Joven hacker sonriendo
Caricatura acerca de políticas de seguridad

Keep it simple and secure

Conceptos de seguridad y usabilidad aplicados
La seguridad de la información no debe verse como algo complejo y difícil de implementar, por el contrario, muchas veces los métodos simples son más eficaces. En este artículo presentamos algunas recomendaciones de seguridad para proteger la información de la empresa, de forma simple y eficiente.

Muchas veces tendemos a creer que la seguridad de la información debe ser compleja, procesos llevados a cabo por solo unos cuantos mortales, pero es un error, la verdad de la seguridad es que debe ser simple, clara y para todo el mundo, que cualquier persona en la organización entienda los procesos de seguridad. Es por esto que en esta ocasión veremos cual es la verdadera relación entre seguridad y usabilidad.

Pensemos en el siguiente ejemplo, existen empresas que como medida de seguridad auto-generan las credenciales de los usuarios con software especializado, como se ve a continuación.

Usuario: FLOPEZ Contraseña: !q5@res144safc

Nadie puede negar que esta es una contraseña muy compleja y muy difícil de adivinar por ataques de diccionario o fuerza bruta, pero la verdad de esta es que también es difícil de recordar para un usuario, tiene muy poca usabilidad, a sí que lo más probable es que este termine anotándola en algún lugar y el nivel de amenaza sea mayor a que si el mismo usuario hubiera creado la contraseña. El punto es que la usabilidad debe ser un aliado de la seguridad y no un opuesto.

seguridad

Principios de la usabilidad

  • Velocidad

  • Aprendizaje

  • Eficiencia

  • Memoria

  • Preferencia del usuario

KISS (keep it simple and secure)

KISS no es un auge actual, es un principio que se ha ido adaptando desde hace algún tiempo por muchas organizaciones, por ejemplo:

  • Muchos fabricantes de hardware actualmente implementan interfaces gráficas o web para permitirle a los administradores una configuración más fácil a comparación a otras épocas donde todo era por CLI

  • El sistema de doble autenticación de Google fue pensado tanto en la seguridad como la usabilidad permitiendo a un usuario verificar sus credenciales de forma rápida y fácil

  • Los S.O permiten un entorno de instalación y configuración más amigable que en tiempos anteriores.

Pero no hay que confundirnos simple no es sinónimo de un nivel de seguridad bajo, donde cualquier persona pueda hacer cualquier proceso sin restricciones, simple significa que cada política, proceso, estándar o línea base tenga el nivel de complejidad necesario para que las personas encargadas puedan entenderlo y aceptarlo sin complicaciones. Simple significa que antes de implementar una medida de seguridad, como por ejemplo reconocimiento facial, se debe verificar cuales son los efectos positivos y negativos sobre el entorno y las personas que usarán el sistema o se unirán al proceso.

Las 7 C en los procesos de seguridad.

Las 7 C es un principio de la comunicación, pero puede aplicarse a muchos ámbitos, en este caso se puede aplicar a los procesos de seguridad, una extensión de KISS.

Mantelo:

  1. Claro.

  2. Conciso.

  3. Concreto.

  4. Correcto.

  5. Coherente.

  6. Completo.

  7. Corto.

Es esto lo que se debe tener en cuenta al definir nuevos artefactos en un sistema de seguridad.

La verdad sobre la seguridad es que un proceso complejo no es mejor a un proceso simple “El principio de la navaja de Ockham”, los procesos complejos terminan siendo rechazados la mayoría de veces por los usuarios. Así que la reflexión que les dejo es a pensar en la relación que existirá entre una nueva medida de seguridad y cómo será adoptada por los usuarios. ¿Es la mejor solución?


Foto del autor

Camilo Cardona

Ingeniero de sistemas y computación, OSCP, OSWP

"No tengo talentos especiales, pero sí soy profundamente curioso" Albert Einstein


Relacionado





Haz un comentario

Estado de los servicios - Términos de Uso