¿Cómo persuadir a la gente promedio de que la seguridad es importante?

Francamente, creo que la única forma de lograrlo es no ofrecer otra opción, o al menos hacer que lo correcto sea mucho más fácil que las alternativas. Todos los puntos que plantea plantean una carga para el usuario de obtener algún aspecto (aunque sea pequeño) de la seguridad de la información correcta: los usuarios no son, en su mayoría, expertos en seguridad de la información. Son albañiles, o investigadores de física, o gerentes de proyecto: debemos dejar que sigan adelante con la colocación de ladrillos, investigando física o administrando proyectos. Esas son las cosas en las que son expertos: nosotros deberíamos estar haciendo la seguridad por ellos.

Para elegir un ejemplo, "no hagas clic en enlaces en los que no confía". ¿Cómo debería un asistente administrativo, por ejemplo, decidir si un enlace es confiable? ¿Mirar el registro WHOIS del dominio (asegurándose de que su DNS se resuelva a través de un canal de "confianza")? Examinar los detalles del certificado SSL? ¿Llamar al webmaster y verificar la huella digital clave? Solo, ¿por qué confía en el número de teléfono, la red telefónica, la persona que se encuentra en el otro extremo del teléfono ... Es una posición ridícula dar a las personas hipervínculos que pueden apuntar a cualquier lugar y luego decirles a ellos que un juicio sobre el uso de hipervínculos.

Por lo tanto, podría estar ocupada hablando, pero ¿voy a sugerir una alternativa? Sí: deje de usar la compatibilidad con versiones anteriores o familiarícese con el flujo de trabajo existente para justificar el uso continuo de sistemas rotos. Para abordar el ejemplo de enlace de confianza, tenemos dos problemas:

1. no podemos identificar todos los sitios web de manera confiable porque no todos tienen datos de identificación, que actualmente es el certificado SSL.
2. no necesariamente confiamos en las personas que nos dicen que confiemos en los titulares de certificados SSL

El punto 1 se puede direccionar fácilmente, aunque sea caro.

El punto 2 es más difícil: desde una perspectiva tecnológica, puede imaginar la emisión de múltiples certificados de múltiples autoridades, pero luego debe tener una interfaz de usuario para examinar y evaluar los certificados de múltiples ; asco O podría imaginar un modelo de "red de confianza" en el que las personas contrasignen claves de sitios en los que confían y en quienes confían para que confíen, etc. pero ahora estamos de vuelta en la misma posición que antes, donde tenemos que saber en quién confiar (esto es básicamente lo que Moxie Marlinspike vino a implementar en Convergencia ). O puede adoptar el enfoque de las herramientas actuales de filtrado web y, si bien no confía en que un proveedor le diga quién es bueno, confíe en ellos lo suficiente como para declarar que algunos sitios son definitivamente malos.

Esta descripción aproximada encaja con lo que el equipo SDL de Microsoft ha llamado IU de seguridad NEAT: la interfaz debe ser Necesario, explicado, accionable y probado . Compare eso con la interfaz de usuario actual para los sitios web de confianza: obtiene la interfaz (el icono del candado) cuando la confianza es correcta, es decir, cuando no es necesaria. Al hacer clic en eso, por lo general le permite ver los detalles del certificado SSL, pero ¿alguien (y alguien debería) explica qué significan para el usuario todos los campos en un certificado SSL? No explicado Además, la mayoría de los navegadores solo te impiden acceder a sitios con certificados obviamente dañados, por lo que en muchos casos la IU tampoco es procesable.

El punto es que si la interfaz de usuario fuera NEAT, sería más valiosa: los usuarios verían la interfaz de usuario en el punto que ellos (no nosotros ) necesitan Toma una decision; se les dirá la información de apoyo relevante para su decisión; su decisión tendría un resultado significativo; y sabríamos cómo reaccionan en condiciones benignas y hostiles.

Estoy bastante de acuerdo con Graham, la seguridad en estos días es demasiado importante para dejársela al lego o incluso a los programadores mismos. Es mejor tener un equipo dedicado que garantice la conformidad con los estándares, incluidos aquellos que podrían afectar el lado del usuario de las operaciones.

