计算机安全管理员和安全顾问往往会忘记用户对安全的感觉:用户不会考虑安全,除非他们当时非常讨厌安全。这种态度使得安全管理员的工作更多的是心理上的,而不是技术上的,但是每1000个安全管理员中没有一个理解这一点。
危险的用户行为如何使网络处于危险之中当然,在可怕的科技故事中排名靠前,但真正的问题是许多公司的管理不善。用户往往不重视计算机安全规则,因为他们认为一些未知的“它们”规定了令人窒息的规则,旨在降低用户速度,而不是提供安全。
小公司更容易向用户解释是谁制定了这些规则,以及为什么要制定这些规则。不幸的是,在小型企业中缺乏训练有素的安全管理员意味着用户不会违反严格的用户控制,因为没有任何严格的用户控制。与大公司相反的问题是,小公司几乎没有安全保障。
让用户理解安全规则需要非常小心。解释为什么要制定规则会有所帮助。解释结果会更有帮助。
当我过去给用户设置密码时,我警告他们不要分享密码,但我看得出来,他们不听为什么分享密码是一个坏主意的技术解释。
然后我找到了一种让用户理解的方法:如果你把密码给了别人,而他们做错了,我们会先逮捕你。这似乎让人印象深刻。