martes, 28 de diciembre de 2004

Por qué más seguridad puede producir menos seguridad

De uno de mis enlaces RSS olvidados he extraido hoy una interesante reflexión que quiero trasladar y traducir. El artículo que quiero comentar se deriva del publicado por la revista RISK Digest, With safety and security, more can be less.

El asunto que nos ocupa es por qué introducir medidas de seguridad puede producir como resultado menor seguridad. El texto original puede leerse en Why adding more security measures may make systems less secure. Las cuatro principales razones son:

1.- Problemas de redundancia.
Añadir redundancia solo hace más seguro el sistema si los nuevos elementos introducidos son absolutamente independientes de los ya existentes. Por ejemplo, duplicar infraestructura de red solo funciona realmente como redundante si fisicamente ambas infraestructuras se encuentran separadas. En caso contrario, reducen el riesgo en ciertas amenazas pero no proporcionan absoluta redundancia. Pensemos en el supuesto solo de un incendio sobre la sala. La redundancia no evitará el daño físico a ambos equipos y por tanto, la redundancia no proporcionará la seguridad deseada.

2.- "Apatía de la persona presente".
El efecto psicologico conocido como "Apatía de la persona presente" o "evasión de responsabilidad" conocido en el ámbito de las Redes sociales describe que cuanta mayor gente presencia un evento, menor el grado de responsabilidad de cada individuo y más facilmente se evade la responsabilidad otorgada. Por tanto, cuanta más gente chequea un sistema menos cuidadosa será la revisión realizada.

3.- El problema de la sobrecompensación.
Este problema puede resumirse con la siguiente frase. "Como el sistema es más seguro, podemos asumir más riesgos". Son hechos que se evidencian a menudo en otros ambitos de la seguridad. Como los coches son más seguros, los conductores conducen más rápido. Como disponemos de un sistema de backup, podemos intentar ciertas operaciones sobre el sistema porque estaremos a salvo, etc.

El articulo en concreto, añade a estos tres factores un cuarto no menos importante y que es:

4.- El problema del trabajador dedicado.
Si los requisitos de seguridad se implementan en las actividades del día a día, los trabajadores más especializados los comprometerán. Pedir contraseñas robustas, sistemas de control de accesos, políticas de mesas limpias... son actividades que implican una tarea rutinaria en el día a día. Despues de todo, los problemas de seguridad son riesgos, no realidades y además son eventos con poca probabilidad. Las medidas de seguridad implican trabajo extra y eso Sí es una realidad, y estas medidas hacen más pesado y tedioso nuestro día a día. Por tanto, el personal más especialidado y experto en seguridad obviará estas medidas por no considerar estos riesgos como probables.

De estos cuatro argumentos, uno es técnico y los otros tres psicológicos. Por tanto, cuando se esté intentando incrementar la seguridad de los sistemas han de tenerse en consideración estos factores con igual o mayor importancia que el análisis técnico realizado. En general, se suele indicar que es necesario entrenamiento en materia de seguridad. Efectivamente es necesario pero esta formación ha de ser útil.
 
;