Concienciación ¿Una batalla perdida?… Y un carajo.
Hola ¿qué tal?,
el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:
“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”
Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:
“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …
Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.
Chmeee decía:
“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.
Pues yo digo:
“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”
Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables??? ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón? Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.
Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….
Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:
- psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
- juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
- Ingenieros y técnicos (Tecnología)
Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.
En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.
Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo ****** un, dos, tres, responda otra vez…
, sobre todo cuando ni siquiera se trata de los mismos entornos o versiones…...
Veo que del grupo “personas” excluyes a los ingenieros, normal …
Creo que la mejor forma de arreglar esto es con una apuesta a lo Pigmalión. Cojamos a un usuario cualquiera muy burro (de los que dicen Google cuando quieren decir Explorer y no saben la diferencia entre usuario y contraseña) y, en menos de seis meses, haz de convertirlo en un usuario concienciado con la seguridad, protector de datos y delator de compañeros infractores, ¿qué te parece?
chmeee aceptaría la apuesta… pero igual que en plano técnico no tiene sentido parchear un servidor aislado y puntualmente, en el plano de la concienciación tampoco tiene sentido eso.
Ni es necesario que el 100% de los usuarios esté concienciado al 100% en el 100% de los temas (costaría más el collar que el perro), ni lo vamos a conseguir. Igual que no conseguiremos tener nunca todos los servidores libres de vulnerabilidades, ni posiblemente nos compensase el esfuerzo.
Y por otro lado, estamos suponiendo que el usuario no está concienciado y que existen dos estados: concienciado/no concienciado. Creo que esto es un error pues se trata de un continuo no de dos estados discretos.
Por no hablar de que no se trata de que estén concienciados en seguridad de la información, que es un concepto abstracto, genérico y muy amplio. Ni siquiera somos capaces de identificar en que debemos concienciar: ¿contraseñas? que simplificación tan grande no?
Además creo que la concienciación habitualmente no es baja, sino ¿cómo es posible que las organizaciones sigan funcionando como si tal cosa? Los usuarios no son completos inútiles ni absolutos rebeldes. Un trabajador puede que le de su contraseña a su compañero de trabajo, pero seguro que no se la da a cualquier desconocido que se la pida en el autobus, siempre hay grados…
“Informático de salón” no somos personas, somos superhombres nietzscheanos, hombre de Vitruvianos, el eslabón perdido, el siguiente escalón evolutivo… unos tarados vamos
Excelente post. Yago Jesus (@YJesus) expuso sus ideas sobre la concienciación en una charla de blogueros, y consiguió levantar polémica (sana) y alguna que otra ceja. Pero no dijo simplemente “la concienciación no vale pa’ná”. También dijo “lo que funciona es penalizar”. Y puso el ejemplo de la DGT: las cifras de accidentes no bajaron con la campaña de concienciación, bajaron unicamente cuando se implantó el carnet por puntos. Ni tanto ni tan calvo: hay que concienciar, pero también hay que exigir responsabilidades cuando sea necesario. El problema: en determinados ámbitos, como en la empresa pública, a ver quien es el guapo que consigue el apoyo necesario como para poder iniciar un “proceso penalizador”
Y con respecto a lo que decia @olyoly de los equipos multidisclipinares: de acuerdo contigo, pero dudo que lleguemos a verlo en las organizaciones. Como mucho, se contará con el apoyo de ese tipo de profesionales en ocasiones puntuales, y si acaso en organizaciones (muy) grandes con suficiente presupuesto para estos temas. Pero personal “fijo” que esten siempre pendiente de todo lo que se “transmite”…nos quedan años.
Yo me conformaría de momento con que a los técnicos superhombres que nos dediquemos a esto nos formen para intentar llegar lo mejor posible a los diferentes perfiles de usuarios.
Pirri, como sabes, ya existe un equipo multidisciplinar currando en concienciación al sur de Despeñaperros, todo un logro ¿no?, ahora se trata de seguir empujando.
Somos consciente que algunos nos dará cania; otros, como nos pilleís en la calle, se nos cae el poco pelo que nos queda y otros pensarán que es otra tontería más que ignorar; aún así:
Efectivamente, no se puede decir que es una batalla perdida o ganada sin siquiera haberla comenzado. De ahí a decir que “un carajo”….
¿¿ Sabemos el nivel de concienciación del personal de nuestra organización/empresa/entidad/club/asociación ??
¿¿ Sabemos el nivel de concienciación del personal de nuestra organización acorde a las funciones/perfil que desempenian y/o información con la que trabajan ??
¿¿ Conocemos el nivel de concienciación de aquellos que nos prestan servicios ( a.k.a. “terceros” ) ??
No se puede valorar aquello que no se conoce por lo que no es propio decir si la concienciación es una batalla perdida o ganada.
Desde luego, mientras los chicos y chicas de la Infosec no se apliquen así mismo el cuento, es una batalla perdida.
