¿Puede un vaso ser un problema de seguridad informática?

Esto, en manos de un médico puede ser una seria amenaza para la seguridad de algunos sistemas. Ya puedes darle vueltas a la cabeza de que forma puede serlo, que probablemente te estés equivocando.

La historia proviene de un hospital donde se instalaron puestos informatizados con ruedas,que en esencia, son ordenadores colocados en carritos para facilitar la movilidad entre habitaciones, y de esta manera acceder a los historiales de cada paciente. El Doctor se acredita en el PC equipado en el carrito, realiza la consulta que desea y se aleja del carro para atender al paciente.

 

Y en este punto es donde aparece el problema de seguridad,  al acceder a los informes de los pacientes, se puede acceder a las recetas o incluso a los propios medicamentos, así que es muy importante que solo las personas autorizadas puedan tengan acceso. La solución de seguridad que se propuso fue dotar de sensores de proximidad a cada uno de los carros, de manera que al alejarse el facultativo, el sistema se bloqueara.

Para un experto en seguridad informática estaría todo perfecto, pero para un médico, resultaba frustante tener que identificarse cada vez que se separaba del carro. Por lo que el magnífico vaso de la foto entra en acción. Los médicos empezaron a colocarlos delante de los sensores para evitar que las sesiones se bloquearan. Lo que al final hizo el sistema más inseguro y a la larga más costoso. El sobrecoste asociado al sistema de seguridad propuesto, se debió a que hubo que contratar un vigilante de seguridad para que fuese retirando los vasos de los sensores en cada carrito.

En el aspecto técnico, la optimización del tiempo de bloqueo, no tuvo en cuenta el factor de frustración humano, lo que hizo que el sistema propuesto no funcionase. Este problema hubiese sido de fácil solución si la persona encargada del diseño, se hubiese tomado un par de días en seguir a los médicos y enfermeras en el hospital y ver la manera en la que se estaban usando los carros. Ya que si los médicos se mueven de habitación, teclean alguna información y luego examinan al paciente, no debe producirse el bloqueo. Sobre todo si conlleva la perdida de la información introducida.

Suele ser frecuente que la persona encargada del diseño de la seguridad del sistema esté en su oficina, encuentre la manera que piensa más segura y de por hecho como debería funcionar; todo esto sin considerar el flujo de trabajo, las tareas de los usuarios o la facilidad de uso para los mismos, simplemente, espera que la gente se ajuste al sistema.  Esta forma de proceder, no resulta eficaz en cuanto a términos de seguridad se refiere, cualquier usuario que piense que el factor de seguridad se interpone en la realización de su trabajo, va a intentar encontrar atajos para evitar esa molestia.

Y es que lo que se necesita para hacer los sistemas más seguros es incluir dentro del lado de la seguridad aspectos como la dinámica de trabajo, habilidades y tareas de los usuarios.

Otro ejemplo de donde se está fallando es en el sistema de contraseñas actual que se está imponiendo.

Este sistema actualmente tiene la tendencia de no utilizar palabras del diccionario, pero necesita, mayúscula, minúscula, números, caracteres especiales, una longitud mínima de 8 caracteres, que no se repita el mismo carácter múltiples veces, que no se repitan las contraseñas previas que ya hemos utilizado, cambiarlas cada seis meses y lo mismo para cada unos de los 50 sitios en los que estamos registrados.

Cualquier persona con un poco de conocimiento sobre las habilidades cognitivas humanas sabe que es totalmente ridículo pedir a la gente que haga eso. Además les recordamos lo estúpidos e inseguros que son por crear esas contraseñas tan simples o por no cambiarlas con la suficiente frecuencia, o por usar la misma en varios sitios.

En el campo de la interacción persona-ordenador  se han pasado décadas aprendiendo cómo la gente piensa, psicológica y cognitivamente. Construyendo modelos sobre eso, y mostrando cómo se puede aplicar al diseño de la tecnología. Hemos construido métodos de diseño que permiten integrar las tareas y las experiencias de las personas en los sistemas que construimos. Y tenemos un montón de formas de evaluación sobre usabilidad, para ver qué tan bien la gente puede aprender de ellos, de lo bien que recuerdan cómo usarlos, y la rapidez y eficacia que pueden lograr sus tareas dentro de esos sistemas.

Por desgracia, gran parte de la ciber-seguridad ha ignorado por completo todo lo que sabemos acerca de la interacción humano-ordenador y tan solo intentamos adecuarla un poco al final de la fase de diseño.

Ésta es una carga con la que las personas de ciber-seguridad están realmente familiarizados, ya que muchas veces le han puesto pegas a la hora de entregar un sistema por problemas en la forma de usarlo.

Si queremos un sistema seguro, la seguridad y el componente humano debe integrarse desde el principio de la fase de diseño. No se puede construir un sistema de seguridad sin que se haya hablado con la gente, se haya entendido lo que están haciendo y se organice la seguridad en torno a ayudarles a hacer sus tareas. Si la seguridad se interpone en el camino, es totalmente razonable que la gente encuentre la forma de saltársela para realizar su trabajo. Si se implica el factor humano desde el comienzo del diseño, el sistema acabará siendo más seguro.

Otro factor de riesgo es a la hora de advertirles sobre su intimidad en Internet.

Si le preguntas a cualquier persona sobre que tipo de datos pueden acceder aplicaciones como Candy Crush Saga o Farmville, la gente tiende a subestimar la cantidad de datos que las aplicaciones pueden acceder. Y son pocos los que han echado un ojo a las política de privacidad de Facebook.

Para abrir los ojos a lo vulnerables que nos convertimos cuando accedemos a este tipo de webs y/o aplicaciones tan solo tendríamos que echar un ojo a la web http://www.takethislollipop.com/  De esta manera se obtiene información real y contrastada de hasta que punto podemos ser observados al usar aplicaciones aparentemente inocuas e inofensivas.