Группа исследователей из Бингемтонского университета (США) в течение нескольких лет занималась изучением того, как сотрудники относятся к соблюдению установленных в организации правил информационной безопасности. Исследование проводилось в медицинском учреждении, где правила обращения с данными отличаются особой строгостью. Один из исследователей проработал в нем два года, одновременно проводя наблюдения за работой других сотрудников.
Правила требуют от сотрудников блокировать рабочие станции с доступом к электронным медицинским картам, если они куда-то отлучаются. Как выяснилось, сотрудники, принадлежащие к разным группам, ведут себя по-разному. Врачи, которым приходится чаще других иметь дело со срочными ситуациями, чаще оставляют рабочие станции незаблокированными. Напротив, члены обслуживающего персонала почти всегда выполняли правила блокирования. Они опасались, что их накажут или уволят, если произойдет утечка данных.
При составлении политики информационной безопасности необходимо изучать отношение к ней отдельных групп сотрудников, заключают исследователи. В противном случае вероятность несоблюдения правил повышается. В медицинских учреждениях исследователи рекомендуют применять бесконтактные системы аутентификации, которые автоматически блокируют и разблокируют рабочие станции при приближении сотрудников.