Crédito CC0:domínio público
Deficiências nas notificações de violação de segurança, As melhores práticas para avisos de phishing e lições aprendidas com o uso de análises para melhorar o desempenho dos alunos estão entre vários estudos que os pesquisadores da Universidade de Michigan apresentarão a partir deste fim de semana no Reino Unido.
Florian Schaub, professor assistente na Escola de Informação da U-M, e colegas compartilharão seu trabalho de 4 a 9 de maio na Conferência CHI sobre Fatores Humanos em Computação em Glasgow, Escócia.
Violações de dados
Com base em sua pesquisa anterior, que mostrou que os consumidores muitas vezes tomam pouca ação quando enfrentam violações de segurança, a equipe da Escola de Informação liderada pelo estudante de doutorado Yixin Zou e Schaub analisou notificações de violação de dados enviadas por empresas aos consumidores para ver se as comunicações poderiam ser responsáveis por parte da inação.
Eles descobriram que 97% das 161 notificações de amostra eram difíceis ou bastante difíceis de ler com base em métricas de legibilidade, e que a linguagem usada neles pode ter contribuído para a confusão sobre se o destinatário da comunicação estava em risco e deveria tomar medidas.
"Nossa análise mostra que exigir que as empresas por lei enviem notificações de violação de dados por si só não é suficiente, "Zou disse." É importante garantir que informações importantes, como o que aconteceu e o que os consumidores devem fazer para se proteger, sejam comunicadas nessas notificações de uma forma que seja compreensível e acionável pelos consumidores. "
Citando estatísticas da Privacy Rights Clearinghouse, os autores observam que em 2017 houve 853 violações de dados que comprometeram 2,05 bilhões de registros, que incluía nomes de consumidores, números de contas de informações de contato, detalhes do cartão de crédito, números de previdência social, registros de compras e compras, postagens e mensagens nas redes sociais, e registros de saúde.
Em resposta, a maioria dos países, incluindo os Estados Unidos, adotou leis de notificação de violação de dados. Nos E.U.A., cada estado tem sua própria lei de violação de dados, Portanto, o limite para quando os consumidores devem ser notificados, quanto tempo depois de uma violação, e a aparência dessa notificação varia entre os estados.
Isso permite muita liberdade para as empresas usarem termos de hedge que minimizam o risco - usando frases como "você pode ser afetado" e "provavelmente será afetado" em 70% das notificações e dizendo "neste momento, não temos evidências de dados expostos sendo mal utilizados "40% das vezes.
Também permite uma falta de consistência no tratamento da causa da violação, a data de ocorrência e a quantidade de tempo de exposição, dizem os pesquisadores.
"Há pouco incentivo para as empresas investirem em tornar as notificações de violação de dados mais utilizáveis, "Schaub disse." Para a maioria das empresas, essas notificações são vistas apenas como um requisito para cumprir as leis de notificação de violação de dados, em vez de uma forma de educar e proteger seus clientes. Precisamos repensar e reformular as leis de proteção ao consumidor como essas para garantir que as notificações das empresas sejam realmente úteis para os consumidores. "
A maioria das leis estaduais exige que as empresas notifiquem os consumidores afetados por carta ou telefone. Emails, anúncios do site, avisos para a mídia estadual ou outros métodos eletrônicos são geralmente substitutos. O estudo mostra um padrão consistente com 95% das notificações analisadas entregues pelo correio. Os pesquisadores afirmam que a velocidade lenta de uma carta enviada pelo correio pode aumentar o tempo em que os consumidores ficam desinformados da violação.
Phishing
Quando pensamos que temos controle sobre os truques que os ladrões de dados têm na manga para invadir nossos dispositivos na tentativa de roubar nossas informações, alguém chega com uma nova maneira de nos enganar, e os esquemas de phishing no computador podem capturar até mesmo os usuários mais experientes.
