Hola, me encontraba un día procastinando en Internet (bueno, casi todos los días) y encontr un artículo de telegraph.co.uk que me pareció bastante interesante titulado «Equilibrar seguridad y usabilidad: no tiene por qué ser un compromiso.» (Bueno, es mi traducción del título) y a partir de este se me ocurrió hacerles un resumen y agregarle algo de mis impresiones.
Hagamos una analogía, la puerta principal de tu casa tiene una manija que se gira fácilmente para entrar y salir. Tiene una cerradura para cerrar la puerta y no hacer tan facil la entrada y salida. Una aproximación es que, cuantas más cerraduras agregue, más esfuerzo requiere para abrir la puerta (que es la que usualmente se vende, por así decirlo)
La seguridad no tiene por qué perjudicar la usabilidad, pero el balance entre los dos está a la vista cada vez que se te dice una contraseña no es lo suficientemente larga o que se ve obligado a iniciar sesión de nuevo porque estás usando un dispositivo nuevo. Es un dolor, pero es más seguro.
Los vacíos de conocimientos, la planificación deficiente e incluso el modelo de negocio detrás de la mayoría de los productos tecnológicos conspiran para hacer que la seguridad y la facilidad de uso se sientan como un valor agregado en los software.
Seguridad por diseño
Una planteamiento de larga (laguisima) data es «seguridad por diseño»: la premisa es que la seguridad debe incorporarse al principio del proceso de desarrollo, en lugar de pegarse al final de forma apresurada (fabricar una puerta con cerradura de cerrojo incorporado tiene más sentido que añadir cerraduras después de instalarla en casa).
¿Cuál es el deber ser? Pues, que las partes interesadas o los recursos del proyecto estén de acuerdo en la importancia de la seguridad/privacidad antes del inicio de un proyecto. Esperar hasta la etapa de diseño puede ser demasiado tarde, la seguridad debe integrarse en los sprints (de acuerdo a la metodología Agile) en las fases de planificación, diseño e implementación (Esto me recuerda a ITIL).
Pero rara vez los expertos en seguridad tienen conocimientos de diseño (y viceversa) – y con poca frecuencia los equipos de experiencia de usuario (UX) trabajan en estrecha colaboración con sus homólogos de seguridad, la mejor manera de garantizar que los diseñadores consideren la seguridad es que comprendan los fundamentos de la seguridad y la autenticación; y que tengas un «equipo conocedor y curioso» que quiera aprender unos de otros.
Asuntos de privacidad
La división entre seguridad y UX podría ser cubierta por hardware, como los escáner de huellas dactilares Touch ID de Apple y sistemas similares en teléfonos inteligentes con Android de Google. Para muchos de nosotros, esa es la gran esperanza para la seguridad y experiencia del usuario al mismo tiempo… el proveedor de hardware se convierte en el proveedor de confianza para la identidad.
Esto significa que los desarrolladores de software no tienen que hacer todo el trabajo de asegurar los datos y autenticar a los usuarios ellos mismos. Confiar en cosas como Touch ID va a hacer que todo el proceso de autenticación sea mucho más fácil, pero ¿eso significa que tenemos que confiar en Google y Apple?, por supuesto que sí.
Y eso podría ser un problema. No hay una dicotomía entre una gran experiencia y la privacidad, la única razón por la que pensamos que existe es porque esta dicotomía existe en un modelo particular de tecnología: el modelo de Silicon Valley. No se trata de diseño, sino de modelos de negocio. Por ejemplo, (toma nota ahí mi estimado) Facebook y Google recogen tus datos para venderlos, no es un error o un prerrequisito tecnológico inherente, es porque es en su mejor interés financiero hacerlo. Pero el modelo de negocio de Apple (vender teléfonos en lugar de datos, sí por eso son tan caros) le permite equilibrar seguridad, privacidad y diseño, argumenta.
Para Apple, la privacidad es una ventaja competitiva absoluta y, por lo tanto, no encuentra ninguna dificultad en proporcionar grandes experiencias a la vez que protege tu privacidad. La pregunta que tenemos que hacernos es: ¿por qué no protege nuestra privacidad Google y Facebook? Y la razón es simple: si respetaran nuestra privacidad, irían a la bancarrota.
Limitar la disponibilidad de datos
Ampliar las habilidades de los diseñadores, crear seguridad mediante el diseño y reconsiderar los modelos de negocio puede ayudar a UX y a la seguridad sentirse menos distantes, pero los dos no necesariamente están en desacuerdo – incluso se pueden beneficiar el uno al otro, cuyo software cuenta con controles de seguridad que limitan estrictamente lo que cada usuario puede ver (Sí, estoy hablando de definición de roles y permisos), impidiendo que los individuos puedan ver datos que no son para sus ojos.
Esto refuerza la seguridad y la privacidad, pero también ayuda al personal a hacer su trabajo más rápido, ya que hay menos pantallas por las que hacer clic. Al disponer de estos controles de seguridad, las empresas que utilizan un determinado software pueden garantizar que el personal sólo vea y tenga acceso a la información y funcionalidad que necesita para desempeñar su función, Por ejemplo, el equipo de ventas no ve las mismas pantallas que los recolectores del almacén; el personal del almacén no ve los informes a los que sus gerentes tienen acceso; y sólo los contables pueden ver las facturas y las finanzas de la empresa y así sucesivamente.
Esto puede significar un ahorro de costes. Una seguridad bien pensada podría valer la pena la inversión (hay que hablar el idioma universal, costes) por razones que van más allá de impedir que los hackers obtengan acceso (piensa en cuánto tiempo desperdicia el personal en restablecer las contraseñas perdidas).
Por cierto, «rentable no sólo significa costes de licencias, sino también los costes a los que se enfrentan las personas afectadas directa o indirectamente por la tecnología como resultado de sus trabajos cotidianos. Pensar en los aspectos de UX puede ayudar mucho a las empresas a encontrar el equilibrio que funcione mejor para ellas. Mejor diseño, mayor seguridad y ahorro de costes, tanto que se puede hacer y muchas personas solo lo ven como un compromiso.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
