यदि आप कभी भी अपने कार्यस्थल में दिए गए कंप्यूटर सुरक्षा निर्देशों से भ्रमित हुए हैं, तो आप अकेले नहीं हैं। एक हालिया अध्ययन इन दिशानिर्देशों को विकसित करने में एक बुनियादी मुद्दे पर प्रकाश डालता है और उन्हें बढ़ाने के लिए तत्काल कदम उठाने का सुझाव देता है - संभावित रूप से कंप्यूटर सुरक्षा में सुधार।
चिंताएँ कंप्यूटर सुरक्षा प्रोटोकॉल को लेकर हैं जो व्यवसाय और सरकारी एजेंसियां समान रूप से अपने कर्मचारियों को प्रदान करती हैं, जो कर्मचारियों को व्यक्तिगत और संगठनात्मक डेटा को मैलवेयर और फ़िशिंग हमलों जैसे खतरों से बचाने में मार्गदर्शन करने के लिए डिज़ाइन किए गए हैं।
नए अध्ययन के संबंधित लेखक और हार्वर्ड विश्वविद्यालय में कंप्यूटर विज्ञान के सहायक प्रोफेसर ब्रैड रीव्स ने कहा, "एक कंप्यूटर सुरक्षा शोधकर्ता के रूप में, मैंने देखा है कि मैंने जो कंप्यूटर सुरक्षा सलाह ऑनलाइन पढ़ी है, उनमें से कुछ भ्रामक, भ्रामक या बिल्कुल गलत हैं।" "कुछ मामलों में, मुझे नहीं पता कि सिफारिशें कहां से आती हैं या वे किस पर आधारित हैं। यही इस अध्ययन के लिए प्रेरणा थी। ये दिशानिर्देश कौन लिख रहा है? उनकी सिफारिशें किस पर आधारित हैं? उनकी प्रक्रिया क्या है? क्या ऐसा कुछ है जो हम बेहतर कर सकते हैं?"
अध्ययन के लिए, शोधकर्ताओं ने बड़ी कंपनियों, विश्वविद्यालयों और सरकारी एजेंसियों जैसे संगठनों के लिए कंप्यूटर सुरक्षा गाइड लिखने के लिए जिम्मेदार पेशेवरों के साथ 21 गहन साक्षात्कार आयोजित किए।
रीव्स ने कहा, "यहां मुख्य बात यह है कि जो लोग इन दिशानिर्देशों को लिखते हैं वे यथासंभव अधिक जानकारी प्रदान करने का प्रयास करते हैं।" "सिद्धांत रूप में, यह बहुत अच्छा है। लेकिन लेखक सबसे महत्वपूर्ण सिफारिशों को प्राथमिकता नहीं देते हैं। या, अधिक विशेष रूप से, वे उन कम महत्वपूर्ण बिंदुओं को प्राथमिकता नहीं देते हैं। इतनी सारी सुरक्षा सिफारिशों को शामिल करने के साथ, दिशानिर्देश भारी हो सकते हैं, और सबसे महत्वपूर्ण बिंदु फेरबदल में खो जाते हैं।"
शोधकर्ताओं ने पाया है कि सुरक्षा दिशानिर्देश इतने जबरदस्त होने का एक कारण यह है कि दिशानिर्देश लेखक विभिन्न आधिकारिक स्रोतों से हर संभव वस्तु को शामिल करते हैं।
रीव्स ने कहा, "दूसरे शब्दों में, दिशानिर्देश लेखक पाठकों के लिए सुरक्षा जानकारी संकलित करने के बजाय सुरक्षा जानकारी संकलित कर रहे हैं।"
साक्षात्कारों से जो सीखा, उसके आधार पर शोधकर्ताओं ने भविष्य के सुरक्षा मार्गदर्शन में सुधार के लिए दो सिफारिशें कीं।
सबसे पहले, दिशानिर्देश लेखकों को जानकारी को प्रबंधित करने के तरीके पर सर्वोत्तम प्रथाओं के एक स्पष्ट सेट की आवश्यकता होती है ताकि सुरक्षा गाइड उपयोगकर्ताओं को बताएं कि उन्हें क्या जानने की आवश्यकता है और उस जानकारी को कैसे प्राथमिकता दी जाए। दूसरा, लेखकों और संपूर्ण कंप्यूटर सुरक्षा समुदाय को महत्वपूर्ण जानकारी की आवश्यकता है जो तकनीकी क्षमता के विभिन्न स्तरों वाले दर्शकों के लिए सार्थक हो।
"देखो, कंप्यूटर सुरक्षा जटिल है," रीव्स ने कहा। "लेकिन चिकित्सा अधिक जटिल है। फिर भी, महामारी के दौरान, सार्वजनिक स्वास्थ्य विशेषज्ञ जनता को काफी सरल, संक्षिप्त मार्गदर्शन प्रदान करने में सक्षम थे कि कैसे COVID-19 के संक्रमण के जोखिम को कम किया जाए। हमें कंप्यूटर सुरक्षा के लिए भी ऐसा करने में सक्षम होने की आवश्यकता है।"
अंततः, शोधकर्ताओं ने पाया कि सुरक्षा सलाह लेखकों को मदद की ज़रूरत है।
रीव्स ने कहा, "हमें अनुसंधान, मार्गदर्शन और अभ्यास के एक समुदाय की आवश्यकता है जो इन लेखकों का समर्थन कर सके क्योंकि वे कंप्यूटर सुरक्षा निष्कर्षों को वास्तविक दुनिया के अनुप्रयोगों के लिए व्यावहारिक सिफारिशों में अनुवाद करने में महत्वपूर्ण भूमिका निभाते हैं।" "मैं इस बात पर भी जोर देना चाहता हूं कि जब कोई कंप्यूटर सुरक्षा घटना होती है, तो हमें कर्मचारियों को दोष नहीं देना चाहिए क्योंकि उन्होंने उन हजारों सुरक्षा नियमों में से एक का भी पालन नहीं किया जिनकी हम उनसे अपेक्षा करते हैं। हमें ऐसे दिशानिर्देश विकसित करने का बेहतर काम करने की जरूरत है जो समझने और लागू करने में आसान हों।"