Ver más entradasExiste una gran desconexión entre las prioridades de los equipos de seguridad y lo que verdaderamente hacen; invirtiendo en esto último su tiempo y presupuesto.
La reciente encuesta Black Hat Attendee 2015, muestra que mientras los profesionales de seguridad se preocupan por amenazas de ataques directos y riesgos de ingeniería social, lo que realmente hacen es lidiar con problemas mucho más comunes.
Es una controversia diaria entre manejar lo “urgente” a expensas de lo importante. Un ejemplo, si tu equipo de seguridad dedica la mayor parte de sus recursos luchando contra la pérdida de datos de vectores de riesgo comunes y evitables; no hay manera de adoptar un enfoque más proactivo hacia las más grandes e importantes amenazas.
Los dos conceptos que contribuyen más al gasto del presupuesto de seguridad son: las contrariedades (de menor prioridad) de errores internos y las fugas accidentales de datos. Exactamente lo contrario de como debería ser, y por esto mismo, las compañías gastarán casi $80B de dólares en tecnología de seguridad este año.
Las causas fundamentales de estas brechas consumidoras de tiempo son tres:
- Experiencias de Usuario pobres. Aplicaciones cuyos diseños limitan flexibilidad o interrumpen el flujo de trabajo de los empleados provocan que las personas busquen soluciones no autorizadas. Esta es la fuente principal de fugas accidentales de datos.
- Procesos muy complejos. La complejidad inspira improvisación, y si un proceso que pretende proteger información requiere muchos pasos, aprobaciones, o decisiones; hay un riesgo que los empleados involucrados busquen eludir el proceso y existan errores internos de cumplimiento.
- Sistemas heterogéneos. Un claro ejemplo de esto, es la vulnerabilidad Stagefright de Android. Dejando las especificaciones de lado, esta vulnerabilidad remarca los riesgos de un sistema heterogéneo; pues estando tan fragmentado el ecosistema Android, expertos estiman que tan sólo el 20% de terminales activas podrán recibir actualización de sistema.
Cuando el diseño se pasa por alto, se propician comportamientos riesgosos. La “Seguridad Utilizable” (Usable Security) es la mejor y más efectiva solución en seguridad.
Hay mucho por explorar en el tema de implementación UX y Design Thinking en un ambiente de seguridad TI; pero ya sea que te encuentres desarrollando una nueva tecnología de seguridad o intentando mantener el control de tus programas de seguridad, hay algunas cosas que puedes hacer para beneficiarte del Design Thinking:
- Siempre piensa en la “Seguridad Utilizable”. No es suficiente que las soluciones en seguridad sean impenetrables. También deben ser invisibles para los usuarios finales. Incluso la mejor solución es inútil si no es utilizada
- Ponte en el lugar de tus empleados. Examina las herramientas, procesos y flujos de trabajo desde su punto de vista. Esto puede ser tan sencillo como sentarte con ellos mientras cumplen sus actividades diarias. Observa, pregunta y no juzgues.
- Haz los procesos tan sencillos como sea posible, pero no más simples. Una buena regla de vida, busca maneras de eliminar pasos innecesarios en software y procesos.
- Observa el sistema como un todo para encontrar inc
-
onsistencias. Los problemas surgen en los lugares más inesperados; y una decisión tomada hace 6 meses (o 6 años) es potencialmente el “talón de Aquiles” en el diseño de tu sistema.
Para una organización de seguridad, es crucial la contratación de una persona experta en diseño de Experiencia del Usuario. Las compañías tendrán éxito en comprender al usuario y en seguridad de datos, si encuentran a alguien que entienda cómo una experiencia verdaderamente usable y sin bloqueos puede alentar un comportamiento más seguro.
De la misma manera que el diseño de experiencia ha estimulado la adopción de herramientas de colaboración, para compartir y explorar datos en empresas; se puede mejorar la seguridad al enfocarse primero en el diseño de UX.
Fuente: HELP NET SECURITY
