La psicología de la inseguridad de la información
Nota: La psicología de la seguridad también puede leerse en Segu-Info y aquí.
Por Jeimy J. Cano, Ph.D.
Comenta SHOSTACK y STEWART en su libro The New School of Information Security que un verdadero profesional de la seguridad de la información toma mejores decisiones analizando los incidentes de pérdidas de datos, dado que allí encuentra lecciones que la inseguridad le sugiere y no solamente en el reclamo justo de la administración por la pérdida de los mismos.
Esta posición algo extraña, dado que el responsable de la seguridad se expone todo el tiempo por cuenta de la inseguridad, resulta todo un acierto al revisar la perspectiva de la seguridad desde la visión psicológica y de percepción de la misma.
La seguridad es una sensación, una manera de percibir un cierto nivel de riesgo. Algunas personas son más propensas al riesgo, mientras que otras son más conservadoras. Mientras las primeras gustan el desafío y la vida en los límites, las otras, buscan medir sus pasos y analizar sus posibilidades antes de actuar. Cualquiera que sea el perfil, los dos buscan siempre confrontar la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida.
Revisando los análisis de SHOSTACK y STEWART sobre estudios realizados en el Reino Unido sobre niveles de accidentalidad, basados en el uso o no de frenos más confiables como son los ABC, se encuentran conclusiones desafiantes que nos deben invitar a reinventar nuestra perspectiva de la seguridad de la información en los individuos.
Luego de hacer seguimiento de las personas participantes en el estudio durante un año se encontró que el nivel de accidentalidad no disminuyó, pero lo interesante fue que las personas que tuvieron mayores niveles de siniestralidad fueron aquellos que tenían los frenes más confiables, es decir los ABS. Este paradójico resultado lo explican los autores con una teoría que denominan teoría de compensación del riesgo. Dicha teoría dice que “a medida que las personas se sienten más seguras con las medias de seguridad, más propensas a los riesgos se vuelven”. En el caso particular del estudio, se concluye que los conductores con frenos ABS se sentía más seguros y por tanto manejaron de manera más agresiva.
Esta interesante conclusión, nos sugiere elementos que hasta ahora hemos ignorado frente al modelaje de la seguridad de la información. Por un lado, nos invita a establecer esos perfiles de riesgo propios de cada persona, que nos permite establecer mecanismos de control que no lo limiten en su hacer y le permitan hacer su trabajo con flexibilidad; pero al mismo tiempo, reconocer en el entorno corporativo la “falsa sensación de seguridad” que sugieren los constantes ejercicios de aseguramiento, para mantener una posición proactiva en el tema.
Incorporar en los diseños de seguridad de la información estas conclusiones, nos permite comprender la inseguridad como una función de la percepción y tendencias humanas por el riesgo, lo cual nos lleva a visualizar la configuración de controles y seguridades que, por un lado permitan un libre actuar de las personas en contornos de protección mínimos requeridos, y por otro, que le permitan al individuo recordar su responsabilidad en el uso de la información dentro y fuera de la organización.
La psicología de la seguridad informática debe estar animada por la constante evolución de la percepción del individuo sobre la protección de los activos, como una manera de incorporar en la gestión de la inseguridad, esa variable que impacta los resultados propios del responsable de la seguridad y su reporte a la alta gerencia: ¿Somos más o menos vulnerables?
Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009147
Por Jeimy J. Cano, Ph.D.
Comenta SHOSTACK y STEWART en su libro The New School of Information Security que un verdadero profesional de la seguridad de la información toma mejores decisiones analizando los incidentes de pérdidas de datos, dado que allí encuentra lecciones que la inseguridad le sugiere y no solamente en el reclamo justo de la administración por la pérdida de los mismos.
Esta posición algo extraña, dado que el responsable de la seguridad se expone todo el tiempo por cuenta de la inseguridad, resulta todo un acierto al revisar la perspectiva de la seguridad desde la visión psicológica y de percepción de la misma.
La seguridad es una sensación, una manera de percibir un cierto nivel de riesgo. Algunas personas son más propensas al riesgo, mientras que otras son más conservadoras. Mientras las primeras gustan el desafío y la vida en los límites, las otras, buscan medir sus pasos y analizar sus posibilidades antes de actuar. Cualquiera que sea el perfil, los dos buscan siempre confrontar la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida.
Revisando los análisis de SHOSTACK y STEWART sobre estudios realizados en el Reino Unido sobre niveles de accidentalidad, basados en el uso o no de frenos más confiables como son los ABC, se encuentran conclusiones desafiantes que nos deben invitar a reinventar nuestra perspectiva de la seguridad de la información en los individuos.
Luego de hacer seguimiento de las personas participantes en el estudio durante un año se encontró que el nivel de accidentalidad no disminuyó, pero lo interesante fue que las personas que tuvieron mayores niveles de siniestralidad fueron aquellos que tenían los frenes más confiables, es decir los ABS. Este paradójico resultado lo explican los autores con una teoría que denominan teoría de compensación del riesgo. Dicha teoría dice que “a medida que las personas se sienten más seguras con las medias de seguridad, más propensas a los riesgos se vuelven”. En el caso particular del estudio, se concluye que los conductores con frenos ABS se sentía más seguros y por tanto manejaron de manera más agresiva.
Esta interesante conclusión, nos sugiere elementos que hasta ahora hemos ignorado frente al modelaje de la seguridad de la información. Por un lado, nos invita a establecer esos perfiles de riesgo propios de cada persona, que nos permite establecer mecanismos de control que no lo limiten en su hacer y le permitan hacer su trabajo con flexibilidad; pero al mismo tiempo, reconocer en el entorno corporativo la “falsa sensación de seguridad” que sugieren los constantes ejercicios de aseguramiento, para mantener una posición proactiva en el tema.
Incorporar en los diseños de seguridad de la información estas conclusiones, nos permite comprender la inseguridad como una función de la percepción y tendencias humanas por el riesgo, lo cual nos lleva a visualizar la configuración de controles y seguridades que, por un lado permitan un libre actuar de las personas en contornos de protección mínimos requeridos, y por otro, que le permitan al individuo recordar su responsabilidad en el uso de la información dentro y fuera de la organización.
La psicología de la seguridad informática debe estar animada por la constante evolución de la percepción del individuo sobre la protección de los activos, como una manera de incorporar en la gestión de la inseguridad, esa variable que impacta los resultados propios del responsable de la seguridad y su reporte a la alta gerencia: ¿Somos más o menos vulnerables?
Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009147
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!