Si vous trouvez les normes de sécurité informatique que vous obtenez au travail compliquées et pas vraiment bénéfiques, vous n’êtes pas seul. Une toute nouvelle étude met en évidence un problème clé dans la manière dont ces directives sont élaborées et décrit des actions simples qui les amélioreraient et rendraient probablement votre système informatique plus sûr.
Le problème concerne les directives de sécurité du système informatique qui les entreprises comme les services et les agences gouvernementales offrent à leurs employés. Ces directives sont généralement créées pour aider les travailleurs à sécuriser les informations des individus et des employeurs et à réduire les risques associés à des dangers tels que les logiciels malveillants et les fraudes par hameçonnage.
« En tant que chercheur en sécurité des systèmes informatiques, j’ai découvert que quelques-uns des les suggestions de sécurité informatique que je lis en ligne sont déroutantes, trompeuses ou tout simplement fausses », déclare Brad Reaves, auteur correspondant de la nouvelle étude de recherche et professeur adjoint de technologie informatique à la North Carolina State University. « Dans certains cas, je ne comprends pas d’où viennent les conseils ni sur quoi ils sont basés. C’est ce qui a motivé cette étude de recherche. Qui rédige ces lignes directrices ? Sur quoi basent-ils leurs conseils ? Quelle est leur procédure ? méthode que nous pourrions faire mieux ? »
Pour l’étude, les scientifiques ont mené 21 entretiens approfondis avec des experts responsables de la rédaction des directives de sécurité des systèmes informatiques pour les organisations, notamment les grandes entreprises, les universités et les agences gouvernementales.
« Le point essentiel à retenir ici est que les personnes qui rédigent ces normes essaient de fournir autant de détails que possible », déclare Reaves. « C’est formidable, en théorie. Les auteurs ne se concentrent pas sur les conseils les plus cruciaux. Ou, plus particulièrement, ils ne dépriorisent pas les points nettement moins importants. Et du fait qu’il y a tellement de recommandations de sécurité à composer de, les normes peuvent être frustrantes – et les points les plus cruciaux se perdent dans le remaniement. »
Les scientifiques ont découvert qu’un des facteurs que les normes de sécurité peuvent être si frustrants est que les auteurs de lignes directrices ont tendance à inclure tous les éléments possibles à partir d’un large éventail de sources faisant autorité.
« En d’autres termes, les rédacteurs des lignes directrices rassemblent des informations de sécurité, plutôt que de conserver des informations de sécurité pour leurs lecteurs », déclare Reaves.
Dessin sur ce qu’ils ont appris des entretiens, les chercheurs ont établi 2 recommandations pour améliorer les futures normes de sécurité.
Tout d’abord, les rédacteurs de normes ont besoin d’un ensemble clair de meilleures pratiques sur la façon de conserver les détails afin que les directives de sécurité indiquent aux utilisateurs ce que ils doivent savoir et comment hiérarchiser ces informations.
Deuxièmement, les auteurs – et la communauté de la sécurité des systèmes informatiques dans son ensemble – ont besoin de messages essentiels qui auront du sens pour un public ayant différents niveaux de compétence technique .
« Écoutez, la sécurité informatique est rendue complexe », déclare Reaves. « Cependant, la médecine est beaucoup plus compliquée. Pendant la pandémie, les professionnels de la santé publique ont pu fournir au public des normes assez simples et succinctes sur la façon de réduire notre risque de contracter le COVID. Nous devons pouvoir faire la même chose pour l’informatique. sécurité. »
En fin de compte, les scientifiques constatent que les rédacteurs de recommandations de sécurité ont besoin d’aide.
« Nous avons besoin d’une étude de recherche, de lignes directrices et de domaines de pratique qui peuvent soutenir ces auteurs, car ils jouent un rôle fonction essentielle pour transformer les découvertes en matière de sécurité informatique en conseils pratiques pour une application dans le monde réel », déclare Reaves.
« Je souhaite également craindre que lorsqu’il y a un incident de sécurité informatique, nous ne devrions pas blâmer un employé parce qu’il n’a pas n’adhèrent pas à l’une des mille règles de sécurité que nous attendions d’eux. Nous devons faire un bien meilleur travail pour créer des normes faciles à comprendre et à appliquer. »
L’étude, « Who Develops this Stuff? Speaking With Authors to Understand How They Produce Security Recommendations », sera présenté au Symposium USENIX sur la confidentialité et la sécurité personnelles utilisables, qui se tiendra du 6 au 8 août à Anaheim, en Californie. L’auteur de l’étude est Lorenzo Neil, un doctorat étudiant à NC State. L’article a été co-écrit par Harshini Sri Ramulu de l’Université George Washington et par Yasemin Acar de l’Université de Paderborn et de l’Université George Washington.
Toute l’actualité en temps réel, est sur L’Entrepreneur