En esas líneas:

• En lugar de decirle al usuario que use HTTPS cuando esté disponible, el programa debería elegir HTTPS si es posible y deshabilitarlo debería ser lo suficientemente complejo como para desmotivar a un lego. (Recuerdo una organización famosa que ofrecía 'opt-in' a los usuarios por HTTPS en lugar de hacerlo cumplir.: P)
• La mayoría del software ofrece actualización automática. Habiendo dicho eso, a algunas personas no les gusta el "software malicioso" que hace cosas que están más allá de su conocimiento, especialmente conectándose a Internet. En tal escenario, entonces es primordial que cada versión en sí misma sea relativamente segura.
• La administración de sesiones también es un aspecto importante cuyo uso, en los tiempos actuales de extracción de datos y publicidad dirigida, a menudo está en conflicto con los objetivos de seguridad. Es posible que un sitio desee mantener una sesión, realizar un seguimiento de la actividad del usuario y recopilar datos en los sitios web de los socios, como lo hacen muchos sitios de redes sociales. Pero una sesión más larga / sostenida implica un mayor riesgo de seguridad. Para abordar un problema de este tipo, existe un buen método para solicitar de nuevo solo la contraseña cuando el usuario visita el sitio después de un tiempo específico, la actividad en otros sitios externos o el acceso a través de pestañas / ventanas más nuevas.
• De manera similar, el filtrado de contenido también debe ser cuidado, si no los desarrolladores del contenido, y luego el host lleva el contenido al usuario. Ej .: Anti-spam puede implementarse en su proveedor de correo, pero también debe implementarse en su software de correo como Thunderbird o Outlook, detección de enlaces en navegadores, etc.

La mayoría de los usuarios no se imaginan al usar software, generalmente siguen un patrón simple. ¡Esto puede ser usado para la seguridad o para su desventaja!

Mi experiencia es promedio. A Joe no le importa la seguridad. ¿No ha preguntado a todos los miembros de este sitio por alguien ajeno a la industria de las computadoras qué software antivirus es el mejor? Estoy sugiriendo una pregunta planteada más allá de un intento fingido de encontrar algo en común con usted, es decir, una pregunta directa que indique claramente que les gustaría escuchar lo que piensan que pueden hacer para mejorar su situación.

Tal vez la persuasión no es lo que se necesita.

Tal vez se necesiten formas más fáciles para que el promedio de Joe recoja el conocimiento de las calles por Internet.

Muchos ya tienen ansiedad de seguridad enraizada en no saber si están infectados, son de su propiedad o están haciendo estupideces. Eso significa que el poder de los incentivos ya está en juego. Simplemente no son conscientes de la plenitud de los peligros a los que usted aludió; usar Wi-Fi abierto en Starbucks es una locura *, pero eso es conocimiento de la calle.

Saber por qué es malo caminar por esa calle o hacer clic en ese enlace requiere trabajo: o lo tienes que experimentar o saberlo. Me pregunto si hay atajos para ganar tal sabiduría.

Creo que a la mayoría de las personas les gustaría dedicar un poco más de tiempo a hacer algo bien (es decir, de manera segura) si saben lo que eso significa.

Alexis Conran (co-guionista / actor de The Real Hustle) hizo un par de conferencias magistrales para las conferencias de Seguridad de RSA. Si recuerdo bien, su consejo se centró en conocer mejor las cosas malas para evitar ser poseído. Supongo que esa es otra forma de decir que estar seguro no seas estúpido.

(* enlace es una herramienta de propiedad automática Wi-Fi de Starbucks)

La respuesta de Graham es absolutamente correcta cuando se trata de cómo educar a un usuario sobre cuáles son los riesgos y cómo ayudarlos a comprender las decisiones que toman o quitarles la decisión cuando sea posible.

Un problema relacionado es persuadirlos para que se preocupen ... El mayor problema aquí es que realmente no le importa a la gran mayoría de la gente, y no importa lo que digamos o hagamos como industria, siempre habrá ese grupo. quien nunca notará el impacto en la seguridad de una manera u otra y nos ignorará.

Creo que podemos concentrarnos en ciertos grupos para tratar de ayudar a mejorar las cosas a nivel local, y esperamos que haya un elemento del flujo de las normas culturales de estos grupos.

Consideraciones importantes:

• Actualmente, Joe Public ve la seguridad como algo que lo detiene fácilmente haciendo lo que quiere hacer en Internet o en la computadora de su casa.

• El público en general no quiere tener que aprender algo esotérico, especialmente cuando puede ser algo diferente que tienen que aprender el próximo año.

• El público ha "aprendido" que el robo de grandes cantidades de datos de tarjetas de crédito realmente no tiene ningún efecto en ellos. Mire las cifras: es muy probable que las personas no se vean afectadas negativamente.

Entonces, ¿cómo puede la seguridad ser un beneficio para el usuario doméstico promedio? La respuesta simple es posiblemente "No se puede", así que aunque odio la idea de usar Miedo como conductor, ciertamente deberíamos poder usar la publicidad en torno a las principales hazañas para ayudar a educar.

La única excepción que podría pensar sería:

• Los bancos deberían ofrecer mejores tarifas a las personas que usan software de seguridad correctamente. Las herramientas simples y obvias incluyen cosas como Rapport de Trusteer , que actualmente utiliza un número de bancos globales, pero no hay un incentivo positivo para que los usuarios lo instalen. Hágalo financieramente atractivo y obtendrá una mejor aceptación.

