Sus empleados son su mejor defensa contra los ciberataques

La mayoría de los ciberataques se dirigen a personas, no a sistemas. De hecho, la gran mayoría de los ataques se deben a errores humanos. Así que, cuando piense en la ciberseguridad de su empresa, debería pensar en la cultura de su empresa. Los autores desarrollaron seis estrategias para ayudar a los líderes a contrarrestar los riesgos de seguridad de la información, basadas en la psicología humana. En primer lugar, pedir a los empleados que demuestren su compromiso (por ejemplo, firmando un compromiso formal) aumenta las probabilidades de que lo cumplan. En segundo lugar, cuando la alta dirección da un buen ejemplo, es probable que los empleados sigan su ejemplo. En tercer lugar, la reciprocidad (o dar algo a alguien sin ninguna obligación aparente por un comportamiento correspondido) es una de las mejores formas de obtener una devolución de favores. En cuarto lugar, la gente quiere lo que es raro o aparentemente escaso y hará un esfuerzo adicional para conseguirlo. En quinto lugar, las personas se ven influenciadas por quienes son como ellas o por quienes encuentran agradables. Y, por último, es más probable que las personas cumplan con las solicitudes cuando las emite alguien que desempeña un papel de autoridad, de modo que cuando los jefes demuestran su experiencia, es probable que sus equipos escuchen.

••• Según el FBI, los ciberdelincuentes[estafó 26 000 millones de dólares](https://www.ic3.gov/Media/Y2019/PSA190910) entre octubre de 2013 y julio de 2019 con la estafa de «comprometer el correo electrónico empresarial» que, mediante técnicas de ingeniería social engañosas y manipuladoras, atrajo a empleados y personas a divulgar sus credenciales y, finalmente, a realizar transferencias o fondos no autorizados. En 2017,[La Universidad MacEwan de Canadá fue defraudada](https://www.cbc.ca/news/canada/edmonton/macewan-university-phishing-scam-edmonton-1.4270689) de unos 11,8 millones de dólares cuando un ciberdelincuente se hizo pasar por uno de los miembros del personal de la universidad y solicitó cambiar la información de las cuentas bancarias de uno de sus vendedores.[Otro informe](https://scamadviser.m-pages.com/global_state_of_scams_report_2020) cubriendo 31 países (el 60% de la población mundial y el correspondiente 85% del PIB mundial), se estimó que las pérdidas financieras de las estafas en línea en 2019 ascendieron a 36 000 millones de euros. Además de las pérdidas financieras directas, los delitos relacionados con la seguridad pueden generar disrupción en la productividad de la empresa y en su reputación pública. Por ejemplo, cuando 130 personas de alto perfil[Las cuentas de Twitter fueron hackeadas en 2020](https://www.businessinsider.com/twitter-market-value-losses-after-massive-hack-2020-7?r=US&IR=T.), fue un embarazoso ojo morado para la empresa: una sorprendente debilidad en la seguridad de la empresa, que fue explotada por [un ataque de baja tecnología de un joven de 17 años](https://www.theverge.com/22163643/twitter-hack-bitcoin-scam-july-2020-elon-musk). La vulnerabilidad hizo que la empresa pareciera tonta y provocó que el precio de sus acciones se desplomara en 1.300 millones de dólares (aunque solo fuera temporalmente). También podría haber sido mucho peor: las infracciones de seguridad también pueden tener consecuencias legales y de responsabilidad para los directores y altos directivos. Los defectos de comportamiento individual desempeñan un papel importante en todos estos hackeos. Los atacantes se aprovechan de la voluntad de las personas de confiar en determinadas solicitudes y de hacer clic sin pensar en enlaces o abrir archivos adjuntos cargados de virus. El[factor humano](https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-annual-human-factor-report-details-top-cybercriminal-trends-more) se supone que es el objetivo final del ataque en el 99% de las infracciones. En un[estudio de cinco años](https://www.smh.com.au/technology/researchers-probe-bank-heists-without-holdups-20080909-4cfv.html), los investigadores penetraron con éxito el 96% de los sistemas de seguridad de 1000 bancos utilizando únicamente la psicología humana. Entonces, ¿cómo reducen los líderes empresariales esta responsabilidad humana? Como es lógico, los líderes confían en su departamento de seguridad a la hora de proteger la información de la organización y las decisiones de inversión sobre las herramientas correctas para hacerlo. Pero este enfoque es demasiado limitado. Para crear una cultura realmente consciente de la seguridad, todos los miembros de la comunidad deben comprometerse sincera y sinceramente, más allá de simplemente impartir la formación en seguridad de uno o dos días que exige la mayoría de las empresas. La creación de una cultura tan consciente de la seguridad se facilita cuando los líderes pueden influir en los miembros de su equipo para que adopten determinadas mentalidades y comportamientos. [La investigación de Cialdini sobre los principios de la influencia](https://www.harpercollins.com/products/influence-new-and-expanded-robert-b-cialdini?variant=32903969996834) ha demostrado que hay seis principios que, si se aprovechan, alientan a las personas a cumplir con las solicitudes o a avanzar en la dirección deseada. 