Comment expliquer la cybersécurité et améliorer le comportement des utilisateurs en même temps

Comment expliquer la cybersécurité et améliorer le comportement des utilisateurs en même temps

Imaginez que vous vous occupiez de votre journée lorsqu’un ami ou un collègue ayant une expérience limitée de la cybersécurité vous demande ce que vous faites ou ce que vous pensez de la technologie de sécurité la plus récente. Comment pouvez-vous vous engager avec une réponse qui n’est ni laconique, ni trop technique, ni trop subjective? Comment pouvons-nous traduire les problèmes de cybersécurité et donner des valeurs à ceux qui les interrogent?

À cette fin, voici quelques conseils sur la manière d’expliquer les problèmes de cybersécurité à vos collègues dans des termes qu’ils comprendront.

Gardez vos réactions en échec

À moins que vous ne travailliez dans un environnement très visible, les gens ne risquent pas de se poser de questions, alors réalisez que c’est une excellente occasion, non seulement de fournir des réponses, mais aussi de les engager à long terme. Cela dit, même les meilleurs d’entre nous pourraient avoir une journée de congé et réagir de manière défavorable à une question posée. Toutefois, il convient de rappeler que le fait de réagir à une enquête par un choc ou un mécontentement visible peut entraîner de nouvelles difficultés.

Si vous ne vous sentez pas particulièrement sortant ou en conversation un jour donné, pensez à prendre un moment pour comprendre que quelqu’un vous demande votre avis ou vos conseils sur un problème de cybersécurité. Les remerciant simplement pour leur question ou leur réponse: «C’est une bonne question», vous pouvez consacrer du temps pour recueillir vos impressions sur le sujet à l’examen et y répondre avec confiance et autorité.

Clarifier la question et son contexte

Nous avons tous été dans des situations où nous commençons à répondre à une question et à nous rendre compte, après plusieurs minutes, que nous répondions à la mauvaise question ou que nous n’avions tout simplement pas suffisamment d’informations sur le contexte dans lequel la question était formulée. Si les détails de la question d’un collègue ne sont pas clairs, posez une question de clarification qui reprend bon nombre des mots de la question initiale.

Par exemple, si Bob demande: «Devrais-je m’inquiéter de la nouvelle connexion en deux étapes pour mon compte bancaire?», Le vrai cœur du problème pourrait être l’approche standard nom d’utilisateur-mot de passe et ses faiblesses, un changement récent dans l’interface utilisateur pour une page de connexion, ou l’authentification à deux facteurs (2FA) et certaines des préoccupations relatives aux jetons basés sur SMS dans les actualités. Un moyen rapide de le savoir consiste à répondre par exemple: «Par connexion en deux étapes, voulez-vous dire nom d’utilisateur et mot de passe ou un code d’authentification à deux facteurs envoyé par votre banque?» Si Bob répond qu’il s’agit d’environ 2FA, vous pourriez Répondez à une autre question pour savoir si le jeton est envoyé par SMS, une application bancaire sur son téléphone ou un jeton matériel.

Comprendre le contexte des questions est également essentiel pour garantir que votre réponse est utile et appropriée. Dans l’exemple ci-dessus, Bob a posé une question sur le processus d’authentification, mais avons-nous assez de contexte? Parmi les exemples de questions susceptibles de générer un contexte supplémentaire, citons: «quand est-ce arrivé?» Ou «pourquoi posez-vous la question?». Compte tenu de ces questions, Bob pourrait dire qu’il a récemment eu des difficultés à se connecter à son compte bancaire alors qu’il était en voyage d’affaires. Nous pourrions également apprendre que les jetons SMS ont pris plusieurs minutes pour atteindre son téléphone portable et que, à ce moment-là, la banque n’avait plus accepté leur validité.

Expliquez la cybersécurité avec des métaphores utiles

Aussi enclin que nous soyons à répondre à une question par une réponse technique complexe, il est préférable de garder à l’esprit certaines des façons les plus efficaces dont les humains ont partagé l’information pendant des siècles. Par exemple, il peut être utile d’expliquer la question à l’aide d’une métaphore qui offre un chemin vers une solution que l’auditeur peut suivre. Déterminer comment expliquer les questions de cybersécurité implique de se concentrer sur ce que le demandeur sait déjà et sur son cadre de référence, puis d’adapter nos explications en fonction de ces connaissances.

Comment pouvons-nous aider Bob à comprendre SMS 2FA et ses faiblesses? Peut-être pourrions-nous utiliser la métaphore du chien de garde – même si une personne a la clé de votre maison, à moins d’avoir votre visage ou votre voix, elle ne pourra pas entrer.

Pensez influence, pas jugement

Les professionnels de la cybersécurité ont passé des années, voire des décennies, à perfectionner leur intuition et à améliorer leur base de connaissances, ce qui peut permettre un diagnostic rapide des problèmes avec des réponses rapides. Cependant, nous devons veiller à ce que nos réponses soient présentées de manière constructive et ne soient pas enveloppées dans une enveloppe de “je ne peux pas croire que vous feriez cela” ou “les gens intelligents ne font pas les choses de cette façon”.

Quand quelqu’un pose une question, la dernière chose qu’il veut entendre, c’est qu’il a tort ou qu’il est stupide de poser la question ou de réagir de façon défavorable à ses défis. Résistez à l’envie de juger leur comportement ou leur manque d’information et cherchez plutôt des moyens de les aider à voir les risques que posent leurs actions et de les amener à réfléchir aux répercussions de ces actions sur la vie privée et la sécurité.

À cette fin, essayez de fournir des réponses qui influencent leurs attitudes envers la cybersécurité bien après la fin de leurs interactions avec vous.

Tirez parti de la puissance des questions

Au lieu de formuler un démenti déclaratif sous la forme «vous ne devriez jamais faire cela», pourquoi ne pas répondre avec une question de votre choix? Plantez la graine d’une pensée persistante qui guidera Bob pendant des mois après la réponse à sa question. Qu’est-ce que Bob devrait se demander avant ses actions d’ici? Y a-t-il des règles de procédure qu’il devrait garder à l’esprit pour aller de l’avant? Assurez-vous que Bob sait réfléchir avant de cliquer et lui indique où il peut se tourner pour trouver les bonnes réponses.Pour développer davantage votre réponse à Bob, vous pouvez également expliquer les avantages que 2FA basé sur SMS peut fournir et terminer par une liste de questions que Bob peut poser à sa banque ou à son propre compte. Les questions posées à sa banque pourraient concerner le facteur de délai d’expiration du jeton SMS, s’il existe des obstacles empêchant les jetons SMS d’atteindre son téléphone lorsqu’il est en voyage d’affaires à l’étranger et s’il existe un autre moyen de procéder à l’authentification multifactorielle par SMS. Les questions auxquelles Bob devrait réfléchir à long terme devraient inclure la prise en compte des préoccupations plus larges de confidentialité et de sécurité autour des données et de la technologie qu’il apporte avec lui lors de ses voyages.

Bien que Bob n’obtienne peut-être pas une réponse rapide et simple, soyons réalistes : Il reste peu de réponses simples et rapides dans le domaine de la cybersécurité. D’un autre côté, Bob a maintenant une compréhension plus précise de la question difficile de l’authentification, et il pensera probablement à la sécurité et à la protection de la vie privée en voyage pendant un certain temps. Bob peut partir heureux d’avoir posé une question et de ne pas avoir été rabaissé pour cela, et il reviendra probablement vers vous avec d’autres questions.

Modifiez la conversation sur la sécurité pour faire progresser votre entreprise Pratiquez la sécurité des médias sociaux pour protéger les données personnelles et d'entreprise