Moni työntekijä esimerkiksi kopioi luottamuksellista tietoa muistitikulle, vaikka tietää silloin rikkovansa yrityksen tietoturvasääntöjä.

niin ja miksi pitää käyttäjätunnusta ja salasanaa perinteisessä paikassa keltaisella lapulla hiirimaton alla, kun ne voi kätevästi tussilla kirjoittaa monitorin yläkulmaan.

Nykyään on vain vaihtuneet keltaiset laput tarra-tulostimella tulostettuihin selkokielisiin lappuihin, joissa lukee kaikki mahdolliset salasanat. Tarra sitten liimataan kiinni kannettavan tietokoneen kylkeen. Ei ole paljon apua mistään salauksista, koska lapulla lukee kaikki mahdolliset salasanat. Ja hirveä huutohan siitä tuli, kun laput kiskaisi irti - ihan kuin olisi vienyt lapselta tikkarin

Terveiset IT-osastolta niminen tyyppi kirjoittaa hiukan tyyliin "kun ne käyttäjät ovat niin laiskoja ja typeriä".

Olen itse "foliohattu" joka tekee tietoturvahommia ja useammin kuin kerran olen ollut tilanteessa missä tietoturvasääntöjä on rikottava tai mitään ei saada tehdyksi.

Laiskuudesta ei tarvitse aina syyttää käyttäjiä vaan voisi moni IT osasto/päällikkö katsoa peiliin. Sen sijaan että toteuttaa "estetään kaikki niin tietomurtotilanteessa voidaan aina sysätä syy muualle" tietoturvapolitiikka, olisi ehkä järkevämpää tehdä tarvekartoitus ja riskianalyysi ja hyväksyttää tunnetut riskit. Näin tiedetään että ollaan tekemässä kompromissiä tietoturvan ja käytettävyyden välillä.

Esim: Jos käyttäjät pakotetaan 30 päivän välein vaihtamaan salasanaksi jokin jota on mahdoton muistaa, mitä kukaan järkevä ihminen odottaaa tapahtuvaksi? Omasta kokemuksesta voin sanoa että mitä tiukemman salasanan vaihtovälit, sen enemmän post-IT lappuja ilmestyy näppäimistöjen alle.

Käytettävyyden ja tietoturvan suhde on valinta- ja tasapainottelukysymys. Salasanan vaihtamisestakin voidaan argumentoida että paras ratkaisu olisi lopulta sellainen jossa salasanaa ei tarvitsisi koskaan vaihtaa ja samalla, jos se löytyisi työpisteestä (näppiksen alta tms.), rikkomuksesta annettaisiin työntekijälle varoitus. Etuna olisi se että salasana olisi pidettävissä haltijansa ulkomuistissa kuin pankkikortin tunnusluku.

Uskon pitkään alan kokemukseen perustuen että käytännölliset (ja käytettävyyttä painottavat) tietoturvasäännöt yhdistettynä tuntuviin rikkomissanktioihin on ratkaisu jota parempaan ei voida päästä niin kauan kun koneiden käyttäjät ovat ihmisiä.

Lisäksi nettisurffailu pitäisi sallia vain Terminal Serverin läpi toimivalta koneelta joka olisi tiukasti palomuurattu ja josta johtaisi levymappaus käyttäjän kotihakemiston yhteen kansioon. Jokainen tiedosto joka tyrkättäisiin siihen jakoon (esim. netistä downloadattavat), ajettaisiin surffailukoneen viruskannerin kautta. Joka yö klo. 3:00 surffailu terminal server "ghostattaisiin" puhtaan pöydän koneeksi. Työasemilla ei olisi (suoraan) asiaa nettiin firman verkosta.