Por qué los consejos de seguridad informática son más confusos de lo que deberían ser

Si encuentra las pautas de seguridad informática que recibe en el trabajo confusas y poco útiles, no está solo. Un nuevo estudio destaca un problema clave con la forma en que se crean estas pautas y describe pasos simples que las mejorarían y probablemente harían que su computadora fuera más segura.

Lo que está en juego son las pautas de seguridad informática que las organizaciones, como las empresas y las agencias gubernamentales, brindan a sus empleados. Estas pautas generalmente están diseñadas para ayudar a los empleados a proteger los datos personales y del empleador y minimizar los riesgos asociados con amenazas como malware y estafas de phishing.

«Como investigador de seguridad informática, he notado que algunos de los consejos de seguridad informática que leo en línea son confusos, engañosos o simplemente incorrectos», dice Brad Reaves, autor correspondiente del nuevo estudio y profesor asistente de informática en la Universidad Estatal de Carolina del Norte. «En algunos casos, no sé de dónde provienen los consejos o en qué se basan. Ese fue el ímpetu de esta investigación. ¿Quién está escribiendo estas pautas? ¿En qué basan sus consejos? ¿Cuál es su proceso? ¿Hay alguna forma en que podamos hacerlo mejor?»

Para el estudio, los investigadores realizaron 21 entrevistas en profundidad con profesionales responsables de redactar pautas de seguridad informática para organizaciones, incluidas grandes corporaciones, universidades y agencias gubernamentales.

«La conclusión clave aquí es que las personas que escriben estas pautas tratan de brindar la mayor cantidad de información posible», dice Reaves. «Eso es genial, en teoría. Pero los escritores no priorizan los consejos que son más importantes. O, más específicamente, no restan prioridad a los puntos que son significativamente menos importantes. Y debido a que hay tantos consejos de seguridad para incluir, las pautas pueden ser abrumadoras, y los puntos más importantes se pierden en la confusión».

Los investigadores descubrieron que una de las razones por las que las pautas de seguridad pueden ser tan abrumadoras es que los redactores de las pautas tienden a incorporar todos los elementos posibles de una amplia variedad de fuentes autorizadas.

«En otras palabras, los redactores de las directrices compilan información de seguridad, en lugar de seleccionar información de seguridad para sus lectores», dice Reaves.

Basándose en lo que aprendieron de las entrevistas, los investigadores desarrollaron dos recomendaciones para mejorar las futuras pautas de seguridad.

En primer lugar, los redactores de directrices necesitan un conjunto claro de mejores prácticas sobre cómo conservar la información para que las directrices de seguridad indiquen a los usuarios lo que necesitan saber y cómo priorizar esa información.

En segundo lugar, los escritores, y la comunidad de seguridad informática en general, necesitan mensajes clave que tengan sentido para audiencias con diferentes niveles de competencia técnica.

«Mira, la seguridad informática es complicada», dice Reaves. «Pero la medicina es aún más complicada. Sin embargo, durante la pandemia, los expertos en salud pública pudieron brindar al público pautas bastante simples y concisas sobre cómo reducir nuestro riesgo de contraer COVID. Necesitamos poder hacer lo mismo con la seguridad informática».

En última instancia, los investigadores encuentran que los escritores de consejos de seguridad necesitan ayuda.

«Necesitamos investigación, pautas y comunidades de práctica que puedan apoyar a estos escritores, porque juegan un papel clave en convertir los descubrimientos de seguridad informática en consejos prácticos para la aplicación en el mundo real», dice Reaves.

«También quiero enfatizar que cuando hay un incidente de seguridad informática, no debemos culpar a un empleado porque no cumplió con una de las mil reglas de seguridad que esperábamos que siguiera. Necesitamos hacer un mejor trabajo al crear pautas que sean fáciles de entender e implementar».

El estudio, «¿A quién se le ocurre esto? Entrevistar a autores para comprender cómo producen consejos de seguridad», se presentará en la Simposio USENIX sobre privacidad y seguridad utilizableque se llevará a cabo del 6 al 8 de agosto en Anaheim, California.