Profesionales de la ciberseguridad: ¿Son los humanos realmente el eslabón más débil?


Algunos expertos argumentan que los usuarios podrían ser en realidad el vínculo más vital cuando se trata de ciertos tipos de ciberataques.

«data-credit =» Imagen: iStockphoto / maxkabakov «rel =» noopener noreferrer nofollow «>istock-1164910037.jpg

Imagen: iStockphoto / maxkabakov

«Las personas a menudo representan el eslabón más débil de la cadena de seguridad y son crónicamente responsables de las fallas de los sistemas de seguridad». Esta cita es del libro Secretos y mentiras: seguridad digital en un mundo en red, escrito por el conocido experto en ciberseguridad Bruce Schneier y publicado por primera vez en 2000.

Algunos expertos, incluido Ciarán Mc Mahon, Ph.D., miembro de la facultad de College Faculty Dublin y director del Instituto de Seguridad Cibernética, sugieren que la cita es la razón por la que el adagio «los humanos son el eslabón más débil» es parte integral de lo electronic. mundo.

«Si bien sus orígenes intelectuales son anteriores a la industria en varias décadas, si no siglos, para nuestros propósitos actuales no necesitamos remontarnos más allá del comienzo de este milenio», escribe Mc Mahon en su artículo de julio de 2020 Frontiers in Psychology. En defensa del component humano. «Desde entonces, el discurso de la ciberseguridad ha estado inundado de este cliché».

Las cadenas constan de más de un enlace

Mc Mahon comienza pidiéndonos que consideremos la «seguridad de la información» como una cadena. «No creo que sea irrazonable deducir que esta cadena está destinada a proteger los activos, la información y las finanzas de alguna organización», sostiene. «Además del &#39aspect humano&#39, esta cadena comprende enlaces técnicos, físicos o sintéticos similares».

Si los humanos somos el eslabón más débil, eso significa que los otros eslabones de la cadena (components y program, por ejemplo) son más robustos y seguros. En pocas palabras, las computadoras no cometen errores, la gente sí.

VER: Política de TI en la sombra (TechRepublic Premium)

¿Se sostiene este argumento bajo escrutinio?

La tecnología puede no cometer errores, pero parece tener problemas según el conocido tecnólogo y escritor Quinn Norton. «Todo está roto», escribe Norton en su El artículo del mensaje Todo está roto. «Es difícil explicarle a la gente común cuánta tecnología apenas funciona, cuánto la infraestructura de nuestras vidas se mantiene unida por el equivalente de TI de empacar cables. Las computadoras y la informática están rotas».

Para respaldar la afirmación de Norton, Mc Mahon ofrece el software operativo móvil de Apple como ejemplo: «Entre el 1 de enero y el 31 de diciembre de 2019, Apple lanzó aproximadamente 20 actualizaciones de seguridad para sus versiones más recientes (es decir, 12 y 13) de su sistema operativo móvil, iOS . «

Para llevar su punto a casa, Mc Mahon se pregunta por qué toleramos el application defectuoso. «En cualquier otra esfera de la actividad del consumidor, este nivel de parcheo no sería tolerado», sostiene Mc Mahon. «Imagínese decirles a los propietarios de automóviles que deben reparar su automóvil prácticamente cada quince días si quieren seguir conduciéndolo de manera segura. Y si ocurrieran accidentes en tal escenario, ¿culparíamos a los conductores estúpidos?»

¿Qué es el mistake humano?

Volviendo a que las personas son el eslabón más débil, la razón true por la que somos el eslabón débil es el mistake humano. Cuando se trata de mistake humano, hay una cantidad increíble de definiciones entre las que elegir. Wikipedia ofrece lo siguiente:

«El error humano se refiere a algo (que) se ha hecho que &#39no fue intencionado por el actor no deseado por un conjunto de reglas o un observador externo o que llevó la tarea o el sistema fuera de sus límites aceptables&#39. En resumen, es una desviación de la intención, expectativa o deseabilidad «.

Eso suena bastante basic, pero hay una gran cantidad de académicos que están dispuestos a decirle que el error humano es un concepto sin sentido. Erik Hollnagel, Ph.D., un destacado experto en seguridad, ofrece la siguiente sugerencia en su artículo La visión NO del &#39mistake humano&#39:

«El &#39no punto de vista&#39 simplemente dice que &#39mistake humano&#39 no es una categoría significativa y que, por lo tanto, deberíamos dejar de usarla. El argumento es que toda la actividad humana, specific y / o colectivamente, es variable en el sentido de que se ajusta a las condiciones. La variabilidad es, por tanto, una fortaleza, de hecho una necesidad, más que una desventaja «.

Hollnagel utiliza la detección de program de ataques de phishing como ejemplo. Sostiene que un usuario suficientemente capacitado sería más apto para detectar un nuevo ataque de phishing que la tecnología.

Sin embargo, Hollnagel no nos deja a los humanos fuera de peligro. «Aún necesitamos, por supuesto, dar cuenta de la variabilidad del desempeño humano», agrega Hollnagel. «El principio ETTO proporciona un ejemplo de ello».

Según la definición de Wikipedia, el principio de compensación eficiencia-minuciosidad (Principio ETTO) explica que «existe un equilibrio entre eficiencia o eficacia por un lado y rigurosidad (como garantía de seguridad y confiabilidad humana) por el otro. De acuerdo con este principio, las demandas de productividad tienden a reducir la rigurosidad mientras las demandas de seguridad reducen la eficiencia «.

Preguntas a considerar sobre los seres humanos y la ciberseguridad

Mc Mahon se muestra rigid en eliminar las acusaciones. Creó la siguiente lista de preguntas que debemos hacernos cuando escuchamos que alguien sugiere que los seres humanos son el eslabón más débil:

  • ¿Cuáles son los otros eslabones de esta cadena y qué tan seguros son?

  • ¿Se ha automatizado al humano fuera del sistema en cuestión?

  • ¿Estoy culpando a la víctima de un crimen? ¿Estoy tratando a los usuarios finales de forma justa y transparente?

  • Fundamentalmente, ¿por qué estamos impulsando una visión tan pesimista de la capacidad humana? ¿A quién estamos sirviendo exactamente con tal mensaje?

Mc Mahon y Hollnagel señalan que los humanos, en lugar de ser los eslabones más débiles, pueden ser el eslabón más very important cuando se trata de ataques que siempre se están transformando, en distinct los dirigidos directamente a los humanos.

Ver también



Enlace a la noticia first