Infreemation

Computer Security and The Human Factor La seguridad informática y el factor humano

I recently read Recientemente he leído The Human Factor El factor humano by engineering professor profesor de ingeniería Kim Vincente Kim Vicente . This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. Se trata de un ojo-apertura libro sobre la importancia de "adaptar la tecnología a las personas" en lugar de "obligar a la gente a adaptarse a la tecnología." El campo de Factor Humano de Ingeniería parecer, ha sido de alrededor por un tiempo, pero nunca ha sido la sociedad en mayor necesidad de : gracias a las computadoras personales y la Internet la mayoría de la gente que conozco tratan a diario con la tecnología que no reconoce la naturaleza humana.

Technology for Technology’s Sake Tecnología para Tecnología de Sake

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. Kim dice que la tecnología ha crecido demasiado compleja debido a que "la tecnología de los magos" tienden a diseñar para gente como ellos mismos o por el bien de la propia tecnología, y porque hay una cultura de reduccionismo en la ciencia que tiende a favorecer el diseño de abajo hacia arriba, sin entender el propiedades emergentes del sistema cuando todos los componentes están conectados. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider Ambos a un acordes con mí: como un científico que trató de nadar contra la corriente reduccionista, y como una red y software de ingeniería I se esfuerzan diariamente para considerar “layer 8″ "Capa 8" of the de la network red : the user. : El usuario.

Systems Analysis Análisis de Sistemas

Prioritizing Priorizar systems analysis análisis de sistemas in a world of cheap (and quite effective) reductionism is not an easy sell. en un mundo de barato (y muy eficaz) reduccionismo no es fácil vender. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. Es complicado y costoso, que requiere un estudio cuidadoso, los ensayos y el seguimiento de la interacción y la interdependencia. Where then are you likely to find such approaches? En caso de que entonces se le puede encontrar a esos enfoques? Typically when the loss of human life is the consequence of failure. Normalmente cuando la pérdida de vidas humanas es la consecuencia del fracaso. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. De particular interés en el libro de Kim fueron sus estudios de casos contrastantes en la aviación y la industria médica en materia de seguridad.

When Death is on the Line Cuando la muerte está en la línea

There was apparently a time when taking the plane was not safer than driving. Hubo al parecer un momento de tomar el avión no era más seguro que conducir. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. Según Kim, hasta los mediados de los años 70 "la FAA es al mismo tiempo responsable de recibir información acerca de escaso margen, y reprender las personas y organizaciones cuando se atornilla." Obviamente una gran cantidad de asuntos realmente graves no se informó de obtener debido a la posible responsabilidad que participan , Y, a menudo, los problemas no se abordan hasta que haya sido un accidente. Loss of life in aviation is high profile and can lose you customers quickly. Pérdida de la vida en la aviación es de alto perfil y usted puede perder clientes rápidamente. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing Es evidente que esta situación era insostenible para la industria y, finalmente, la FAA ha colaborado con la NASA en el resultado de Seguridad Aérea Sistema de informes (ASRS) que permite private reporting of incidents privado de presentación de informes de incidentes . The details are all in the book which I encourage you to read but here is what seems to make the system work: Los detalles se encuentran en el libro que le animo a leer, pero aquí es lo que parece que el sistema funcione:
1) voluntary 1) voluntario
2) confidential 2) confidencial
3) non-punitive 3) no punitivo
4) independent 4) independiente
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! Cuesta $ 2 millones anuales, se refiere a @ 40000 incidentes, y aparentemente nunca ha sido una violación de la confidencialidad de los informes! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. Y gracias a ASRS en gran parte, la aviación es mucho más seguro de lo que era en los años 70.

