Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Tại sao lời khuyên bảo mật máy tính lại khó hiểu hơn mức bình thường

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 94

Nếu bạn thấy các hướng dẫn bảo mật máy tính tại nơi làm việc khó hiểu và không hữu ích lắm thì bạn không đơn độc. Một nghiên cứu mới nêu bật một vấn đề chính về cách tạo ra các hướng dẫn này và phác thảo các bước đơn giản có thể cải thiện chúng – và có thể giúp máy tính của bạn an toàn hơn.

Vấn đề là các hướng dẫn bảo mật máy tính mà các tổ chức như doanh nghiệp và cơ quan chính phủ cung cấp cho nhân viên của họ. Những nguyên tắc này thường được thiết kế để giúp nhân viên bảo vệ dữ liệu cá nhân và dữ liệu của chủ lao động, đồng thời giảm thiểu rủi ro liên quan đến các mối đe dọa như phần mềm độc hại và lừa đảo lừa đảo.

Brad Reaves, tác giả tương ứng của nghiên cứu mới và là trợ lý giáo sư về khoa học máy tính tại North, cho biết: “Là một nhà nghiên cứu bảo mật máy tính, tôi nhận thấy rằng một số lời khuyên về bảo mật máy tính mà tôi đọc được trên mạng rất khó hiểu, gây hiểu nhầm hoặc đơn giản là sai”. Đại học bang Carolina. “Trong một số trường hợp, tôi không biết lời khuyên đến từ đâu hoặc dựa trên cơ sở nào. Đó chính là động lực cho nghiên cứu này. Ai đang viết những hướng dẫn này? Lời khuyên của họ dựa trên điều gì? Quá trình của họ là gì? Có cách nào chúng ta có thể làm tốt hơn không?”

Trong nghiên cứu này, các nhà nghiên cứu đã thực hiện 21 cuộc phỏng vấn sâu với các chuyên gia chịu trách nhiệm viết hướng dẫn bảo mật máy tính cho các tổ chức bao gồm các tập đoàn lớn, trường đại học và cơ quan chính phủ.

Reaves nói: “Điểm mấu chốt ở đây là những người viết những hướng dẫn này cố gắng cung cấp càng nhiều thông tin càng tốt”. “Về mặt lý thuyết thì điều đó thật tuyệt. Nhưng người viết không ưu tiên những lời khuyên quan trọng nhất. Hay cụ thể hơn là họ không loại bỏ ưu tiên những điểm ít quan trọng hơn đáng kể. Và bởi vì có quá nhiều lời khuyên về bảo mật nên đưa vào nên các nguyên tắc có thể khiến bạn choáng ngợp — và những điểm quan trọng nhất sẽ bị bỏ sót trong quá trình xáo trộn.”

Các nhà nghiên cứu phát hiện ra rằng một lý do khiến các nguyên tắc bảo mật có thể quá áp đảo là do người viết hướng dẫn có xu hướng kết hợp mọi mục có thể có từ nhiều nguồn có thẩm quyền khác nhau.

Reaves nói: “Nói cách khác, những người viết hướng dẫn đang biên soạn thông tin bảo mật chứ không phải quản lý thông tin bảo mật cho độc giả của họ”.

Dựa trên những gì họ học được từ các cuộc phỏng vấn, các nhà nghiên cứu đã phát triển hai đề xuất để cải thiện các nguyên tắc bảo mật trong tương lai.

Đầu tiên, người viết hướng dẫn cần có một bộ rõ ràng các phương pháp hay nhất về cách quản lý thông tin để các nguyên tắc bảo mật cho người dùng biết cả những gì họ cần biết và cách ưu tiên thông tin đó.

Thứ hai, người viết - và cộng đồng bảo mật máy tính nói chung - cần những thông điệp chính có ý nghĩa đối với khán giả với trình độ năng lực kỹ thuật khác nhau.

“Hãy nhìn xem, bảo mật máy tính rất phức tạp,” Reaves nói. “Nhưng y học thậm chí còn phức tạp hơn. Tuy nhiên, trong thời kỳ đại dịch, các chuyên gia y tế công cộng đã có thể cung cấp cho công chúng những hướng dẫn khá đơn giản, ngắn gọn về cách giảm nguy cơ mắc bệnh COVID. Chúng ta cần có khả năng làm được điều tương tự đối với vấn đề bảo mật máy tính.”

Cuối cùng, các nhà nghiên cứu nhận thấy rằng những người viết lời khuyên về bảo mật cần được giúp đỡ.

Reaves nói: “Chúng tôi cần nghiên cứu, hướng dẫn và cộng đồng thực hành có thể hỗ trợ những người viết này vì họ đóng vai trò quan trọng trong việc biến những khám phá về bảo mật máy tính thành lời khuyên thiết thực cho ứng dụng trong thế giới thực”.

“Tôi cũng muốn nhấn mạnh rằng khi xảy ra sự cố bảo mật máy tính, chúng ta không nên đổ lỗi cho nhân viên vì họ đã không tuân thủ một trong hàng nghìn quy tắc bảo mật mà chúng ta mong đợi họ tuân theo. Chúng ta cần phải làm tốt hơn nữa việc tạo ra những hướng dẫn dễ hiểu và dễ thực hiện.”

Nghiên cứu, “Ai nghĩ ra thứ này? Phỏng vấn các tác giả để hiểu cách họ đưa ra lời khuyên bảo mật,” sẽ được trình bày tại Hội nghị chuyên đề USENIX về Quyền riêng tư và bảo mật có thể sử dụng, được tổ chức từ ngày 6 đến ngày 8 tháng XNUMX tại Anaheim, California. Tác giả đầu tiên của nghiên cứu là Lorenzo Neil, một tiến sĩ. sinh viên tại bang NC. Bài báo được đồng tác giả bởi Harshini Sri Ramulu của Đại học George Washington và Yasemin Acar của Đại học Paderborn và Đại học George Washington.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.