Una mejor ciberseguridad comienza con corregir los malos hábitos de sus empleados

Chris Gilleard/Getty Images

La ciberdelincuencia llegó para quedarse y está costando mucho dinero a las empresas estadounidenses. El coste medio anualizado de la ciberdelincuencia para las empresas globales ha aumentado casi El 62% desde 2013, de 7,2 millones de dólares a 11,7 millones de dólares. Y estos son solo los costes directos medios. Target, que sufrió una violación masiva de datos en 2013, informó que el coste total de la violación superó los 200 millones de dólares. Verizon, que recientemente compró Yahoo, puede que se haya quedado con un Descuento de 350 millones de dólares debido a tres filtraciones de datos de Yahoo a gran escala que se produjeron en los últimos años. Dados estos costes, ¿qué pueden hacer las empresas?

Los gobiernos y la industria están haciendo lo que parece lo más obvio: gastar miles de millones de dólares en desarrollar e implementar nuevas tecnologías diseñadas para detener a los malos antes de que puedan entrar por la puerta principal. Sin embargo, a pesar de que tenemos algunas de las mejores y más brillantes mentes en el caso, lo que podemos hacer con el silicio y el código todavía tiene limitaciones importantes. A pesar de nuestra predilección por utilizar la tecnología para resolver lo que parecen ser problemas tecnológicos, un lamento que resuena en los círculos de seguridad de la información es que no estamos haciendo lo suficiente para hacer frente a la mayor y más persistente amenaza de la ciberseguridad: el comportamiento humano.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

En 2014, IBM informó de que,» más del 95% de todos los incidentes [de seguridad] investigados reconocen que el «error humano» es un factor contribuyente.» De hecho, la reciente serie de ataques de malware con denominaciones ciberpunk como «WannaCry», «Petya» y «Mirai», así como los aparentes ataques patrocinados por el estado contra Equifax y el sistema electoral estadounidense, comenzaron debido a las malas decisiones y acciones de los usuarios finales. Si no fue un ingeniero que creó una vulnerabilidad en un software sin darse cuenta, fue un usuario final que hizo clic en un enlace incorrecto, fue objeto de un ataque de suplantación de identidad, utilizó una contraseña débil o no instaló una actualización de seguridad en el momento oportuno. Los atacantes no necesitaban derribar un muro de unos y ceros ni sabotear una pieza de hardware sofisticado, sino que simplemente tenían que aprovechar el comportamiento predecible de los usuarios.

Cuando las empresas centren su atención en resolver lo que creen que son problemas tecnológicos con soluciones tecnológicas, no identificarán intervenciones sencillas que puedan ayudar a reducir la incidencia de las malas conductas y promover las buenas. Y sí, si bien algunas inversiones en tecnología han intentado prevenir estos comportamientos en primer lugar transfiriendo las decisiones humanas a los sistemas de inteligencia artificial y aprendizaje automático, a estas innovaciones aún les queda mucho camino por recorrer. Como el robot de seguridad que cayó en la fuente de un centro comercial nos recuerda que la IA y las innovaciones relacionadas aún no son tecnologías completamente desarrolladas. Por ejemplo, ¿cuántas veces su filtro de spam ha pasado por alto un correo de suplantación de identidad? A falta de una IA infalible, se sigue necesitando el juicio humano para cubrir el vacío entre las capacidades de nuestras tecnologías de seguridad y nuestras necesidades de seguridad. Pero si el juicio humano no es perfecto y la tecnología no es suficiente, ¿qué pueden hacer las empresas para reducir los riesgos conductuales?

Una de las principales ideas de los campos de la economía y la psicología del comportamiento es que nuestros sesgos conductuales son bastante predecibles. Por ejemplo, los profesionales de la seguridad han dicho una y otra vez que mantener el software actualizado e instalar parches de seguridad lo antes posible es uno de los mejores métodos para proteger los sistemas de seguridad de la información de los ataques. Sin embargo, a pesar de que instalar las actualizaciones es relativamente obvio, muchos usuarios e incluso administradores de TI posponen este paso fundamental. ¿Por qué? Parte del problema es que las solicitudes de actualización y los parches suelen llegar en el momento equivocado, cuando la persona responsable de instalar la actualización está preocupada por algún otro problema urgente en este momento. Además, cuando se trata de actualizar nuestros ordenadores y dispositivos personales, a menudo tenemos una opción fácil de «salir» en forma de «recordármelo más tarde». Debido a este pequeño detalle contextual, es mucho más probable que los usuarios aplacen la actualización, por muy crítica que sea. ¿Cuántas veces ha hecho clic en la opción «recordármelo mañana» antes de comprometerse finalmente con la actualización?

Este artículo también aparece en:

• 

  Ciberseguridad: la información que necesita de la Harvard Business Review

  Tecnología y operaciones Libro

  22.95

  View Details

En ideas42, mi empresa de investigación y diseño en ciencias del comportamiento, hemos estado documentando los diversos contextos que llevan a los usuarios y administradores a decidir (y actuar) de formas poco óptimas, lo que pone a ellos y a sus empresas en mayor riesgo de sufrir un ciberataque. Desde este punto de vista, hemos generado una serie de información sobre por qué las personas utilizan contraseñas incorrectas, no instalan las actualizaciones, hacen clic en enlaces maliciosos y caen en los correos electrónicos de suplantación de identidad. También hemos descrito lo que las organizaciones y los administradores pueden hacer para mejorar el comportamiento de sus usuarios (para obtener más información, consulte nuestra novela sobre crímenes reales basada en investigaciones, Pensamiento profundo: una historia de ciberseguridad).

