seguridad mediante diseño conductual: una revisión rápida | Nuevos artículos
Noticia | 16-09-2021 | 09:25
En 2021, el NCSC-NL encargó a la Universidad de Leiden que llevara a cabo una revisión rápida para conocer las mejores prácticas y posibles vías de investigación futuras para que las ciencias del comportamiento puedan integrarse en una seguridad más amplia mediante metodologías y proyectos de diseño. Este campo académico se conoce como seguridad por diseño conductual. El objetivo de la seguridad mediante diseño conductual es diseñar sistemas de tal manera que sea más probable que el usuario de estos sistemas se comporte de manera segura. El objetivo de esta revisión rápida fue cubrir la investigación que prueba empíricamente la efectividad de varios métodos. Los métodos cubiertos son el empujón o también llamado arquitectura de elección y la tecno-regulación.[1].
Cuando se utiliza el empujón para influir en el comportamiento de ciberseguridad, hay algunas consideraciones a tener en cuenta. Los empujones deben implementarse de manera ética y los desarrolladores deben probar exhaustivamente la efectividad de los empujones propuestos para evitar efectos secundarios no deseados. Se recomienda la colaboración entre desarrolladores y científicos del comportamiento para cubrir decisiones o comportamientos de usuario más complejos, o para aplicar empujones efectivos en entornos complejos.
Para probar los hallazgos, se llevó a cabo una prueba con algunos expertos en el campo para examinar sus puntos de vista sobre la viabilidad de las soluciones conductuales. Algunos expertos declararon explícitamente que incorporan principios de seguridad por diseño en el diseño de su software. La forma en que consideran el potencial de que los usuarios finales se comporten de manera insegura varía. A veces se prueba la eficacia de los componentes conductuales del software, pero a menudo falta una prueba estructurada, regular y sistemática de estos componentes. Según los expertos, el empujón podría ser una herramienta útil para mejorar la ciberseguridad (comportamientos). Además, los expertos ven potencial en el uso de la tecnoregulación y el empujón mutuo. La tecnoregulación se puede utilizar para comportamientos de alto riesgo en los que se justifica eliminar opciones, mientras que el empujón se puede implementar en casos en los que el riesgo es bajo, o cuando los sistemas se utilizan para una variedad de tareas, cada una con su propio nivel de riesgo.
Si desea saber más sobre esta investigación, lea el documento adjunto o escuche la presentación del Dr. Tommy van Steen y la Dra. Els De Busser en el próximo simposio de investigación del NCSC-NL. Hagamos juntos una investigación sobre ciberseguridad’ el 26th y 27th de octubre. Más información sobre este evento estará disponible en breve en nuestro sitio web.
[1] La tecnoregulación es un subcampo del derecho que sugiere que se puede imponer la seguridad quitando la libertad de actuar de manera diferente.