Les utilisateurs d'ordinateurs ― à la maison et au travail adoptent souvent des comportements qui créent des risques pour la sécurité et des menaces pour la vie privée, malgré une variété d'options de sécurité disponibles.

En cliquant sur des liens inconnus, choisir des mots de passe faibles et partager des informations personnelles peut exposer l'ordinateur d'un utilisateur ou un employeur au vol d'informations.

Pour les entreprises, cela est particulièrement préoccupant parce que les employés qui adoptent des comportements à risque à la maison peuvent porter ces habitudes sur le lieu de travail, mettre l'entreprise, collègues et clients à risque. Selon IBM et le Ponemon Institute, le coût moyen d'une violation de données pour les entreprises en 2017 était de plus de 3,5 millions de dollars.

Donner aux employés une raison de se soucier

Une étude récente publiée dans le Journal des systèmes d'information de gestion suggère que les responsables de la sécurité de l'information et les superviseurs pourraient mieux réussir à motiver les employés à agir de manière plus sûre en évitant le froid, commandes faisant autorité, et à la place, créez des messages de sécurité qui sont pertinents et offrent des options sur la façon dont les employés peuvent mieux protéger les informations et répondre aux menaces.

Selon le chercheur et co-auteur de la Washington State University, Rob Crossler, Carson College of Business professeur adjoint de systèmes d'information, les employés peuvent ne pas se rendre compte qu'ils mettent en danger les données de l'entreprise ou avoir moins d'intérêt à prendre des mesures pour assurer la sécurité parce qu'il ne s'agit pas de leurs données personnelles.

« Si vous voulez que les personnes au sein d'une organisation changent vraiment leurs comportements en matière de sécurité, vous devez leur donner une raison de s'en soucier, " a déclaré Crossler. "Vous devez les motiver afin d'être efficace pour changer les comportements."

Des choix et non des mandats

Selon Crossler, lorsque les employés sentent qu'ils ont le choix dans leur réponse dans ce qui fonctionne le mieux pour eux, ils ont tendance à prendre des mesures plus sûres.

Il recommande aux responsables des systèmes d'information d'éviter les messages trop rigides dans leur consigne, et se concentre plutôt sur différentes stratégies de protection des informations et de réponse aux menaces. Par exemple:

Vos mots de passe sont les clés de votre vie numérique, et vos comptes en ligne sont une mine d'or proverbiale pour quelqu'un qui cherche à voler votre identité. Les pirates informatiques accomplissent souvent un vol d'identité en trouvant des mots de passe en ligne. Quelle que soit votre confiance en vos compétences informatiques, vous pouvez apprendre à créer des mots de passe forts et à les gérer à l'aide d'un gestionnaire de mots de passe. Un gestionnaire de mots de passe est un logiciel qui aide à garder une trace de plusieurs mots de passe. Nous vous recommandons d'utiliser Dashlane, 1Mot de passe, KeePass ou LastPass. Chacun d'eux est une solution adéquate, alors n'hésitez pas à choisir le logiciel que vous préférez comme gestionnaire de mots de passe.

L'objectif est de « changer la conversation pour qu'elle porte sur un partenariat, " Crossler a déclaré. "L'accent devrait être" Nous sommes dans le même bateau, et vous avez des options sur ce que vous pouvez faire pour aider, ' par opposition à 'Vous devez faire ceci ou cela.'"

Une meilleure sécurité pas la perfection

"Quand il s'agit de sécuriser ce que vous faites, nous allons tous échouer. Nous n'allons pas être parfaits. Les attaques de phishing deviennent si efficaces que même l'individu le plus alerte va faire une erreur, " dit-il. " S'ils échouent dans leurs actions, les employés doivent être encouragés à le signaler immédiatement et à faire ce qu'il faut sans craindre d'être réprimandés."

Les organisations peuvent s'efforcer de se prémunir contre les menaces de sécurité et encourager leurs employés à prendre de meilleures décisions en fournissant des informations et une formation en matière de sécurité plus fréquemment, base toute l'année, dit Crossler. Les gestionnaires et les superviseurs peuvent également trouver les dernières informations sur les problèmes de sécurité et les menaces, ainsi que l'accès à des ressources d'éducation et de formation à jour, sur le site Web de l'équipe de préparation aux urgences informatiques des États-Unis (http://www.us-cert.gov).