¿ Autocontrol del usuario ?


Como todos sabéis existen infinidad de acciones y mecanismos para concienciar y/o educar ;-) a los usuarios en esto de la seguridad de la información. En esta entrada me gustaría plantearos el siguiente tema: ¿creéis que los usuarios por propia iniciativa llegarían a adoptar buenas prácticas (autoregulación) si tuvieran periódicamente información detallada acerca de su actividad?. Para nada me refiero a indicadores de desempeño y/o similares (esto es otra guerra) sino de su interacción pura y dura con los sistemas de información. No hace falta decirlo pero el target de esta propuesta son aquellos usuarios, que se caracterizan, de alguna manera, por un uso "avanzado e intensivo" de las herramientas de trabajo.

A modo de caso práctico os expongo un posible método:

En lugar de dedicar tiempo y recursos a revisar, monitorizar, etc. determinados parámetros de la actividad de los usuarios, consideramos que esta supervisión podría ser transferida al propio usuario a modo de autocontrol y autoregulación cuando sea necesario. Para ello nos planteamos la posibilidad de elaborar mensualmente unos informes de actividad personalizados para ser distribuidos a todos y cada uno de los usuarios. Obviamente se trata de un informe de carácter confidencial que únicamente es conocido por el usuario en cuestión. El informe podría contener, a modo de ejemplo, algunos de los siguientes indicadores:

  • Uso de internet (tiempo en horas, volumen de tráfico, total páginas accedidas, total páginas bloqueadas filtro contenidos, etc.)
  • Acceso lógico (total accesos, número bloqueos acceso no autorizado, cambio password voluntario/caducidad, etc.)
  • Uso correo electrónico (cantidad correos recibidos, enviados, volumen de datos, etc.)
  • Incidencias (virus, malware, etc.)

Con objeto de que el usuario sea consciente de su situación estos indicadores deberían compararse con algún valor objetivo o de referencia. Dado que difícilmente se pueden establecer valores objetivos de, por ejemplo, cantidad de correos, accesos a la red/aplicación, etc. entendemos que junto al valor en cuestión podría figurar el valor medio del conjunto de usuarios. De esta forma, el usuario, comparándose con la mencionada media de la organización, podría comprobar si está alineado o no con los niveles de uso "habituales", que no aceptables!.

Sobre el papel todo funciona y parece idílico pero dado que el comportamiento humano es imprevisible ¿podemos tener la certeza de que el usuario llegue a captar el mensaje y actúe en consecuencia? En ocasiones, si se percibe que se deposita toda la confianza en uno mismo se actúa de forma muy distinta a como se haría en caso de estar permanentemente "vigilado" (que no es el caso!). No obstante, también puede convertirse en una malinterpretación de la finalidad básica y convertirse en un "todo vale".

También existen otros inconvenientes añadidos como ¿qué pasa si la media colectiva es ya de por si elevada o fuera de valores aceptables? Aún así, habría que tener muy claro cuales son los valores aceptables de algunos de los indicadores ...... por ejemplo, ¿alguien se atreve a exponer cuantas horas de navegación mensuales son permisibles? ¿2 h? ¿10 h? ¿50 h? ¿depende? Otro caso, ¿Cuantas veces al mes sería razonable que un usuario se equivocara en sus credenciales y se le bloqueara la cuenta? ¿0? ¿2? ¿5? Señalar que hay algunos indicadores que de ninguna forma están vinculados a un mal uso o similar, son simplemente informativos.

Para finalizar, tampoco es objeto de esta entrada la más que trillada disquisición acerca de los recursos de la empresa y su uso por los trabajadores.

CITA DEL DIA: "Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad"

No hay comentarios: