Los diseñadores de tecnología comienzan construyendo un producto y probándolo en los usuarios. El producto es lo primero; Las aportaciones del usuario se utilizan para confirmar su viabilidad y mejorarla. El enfoque tiene sentido. McDonald's y Starbucks hacen lo mismo. La gente no puede imaginar nuevos productos, al igual que no puede imaginar recetas, sin experimentarlos.
Pero el paradigma también se ha extendido al diseño de tecnologías de seguridad, donde creamos programas para la protección del usuario y luego les pedimos que los apliquen. Y esto no tiene sentido.
La seguridad no es una idea conceptual. La gente ya utiliza el correo electrónico, navega por la Web, utiliza las redes sociales y comparte archivos e imágenes. La seguridad es una mejora que se superpone a algo que los usuarios ya hacen cuando envían correos electrónicos, navegan y comparten en línea. Es similar a pedirle a la gente que use el cinturón de seguridad.
Es hora de mirar la seguridad de manera diferente
Nuestro enfoque en materia de seguridad, sin embargo, es como enseñar seguridad a los conductores ignorando cómo conducen las personas. Hacer esto prácticamente garantiza que los usuarios adopten algo ciegamente, creyendo que es mejor o, por otro lado, cuando se les obligue, simplemente lo cumplan. De cualquier manera, los resultados no son óptimos.
Tomemos el caso del software VPN. Estos son fuertemente promocionados. a los usuarios como una herramienta de seguridad y protección de datos imprescindible, pero la mayoría tiene validez limitada o nula. Ponen en mayor riesgo a los usuarios que creen en sus protecciones, sin mencionar que los usuarios corren más riesgos al creer en dichas protecciones. Además, considere la capacitación en concientización sobre seguridad que ahora exigen muchas organizaciones. Aquellos que consideran que la capacitación es irrelevante para sus casos de uso específicos encuentran soluciones alternativas, que a menudo conducen a innumerables riesgos de seguridad.
Hay una razón para todo esto. La mayoría de los procesos de seguridad están diseñados por ingenieros con experiencia en el desarrollo de productos tecnológicos. Abordan la seguridad como un desafío técnico. Los usuarios son simplemente otra acción dentro del sistema, no diferente del software y hardware que pueden programarse para realizar funciones predecibles. El objetivo es contener acciones basadas en una plantilla predefinida de qué insumos son adecuados, de modo que los resultados sean predecibles. Nada de esto se basa en las necesidades del usuario, sino que refleja una agenda de programación establecida de antemano.
Se pueden encontrar ejemplos de esto en las funciones de seguridad programadas en gran parte del software actual. Tomemos como ejemplo las aplicaciones de correo electrónico, algunas de las cuales permiten a los usuarios verificar el encabezado de origen de un correo electrónico entrante, una capa importante de información que puede revelar la identidad de un remitente, mientras que otras no. O tomemos los navegadores móviles, donde, nuevamente, algunos permiten a los usuarios verificar la calidad del certificado SSL mientras que otros no, a pesar de que los usuarios tienen las mismas necesidades en todos los navegadores. No es que alguien necesite verificar SSL o el encabezado de origen solo cuando está en una aplicación específica. Lo que reflejan estas diferencias es la visión distinta de cada grupo de programación sobre cómo el usuario debe utilizar su producto: una mentalidad de dar prioridad al producto.
Los usuarios compran, instalan o cumplen requisitos de seguridad creyendo que los desarrolladores de diferentes tecnologías de seguridad cumplen lo que prometen, razón por la cual algunos usuarios son aún más arrogantes en sus acciones en línea mientras utilizan dichas tecnologías.
Es hora de adoptar un enfoque de seguridad centrado en el usuario
Es imperativo que invirtamos el paradigma de seguridad: pongamos a los usuarios primero y luego construyamos defensas en torno a ellos. Esto no se debe sólo a que debemos proteger a las personas, sino también a que, al fomentar una falsa sensación de protección, estamos fomentando el riesgo y volviéndolas más vulnerables. Las organizaciones también necesitan esto para controlar los costos. Incluso cuando las economías del mundo se han tambaleado por pandemias y guerras, el gasto en seguridad organizacional en la última década ha aumentado geométricamente.
La seguridad centrada en el usuario debe comenzar con la comprensión de cómo las personas utilizan la tecnología informática. Tenemos que preguntarnos: ¿Qué es lo que hace que los usuarios sean vulnerables a la piratería a través del correo electrónico, la mensajería, las redes sociales, la navegación y el intercambio de archivos?
Tenemos que desenredar la base del riesgo y localizar sus raíces conductuales, cerebrales y técnicas. Esta ha sido la información que los desarrolladores han ignorado durante mucho tiempo al crear sus productos de seguridad, razón por la cual incluso las empresas más preocupadas por la seguridad siguen sufriendo ataques.
Preste atención al comportamiento en línea
Muchas de estas preguntas ya han sido respondidas. La ciencia de la seguridad ha explicado qué hace que los usuarios sean vulnerables a la ingeniería social. Dado que la ingeniería social se dirige a una variedad de acciones en línea, el conocimiento se puede aplicar para explicar una amplia gama de comportamientos.
Entre los factores identificados se encuentran creencias sobre el riesgo cibernético ideas que los usuarios tienen en mente sobre el riesgo de las acciones en línea, y estrategias de procesamiento cognitivo - cómo los usuarios abordan cognitivamente la información, lo que dicta la cantidad de atención que los usuarios prestan a la información cuando están en línea. Otro conjunto de factores son Hábitos y rituales mediáticos. que están influenciados en parte por los tipos de dispositivos y en parte por las normas organizativas. En conjunto, las creencias, los estilos de procesamiento y los hábitos influyen en si una comunicación en línea (correo electrónico, mensaje, página web, texto) desencadena sospecha.
Entrene, mida y realice un seguimiento de las sospechas de los usuarios
La sospecha es esa inquietud al encontrar algo, la sensación de que algo anda mal. Casi siempre conduce a la búsqueda de información y, si una persona está armada con los tipos correctos de conocimiento o experiencia, conduce a la detección, el engaño y la corrección. Al medir la sospecha junto con los factores cognitivos y conductuales que conducen a la vulnerabilidad al phishing, Las organizaciones pueden diagnosticar qué hizo que los usuarios fueran vulnerables.. Esta información se puede cuantificar y convertir en un índice de riesgo que pueden utilizar para identificar a quienes corren mayor riesgo: los eslabones más débiles – y protegerlos mejor.
Al capturar estos factores, podemos rastrear cómo los usuarios son cooptados a través de diversos ataques, comprender por qué son engañados y y desarrollar soluciones para mitigarlo. Podemos diseñar soluciones en torno al problema experimentado por los usuarios finales. Podemos eliminar los mandatos de seguridad y reemplazarlos con soluciones que sean relevantes para los usuarios.
Después de gastar miles de millones en poner tecnología de seguridad al alcance de los usuarios, seguimos siendo igual de vulnerables a los ciberataques que Surgió en la red AOL en la década de 1990.. Es hora de que cambiemos esto y construyamos seguridad para los usuarios.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