1. Las personas actúan de forma coherente con el comportamiento que han demostrado en el pasado. Los compromisos formales e informales conducen a un comportamiento similar en el futuro. 2. Las personas están influenciadas por las opiniones y los comportamientos de la mayoría social. Cuando no está seguro de cómo pensar o actuar, la gente busca señales en el mundo exterior. 3. La reciprocidad (o dar algo a alguien sin ninguna obligación aparente por un comportamiento correspondido) es una de las mejores formas de obtener una devolución de favores. 4. La gente quiere lo que es raro o aparentemente escaso y hará un esfuerzo adicional para conseguirlo. 5. Las personas están influenciadas por quienes son como ellos o por aquellos que encuentran agradables, es decir, las personas acuden en masa a pájaros de un plumaje similar, así como a las «plumas» que les parecen atractivas. 6. Es más probable que las personas cumplan con las solicitudes cuando las emite alguien que desempeña un papel de autoridad (o incluso alguien con el mero atuendo de autoridad: insignias, chaquetas blancas, atuendo de negocios, etc.). Basándonos en los principios de Cialdini, recomendamos las seis estrategias siguientes para reforzar el firewall humano contra las técnicas engañosas de los delincuentes y fomentar una cultura organizacional consciente de la seguridad. ## 1. Pida a los empleados que firmen una política de seguridad. Demostrar compromiso, por ejemplo, firmar un código de ética,[hace que las personas tengan más probabilidades de seguir adelante](https://jyx.jyu.fi/handle/123456789/76381) y conduce a una mayor adherencia cognitiva y conductual a los códigos de conducta. Estas políticas son compromisos por escrito que establecen que un empleado, por ejemplo, tratará toda la información corporativa confidencial (por ejemplo, los datos de los clientes y contractuales) de forma confidencial, actuará en beneficio de la organización durante las actividades dentro y fuera de línea y denunciará inmediatamente los incidentes sospechosos al punto de contacto interno correspondiente. Los empleados también reconocen que no revelarán ningún dato corporativo confidencial a ninguna parte externa. En la política, es útil indicar claramente qué tipo de información es confidencial y cuál no. (Por ejemplo, no puede pedirle a un empleado que no se queje de la comida de la cafetería de la empresa en las redes sociales, pero puede pedirle que no divulgue las listas de clientes). Por ejemplo,[CISCO](https://www.cisco.com/c/dam/en_us/about/ciscoitatwork/collaboration/docs/Cisco_IT_Best_Practice_Collaboration_Security.pdf) exige a sus empleados que firmen anualmente un código de conducta empresarial que les recuerde cómo proteger la propiedad intelectual de la empresa, así como los activos de información confidencial. La empresa exige que sus empleados no compartan información confidencial o privada con personas que no la necesiten legalmente desde el punto de vista empresarial y que se comprometan a denunciar cualquier incumplimiento observado de dicho requisito. Una cultura empresarial de culpa puede disuadir a los empleados de denunciar actividades sospechosas, pero asegurarse de que entienden los motivos y pedirles que firmen una política que señale su responsabilidad de denunciar actividades sospechosas puede evitar este problema. Es importante que la firma de un compromiso como este sea voluntaria; si se fuerza, el posterior impulso interno de comprometerse se debilitará. Sin embargo, el acto de firmar fomenta las presiones de coherencia personal (interna) e interpersonal (externa), lo que hace que sea más probable que cumplan con los estándares de la empresa. Y lo mejor es que los empleados puedan firmarlo en presencia de sus compañeros de trabajo; una vez que el compromiso se hace público, los empleados se sienten obligados a actuar de conformidad con el compromiso para no perder la cara ante sus estimados colegas. ## 2. Predique con el ejemplo. En situaciones de incertidumbre, las personas miran a su alrededor en busca de señales sobre cómo pensar y actuar. Por un lado, este comportamiento puede calificarse de conformidad, pero por otro, puede verse como una forma de ayudar a las personas a entender en común el comportamiento correcto o normativo. Buscar señales en los demás ayuda a reducir la incertidumbre, especialmente cuando esas personas ocupan posiciones sociales respetadas. Los líderes sénior, por lo tanto, deberían dar el ejemplo y promover las mejores prácticas. Por ejemplo, deberían hacer hincapié en la importancia de los comportamientos de seguridad, como no dejar el ordenador desbloqueado, no abrir las puertas de la empresa a la gente sin comprobar su legitimidad y no exponer los documentos de la empresa, ya sean físicos o digitales, en espacios públicos. Recomendamos que los líderes también den ejemplos contrastantes de incidentes de violación de la seguridad en los que ellos mismos hayan sido negligentes o en los que se denuncie un comportamiento negligente. Hacerlo ayudará a reducir la»[no me pasará a mí](https://oxford.universitypressscholarship.com/view/10.1093/acprof:osobl/9780199743056.001.0001/acprof-9780199743056-chapter-3)» sensación de invulnerabilidad entre los empleados. ## 3. Provocar reciprocidad. Hay una norma social generalizada que dicta que si alguien nos da