado, a menudo una banda de color o un recuadro con un color en negrita como el rojo que aparece como una advertencia en la parte superior de una página de correo electrónico. Las tres características para comparar son:

• Colocación de advertencia, o mover las advertencias de phishing cerca del enlace sospechoso en el correo electrónico.
• Atención forzada a la advertencia desactivando el enlace sospechoso en el cuerpo del correo electrónico y obligando al usuario a hacer clic en la URL desenmascarada para continuar.
• Activación de advertencia, lo que exige que la advertencia se muestre solo cuando el usuario pasa el mouse sobre un enlace.

Descubrieron que, en comparación con las advertencias de banner, Las advertencias de phishing centradas en enlaces redujeron la posibilidad de que los participantes hicieran clic en un enlace de phishing. Las advertencias de atención forzada fueron las más efectivas.

"La detección de correos electrónicos de suplantación de identidad es difícil para las personas y el consejo común de 'verificar el enlace antes de hacer clic' es bueno, pero no es realmente compatible con los clientes de correo electrónico. ", Dijo Schaub." Nuestra investigación muestra que las advertencias de phishing bien diseñadas pueden ayudar a los consumidores a detectar mejor los enlaces de phishing al identificar claramente qué enlaces de un correo electrónico son sospechosos, mostrando de forma destacada el destino del enlace sospechoso, y obligar a los usuarios a hacer clic en la advertencia si quieren continuar hasta el destino del enlace.

Analítica de aprendizaje

Durante la última media docena de años, las universidades han estado recopilando datos sobre el desempeño de los estudiantes en cursos selectos con el fin de crear paneles de advertencia para ayudar a los que tienen un desempeño inferior. El objetivo de este hecho a medida, El enfoque personalizado de la educación consiste en intervenir en puntos clave de un semestre para ayudarlos a mejorar para que puedan tener éxito.

En su mayor parte, estas intervenciones de tablero de instrumentos han mostrado resultados positivos en la mejora de los resultados de los estudiantes.

Pero un estudio realizado por Schaub y un equipo de la Escuela de Información sobre una aplicación de análisis de aprendizaje revela que los estudiantes no siempre han sabido o comprendido cómo se recopilaron y utilizaron sus datos. Los investigadores encuentran que los estudiantes quieren más información sobre ese proceso y poder opinar sobre lo que sucede con sus datos.

El programa U-M conocido como Student Explorer comenzó como una forma de ayudar a alentar a los estudiantes de STEM a seguir con los cursos de ciencias. tecnología, ingeniería y matemáticas, ya que muchos se estaban desanimando y abandonando temprano sus carreras en esos campos. Resultó exitoso y luego fue adoptado por múltiples programas en todo el campus.

Para su estudio, los investigadores realizaron entrevistas con cuatro desarrolladores de programas, ocho asesores académicos, y 20 estudiantes. La investigación concluyó que todas las partes interesadas (estudiantes, facultad, asesores académicos — deben colaborar en estos programas y ser parte de su creación y evolución.

"Es realmente importante descubrir estas diversas necesidades y hábitos de uso de los usuarios para asegurarse de que el diseño y la función del sistema puedan abordarlos. "dijo Kaiwen Sun, estudiante de doctorado y autor principal del artículo.

"Muchos asesores e instructores no están familiarizados con el concepto de análisis de aprendizaje. Ven el despliegue de nuevas plataformas y piensan que son solo los usuarios. Es posible que no se consideren capaces de desempeñar un papel clave en el proceso de análisis de aprendizaje.

"También creo que es importante educar a las personas y promover la conciencia en el campus sobre el objetivo, beneficios e impacto de la analítica del aprendizaje, por qué estas diferentes partes interesadas deberían preocuparse, y qué pueden hacer para contribuir al proceso de análisis del aprendizaje ".