Как делать предупреждения ИБ понятными?!

И вновь вернемся к теме юзабилити и информационной безопасности, к которой я обращался не раз. На прошедшей недавно в Сан-Франциско конференции B-Sides Адаму Шостаку из Microsoft задали кажущийся простым вопрос: "Как сделать предупреждения в области ИБ, появляющиеся на экране пользователя, эффективными?" Шостак, а он руководитель программы Usable Security of Microsoft’s Trustworthy Computing, ответил, что они придумали простой инструмент NEAT, который помогает при проверке любых разрабатываемых предупреждений.

NEAT означает:

• Neccessary? - Необходимо? Это сообщение действительно необходимо или без него можно обойтись? Существует некий порог сообщений (у каждого он, наверное, свой) по достижению которого, пользователь начинает кликать "Да" или нажимать Enter не глядя на сообщение и не вникая в его суть.
• Explained? - Разъяснено? Причина показа сообщения разъяснена на языке, понятном пользователю? А ожидаемая от пользователя реакция ему понятна?
• Actionable? - Выполнимо? Пользователь в состоянии выполнить то, что вы от него хотите?
• Tested? - Проверено? А вы сами проверили, как работает это сообщение?

Работает инструмент просто. Если разработчик хочет показать пользователю предупреждение, то он должен утвердительно ответить на все 4 вопроса. Причем на все четыре. Например, у нас есть сообщение "Вы собираетесь загрузить неподписанное приложение на свой компьютер. Да? Нет?" Оно необходимо, но... оно непонятно (много ли людей знает, что такое неподписанное приложение). Ожидаемая реакция тоже непонятна. Что "Да", а что "Нет"? Ну и т.д. Очень простой инструмент, и очень полезный. Разработчикам на заметку.