Organizações que fornecem serviços de e-mail, incluindo os clientes de e-mail comercial que os consumidores usam todos os dias, adotaram várias medidas para combater as tentativas de phishing, e trabalhar para educar os usuários sobre como evitar links suspeitos em e-mail. Entre os esforços estão vários avisos que alertam os usuários sobre links potencialmente suspeitos.
Em um estudo envolvendo 700 participantes com idades entre 20 e 71 anos, Schaub e colegas da Escola de Informação avaliaram três recursos de design de aviso para ajudar os usuários a avaliar de forma mais eficaz o risco de phishing e evitar sites suspeitos. Eles os compararam ao banner estático de e-mail mais comumente usado - geralmente uma faixa ou caixa colorida usando uma cor forte como o vermelho que aparece como um aviso na parte superior de uma página de e-mail. Os três recursos para comparação são:
Eles descobriram que, quando comparados aos avisos de banner, avisos de phishing com foco em link reduziram a chance de os participantes clicarem em um link de phishing. Os avisos de atenção forçada foram os mais eficazes.
"Detectar e-mails de phishing é difícil para as pessoas e o conselho comum de 'verificar o link antes de clicar' é bom, mas não é realmente compatível com os clientes de e-mail, "Schaub disse." Nossa pesquisa mostra que avisos de phishing bem elaborados podem ajudar os consumidores a detectar melhor os links de phishing, identificando claramente quais links em um e-mail são suspeitos, mostrando com destaque o destino do link suspeito, e forçar os usuários a clicarem no aviso se quiserem continuar para o destino do link.
Análise de Aprendizagem
Ao longo da última meia dúzia de anos ou mais, as universidades têm coletado dados sobre o desempenho dos alunos em cursos selecionados, a fim de criar painéis de advertência para ajudar aqueles que apresentam baixo desempenho. O objetivo deste sob medida, Uma abordagem personalizada para a educação é intervir em pontos-chave em um semestre para ajudá-los a melhorar para que possam ter sucesso.
Na maior parte, essas intervenções do painel mostraram resultados positivos na melhoria dos resultados dos alunos.
Mas um estudo realizado por Schaub e uma equipe da Escola de Informação de um aplicativo de análise de aprendizagem revela que os alunos nem sempre souberam ou compreenderam como seus dados foram coletados e usados. Os pesquisadores descobriram que os alunos querem mais informações sobre esse processo e uma palavra a dizer sobre o que acontece com seus dados.
O programa U-M, conhecido como Student Explorer, começou como uma forma de ajudar a encorajar os alunos STEM a se manterem nos cursos de ciências, tecnologia, engenharia e matemática, visto que muitos estavam ficando desanimados e desistindo cedo de carreiras nessas áreas. Provou ser um sucesso e mais tarde foi adotado por vários programas em todo o campus.
Para seu estudo, os pesquisadores realizaram entrevistas com quatro desenvolvedores de programas, oito conselheiros acadêmicos, e 20 alunos. A pesquisa concluiu que todas as partes interessadas - alunos, Faculdade, conselheiros acadêmicos - devem colaborar nesses programas e fazer parte de sua criação e evolução.
"É realmente importante descobrir essas várias necessidades do usuário e hábitos de uso para garantir que o design e a função do sistema possam atendê-los, "disse Kaiwen Sun, aluno de doutorado e autor principal do artigo.
“Muitos conselheiros e instrutores não estão familiarizados com o conceito de análise de aprendizagem. Eles veem novas plataformas sendo lançadas e pensam que são apenas os usuários. Eles podem não se considerar capazes de desempenhar um papel fundamental no processo de análise de aprendizagem.
"Também acho importante educar as pessoas e promover a conscientização em todo o campus sobre o objetivo, benefícios e impacto da análise de aprendizagem, por que essas diferentes partes interessadas devem se preocupar, e o que eles podem fazer para contribuir com o processo de análise de aprendizagem. "
