Si alguna vez se ha sentido confundido por las instrucciones de seguridad informática proporcionadas en su lugar de trabajo, no está solo. Un estudio reciente destaca una cuestión fundamental en el desarrollo de estas directrices y sugiere medidas inmediatas para mejorarlas, mejorando potencialmente la seguridad informática.
Existen preocupaciones en torno a los protocolos de seguridad informática que tanto las empresas como las agencias gubernamentales brindan a sus empleados, que están diseñados para guiar a los empleados en la protección de datos personales y organizacionales contra peligros como malware y ataques de phishing.
"Como investigador de seguridad informática, me he dado cuenta de que algunos de los consejos de seguridad informática que leo en línea son confusos, engañosos o simplemente incorrectos", dijo Brad Reaves, autor correspondiente del nuevo estudio y profesor asistente de informática en la Universidad de Harvard. "En algunos casos, no sé de dónde provienen las recomendaciones ni en qué se basan. Ese fue el impulso para este estudio. ¿Quién escribe estas directrices? ¿En qué se basan sus recomendaciones? ¿Cuál es su proceso? ¿Hay algo que podamos hacer mejor?"
Para el estudio, los investigadores realizaron 21 entrevistas en profundidad a profesionales responsables de redactar guías de seguridad informática para organizaciones como grandes empresas, universidades y agencias gubernamentales.
"La conclusión clave aquí es que las personas que escriben estas directrices intentan proporcionar la mayor cantidad de información posible", afirmó Reaves. "En teoría, esto es fantástico. Pero los autores no dan prioridad a las recomendaciones más importantes. O, más específicamente, no despriorizan los puntos menos importantes. Con tantas recomendaciones de seguridad para incluir, las directrices pueden volverse abrumadoras y los puntos más importantes se pierden en la confusión".
Los investigadores han descubierto que una de las razones por las que las pautas de seguridad son tan abrumadoras es que quienes las redactan tienden a incorporar todos los elementos posibles de una variedad de fuentes autorizadas.
"En otras palabras, los redactores de las directrices están recopilando información de seguridad en lugar de seleccionarla para los lectores", dijo Reeves.
Basándose en lo que aprendieron de las entrevistas, los investigadores hicieron dos recomendaciones para mejorar las directrices de seguridad futuras.
En primer lugar, los redactores de directrices necesitan un conjunto claro de mejores prácticas sobre cómo gestionar la información para que las guías de seguridad digan a los usuarios lo que necesitan saber y cómo priorizar esa información. En segundo lugar, los escritores y toda la comunidad de seguridad informática necesitan información crítica que sea significativa para audiencias con distintos niveles de habilidad técnica.
"Mire, la seguridad informática es complicada", dijo Reeves. "Pero la medicina es más compleja. Sin embargo, durante la pandemia, los expertos en salud pública pudieron brindar al público una guía bastante simple y concisa sobre cómo reducir el riesgo de contraer COVID-19. Necesitamos poder hacer lo mismo con la seguridad informática".
Al final, los investigadores descubrieron que los redactores de consejos de seguridad necesitaban ayuda.
"Necesitamos investigación, orientación y una comunidad de práctica que pueda apoyar a estos autores porque desempeñan un papel fundamental a la hora de traducir los hallazgos de seguridad informática en recomendaciones prácticas para aplicaciones del mundo real", afirmó Reeves. "También quiero enfatizar que cuando ocurre un incidente de seguridad informática, no debemos culpar a los empleados porque no siguieron una de las miles de reglas de seguridad que esperamos que sigan. Necesitamos hacer un mejor trabajo en el desarrollo de pautas que sean fáciles de entender e implementar".