Seguro por diseño: una descripción general de la seguridad de UX

Publicado: 2022-03-11

Es hora de irse a la cama, pero primero, algunas tareas rutinarias:

  • Ponte el pijama.
  • Cepillar los dientes.
  • Ventanas abiertas.
  • Desbloquear puertas.
  • Coloque la billetera, los documentos personales y la información bancaria en una pila conveniente en el mostrador de la cocina.

Dulces sueños.

Si ese escenario es inquietante, considere con qué frecuencia se ingresa la misma información confidencial en nuestros dispositivos digitales. Sin los protocolos de seguridad adecuados, nuestros activos e identidades son presa fácil. Peor aún, como diseñadores de interfaces digitales, el desprecio por la seguridad pone a los usuarios en riesgo, financiera, profesional, relacional y emocional.

La seguridad no es una tendencia o una táctica promocional, es un aspecto crucial de la experiencia del usuario y el diseño de la interfaz.

seguridad de experiencia de usuario
Cuando los productos digitales no están debidamente protegidos, todos los caracteres incorrectos obtienen acceso a la información de los usuarios. (Aarón Carga)

La interfaz ideal es simple de operar y está protegida contra intentos de robar información privada de los usuarios. La entrega de un diseño de este tipo generalmente se enmarca como una compensación entre la usabilidad y la seguridad:

  • Si la interfaz es fácil de usar, es menos segura.
  • Si es seguro, es más difícil de usar.

Esta compensación es un mito. Podemos diseñar interfaces que sean simples y seguras sin comprometer la calidad de ninguna de las dos. Aquí, los diseñadores de UX juegan un papel fundamental al garantizar que se cumplan tanto las demandas técnicas como las necesidades de los usuarios.

En muchos sentidos, los diseñadores de UX son intérpretes. Descifran los requisitos técnicos y los hacen comprensibles para los usuarios. También ejercitan la conciencia situacional al decidir cuándo centrarse en la simplicidad o cuándo involucrar medidas de seguridad sofisticadas. El equilibrio es clave, pero solo se puede lograr al incluir a todas las partes interesadas desde las primeras etapas del diseño.

Involucre a las partes interesadas en la seguridad de la experiencia del usuario desde el principio

Hay múltiples partes a las que se debe consultar para diseñar un producto digital seguro y exitoso. Por ejemplo, los equipos de diseño deben asegurarse de que sus productos cumplan con las reglamentaciones pertinentes, como HIPAA para la industria de la salud y PCI DSS para los servicios bancarios y financieros. Además, las características de seguridad implementadas por los equipos de diseño deben cumplir con los estándares establecidos por los equipos técnicos detrás de los productos digitales.

Diseño para la seguridad
Los diseñadores deben conocer las diversas normas de seguridad que se aplican a los productos digitales en los que trabajan.

Cuando se trata de seguridad, no es raro que se ignore la entrada del usuario. Pero para satisfacer realmente las necesidades de seguridad de los usuarios, los diseñadores deben comprender sus motivaciones, comportamientos y expectativas. A menudo, los usuarios saben muy poco acerca de la seguridad digital, por lo que los diseñadores deben aprender a anticipar los niveles de riesgo que enfrentarán los usuarios mientras navegan a través de varias pantallas y funciones. Cuanto antes se puedan identificar los riesgos dentro del proceso de diseño, mejor.

Ignorar a las partes interesadas o incorporar sus aportes al final del proceso de diseño duplica el riesgo. Puede abrir brechas de seguridad en productos que de otro modo se podrían haber evitado, o puede dar lugar a productos que son tan seguros que apenas se pueden usar.

Métodos de diseño para la seguridad del producto

Cifrado

El cifrado es un método para convertir información confidencial en un código que parece ser aleatorio. Es una consideración de diseño importante en productos digitales con funciones de comunicación. En las aplicaciones donde se intercambian con frecuencia llamadas, textos, videos, imágenes y documentos (piense en WhatsApp), el cifrado de extremo a extremo garantiza que solo los usuarios involucrados en una conversación puedan ver los datos que se intercambian.

Esto significa que nadie, ni la empresa detrás de una aplicación, ni los delincuentes de datos, ni siquiera el gobierno, puede ver el contenido de los mensajes. Cuando los usuarios saben que su información está protegida por tales medidas, están mucho más dispuestos a brindar confianza.

Autenticación

Es esencial verificar que solo el propietario de una cuenta pueda iniciar sesión y que todos los intrusos estén bloqueados. La autenticación es la forma más efectiva de proteger los productos digitales del acceso no autorizado. Las características como los requisitos de nombres de usuario y contraseñas deben identificarse y probarse al principio del proceso de diseño.

Para mayor seguridad, se puede agregar la autenticación de dos factores (2FA). Con 2FA, se ingresan un nombre de usuario y una contraseña, y se envía un código de inicio de sesión a un teléfono móvil o dirección de correo electrónico.

Experiencia de usuario de seguridad
Para recibir un código de acceso, el proceso 2FA de Intuit permite a los usuarios elegir entre múltiples opciones de entrega.

Privacidad de datos

En última instancia, la privacidad de los datos es una consideración ética para los diseñadores y las empresas. Cuando los usuarios intercambian sus datos personales a cambio del acceso a un producto digital, eligen creer que la empresa que supervisa el producto manejará su información con integridad. También confían en que las características implementadas por los diseñadores y desarrolladores puedan resistir los ataques de datos.

