És una cruel realitat que a mida que implantem mesures de seguretat estem limitant als usuaris dels nostres sistemes, fins hi tot podem impedir que facin coses que fins ara han estat fent, i que dificulta les seves obligacions. Pot ser això un problema?
Fa relativament poc temps vam estar ajudant a una empresa del sector industrial. Hem de reconèixer que ens agrada voltar per les fàbriques i que ens expliquin el procés de producció, sempre s’aprèn alguna cosa. Doncs mentre que ens estaven ensenyant les instal·lacions ens van explicar el procés d’adaptació d’unes de les seves darreres adquisicions, unes bàscules de líquids automàtiques.
És curiós com les bàscules calculen el temps que l’aixeta ha d’estar oberta per deixar passar liquid segons lo plena que està la cisterna i la densitat del líquid, amb una pesada prèvia per tal d’obtenir la quantitat de líquid que és necessari. Aquest procés pot semblar obvi que requereix d’un periode d’aprenentatge de la bàscula i el sistema.
I aquí és on comença la història. Després de tres mesos d’ús del nou sistema, el sistema no havia aprés res, i es va començar a investigar, fins que es van adonar que els operadors de la fàbrica, acostumats a les pesades manuals, van veure que las bàscules sempre pesaven de menys en la primera pesada, i després rectificaven en una segona pesada. Això era una pèrdua de temps així que per millorar la productivitat, amb un peu eixacaven la bàscula per donar menys pes en la primera pesada, i així queia més liquid de cop. Evidentment la voluntat dels operaris era bona, millorar la productivitat, però van aconseguir lo contrari, ja que el sistema no era capaç d’aprendre.
Si traslladem aquesta historia a la seguretat de la informació en podriem treure tres conclusions:
La primera: L’usuari sempre és capaç de fer un ús imprevist del sistema, que no contemplem i que per tant no controlem ni monitoritzem.
La segona: La fase de conscienciació i de formació és molt important. Quan es modifica alguna cosa que afecta a l’usuari és necessari explicar-li, perquè si no els resultats poden ser imprevisibles. (algú hauria d’haver explicat als operaris que el sistema era capaç d’aprendre)
La tercera: Una mesura de seguretat que és incomoda per l’usuari o li impedeix fer la seva tasca de forma òptima, força a l’usuari (sense necessitat de tenir mala fe) a intentar saltar-se-la, buscant portes de darrera.
I aquí en aquest segon efecte és un resideix el perill real. Tenim una mesura de seguetat, que creiem que ens protegeix d’alguna amenaça concreta, i que per tant ja no la contemplem. I resulta que no es fa servir, incrementant d’aquesta manera el risc global de la organització.
I d’aquí en traíem dues recomanacions: Evitem mesures de seguretat incomodes per l’usuari, i si és inevitable fem una bona tasca de conscienciació en materia de seguretat, i sobretot monitoritzem les mesures de seguretat i avaluem la seva eficiència. Perquè la seguretat no està tant en implantar mesures, si no en monitoritzar-les.
19 Apr 2010
15:00
Només dir-vos quanta raó teniu en aquestes ratlles, s’evitarien molts problemes informant als treballadors i treballadores de les mesures de seguretat vigents