lunes, 2 de enero de 2017

¿Seguimos desconfiando del usuario final o hacemos algo al respecto?



Este artículo está inspirado por uno de los tantos colegas superhumanos que me rodea a diario en el ámbito de la informática:


Como ya he escuchado este tipo de comentarios en miles de variantes diferentes desde hace tanto tiempo, ya soy inmune a ellos. Sin embargo, quisiera compartir con ustedes mi parecer sobre esta clase de pensamientos

Empecemos por lo básico: éste y otros tantos expertos en informática se refieren a los usuarios finales o end-users (en este caso denominados “humanos”) como si fueran otra raza o especie diferente a la de sí mismos.

“Ellos” serían los que han decidido estudiar otra carrera (o ninguna) y “nosotros” los que nos especializamos en alguna rama de la informática. Y esta situación se sigue agravando cuando ya no es ellos y nosotros sino ellos vs nosotros.

Sin ahondar en detalles de algo de lo que todo informático sabe, otro de los motivos que agrava esta situación es la explotación que recibimos los informáticos a lo largo de nuestra vida por parte de “Ellos” (véase Pringao-HowTo).

Lo que nos lleva a un estado donde ambas partes saben de esa fricción. El usuario se habitúa a ser tratado despectivamente y el informático parece sentirse casi una raza superior. 

Estado de situación

Siendo tan vasta y compleja la tecnología actual, la gran mayoría de los usuarios que ingresa a cualquier organización, llega con una gran brecha entre lo que sabe y debería saber. Las áreas de RRHH muchas veces no tienen forma de poder validar dicha brecha (mucho menos sin la ayuda de TI) y además normalmente no se tiene un proceso de inducción enfocado para disminuirlo. Sumado a eso, no surgen suficientes iniciativas desde el área de tecnología para que los usuarios reciban capacitaciones… ¿por qué? Veamos un tuit otro ejemplificador:



Entonces llegamos a una situación donde:
  1. Ingresan personas a la organización sin los conocimientos informáticos mínimos.
  2. No se tiene un proceso de inducción acorde.
  3. No se dispone de una capacitación periódica.
El informático aún cree que la culpa sigue siendo del usuario final. Mientras, sigue en lo suyo.

¿Como revertir esto? Actuando como profesionales

  • Lo primero es ser conscientes de la situación: las personas llegan a la organización sin los conocimientos suficientes en tecnología en general. Esto hay que darlo por hecho, pensar distinto es vivir una fantasía.
  • Lo segundo es dejar de quejarse y ser proactivo: las personas de TI tenemos que participar en los procesos de selección e inducción, como así también tener un plan de capacitación constante para los usuarios.
  • Y por último, entender que nunca van a ser expertos en tecnología, pero tampoco van a ser menos personas que nosotros por eso. Ellos fueron contratados por su especialización en otro rubro y es hora que lo entendamos. Tenemos que ocuparnos por hacer llegar a todos a un nivel de conocimiento en TI aceptable.

¿Y qué pasa si no lo hago?

Todo va a seguir de la misma manera (como en los 90), ellos vs nosotros, dos especies distintas, enemistadas.

Tener al enemigo dentro y seguir invirtiendo en más tecnología de control, bloqueo e invasión de la privacidad no sólo que es caro, sino que muchas veces va en contra de la filosofía organizacional y puede traernos problemas legales.

Tampoco quiero decir que sólo hay que invertir en la gente, pero sí es hora de distribuir el esfuerzo, el dinero y la responsabilidad para enfrentar a las nuevas amenazas:
  • Esfuerzo: ya no podemos ser los únicos que tratamos de mitigar todos los riesgos modernos mientras los usuarios siguen haciendo clic a enlaces de todas formas y colores posibles. Es hora de que ellos también sean conscientes de las amenazas.
  • Dinero: las soluciones avanzadas de seguridad son caras, sea DLP, inspección SSL y cualquier otra solución automágica que implentemos. Comparativamente es ínfimo lo que se está invirtiendo en los usuarios en sí y es imperativo balancear tanto el riesgo como el dinero.
  • Responsabilidad: es hora que el usuario rinda cuentas por sus acciones, pero para eso debemos dar el soporte para que esto se formalice. Con esto me refiero a unas buenas Políticas de Uso Aceptable y a un Plan de Awareness con tracking de las acciones del usuario. Sin eso, es muy difícil responsabilizarlos ya que podemos no tener la evidencia suficiente.

¿Por qué cambiar y pensar distinto? Porque ya no son los 90

En los 90 nos enfrentábamos a entornos de amenazas y soluciones mucho más simples, con un antivirus y un firewall ya estábamos casi cubiertos. En la década del 2000 se introducen los sistemas de gestión, procedimientos, temas legales, etc., para tratar de gestionar la complejidad en aumento. Y en esta última década el phishing y el ransomware nos han demostrado que ya no queda otra opción que incluir a los usuarios en la estrategia de seguridad. Ya no sirve rezarle a la solución mágica del proveedor de turno para que mitigue todos los malos hábitos de los usuarios (no seamos tan inocentes, no existe la bala de plata).

Nos guste o no, al considerar que es una lucha perdida, logramos que la pelota esté de nuestro lado por la inacción. Confiando o no en el usuario, si tomamos medidas proactivas (Políticas de Uso Aceptable y Awareness) ya la pelota queda de su lado, y nosotros contamos con la evidencia necesaria para demostrar que hicimos todo lo posible. Si además creemos que ese intento vale la pena, podremos objetivamente demostrar si es una lucha perdida o no. Si no lo intentamos ya sabemos quien es el culpable.

0 comentarios:

Publicar un comentario