Mejore la privacidad del usuario y la privacidad de los datos

Vale la pena repetir, los productos digitales están hechos para los usuarios, no al revés. Las interacciones de los usuarios con los productos nunca deben conllevar el riesgo de que se filtren o roben sus datos. Lamentablemente, este no es siempre el caso.

La mayoría de los delitos cibernéticos se llevan a cabo con la intención de obtener datos personales de los usuarios, pero los diseñadores de UX pueden ayudar. ¿Cómo es eso? Mediante la implementación de funciones que animen a los usuarios a elegir contraseñas más seguras y eviten colocar demasiados datos personales en línea.

Por ejemplo, la interfaz de autenticación de un producto puede emplear un mensaje amigable para informar a los usuarios sobre por qué es importante tener contraseñas más seguras. En lugar de obligar a los usuarios a crear una contraseña de 12 caracteres, letras mayúsculas y minúsculas, un número y un símbolo, el mensaje simplemente podría decir: “Necesita una contraseña más segura. He aquí por qué es importante”. De esta forma, los usuarios comprenden mejor la necesidad de proteger sus datos y su privacidad.

Eliminar obstáculos de seguridad innecesarios

Si la seguridad del producto depende de la incorporación de todas las partes interesadas, los diseñadores deben tomarse el tiempo para consultar con los desarrolladores y los profesionales de la ciberseguridad. Los desarrolladores suelen tener restricciones que afectan el diseño y pueden ofrecer información sobre la eficacia de las características de seguridad de UX implementadas por los diseñadores. Los profesionales de la ciberseguridad pueden educar a los diseñadores sobre las estrategias de seguridad, las herramientas y las normas de cumplimiento más actualizadas.

Una advertencia: consultar a expertos en seguridad es bueno, pero exagerar las medidas de seguridad hace que los productos digitales sean engorrosos y anima a los usuarios a buscar en otra parte. Mensajes vagos como "Su conexión a Internet no es segura" llevan a los usuarios a eludir las funciones de seguridad destinadas a su protección.

En última instancia, se refleja mal en las empresas cuando los usuarios legítimos no pueden realizar tareas o se ven bloqueados de sus cuentas debido a una seguridad digital demasiado complicada.

Diseño de experiencia de usuario de seguridad
Es posible exagerar las funciones de seguridad digital y frustrar a los usuarios. (Kelly Sikkema)

Seguro contra la ingeniería social

De todos los ataques de seguridad digital que ocurren, un esquema es considerablemente más común que cualquier otro. Representa casi el 90% de las infracciones en todo el mundo y se basa más en el arte del engaño que en habilidades técnicas sofisticadas. ¿Qué es esta táctica nefasta?

Suplantación de identidad.

Al igual que los estafadores de antaño, el phishing (que ocurre con mayor frecuencia en los correos electrónicos) se basa en gran medida en estrategias de ingeniería social para asustar, presionar y confundir a los usuarios para que entreguen información confidencial y dinero ganado con tanto esfuerzo. Para protegerse contra los ataques de phishing, los diseñadores pueden crear foros de seguridad que permitan a los usuarios denunciar spam y publicar advertencias para otros usuarios. También pueden emplear ventanas emergentes o mensajes dentro de sus aplicaciones para alertar a los usuarios sobre intentos de phishing conocidos.

Diseño de seguridad de aplicaciones
El phishing convierte en arma la comunicación escrita al engañar a las personas para que compartan su información confidencial. (Taskín Ashiq)

Los diseñadores también necesitan seguridad digital

A pesar de todo el esfuerzo que se dedica a la seguridad, una vulnerabilidad pasada por alto puede comprometer seriamente la integridad de los productos digitales. Tiene poco que ver con la tecnología, son los propios diseñadores.

Por cada producto creado, se generan cientos (incluso miles) de artefactos de diseño. Se utilizan docenas de canales de comunicación. Los enlaces a documentos estratégicos se envían a múltiples partes. Además, los equipos distribuidos dependen cada vez más de las herramientas de diseño basadas en la nube.

Si los diseñadores no toman precauciones para proteger su trabajo y sus comunicaciones, los atacantes encontrarán formas de infiltrarse en los puntos débiles de la organización. Esto puede significar establecer VPN, recibir capacitación en seguridad cibernética y promulgar pautas de comunicación y gestión de activos para evitar cabos sueltos.

Diseño para la seguridad

Las interfaces seguras y utilizables no ocurren por accidente. Son el resultado de diseñadores que se toman el tiempo para identificar los puntos de vulnerabilidad de los datos e involucran a las partes interesadas desde el principio del proceso creativo. La seguridad no es diferente a cualquier otra función crítica: no se deben ignorar las necesidades de los usuarios finales.

Cuando los diseñadores encuentren formas útiles de comunicar el valor de la seguridad y garantizar que las características de seguridad funcionen de manera eficiente, los usuarios recompensarán a las empresas que supervisan los productos digitales con su confianza y compromiso continuo.

• • •

Lectura adicional en el blog de diseño de Toptal:

  • The Higher Ground: una guía para la ética del diseño
  • Age Before Beauty: una guía para el diseño de interfaces para adultos mayores
  • El fin de los formularios web
  • La guía definitiva para el diseño de sitios web de comercio electrónico
  • Inicio Smart IoT Home: domesticando el Internet de las cosas