Los ejemplos útiles incluyen redadas como la incursión del FBI en la casa de un DDoS (posiblemente inocente) er : dependiendo de cómo vayan el caso en el tribunal y la publicidad, puede convertirse en el caso de que si no asegura su máquina para prevenir una infección, podría ser responsable. Posiblemente un tiro largo, pero entonces Gene Simmons es notablemente litigioso, ¿quién sabe?

Es cierto que a un estudiante no le importará, pero a las empresas, si el FBI les está atacando.

Por lo tanto, algunos pensamientos:

• los federales deben ir tras las compañías. Si se demuestra que la empresa aloja una máquina en una red de bots que ha atacado a una organización, la empresa debería imponer medidas punitivas: esto educará a nivel corporativo.

• Los ISP deben vigilar sus TOS, y cobrar a las personas que los incumplan, esto puede educar a nivel individual.

También puedo sugerir un enfoque más (complementario, por supuesto, a las otras grandes ideas):

¡Haz que la seguridad sea "emocionante"!

Al contrario de otras direcciones corporativas, la seguridad de TI tiene esta gran ventaja inherente. Las personas se familiarizan con sus conceptos básicos (de manera correcta o incorrecta, esa es otra discusión ...) en su vida diaria y especialmente en los momentos emocionantes de su pasatiempo (ficción, películas, etc.)

"The Real Hustle" mencionado en la pregunta hace un gran trabajo en esta dirección, aún queda mucho por hacer ...

Me gustaría ver a los profesionales de la seguridad haciendo algo más que "Programas de Concientización sobre Seguridad Corporativa". ¿Aburrido? ¿Otro más en los miles de memos de oficina?

Aquí está el desafío: introducir elementos interesantes, hablar sobre fracasos espectaculares, ser parte educador, parte evangelista, parte escritor de ficción (¿leer "Día Cero"?) Hacerlo interesante para la gente y ellos vendrán. Y luego muéstreles formas simples que pueden usar para mejorar las cosas en su práctica diaria. Haz que sientan que pueden hacer una diferencia, que se sientan orgullosos de usar el cifrado como en las películas de espías.

Este es un problema difícil ya que tiene un enemigo potente: la naturaleza humana. Es natural confiar en nosotros y la experiencia cotidiana demuestra que la confianza funciona. Puedes visitar miles de sitios web sin ningún problema. Entonces, un día, los servidores de su consola de juegos favoritos son pirateados y su identidad digital está en peligro. Hay alrededor de mil millones de personas en línea, pero incluso un ataque como el de Sony solo consiguió 70 millones. Y los ataques a escala de Sony son raros.

A pesar de que la mayoría de las empresas no toman la seguridad realmente seria. Si analiza las brechas de seguridad en los últimos años, incluso las compañías especializadas en seguridad informática se vieron afectadas con el tiempo.

Aquí tenemos una gran brecha aquí: la seguridad debería ser importante, pero en realidad no es tan importante en la vida cotidiana. Puede tener un sitio web inseguro en línea durante años sin ser golpeado o puede hacer clic en un enlace e infectarse con un exploit de día cero que nadie podría haber evitado.

Así que creo que persuadir a la persona promedio sobre la seguridad es el enfoque equivocado. Al igual que en la vida real, la seguridad no debería ser un problema. Ninguna persona en su sano juicio se pone una chaqueta negra antes de salir de la casa en el hemisferio norte (bueno, ya me entiendes). La seguridad tiene que "simplemente funcionar" o no es seguridad.

No funciona porque las computadoras no son lo suficientemente inteligentes y potentes. Mi IDE es lo suficientemente poderoso como para generar 1.5 millones de líneas de código Java en menos de 4 segundos, pero es demasiado tonto para decirme que <input value="<%= dbField%>"> o "select * from table where name = '" + userInput + "'" es peligroso.

Los lenguajes de programación de hoy ofrecen características sorprendentes como el estilo CSS de la interfaz de usuario, pero hasta el momento, nadie se preocupó por crear un marco que simplifique la escritura de código seguro en lugar de uno inseguro. Si empiezas a escribir aplicaciones RCP de Eclipse, se agregan aproximadamente 100 MB de código de byte Java a tu aplicación y nadie en el mundo puede decir cuántos agujeros de seguridad podría tener este código.

Si un cortafuegos recibe un paquete, la mayoría de las veces, no hay forma de saber de dónde proviene realmente y si contiene lo que debería. Es más importante enrutar un paquete alrededor del mundo en menos de 3 ns que asegurarse de que un correo electrónico proviene del remitente.

