Hoy por la mañana leí este artículo en el NY Times titulado "Goodbye, Passwords. You Aren’t a Good Defense." El artículo puntualiza las debilidades de los passwords como mecanismos de seguridad (que definitivamente son muchas), sugiriendo caminos alternos que eliminen por completo al humano en el proceso de autenticación.
La propuesta es el uso de tarjetas de información como OpenID, que definitivamente constituye una alternativa tecnológica viable. No obstante, llamó mi atención una frase en la que se comenta que se debe cambiar a un paradigma en el que la intervención humana en el proceso de acceder a un sitio protegido sea muy poca o ninguna. Aunque suena como una posibilidad interesante, el reducir la participación humana con el argumento de que las computadoras y los algoritmos criptográficos hacen mejor el trabajo, tiene algunos efectos no deseados que están en el corazón del problema de seguridad informática y que describiré brevemente a continuación.
Casi cualquier tratado de seguridad informática afirma de forma conciente que las principales brechas de seguridad están ocasionadas por errores o elementos humanos. Aunque estos tratados también hablan de la importancia de la educación y la sensibilización del recurso humano como parte de la estrategia de seguridad, en la práctica se busca cerrar la brecha a través del desarrollo de tecnologías que reduzcan la participación humana. Estos sistemas se venden haciendo creer que la reducción de la participación humana es la solución. Desafortunadamente, la confianza en la tecnología más sofisticada lleva a descuidar la sensibilización y educación del recurso humano, traduciéndose en una mayor (o al menos no en la reducción) incidencia de errores de índole humana.
Definitivamente, la opción tecnológica es interesante, pero no podemos vincularla a un descuido del componente humano de los sistemas, ya que esta posición nos lleva a una eterna búsqueda de la tecnología perfecta. Francamente, sin educar y sensibilar a los usuarios, tal tecnología no existe.
lunes, 11 de agosto de 2008
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario