В рамках исследования эксперты выявили недочеты в руководствах по кибербезопасности, которые предоставляются сотрудникам организаций, и предложили способы усовершенствования этих документов.
Брэд Ривз из Университета Северной Каролины говорит, что материалы предназначены для защиты личных и корпоративных данных вредоносов и фишинга, но эффективность инструкций вызывает вопросы: «В некоторых случаях я даже не знаю, откуда пришла информация и на чём она основана. Это стало толчком для нашего исследования. Кто создаёт эти инструкции? На чём они базируют свои рекомендации? Как выглядит процесс? Есть ли возможность его улучшить?»
Учёные опросили 21 специалиста, отвечающего за разработку такого типа руководств в корпорациях, университетах и госучреждениях, и выяснили, что авторы предоставляют максимум информации, однако, упускают детали.
«Основной момент здесь в том, что люди, пишущие эти мануалы, пытаются дать как можно больше вводных. В теории это замечательно. Но они не приоритизируют самые полезные рекомендации. Или точнее не отдают должное внимание менее важным пунктам. Из-за большого объёма советов по безопасности инструкции оказываются слишком перегруженными, а важные моменты теряются в информационном шуме», — добавил Ривз.
В итоге исследователи обозначили два важных пункта: первый — авторам необходимо внимательнее относиться к отбору информации; второй — нужны ключевые тезисы, понятные аудитории с разным уровнем технической подготовки.
«Я также хочу подчеркнуть, что при инциденте, связанном с кибербезопасностью, не следует обвинять сотрудника в том, что он не соблюдал одно из тысячи правил, исполнения которых мы от него потребовали. Нам нужно создавать мануалы, которые будут понятны и просты для реализации», — заключил Брэд Ривз.