…Culture Matters … Temas de Cultura

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. Kim también estudios de EE.UU. hospitales donde 44000-98000 de personas mueren anualmente de causas prevenibles. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. Esta terrible situación no parece obtener la atención proporcional a esta estadística y no parece estar mejorando rápidamente. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. Teniendo la responsabilidad de los propios actos es fundamental para la cultura de Medicina y usted podría pensar que esta sería una receta para la excelencia. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. Sin embargo, el miedo de reprimenda, la pérdida del empleo, pérdida de reputación, y la altamente litigiosa EE.UU. médicos medio ambiente son los incentivos contra la presentación de informes de incidentes y accidentes. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. Conspiraciones de la tecnología imperfecta, ridículamente largo turnos, y los más complejos temas sociales actúan como una "mano invisible" que guía el sistema para generar más errores. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. Kim afirma valientemente que el sistema médico se beneficiará mucho de factor humano de ingeniería y proporciona algunos ejemplos excelentes.

Have a Safe Compute! Disponer de un seguro Compute!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. Parece que todos puedan beneficiarse de la lectura de lo que Kim tiene que decir y aplicarlo a sus campos. I certainly want to try. Desde luego, desea probar. I want to follow up on a conversation I had with Quiero hacer un seguimiento de una conversación que tuve con Adam .

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. Abrazando el uso de Internet es un costo de entrada, aunque bastante baja a primera vista, para hacer negocios en el mundo de hoy. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! El verdadero costo de la computación en Internet es, probablemente, bastante alto si los riesgos están debidamente contabilizados, sin embargo, esto es una tarea difícil, usted sabrá si alguna vez trataron de obtener un presupuesto aprobado de seguridad! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. Adam me asegura que se trata de un problema no resuelto debido a que muchos o la mayoría de los incidentes de seguridad no se denuncian (si alguien tiene alguna estima por favor hágamelo saber y yo enlace a continuación) que conducen a la falta de datos con los que evaluar el riesgo.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: Esto me recordó de los problemas Kim debatió en la aviación y Monitorización, ya que el principal motivo por el que no sabe más acerca de las violaciones de la seguridad es que hay sanciones para la divulgación:
-security staff may face reprimand or loss of job and reputation - el personal de seguridad pueden ser objeto de amonestación o la pérdida de puestos de trabajo y la reputación
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - una organización no correr el riesgo de la publicación de análisis forense de las incursiones y los resultados de auditorías de seguridad por razones obvias
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - las empresas no quieren admitir los daños y perjuicios financieros causados por las violaciones de la seguridad para sus accionistas y demostrar debilidad en el mercado

Can a CSRS help us design more secure products? ¿Puede un CSRS nos ayuden a diseñar productos más seguros?

Would it be possible to have an effective “Computer Security Reporting System”? ¿Sería posible encontrar un concepto "Sistema de Notificación de Seguridad"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? ¿Una organización sin fines de lucro, debidamente financiado, ser capaz de reunir datos precisos y significativos producir informes y recomendaciones para la industria y los CIOs arquitectos por igual? Could they protect the identities of participants and the information that belongs to them? ¿Pueden proteger la identidad de los participantes y la información que les pertenece a ellos? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? ¿Seremos capaces de generar la información clave del coste de estos datos que sirvan para educar al mismo tiempo ayudar a construir mejores productos de seguridad y los presupuestos? Has this already been done and does it meet the aforementioned key criteria? Este ha sido ya hecho y hace cumplir los criterios antes mencionados clave? I found something He encontrado algo here aquí , but government related agencies don’t seem to meet the “independent” criterion. , Pero los organismos del gobierno relacionados con la no parecen cumplir con los "independientes" criterio.

Perhaps it is not feasible to have a CSRS: Tal vez no es factible tener una CSRS:
1) too many players and technologies involved 1) demasiados jugadores y las tecnologías involucrados
2) security, while expensive, is not usually “life and death” 2) la seguridad, mientras que caro, por lo general no es "la vida y la muerte"
3) too big a problem - too expensive to be cost effective 3) demasiado grande un problema - demasiado caro para ser rentable

I’m not a security insider so I will “ask the audience” on this one. Yo no soy una garantía de abuso de información privilegiada por lo que "pedir a la audiencia" en este caso. I know you’re out there! Sé que estás ahí fuera!