Establezca valores predeterminados estrictos. Una de las ideas más influyentes de las ciencias del comportamiento es que cualquier cosa que esté en la posición «por defecto» generalmente se mantiene. Esta información se ha utilizado con gran eficacia en los ámbitos de los ahorros para la jubilación y la donación de órganos, donde el cambio de una opción de «suscripción» a una de «exclusión» ha aumentado significativamente las tasas de participación. Se podría aplicar una lógica similar al contexto de elección en torno a la seguridad de los usuarios empresariales. En lugar de hacer que sus empleados opten por medidas de seguridad específicas, como instalar y usar una VPN, activar la autenticación de dos factores, habilitar el cifrado completo del disco o autorizar las funciones de actualización automática, los empleadores podrían tomarse un tiempo para configurar los ordenadores y sistemas que los empleados utilicen para que estas funciones estén activadas de forma predeterminada. Hacerlo podría llevar a tasas de cumplimiento más altas que confiar en que sus empleados lo hagan por sí mismos.

Utilice los compromisos del calendario para impulsar la actualización del sistema. A veces no es posible activar las actualizaciones automáticas del software del sistema, lo que deja la opción de actualizar en manos de los empleados. Sin embargo, cuando se enfrentan a la posibilidad de interrumpir el flujo de trabajo para actualizar algún software, los empleados pueden decidir aplazar la acción hasta algún ambiguo «mejor momento». El problema es que si nos quedamos presente sesgado, centrado en la tarea actual que tiene entre manos, puede que ese «momento mejor» nunca llegue. Una forma en que los investigadores han podido solucionar este problema de sesgo actual es conseguir que los usuarios asuman compromisos concretos sobre cuándo lo cumplirán; cuanto más específicos, mejor. En el contexto de las actualizaciones de software, las empresas podrían ayudar a los empleados a asumir un compromiso concreto con las actualizaciones. Por ejemplo, cuando se publique una actualización, un administrador podría enviar un correo electrónico para indicar a los empleados que reserven una hora de su calendario para completar la actualización. El simple hecho de hacer que los empleados se comprometan previamente puede detener el ciclo de procrastinación en seco.

Compare a los empleados con sus compañeros. Las personas tienden a mirar a otras personas, especialmente a las que son similares a ellas, para aprender a actuar. Este fenómeno, llamado prueba social, puede tener efectos poderosos en el comportamiento de las personas y es especialmente influyente cuando el comportamiento deseable es ambiguo, como en el caso de la ciberhigiene. Potencia , una plataforma de fidelización de clientes para proveedores de servicios públicos, ha utilizado este conocimiento con gran eficacia. La empresa envía una pequeña infografía junto con las facturas de servicios públicos de los hogares que muestra la cantidad de energía que consume el hogar en relación con el hogar promedio de su vecindario, así como las más eficientes. Este pequeño indicio de lo que están haciendo otros hogares reduce el consumo medio de energía en un 2% por hogar, lo que, a gran escala, es un cambio enorme.

Lo que esta intervención y otras similares han demostrado es que las personas en realidad no necesitan consulte otros muestran un comportamiento específico; en cambio, se les puede decir lo que hacen los demás. En un entorno empresarial, los administradores pueden aprovechar la prueba social para ayudar a los empleados a identificar los comportamientos deseables y motivarlos a adoptarlos. Por ejemplo, los empleadores podrían encuestar a los empleados sobre los diversos comportamientos y medidas de protección que utilizan en Internet y asignarles una puntuación en función de esos comportamientos. Entonces podrían elaborar informes para cada persona comparándolos con el empleado medio, así como con los empleados más diligentes, y proporcionarles las medidas prácticas que pueden tomar para mejorar su puntuación. Esta simple intervención a prueba de redes sociales podría conducir a un mayor cumplimiento en toda la organización.

Convierta la formación de sensibilización en un sistema de retroalimentación constante. Una de las principales ideas de las ciencias del comportamiento es que si capacita a alguien, puede aumentar los conocimientos de las personas, pero no es probable que cambie su comportamiento. A menudo, la formación de sensibilización se imparte así: una vez al año, los empleados entran en una habitación durante una o dos horas y un formador de sensibilización profesional les da una conferencia, solo para volver a sus estaciones de trabajo e ignorar la mayor parte de lo que se les ha enseñado. Hay muchas razones por las que esto puede suceder: las personas tienen una atención limitada y no pueden absorber toda la información que acaban de aprender; puede que no tengan una idea concreta de cómo hacer que lo que han aprendido sea procesable y, por lo tanto, no cambian su comportamiento; pueden estar demasiado seguros de que ninguno de los riesgos que han aprendido se aplica a ellos en particular: «¡a mí nunca me pasará!» — y la lista continúa.

Una forma en que las empresas pueden mejorar la eficacia de la formación de sensibilización es convertirla en un proceso continuo e incorporar los comentarios para que los empleados sepan cuándo se equivocan y qué pueden hacer para evitar ese error en el futuro. Por ejemplo, para que sus empleados sean más resistentes a los ataques de suplantación de identidad, podría optar por emplear un software como Phishme, que envía correos electrónicos de suplantación de identidad falsos a los empleados de forma regular y proporciona soluciones cuando los usuarios son víctimas del ataque. Se podrían poner en marcha procesos similares para ayudar a los empleados a evitar enlaces incorrectos, recordar actualizar su software y adoptar otros comportamientos beneficiosos, como utilizar la autenticación de dos factores, activar la VPN al acceder a una red insegura y utilizar contraseñas más seguras.

Si seguimos intentando utilizar la tecnología para resolver lo que en realidad son problemas humanos, seguiremos siendo vulnerables a los ataques. Sin embargo, si adoptamos un enfoque que tenga en cuenta el contexto en el que los seres humanos son propensos a cometer errores, tendremos más probabilidades de encontrar soluciones sostenibles que nos mantengan a nosotros y a nuestras empresas a salvo de los malos.