jueves, 17 de marzo de 2016

¿Quién está detrás de los errores de los usuarios?

Cargando...
Trabajo. Foto: © Sofie Delauw/Corbis. Imagen tomada de: semana.com.
Mucho se ha hablado acerca de la sensibilización y concienciación en materia de seguridad de la información en las organizaciones. Escuchamos constantemente la frase. 

"El eslabón mas débil de la cadena es el usuario" 

Constantemente escuchamos chistes y comentarios de muchos profesionales de seguridad acerca de lo que hacen los usuarios y como lo hacen. Luego de revisar este articulo Behind every stupid user is a stupider security professional, y este articulo Do you create stupid users? , quedan muchas reflexiones y muchas observaciones relacionadas con la forma en cómo los especialistas de tecnologías de la información y dentro de ellos los mismos responsables de seguridad dejan de entender un universo (mente), dejan de entender a otros toda vez que la "lógica" usada por los profesionales parece bastar y ser suficiente y dejar por fuera el entendimiento que otros que no poseen el conocimiento tienen acerca de una situación que no comprenden, que desconocen y que en su "lógica" lo hacen de la manera que mas les parece. Todo esto en algunos casos lleva a cuestionar las prácticas en materia de sensibilización y conciencia de seguridad de la información.

Efectivamente, con las prácticas en materia de sensibilización y concientización de seguridad si se crean usuarios y más aún, que estén comprometidos con la protección de la información; parte de la responsabilidad de los líderes de seguridad es crear escenarios claros que le permitan a esos múltiples universos entender una nueva realidad, un mundo digital donde existen nuevos normales, donde existen riesgos de los que ellos pueden ser víctimas, de los que los usuarios algunas veces o en muchos de los casos no saben lo que pasa. Los medios y las noticias actuales registran a las amenazas de ingeniería social en el top de las amenazas electrónicas usadas, lo cual también invita a la reflexión de que otros reconocen un universo y reconocen de él unas prácticas poco orientadas que son aprovechadas en pro de un beneficio.

Es por ende que se requiere repensar y replantear los métodos, mecanismos, estilos, herramientas y capacidades usados comúnmente para sensibilizar, capacitar, y educar a los usuarios; los líderes de seguridad deberían poder ir mas allá de lo conocido tratar de ponerse en los zapatos de quien no domina el tema, y porque no que sean capaces de utilizar el término "empatía" como una nueva característica de su rol y aplicarla a la hora de pensar en la labor titánica de poder crear conciencia en las organizaciones.

Con ello dejo las siguientes preguntas de reflexión para todos.

Tómense unos segundos para pensarlo
  • ¿Se ha puesto usted en los zapatos de un usuario final?, ¿como se sentiría?
  • ¿Cómo se sentiría si le dijeran "es un usuario..." o alguna de las expresiones que se suele usar?
  • Como usuario final, ¿qué le gustaría que le dijeran de la seguridad de la información?
  • Como usuario final responda la pregunta del ¿para que existen controles y medidas de protección?, o lo que es lo mismo, ¿para qué existe la seguridad de la información en la organización?
  • Como usuario final responda, ¿qué gano yo con la seguridad de la información?
A lo mejor poniéndose en los zapatos del otro se pueda pensar y hacer cosas distintas. 

----------
----------

Referencias
  1. Social engineering confirmed as top information security threat. http://www.computerweekly.com/news/4500273577/Social-engineering-confirmed-as-top-information-security-threat?cid=edmi_1201622
  2. Behind every stupid user is a stupider security professional. http://www.csoonline.com/article/3044075/security/behind-every-stupid-user-is-a-stupider-security-professional.html?token=%23tk.CSONLE_nlt_cso_after_dark_2016-03-15&idg_eid=8969b876c9d73b1e9c7aa7122a5c5f04&utm_source=Sailthru&utm_medium=email&utm_campaign=CSO%20After%20Dark%202016-03-15&utm_term=cso_after_dark#tk.CSO_nlt_cso_after_dark_2016-03-15
  3. Do you create stupid users?.http://www.csoonline.com/article/2853448/security-awareness/do-you-create-stupid-users.html
  4. EMPATIA CON UNO MISMO. https://www.linkedin.com/pulse/empatia-con-uno-mismo-coach-de-personas-y-equipos?trk=hp-feed-article-title-publish
  5. CISOs should take security training seriously. http://www.csoonline.com/article/3025315/security-awareness/cisos-should-take-security-training-seriously.html#tk.lin_cso
  6. Security as Discipline, Not Technology. http://www.tripwire.com/state-of-security/security-awareness/security-as-discipline-not-technology/
  7. CISOs still grappling with security awareness training. http://www.scmagazineuk.com/cisos-still-grappling-with-security-awareness-training/article/360659/
Escrito por: Andres Ricardo Almanza Junco - Coaching in information security and privacy

1 comentario:

  1. Hoy por hoy las personas somos uno de los más grandes retos en las organizaciones en materia de seguridad de la información y la historia ya lo ha demostrado, podemos tener grandes controles tecnológicos o físicos, pero si las personas no tenemos el conocimiento y somos conscientes de nuestra responsabilidad y nuestro valor dentro de la organización, podemos ser susceptibles de errores que pueden reducir a cero los demás controles implementados.

    ResponderEliminar