Ejemplo 1: Una organización, con 3000 usuarios, se resuelve que en torno a 700 emplean contrasenias débiles ( sí, somos así de simples pero que le vamos a hacer. KISS ) de entre las cuales, tenemos ( contrasenias / coincidencias ):
1234567890 : 379
0123456789 : 148
1q2w3e4r5t : 32
azsxdcfvgb : 24
0000000000 : 18
9876543210 : 17
1111111111 : 15
12345678910 : 10
supermariobros : 1
Ejemplo 2: Trabajamos en empresas de diversa índole y en los últimos anios guardamos backups en DC externos. Nuestros mensajeros, que transportan principalmente papel para reciclar, han sido robados en más de una ocasión y en una de las cuales, se llevaron incluso los backups. Motivo: Paradas para tomar café y que al transportar papel para reciclar y carecer de valor, dejaba el transporte abierto. ¿¿ Falta de políticas ?? NO ( se firman formularios de responsabilidad, entrada, salida; se exige transporte de punto a punto, sin paradas, gps en el transporte, participan en jornadas formativas/concienciazión… ).
¿¿ Existe concienciación ?? Tal vez sí pero desde luego, si entre los usuarios que emplean contrasenias débiles se encuentra personal de Infosec y además afirman que la concienciación NO es una batalla perdida, qué quereís que os digamos ….batalla perdida. Si por muchas políticas que implantemos, nuestros mensajeros pierden información vital por irresponsabilidades … ¿ Existe concienciación ? Si, pero es como direís ustedes, pa’na’. ( batalla perdida ). En este caso, si no se castiga, no hay remedio !
Bien, partamos ahora del caso en que carecemos de datos y mediciones. Tal y como bien indica Oly, no hay dos estados “concienciado/no concienciado”; existe, para nosotros, un grado de concienciación. Somos partidarios de que siempre se parte del estado de “NO Concienciado”, alias “Batalla perdida”. ¿ Acaso la primera vez que cogisteís un coche eraís consciente de lo que podíais hacer ? ¿ La primera vez que cogisteís una navaja de afeitar eraís consciente de lo que podíais hacer ? ¿ La primera vez que cogisteís una pistola ?… ¿¿ SI ?? Enhorabuena !!. ¡¡ No sigas desperdiciando tu tiempo en la infosec por que eres un superdotado ¡¡. Nosotros, la primera vez que cogimos un coche a los 12 anios no sabíamos lo que podíamos llegar a hacer. La primera vez que cogimos una pistola creímos que era un juguete para lanzar fuegos artificiales. No somos como tú y por eso nos vá como nos va.
La concienciación es a todas luces batalla perdida mientras no se haga algo para ganarla.
¿¿ Equipo multidisplicinar ?? ¿¿ Sociólogos, psicólogos, terapeútas, bomberos, pedagogos, toreros, expertos de comunicación, ingenieros del marketing aeroespacial, payasos para amenizar ?? ¿¿ Para qué tanto equipo multidisplicinar si no hay acciones, campanias, jornadas formativas, de concienciación ??
¿¿ Contar con ellos para casos puntuales ?? Si claro, como los auditores/consultores (sin ánimo de ofender, que también lo somos). Desarrollarán cuatro pintopoints, cuatro carteles y enviarán cuatro correos a cambio de un montón de dolares ( como el cartel de la final de la Davis ).
No somo reputados profesionales de la seguridad, ni expertos en comunicación ni ingenieros sociales pero la concienciación, batalla perdida mientras no se haga algo al respecto (por mucho equipo multidisciplinar que exista ). Se hace camino al andar y si en los últimos anios no se ha dado un paso… difícilmente un equipo multidisciplinar logrará hacer el camino de una zancada y si es así, por favor, ¡¡ pasadnos el howto !!
PD1: Actualizar un servidor aislado no tiene sentido pero sí demuestra la profesionalidad
PD2: Si el ingeniero del ESP/ABS hiciera algún anuncio de concienciación sobre seguridad vial seguramente sería más impactante y obtendría más resultado que el que hace el “experto en comunicación”. ¿ Acaso se le ha dejado hacer el anuncio ?. Como no lo sabemos, no lo podemos decir. Lo mismo para el Dr.
PD3: Concienciación = Vamos a ganar dinero a costa de la organización X
PD4: Concienciación depende de más variables que no se tienen en cuenta.
Se abre la veda
Buenas, en esencia estoy de acuerdo en muchas de las ideas que expones/eis.
Únicamente algunas puntualizaciones:
-Cuándo propongo un equipo multidisciplinar no hablo de contratar a una consultora por cientos de miles de euros. Multidisciplinar o no, pienso que la seguridad es algo que tiene que trabajarse desde dentro. Las limitaciones que impone el comercio (mercadeo que así suena más despectivo) con servicios especializados va completamente en contra de la mejora de la seguridad. Ojo, no pienso que sea culpa de los proveedores, sino del modelo de comercialización.
-Yo sí he visto el resultado de dejar a expertos en ABS hacer comunicados de concienciación… no se puede generalizar pero deja mucho que desear… Lo que no quiere decir que no tengan mucho que aportar, pero cada uno debe centrarse en lo que sabe hacer bien (modelo UNIX).
-Claro que un servidor en condiciones demuestra profesionalidad. Pero el reto no está en luchar contracorriente para asegurar servidores uno a uno. Sino conseguir que las organizaciones se aseguren a sí mismas de forma permanente y constante.
-El equipo multidisciplinar tampoco iría a zancadas, pero al menos los pequeños pasos irán en la dirección correcta (o no, ¿quién sabe?).
Ya os pasaré el how-to en un par de años
Tomémoslo con calma…