lunes, 10 de agosto de 2009

¡Cuidado, ahí viene el lobo!

Un pastor que vivía en un lejano pueblo (pero con conexión a Internet porque era un pueblo moderno, claro) se relajaba después de una larga jornada visitando sitios con su navegador a quien de cariño le llamaba "Juanito". Este mentado "Juanito" le avisaba al pastor de sitios "peligrosos" por tener certificados digitales inválidos. Tanto advertía "Juanito", que el pastor simplemente acabó ignorándolo. ¿Les suena conocida la historia?

En un estudio de la Universidad Carnegie Mellon, la historia se torna en análisis, ya que decidieron hacer un ensayo y ver qué tanto hacían caso los usuarios a las advertencias arrojadas por el navegador cuando se accedía a un sitio con problemas en sus certificados digitales. ¿Y cuál fue la conclusión?

El resultado fue de cierta forma predecible: los usuarios ignoran estas advertencias ya que de hecho, la gran mayoría avisa de cuestiones benignas como certificados fuera de la fecha de validez (al administrador se le olvidó renovar), o sitios legítimos que tenían certificados auto-firmados; todo esto claro, "revuelto" con algunos sitios ciertamente maliciosos.

Arrojar "n" avisos al pastor deriva en ignorar a "Juanito", y simplemente el pastor acaba por decir "ok, deseo entrar a este sitio potencialmente peligroso porque creo que es poco riesgoso; de todas maneras no entiendo bien los mensajes de este Juanito". ¿No sería mejor avisar realmente de situaciones riesgosas? ¿Mejor aún, valdría le pena simplemente no dejar que el usuario entre al sitio y no dejarle opción? ¿Sería mejor simplemente eliminar las advertencias benignas que sólo estorban?

Esto me da pie para aprovechar el tema y poner sobre la mesa otra cuestión al reflexionar sobre las advertencias que recibe un usuario en una organización, ya que podría ser que el área de seguridad esté jugando a ser Juanito y advierta una y otra vez sobre todo tipo de riesgos menores, riesgos inexistentes y peligros verdaderos. Los usuarios no sabrán distinguir al lobo entre las ovejas (y por cierto, su trabajo no es saber distinguirlo).

En el caso por ejemplo de un antivirus, vale la pena advertir al usuario que no tendrá acceso a "x" y "y" archivos porque están infectados? ¿O simplemente es mejor bloquear el acceso a esos archivos sin avisar? Después de revisar los discos duros de una computadora, le debemos de advertir al usuario que tiene "x" cantidad de malware y que decida si desea tratar de restaurarlos, eliminarlos o ignorarlos?

Al usuario (de un equipo, de un navegador o de un antivirus) no hay que bombardearlo con avisos innecesarios y sólo avisar de peligros comprobados, verdaderos y de los que realmente valga la pena que esté enterado. En las otras ocasiones, la aplicación tiene que decidir por él, seleccionando las acciones que lo protejan.

En una organización, los controles de seguridad deben de decidir por el usuario en base a configuraciones pre-establecidas, no hay opciones y hay pocas advertencias, pocos "pop-ups" del navegador, del antivirus, del firewall personal o del filtrado de contenido a sitios web. Estamos hablando de una dictadura.

Nota final: el estudio de la Universidad Carnegie Mellon está interesante, lectura recomendable ciertamente, con bastantes datos de su análisis.