lunes, 1 de diciembre de 2008

Errores humanos: preocupación para la seguridad en el Reino Unido (RU).


Una encuesta arroja con un 86% que directivos de TI del RU creen que sus empleados son la causa principal de incidentes de seguridad; y en particular les preocupan los errores humanos, ya que un 37% cree que estos errores son los que pueden conducir a incidentes de seguridad. En segundo lugar (31%) viene el incumplimiento de las políticas de seguridad corporativas.

Bueno, es verdad que muy probablemente uno de los eslabones más delgados de la cadena de seguridad es el factor humano que puede configurar mal un control o que por descuido o ignorancia da información valiosa que puede derivar en un incidente de seguridad.

Sin embargo, el problema con este tipo de encuestas es que no se basan en una métrica, se basan en lo que los directivos creen que es una preocupación de seguridad para las TI. Es decir, es la típica serie de preguntas con respuestas pre-establecidas para que un "directivo" las seleccione. El gran problema para variar es la carencia de métricas, de cifras que confirmen un hecho como el decir que los errores humanos son una causa importante de incidentes de seguridad o que la carencia de un control es una preocupación importante. Sin cifras, sin métricas, nos quedamos en el "creo que mi mayor preocupación es …", sin saber si estamos basándonos en una metodología, en cifras y hechos que sustituyan el "yo creo" con el "yo asevero basado en este análisis".

¿Es la percepción directiva correcta? Podría ser, deben de saber de lo que hablan; sin embargo nada puede sustituir datos duros, en blanco y negro que señalen los hechos tal y como son. El mundo financiero tiene una sobrepoblación de métricas e indicadores para medir casi cualquier cosa; en el mundo de la seguridad de la información estas métricas escasean y son pocas veces usadas. No podemos controlar o administrar algo que no podemos medir. ¿Hasta cuándo dejaremos de percibir en lugar de medir?