Un tema recurrente en este blog y en nuestras discusiones en la realidad es la concienciación de usuarios. Del usuario final, del directivo, del personal de TI, del que sea que no esté todavía concienciado con aplicar ciertas pautas de seguridad en sus quehaceres diarios.

Está claro que cada cual tiene sus preocupaciones, sus prioridades  y su nivel de entendimiento por lo que la concienciación es un trabajo complejo si se quiere llegar a todos.

Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone.

Os dejo el cartel del lunes desmotivador donde destaco la incapacidad de muchos usuarios para llegar a entenderlo nunca.

Algunos de los fracasos en este sentido son todas estas medidas de seguridad que se basan en la decisión del usuario para funcionar. Por ejemplo, el método de aceptar certificados ‘con problemas’ en HTTPS en los navegadores, que no sólo presenta una explicación confusa para el usuario sino que además, dejan a su elección si aceptar o no la situación anómala.

Por último, creo que Pirri da en el clavo en su post ‘¿Por qué?‘ sobre cómo enfocar la concienciación para llegar a los usuarios, relacionando ideas de su entorno con las decisiones de seguridad.

Aunque siempre nos queda la visión de Marcus Ranum, que dice que la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado :).