¿Se usan personas en la seguridad de la información? (como en UX)

Sí, en cierto modo.

Cuando uno diseña un Modelo de amenaza, piensa en el sistema actual, los objetivos potenciales de un "Actor de amenaza" (atacante o usuario descuidado) y las herramientas, técnicas y procedimientos disponibles actualmente para explotar vulnerabilidades.

Por ejemplo, trabajo con un cliente que describe todo esto en documentos detallados y establece prioridades en relación con las prioridades de riesgo del sistema y la empresa. Sin embargo, la atención se centra en amenazas , no en los propios atacantes.

Dicho esto, hay un gran beneficio en el uso del estilo UX de personas de una manera más tradicional para lidiar con el problema del "usuario descuidado". En muchos casos, un mejor UX evitaría muchos de los problemas de seguridad generados por los usuarios a los que nos enfrentamos a diario.

Supongo que también hay un pensamiento de nivel básico, parecido a una persona, en la categorización de los atacantes, desde skiddy hasta actores estatales. O, si sigues la nomenclatura de Micken , tienes la dualidad Mossad / not-Mossad.

RBAC también puede ser un área donde el pensamiento tipo persona puede ser útil.

El hecho de que las personas te sean útiles o no dependerá de lo que estés haciendo, y en tu caso, de qué pruebas estamos hablando.

En general, un problema al tratar de pensar 'como un pirata informático' (o asignar personas a los atacantes) es que se parece mucho a rodar tu propio cifrado: puedes comenzar a sentir que estás a salvo, y peor aún, puedes comenzar a creer usted está.

Hay muchos defensores del uso de personas, que rara vez devuelven el esfuerzo, incluso cuando hay un conjunto de personas atacantes previamente creado. Es difícil predecir qué hará un atacante, pero lo que es más importante, existen mejores técnicas disponibles, como el uso de STRIDE, árboles de ataque o CAPEC.

También discuto el uso de "pensar como un atacante" enlace