Соответствующая работаПринятие решений по безопасностиДля большинства обычны

1. Соответствующая работа
2. Принятие решений по безопасности
3. Для большинства обычных пользователей компьютеров защита компьютера от проблем, связанных с безопасностью, является сложной задачей. Угрозы и атаки [2] являются постоянными и повсеместными, и в результате конечные пользователи должны принимать самые разнообразные решения в области компьютерной безопасности, несмотря на отсутствие подготовки или опыта для принятия таких решений [8].
4. Многие эксперты считают конечных пользователей изначально небезопасными [9, 10]. Из-за этого разработчики систем компьютерной безопасности выступали за максимально возможное удаление принятия решений пользователями из систем безопасности [11, 12]. Тем не менее, есть некоторые задачи, в которых люди просто лучше, чем компьютеры [13], и есть некоторые действия (например, перезагрузка), над которыми пользователи должны иметь возможность осуществлять некоторую свободу действий [14]. Поэтому разработчики систем часто вовлекают пользователей в повседневное принятие решений по безопасности.
5. Большинство людей находят такие решения трудно принимать. Люди обычно думают о безопасности только тогда, когда что-то идет не так [15], и не имеют хорошего понимания того, как на практике выглядит риск безопасности [16]. Большинство людей используют упрощенные ментальные модели атакующих [3] для принятия решений. Эти упрощенные модели не отражают сложности многих реальных ситуаций, но в основном используют метафоры для описания и обоснования проблем безопасности [17]. Ментальные модели начинающих пользователей часто сильно отличаются от моделей экспертов по безопасности [18]. Другой распространенной стратегией среди конечных пользователей является делегирование решений по безопасности доверенному другому лицу, например эксперту по безопасности или организации [19].
6. Все эти стратегии, однако, требует некоторого количества знаний о компьютерной безопасности. Осознание рисков, угроз и опасностей важно для того, чтобы эффективно справляться с проблемами
7. и их решения [20]. Это осознание и знание могут быть неполными или неточными [3, 21]. Даже когда люди распознают угрозы, связанные с безопасностью, такие как вирусы и вредоносные программы, это признание относится только к широким категориям, а не к конкретным деталям и практическим знаниям, необходимым им для адекватной защиты [22]. Тем не менее, люди должны узнать о безопасности, потому что они должны принимать решения, связанные с безопасностью, как они используют свои компьютеры на ежедневной основе [4]. Хотя эксперты и новички иногда следуют одним и тем же советам, эксперты гораздо чаще следуют советам по безопасности, которые защищают от более крупных классов атак, таких как использование разных паролей на разных веб-сайтах [23]. И Kang et al. [24] обнаружили, что осведомленность об угрозах как среди экспертов, так и среди новичков связана с принятием защитных мер, но люди, которые узнали об угрозах через прошлый негативный опыт безопасности, были более мотивированы защищать себя, чем те, у кого такого опыта нет.
8. Один из путей для пользователей компьютеров, чтобы узнать о компьютерной безопасности от своего работодателя на рабочем месте, через безопасности образования, обучения и осведомленности (SETA) программы [25]. Однако программы обучения компьютерной безопасности имеют тенденцию быть мотивирующими и убедительными, более чем фактическими - больше о поощрении соблюдения политики, чем о передаче знаний и навыков [26]. Это обучение также имеет тенденцию к деконтекстуализации (лучшие практики, а не ситуативные реакции) или фокусируется на рутинной деятельности, что затрудняет применение к реальным проблемам или ситуациям, которые являются более сложными [16]. Пользователи, которые не получили формального обучения, сообщают, что они в основном самоучки, или учились на опыте, или от людей, которых они знают, таких как коллеги, друзья и члены семьи [27].
9. Неформальное обучение
10. Обучение не ограничивается формальными параметрами, как учебные классы. Большинство людей продолжают учиться взрослыми менее формально. Марсик и Уоткинс [28] проводят различие между неформальным и случайным обучением . Основное различие заключается в интенциональности: неформальное обучение происходит, когда люди намеренно выбирают поиск новых идей, в то время как случайное обучение происходит “en pas-sant”, как побочный продукт другой повседневной деятельности [28].
11. Когда люди учатся неофициально, они намеренно выбирают поиск и изучение новых идей. Однако это обучение, как правило, гораздо менее структурировано, чем в классе, и, как правило, направлено на себя [28]. Неформальное обучение интегрируется с существующими ежедневными процедурами, хотя обычно оно инициируется каким-то внутренним или внешним “толчком"."Несмотря на преднамеренность, это, как правило, не очень сознательная или структурированная деятельность, и часто она проводится бессистемно и зависит от случайности. Это также часто связано с обучением других людей и делается как часть группы [29].
12. В отличие от этого, случайное или неявное обучение происходит “независимо от сознательных попыток учиться и в отсутствие явного знания о том, что было изучено” [30]. Часто это обучение происходит во время повседневной деятельности. Eraut [31] выделяет этот тип обучения, сколько познание происходит, когда обучение происходит. Он говорит о почти спонтанном или реактивном обучении, которое происходит в середине какого-то другого действия, когда мало времени для размышлений. Это отличается от совещательного обучения, когда человек тратит время на обдумывание и обдумывание определенной ситуации, а также на участие в дискуссионных мероприятиях, таких как планирование и решение проблем. Совещательное обучение происходит, когда есть четкая цель, основанная на работе, и обучение происходит как побочный продукт