OMI, a menos que se aborden estos problemas, no tiene sentido educar a John Doe sobre la seguridad. Debemos empezar a educar a los especialistas, primero. Después de eso, John Doe ya no tendrá que preocuparse.

[EDITAR] Acabo de leer que algunas aplicaciones de Android transmiten el protocolo AuthToken para ClientLogin de Google sin encriptar . Eso significa que cualquiera puede acceder a todas las API de Google en las que tenga una cuenta: Gmail, Calendario, contactos, fotos privadas en Picasa, su blog en blogger.com.

Entonces, si Google no entiende algo tan básico, ¿para qué convencer a John Doe de que la seguridad es importante? :-(

Tenemos que tener un lenguaje común sobre el riesgo, algo que es principalmente intuitivo y se puede explicar en una servilleta. No creo que alguna vez convertiremos a las personas en expertos en la materia, pero al menos haremos que piensen críticamente sobre un problema una vez que se den cuenta de ello.

Hay un buen artículo en educación sobre el riesgo hace algunos años.

Sugeriría aplicar gamification a la tarea. Como lo señala el artículo de Wikipedia, la comunidad de Black Hat ya usa juegos para mejorar sus ataques, en parte porque hace que la tarea sea más divertida y promueve la práctica útil.

Un enfoque es educar a los usuarios mediante juegos que les ayuden a tomar conciencia de las amenazas y vulnerabilidades que existen. Es común en muchos juegos tradicionales hacer que los jugadores conozcan los principios de seguridad de la guerra, a menudo arcanos. ¿Qué juegos existen sobre la navegación por el mundo riesgoso de la seguridad wifi, los intentos de phishing, los peligros de usar software obsoleto y vulnerable, los riesgos de tener una superficie de ataque más grande de lo necesario, etc.? ¿Por qué no hay más?

Otro enfoque es para la comunidad implementadora general: incorpore los principios de diseño del juego en las interfaces de usuario de software relacionadas con la seguridad: "Gamification" de Seguridad de la información: aplicando conceptos de diseño de juegos sociales a la seguridad de la información | Educación de Skype

Las amenazas pueden funcionar. Hacer que los usuarios sean financieramente y / o legalmente responsables de los problemas de seguridad que crean. Alemania está tratando de hacer eso con el propietario de puntos de acceso WiFi abiertos (al menos así lo pretende este artículo pero es un asunto legal, por lo tanto probablemente plagado de sutilezas más allá de mi comprensión).

Lamentablemente, hoy las personas tienen que cerrar sus puertas y lo hacen. Cada lugar que se ha hecho público, hoy está equipado con alarmas, videovigilancia y otros sistemas de seguridad. Tal conciencia llegó a las personas a través del largo tiempo y el valor de la propiedad perdida y dañada. Lo mismo está aquí, en la industria de TI.

Hay personas usuales que no se preocupan realmente por la seguridad; simplemente no están interesadas en eso, pero sí se preocupan por sus datos y fondos. Todos cierran sus puertas en la cerradura, estos son los conceptos básicos. Sin embargo, cuando se debe instalar un sistema de seguridad en el edificio, generalmente llamamos a los especialistas. Estoy hablando de transparencia y facilidad de seguridad. El usuario promedio no debe sentirse intimidado por el proceso de establecer y apoyar un entorno seguro. Idealmente, una vez que se proporciona un entorno seguro, el usuario debe seguir reglas simples para no romperlo.

Cuando se trata de preguntas como cuáles son esas reglas, qué software instalar y, en general, cómo mantener este entorno seguro y utópico aún funcionando, a menudo nos enfrentamos a controversias y controversias mientras no recibimos una respuesta satisfactoria. Depende de las necesidades y objetivos del usuario de la computadora, función que la computadora está asumiendo. No significa que a los usuarios domésticos definitivamente les importa menos que el operador bancario. Pero hay costos a la efectividad, comentarios de la cantidad invertida de tiempo y dinero. De todos modos, el consejo general es apoyar la llamada CIA: confidencialidad, integridad y disponibilidad.

Explique claramente qué puede suceder si las personas usan contraseñas estúpidas como 123456 o dejan sus puntos de acceso WIFI abiertos, y den ejemplos y referencias.

es decir. Años en la cárcel y en una lista de delincuentes sexuales porque su computadora se usaba de forma remota para descargar pornografía infantil, lo que debería asustar a la gente normal.

Si no, entonces hay extorsión, chantaje, robo de identidad, robo de cuentas bancarias, ridiculización de amigos en redes sociales, ex celos u otros enemigos que difunden mentiras y rumores de ganancia personal, venganza, destruyen relaciones y ponen vidas en peligro, etc. etc. etc. La lista continúa.