Proceso de diseño en seguridad usable y autenticación mediante un enfoque centrado en el usuario

Abstract

Actualmente, la seguridad informática es una de las tareas mas importantes y más cuando día tras día, complejas computadoras se desarrollan los cuales permiten procesar una mayor cantidad de información en un tiempo mas corto, esto hace a la seguridad informática un factor clave para las organizaciones. Sin embargo, es habitual encontrar en la literatura que los usuarios encuentran la seguridad y la privacidad difíciles de comprender. Es por esto que la seguridad representa un objetivo secundario para la mayor a de personas que utilizan sistemas informáticos. Como consecuencia de lo anterior, los usuarios tienen a ignorar las características de seguridad del sistema generando con esto decisiones equivocadas y poniendo en riesgo la información privada que pueda tener. El campo de la Seguridad Usable (del inglés Usable Security o USec) es el área que investiga este tipo de problemas, cuyo principal objetivo es el diseño de características de seguridad y privacidad que puedan ser fáciles de usar y entender por parte de los usuarios. De lo anterior podemos decir que la Seguridad Usable permite encontrar un equilibrio o trade-off entre las características de seguridad y usabilidad. Sin embargo, encontrar este balance es un reto debido a que estos dos atributos en ocasiones son contrarios.

Este proyecto de investigación esta enfocada a encontrar principios para seguridad usable y autenticación de usuario junto con un mecanismo de evaluación cualitativo y cuantitativo el cual permita que el trade-off entre seguridad y usabilidad se pueda llevar a cabo. Para encontrar estos principios, un proceso de desarrollo es propuesto el cual consta de tres etapas: desarrollo, revisión y aplicación. Este proceso permite tener análisis cualitativo y cuantitativo en la aplicación de estudio teniendo en cuenta los aspectos de la seguridad usable. Desde nuestro conocimiento, no existe en la literatura un proceso cualitativo y cuantitativo que describa como aplicar una evaluación heurística en el campo de la seguridad usable. Como parte del análisis cuantitativo, el mecanismo de evaluación propuesto presenta un nivel del grado de seguridad usable y otros atributos donde la seguridad es parte esencial. Para lograr esto se establecen niveles de importancia, de severidad y de impacto para los principios de diseño encontrados. Con base en lo anterior y teniendo en cuenta las posibles vulnerabilidades que pueda tener el sistema, se presenta la primera propuesta del nivel de riesgo utilizando los principios como pieza clave.

A partir de los principios encontrados para seguridad usable y autenticación de usuario junto con su evaluación, en esta investigación se propone incluir estos dos elementos en un modelo de diseño centrado en el usuario muy conocido por la comunidad académica y empresarial, el modelo MPIu+a. Debido a que este modelo esta orientado al diseño de sistemas interactivos altamente usables y accesibles, consideramos que hace falta incluir la seguridad como elemento fundamental. Aunque la integración que se propone entre el modelo MPIu+a y las guías de diseño junto con la evaluación es una versión preliminar, mas estudio es necesario para establecer un modelo adecuado. Sin embargo, consideramos que puede ser un punto de partida para constituir futuras mejoras.

Today, computer security is one of the most important tasks, and when day after day, complex computers are developed which allow to process more information in a shorter time, this makes computer security a key factor for organizations . However, it is common to find in the literature that users find security and privacy difficult to understand. This is because security is a secondary goal for most people using computer systems. As conse-quence of the above, users have ignore the security features of the system generating with this, mistaken decisions and putting at risk the private information that they may have. The field of Usable Security (Usable Security or USec) is the area that investigates these types of problems, whose main objective is the design of security and privacy features that can be easy to use and understand for users. From the above, we can say that the Usable Security allows to find a balance or trade-off between the characteristics of security and usability. However, finding this balance is a challenge because these two attributes are sometimes inversely proportional. This research project is focused on finding principles for usable security and user authen-tication, together with a qualitative and quantitative evaluation mechanism which allows the trade-off between security and usability can be carried out. To find these principles, a development process is proposed which consists of three stages: development, review and application. This process allows to have qualitative and quantitative analysis in the study application taking into account elements of usable security. From our knowledge, there is no qualitative and quantitative process in the literature describing how to apply a heuristic evaluation in the field of usable security. As part of the quantitative analysis, the proposed evaluation mechanism presents a nivel of the degree of usable security and other attributes where security is an essential part. To achieve this we establish levels of importance, severity and impact for the design principles found. Based on the above and taking into account the possible vulnerabilities that the system may have, the first proposal of the risk level is presented using the principles as a key piece. From the principles found for usable security and user authentication along with its eva-luation, this research proposes to include these two elements in a user-centered design model well known by the academic and business community, model MPIu+a. Because this model is oriented to the design of highly usable and accessible interactive systems, we consider that it is necessary to include security as a fundamental element. Although the proposed integration between the MPIu+a model and the design guides together with the evaluation is a preliminary version, more study is necessary to establish an adequate model. However, we believe that it can be a starting point for future improvements.