El otro día quise dar un paseo en bici, y a la vuelta, como estaba un poco cansado, decidí volver en Metro. Total, que me fuí a la estación, y como era la primera vez que subía la bici al Metro, y no había nadie en la estación, la subí por la escalera mecánica. Cuando llegué arriba, el de seguridad me estaba esperando para decirme que las bicis, por motivos de seguridad, habia que subirlas por el ascensor. Y yo le dije «muy bien señor guardia», pero la verdad es que en ese momento me fastidió un poco porque no entendía por qué no se podía hacer.

¿Sería porque si la subo por la escalera se me puede escapar de las manos montando un estropicio? ¿Sería porque se puede enganchar en algo y provocarme algún daño? ¿Sería porque en horas puntas la bici en la escalera molesta a los usuarios? ¿O quizás una combinación de todas ellas? En definitiva, ¿por qué?, ¿por qué?, ¿¡POR QUÉ!?

Y claro, ahora se me ocurre que si a mi, cuando me «sueltan» una norma cuya razón de ser a priori no entiendo, me «enajeno» e incluso llego a pensar «no me seas tocahuevos», lo mismo mis usuarios, cuando les suelto el rollo evangelizador habitual, están pensando lo mismo (vamos, seguro que lo piensan :P).

He asistido a varios cursos sobre Seguridad de la Información. Alguno de ellos eran cursos destinados a usuarios finales (personal no técnico). Y el recuerdo que tengo de ellos es el de uno o varios profesores enumerando una lista de buenas prácticas, pero no recuerdo que ninguno se explayase demasiado explicando por qué es bueno seguirlas. Y cuando lo hacían, los ejemplos que usaban eran demasiado «poco reales».

Yo creo que si en el futuro me tocase dar formación a usuarios, lo plantearía de otra forma:

Lo primero de todo, dejaría claro que el pensamiento generalizado de «quien que me va querer atacar, si no yo soy importante» es erróneo. Tenemos que conseguir que los usuarios se convenzan de que todos somos potenciales objetivos. Aquí es importante suavizar el mensaje, no debe uno convertirse en «asustaviejas». Diría que las cosas pasan (porque es verdad), pero también diría que con sencillas medidas, con un poquito de sentido común, etc etc. es muy fácil estar protegidos.

En segundo lugar, conduciría la formación en torno a «casos de uso». Es decir, buscaría un ejemplo real, preferentemente en vídeo (YouTube es tu amigo, aunque  un recorte de periódico, cuanto más local mejor, tampoco estaría mal). Luego lo expondría, explicando claramente por qué ha pasado eso y a continuación contaría como podríamos haberlo evitado aplicando buenas prácticas (o al revés, se pueden mostrar primero las «buenas practicas» relacionadas con el caso, para presentarlo a continuación).

Importante: lo ejemplos deberían estar adaptados al público que recibirá la formación. Por ejemplo, si vas a hablar del problema de compartir contraseñas y tu público es personal no técnico, y dado que en España los programas del corazón arrasan, yo usaría algo como esto:

http://www.youtube.com/watch?v=t9zcdHc4ESI

Y si puedes encontrar algún ejemplo donde salga gente más «mundana» mucho mejor. Hay que explotar mucho más la empatía.

Uno de los casos de uso, probablemente el primero que expondría, estaría destinado a padres (que muchos de los usuarios lo serán), y aparte de lo habitual añadiría consejos acerca de herramientas que pueden usar para proteger a sus hijos. ¿Qué padre no haría lo que fuese por proteger a sus hijos? Pues aprovéchate de eso para captar su interés desde el primer momento.

Y al final del curso, y a modo de refuerzo más que nada, sacaría la lista típica de buenas prácticas y la repasaría con los usuarios en no más de una hora.

Así es como enfocaría yo las actividades formativas, por lo menos aquellas destinadas al público general. ¿Os parece adecuado? ¿Cómo lo enfocaríais vosotros?

P.D: mientras escribía esto, se me ha ocurrido que en vez de esperar a una actividad formativa, podría usar este esquema en el día a día. Por ejemplo, podría montar en mi organización un blog donde cada vez que apareciese una «noticia desastre» en la tele o en el periódico, esta sería analizada y explicada, comentando que buenas prácticas hubiesen evitado el «desastre». Por supuesto con los comentarios abiertos, para captar el feedback de los usuarios (por eso no lo haría en base a newsletters). Y para rizar el rizo: desplegaría masivamente un lector de RSS corporativo, de esos que cuando hay mensajes nuevos te sacan el «globito», configurado por defecto para leer ese blog (y otros del organismo si hubiese).