Algunos expertos argumentan que los usuarios podrían ser en realidad el vínculo más vital cuando se trata de ciertos tipos de ciberataques.
“Las personas a menudo representan el eslabón más débil de la cadena de seguridad y son crónicamente responsables de las fallas de los sistemas de seguridad”. Esta cita es del libro Secretos y mentiras: seguridad digital en un mundo en red, escrito por el conocido experto en ciberseguridad Bruce Schneier y publicado por primera vez en 2000.
Algunos expertos, incluido Ciarán Mc Mahon, Ph.D., miembro de la facultad de University College Dublin y director del Instituto de Seguridad Cibernética, sugieren que la cita es la razón por la que el adagio “los humanos son el eslabón más débil” es parte integral de lo digital. mundo.
“Si bien sus orígenes intelectuales son anteriores a la industria en varias décadas, si no siglos, para nuestros propósitos actuales no necesitamos remontarnos más allá del comienzo de este milenio”, escribe Mc Mahon en su artículo de julio de 2020 Frontiers in Psychology. En defensa del factor humano. “Desde entonces, el discurso de la ciberseguridad ha estado inundado de este cliché”.
Las cadenas constan de más de un enlace
Mc Mahon comienza pidiéndonos que consideremos la “seguridad de la información” como una cadena. “No creo que sea irrazonable deducir que esta cadena está destinada a proteger los activos, la información y las finanzas de alguna organización”, sostiene. “Además del ‘factor humano’, esta cadena comprende enlaces técnicos, físicos o sintéticos similares”.
Si los humanos somos el eslabón más débil, eso significa que los otros eslabones de la cadena (hardware y software, por ejemplo) son más robustos y más seguros. En pocas palabras, las computadoras no cometen errores, la gente sí.
¿Se sostiene este argumento bajo escrutinio?
La tecnología puede no cometer errores, pero parece tener problemas según el conocido tecnólogo y escritor Quinn Norton. “Todo está roto”, escribe Norton en su El artículo del mensaje Todo está roto. “Es difícil explicarle a la gente común cuánta tecnología apenas funciona, cuánto la infraestructura de nuestras vidas se mantiene unida por el equivalente de TI de empacar cables. Las computadoras y la informática están rotas”.
Para respaldar la afirmación de Norton, Mc Mahon ofrece el software operativo móvil de Apple como ejemplo: “Entre el 1 de enero y el 31 de diciembre de 2019, Apple lanzó aproximadamente 20 actualizaciones de seguridad para sus versiones más recientes (es decir, 12 y 13) de su sistema operativo móvil, iOS . ”
Para llevar su punto a casa, Mc Mahon se pregunta por qué toleramos el software defectuoso. “En cualquier otra esfera de la actividad del consumidor, este nivel de parcheo no sería tolerado”, sostiene Mc Mahon. “Imagínese decirles a los propietarios de automóviles que deben reparar su automóvil prácticamente cada quince días si quieren seguir conduciéndolo de manera segura. Y si ocurrieran accidentes en tal escenario, ¿culparíamos a los conductores estúpidos?”
¿Qué es el error humano?
Volviendo a que las personas son el eslabón más débil, la razón actual por la que somos el eslabón débil es el error humano. Cuando se trata de error humano, hay una cantidad increíble de definiciones entre las que elegir. Wikipedia ofrece lo siguiente:
“El error humano se refiere a algo [that] se ha hecho que ‘no fue intencionado por el actor; no deseado por un conjunto de reglas o un observador externo; o que llevó la tarea o el sistema fuera de sus límites aceptables ‘. En resumen, es una desviación de la intención, expectativa o deseabilidad “.
Eso suena bastante simple, pero hay una gran cantidad de académicos que están dispuestos a decirle que el error humano es un concepto sin sentido. Erik Hollnagel, Ph.D., un destacado experto en seguridad, ofrece la siguiente sugerencia en su artículo La visión NO del ‘error humano’:
“El ‘no punto de vista’ simplemente dice que ‘error humano’ no es una categoría significativa y que, por lo tanto, deberíamos dejar de usarla. El argumento es que toda la actividad humana, individual y / o colectivamente, es variable en el sentido de que se ajusta a las condiciones. La variabilidad es, por tanto, una fortaleza, de hecho una necesidad, más que una desventaja “.
Hollnagel utiliza la detección de software de ataques de phishing como ejemplo. Sostiene que un usuario suficientemente capacitado sería más apto para detectar un nuevo ataque de phishing que la tecnología.
Sin embargo, Hollnagel no nos deja a los humanos fuera de peligro. “Aún necesitamos, por supuesto, dar cuenta de la variabilidad del desempeño humano”, agrega Hollnagel. “El principio ETTO proporciona un ejemplo de ello”.
Según la definición de Wikipedia, el principio de compensación eficiencia-minuciosidad (Principio ETTO) explica que “existe un equilibrio entre eficiencia o eficacia por un lado y rigurosidad (como garantía de seguridad y confiabilidad humana) por el otro. De acuerdo con este principio, las demandas de productividad tienden a reducir la rigurosidad mientras las demandas de seguridad reducen la eficiencia “.
Preguntas a considerar sobre los seres humanos y la ciberseguridad
Mc Mahon se muestra inflexible en eliminar las acusaciones. Creó la siguiente lista de preguntas que debemos hacernos cuando escuchamos que alguien sugiere que los seres humanos son el eslabón más débil:
- ¿Cuáles son los otros eslabones de esta cadena y qué tan seguros son?
- ¿Se ha automatizado al humano fuera del sistema en cuestión?
- ¿Estoy culpando a la víctima de un crimen? ¿Estoy tratando a los usuarios finales de forma justa y transparente?
- Fundamentalmente, ¿por qué estamos impulsando una visión tan pesimista de la capacidad humana? ¿A quién estamos sirviendo exactamente con tal mensaje?
Mc Mahon y Hollnagel señalan que los humanos, en lugar de ser los eslabones más débiles, pueden ser el eslabón más vital cuando se trata de ataques que siempre se están transformando, en particular los dirigidos directamente a los humanos.