algo, nos sentimos obligados a devolverle el favor. Este deseo tiende a ser cierto incluso si no se solicitó el regalo original o si lo que se solicita a cambio es mucho más valioso que lo que se dio originalmente. La norma de reciprocidad es importante porque a menudo el favor devuelto se hace de forma inconsciente. Los altos directivos deberían conocer esta poderosa técnica de influencia y utilizarla para reforzar una cultura de seguridad en la organización. Tomar medidas para proteger los datos o la identidad de los empleados, como proporcionarles memorias USB seguras y cifradas o un marco de fotos digital personalizable que muestre recordatorios de seguridad, puede ser un primer paso significativo para obtener reciprocidad. ## 4. Aproveche la escasez. Las personas encuentran más atractivos los objetos y las oportunidades si son raros, escasos o difíciles de conseguir. Los altos directivos pueden hacer uso de esta tendencia psicológica a la hora de promover las raras y ejemplares acreditaciones de seguridad de la organización, como los procesos de seguridad de la información acreditados (por ejemplo, la ISO 27001), que pueden ponerse en peligro por una violación de la seguridad. Al hacerlo y comunicar de manera inequívoca a los trabajadores tanto el atractivo de la organización como excelente lugar de trabajo debido a la cultura de la seguridad, como lo que estaría en juego si su seguridad se viera comprometida (es decir, lo que se podría perder), los altos directivos reforzarán el compromiso de los empleados con la cultura de seguridad. Además, los altos directivos deberían promover la instalación de un sistema de clasificación que separe la información inocua de la confidencial. Los empleados adquirirán un sentido de la escasa información (que hay que proteger), lo que los mantendrá atentos y de manera competente[proteger las joyas sagradas](https://oxford.universitypressscholarship.com/view/10.1093/acprof:osobl/9780199743056.001.0001/acprof-9780199743056-chapter-3) de la empresa, en lugar de la ilusoria tarea de proteger toda la información independientemente de su importancia. ## 5. Sea como los que dirige. Los profesionales de la seguridad hacen hincapié en la[importancia de una mentalidad empática](https://www.harpercollins.com/products/human-hacking-christopher-hadnagyseth-schulman?variant=32218754383906) para lograr el cumplimiento en situaciones interpersonales. Las personas están más influenciadas por otras personas con las que se identifican y les gustan, y los líderes pueden generar confianza en la fuerza laboral cuando actúan con humildad y empatía. Los líderes que muestran vulnerabilidad probablemente reciban empatía y simpatía a cambio. Este intercambio recíproco puede fomentar indirectamente el cumplimiento de las directivas de los principales líderes en términos de un comportamiento de seguridad ideal. Compartir sus propias dificultades o contar historias sobre sus propios errores relacionados con la cultura de la seguridad y cómo han aprendido de esos errores puede hacer que sean más accesibles e identificables, lo que aumenta las probabilidades de que otros sigan su ejemplo. ## 6. Aproveche el valor de la autoridad. Por lo general, las organizaciones obligan a sus empleados a realizar una formación anual sobre seguridad digital. Existe el riesgo real de que los empleados hagan clic en la actividad, pero[no conecte el contenido con su comportamiento diario](https://www.computerweekly.com/opinion/How-effective-security-training-goes-deeper-than-awareness). Cuando los altos líderes, a quienes los empleados ven como la máxima autoridad organizacional, [instruir personalmente a sus trabajadores](https://jyx.jyu.fi/handle/123456789/76381) para cumplir con la seguridad de la información corporativa, es más probable que obtengan el resultado deseado. Pero hay un inconveniente:[Hay que ver a los líderes como una fuente confiable](https://www.harpercollins.com/products/influence-new-and-expanded-robert-b-cialdini?variant=32903969996834) además de_ _ ser el jefe. Es la diferencia entre simplemente tener «autoridad», ordenar a la fuerza laboral lo que tiene que hacer y que lo perciban como «una autoridad», conocedor del tema. Tener ambas es la combinación más eficaz. Los altos directivos deben demostrar su experiencia y su conocimiento educado de los problemas de seguridad de la información para hacer cumplir sus instrucciones y mandatos de manera eficaz. Lo pueden lograr manteniendo una relación sólida con su equipo de seguridad de la información y manteniéndose informados periódicamente a sí mismos y a los trabajadores sobre los últimos avances en seguridad. Suscribirse a los boletines, como los de[SIN](https://www.sans.org/newsletters/), es un buen punto de partida. Esta recomendación puede parecer contraria a la anterior ( _Sea como los que dirige)_. Pero los líderes pueden ejercer su autoridad y, al mismo tiempo, ser humildes y empáticos. Los estafadores e ingenieros sociales utilizan habitualmente tácticas de influencia para engañar a los empleados, lo que pone en peligro el valor y la reputación de su organización. Las seis recomendaciones anteriores son una forma fácil y rentable para que los líderes contrarresten esos riesgos de seguridad de la información con principios comprobados basados en la psicología humana.