Sobre la práctica de la Experiencia de Seguridad

11 de enero de 2021 4 min de lectura

¿Cuál es la diferencia entre virus, troyanos, gusanos, etc? No importa. Todo es basura que nadie quiere en su computadora. Dejen de enseñar a los usuarios información inútil que nunca van a usar. Taylor Swift

Fuente de la imagen: @SwiftOnSecurity

La práctica de entregar productos y servicios en línea está en constante evolución. Nos vemos obligados a movernos junto con las mareas cambiantes de la tecnología. En este cambio de mareas, se crean e implementan nuevas funcionalidades. ¿Cómo impactan estos cambios la seguridad y privacidad de los usuarios? Esta pregunta trae a colación algo que me gustaría llamar “experiencia de seguridad”.

Desde hace mucho tiempo, el rol de mantener la seguridad y privacidad de los usuarios solo ha sido designado a Operaciones de Seguridad (SecOps), Ingenieros de Confiabilidad del Sitio (SREs) y/o prácticas de Ingeniería. Estas disciplinas, e industrias, han creado estándares y lineamientos que buscan mantenerse al paso con el panorama siempre cambiante que es la web. Su rol está destinado a asegurar que los productos y servicios en línea sean seguros y tengan el mejor interés de los usuarios en mente.

Elimina esta idea de tu cerebro.

La seguridad y privacidad de los usuarios es trabajo de todos y debería ser algo que cada persona en tu equipo incorpore en sus flujos de trabajo. Entonces, hablemos de lo que quiero decir cuando específicamente digo “experiencia de seguridad”.

La experiencia de seguridad es la práctica de diseñadores visuales, escritores de contenido e investigadores de usuarios enfocándose en las mejores prácticas de la experiencia de seguridad y privacidad de los usuarios. Es hacer el trabajo tradicionalmente asignado a SecOps o SREs en un equipo dado e incorporar esas prácticas para crear una experiencia usable y segura.

El contenido es parte de nuestra experiencia diaria mientras interactuamos con sitios web y aplicaciones. Ya sea escuchando un podcast o haciendo una compra en línea, el contenido nos guía a través de varios procesos y experiencias que ayudan a establecer entendimiento y confianza con los usuarios. Sin embargo, en mis casi dos décadas de experiencia como ingeniera de software, el contenido es la “cosa” que más frecuentemente se cambia en la web. Veamos un ejemplo específico para entender mejor este concepto.

Imaginemos que has llegado a un sitio web para crear una nueva cuenta para un servicio basado en suscripción que te gustaría empezar a usar. Comienzas a llenar el formulario que dice que ingreses el nombre de usuario que te gustaría usar. Decidiste usar tu dirección de correo electrónico como tu nombre de usuario, ya que es fácil de recordar. Completas el proceso de creación de cuenta y te suscribes a tu servicio — ¡genial! Unas semanas después de tu suscripción, empiezas a recibir correos de varios servicios a los que nunca te habías suscrito antes. Descubres que tu dirección de correo electrónico para la creación de cuenta de tu nuevo servicio ha compartido tu correo electrónico públicamente. Luego intentas cambiar tu nombre de usuario, para descubrir que el campo de nombre de usuario no es modificable. ¡Uy! Todo esto se podría haber prevenido si hubiera habido contenido que explicara claramente que tu nombre de usuario sería público y no modificable.

Entonces, has leído hasta aquí y tal vez te convencí, y te estás preguntando cómo empezar. Aquí hay tres tips sobre cómo los profesionales de Experiencia de Usuario pueden hacer la transición hacia la Experiencia de Seguridad:

Aprende sobre las prácticas de seguridad y privacidad de tus productos y/o servicios. Empieza a romper el silo de UX y Seguridad y aprende sobre la seguridad de tu producto y/o servicio. Esto podría verse como tomar un café o té (virtual) con las personas de tu equipo que practican seguridad y privacidad. ¿Qué encuentran importante? ¿Cómo es su día a día? También es una gran manera de conocer personas súper geniales e inteligentes. Puede que esté sesgada :)
Únete a los simulacros de seguridad de tu equipo. La mayoría de los equipos de seguridad realizan simulacros regulares como forma de preparación. ¡Únete! Sé un observador y aprende cómo operan durante un incidente. Esto te ayuda a construir empatía y aprender cómo opera tu equipo. También te dará perspectiva de cómo y cuándo se alerta a los usuarios sobre incidentes.
SPPED: Siempre piensa en seguridad. SIEMPRE. Con productos y/o servicios moviéndose a ser principalmente en línea, es crítico para nosotros preguntarnos respecto a la seguridad de lo que estamos diseñando, escribiendo y/o investigando. ¿Cómo impactaría la funcionalidad [x] la seguridad y privacidad de los usuarios? ¿Qué podemos hacer para ayudar a asegurar que estamos construyendo el mejor producto posible?

Mi esperanza al escribir esto es iniciar la conversación para que las disciplinas de diseño visual, escritura de contenido e investigación de usuarios incorporen la seguridad en sus prácticas. No hacerlo es tan irresponsable como crear productos y servicios inaccesibles. Sostenemos esta responsabilidad como personas “haciendo cosas en internet” ahora más que nunca.