Saya sering memiliki kesempatan untuk mengevaluasi pendekatan yang berbeda terhadap perlindungan siber, di berbagai bidang. Sering kali pendekatannya terlalu dangkal, kebijakan keamanan tidak memadai jika tidak sepenuhnya tidak ada, dan ini membuat perusahaan menghadapi risiko kompromi yang sangat kuat.
Namun, menurut saya, yang hampir sama buruknya dengan keamanan global adalah penerapan kebijakan yang "terlalu" ketat.
Saya tahu ini tampaknya kontradiksi, mungkin provokatif, tapi tolong ikuti saya dalam penalaran ...
Ini adalah fakta yang mapan bahwa tautan lemah dalam sistem informasi hampir selalu "Dave: kesalahan manusia" (Saya tidak ingin banyak teman bernama Dave!)
Jika kita menerapkan kebijakan yang terlalu ketat dan terlalu sedikit user friendly, tidak terlalu "ergonomis", seperti yang disarankan oleh sangat bagus @roarinpenguin, pasti pengguna, terjepit di antara landasan keamanan dan palu produktivitas, akan mencari trik untuk secara formal mematuhi kebijakan, dan pada saat yang sama terus bekerja dengan lancar.
Biarkan saya memberikan contoh konkret: untuk waktu yang lama dia menekankan tentang kebutuhan untuk memiliki kata sandi yang sangat kompleks, yang menyertakan angka dan karakter khusus dalam kombinasi berbeda.
Ini telah menyebabkan banyak, terlalu banyak pengguna untuk menuliskan kata sandi di suatu tempat agar tidak melupakannya, sehingga sepenuhnya mengalahkan tujuan utama dari kebijaksanaan.
Kemudian kewajiban untuk sering ganti password. Pengguna "mengubahnya", mengatur ulang yang sebelumnya. Kemudian penggunaan kembali diblokir. Hasil? P @ ssword1, P @ ssword2, P @ ssword3…
Ini hanyalah sebuah contoh untuk mengatakan bahwa, untuk mencapai keamanan yang efektif, kerjasama aktif dari pengguna dan operator diperlukan dunia maya.
Hasil ini dicapai terutama dengan pelatihan, mempromosikan dalam struktur kesadaran akan risiko yang dijalankan (#ilbersagliosiamonoi), dan perilaku yang harus diadopsi untuk meminimalkannya. Tapi di luar itu, siapa yang bertanggung jawab atas kebijakan keamanan dia harus mencoba dalam segala hal ergonomi solusi, sehingga membuat kepatuhan dengan aturan yang ditetapkan, saya tidak mengatakan menyenangkan (jangan melebih-lebihkan!) tapi setidaknya tidak terlalu invasif.
Juga, menjelaskan mengapa pembatasan tertentu diperkenalkan, berbagi sebanyak mungkin analisis risiko yang mengarah pada penerapannya, sangat membantu dalam mendapatkan adopsi pengguna.
Akhirnya, ada baiknya untuk selalu mengingat itu "Mereka yang melepaskan kebebasan demi keamanan tidak pantas mendapatkan salah satu atau yang lain" (Benjamin Franklin).
