Matthew Hogg, líder global de productos, responsabilidad cibernética, Liberty Mutual Insurance
Los humanos son criaturas de hábitos. Ya sea que estemos eligiendo un refrigerio por la tarde o la contraseña de un sitio web, tendemos hacia patrones familiares, incluso cuando sabemos que podríamos tomar mejores decisiones. Cambiar esa rosquilla por una manzana puede ser difícil y usar esa misma contraseña una y otra vez, dejando de lado la seguridad, puede ser demasiado fácil. Para las empresas, esa preferencia humana natural por la facilidad y la familiaridad puede conducir a importantes vulnerabilidades de ciberseguridad, desde ingeniería social hasta fallas de seguridad de la información y más.
¿Pueden las organizaciones ayudar a reducir los errores de ciberseguridad al influir en el comportamiento de los empleados? Sí, muy posiblemente, pero primero, debemos comprender el papel que juega la psicología humana en nuestros errores de ciberseguridad.
¿Qué está incentivando nuestros comportamientos de ciberseguridad?
El científico social pionero Kurt Lewin trazó en su Modelo de Análisis de Campohttps://www.tessian.com/research/the-psychology-of-human-error/ que una variedad de factores puede cambiar el comportamiento humano, en términos generales, al acelerarlo o ralentizarlo. Según Lewin, algunas fuerzas en nuestras vidas nos impiden completar cosas, y otras fuerzas nos alientan.
-
Los “frenos” a los que se refiere Lewin pueden tomar la forma de obstáculos internos o externos, trabas o resistencia. La aversión al cambio puede ralentizar un comportamiento. También podrían hacerlo los recursos limitados o las limitaciones de la organización.
-
Sus "aceleradores" son catalizadores que apoyan el movimiento hacia una meta. Un liderazgo influyente podría estimular a alguien hacia adelante. También podría sentirse apoyado, tener recursos adecuados o recibir una recompensa.
En el modelo de Lewin, el objetivo es identificar tanto los frenos como los aceleradores en una situación dada, luego diseñar estrategias que reduzcan el impacto de los frenos y fortalezcan la influencia de los aceleradores, aumentando en última instancia la probabilidad de un cambio exitoso.
Si bien esto puede sonar como una teoría que encontraría en un artículo sobre cómo mantener las resoluciones de Año Nuevo, también tiene mucho que ver con la ciberseguridad.
¿Cómo fomentamos comportamientos más seguros?
A pesar de nuestra comprensión de la ciberseguridad, además de la avalancha de grandes fugas de datos en los últimos años, un solo factor todavía contribuye a la mayoría de las infracciones: los errores humanos. De hecho, un estudio reciente encontró que el error humano fue responsable del 74 por ciento de las violaciones de ciberseguridad.
Entonces, ¿por qué cometemos estos errores una y otra vez? Porque tendemos a seguir con patrones familiares de comportamiento, incluso cuando sabemos que hay una mejor manera, ¡incluso cuando sabemos que hay una recompensa por cambiar de conducta!
Para las empresas, el enfoque tradicional de la ciberseguridad implica un ritmo constante de recordatorios por correo electrónico y la capacitación requerida. Los empleados hacen su trabajo para que les paguen, entonces, ¿no es un incentivo suficiente para completar las capacitaciones y cumplir con las políticas?
Cuando los empleados usan contraseñas antiguas o hacen clic en correos electrónicos de “phishing”, no solo deben buscar los aceleradores de la capacitación adecuada o el incentivo financiero. También preste atención a un freno que obstaculice el cambio en sus patrones de comportamiento. Estos frenos pueden tomar diferentes formas para diferentes individuos.
Por ejemplo:
-
Los días llenos de reuniones y trabajo pueden llevar la ciberseguridad al final de la lista de tareas pendientes.
-
Los sistemas seguros pueden ser lentos o difíciles de usar.
-
La gran cantidad de contraseñas seguras que un empleado necesita recordar puede ser desalentadora.
-
Los procesos de ciberseguridad de la compañía podrían no ser tan fáciles de usar, desalentando su adopción.
Ponga el freno.
Entonces, ¿cómo pueden los profesionales de seguridad de Tecnología "poner el freno", en lugar de simplemente presionar el acelerador?
En lugar de inundar a los empleados con capacitación o requerir procesos cada vez más complejos, muchas empresas están adoptando procesos de usuario optimizados. Por ejemplo, algunas organizaciones se mantienen más seguras adoptando medidas "sin contraseña", lo que incluye el uso de códigos de acceso de un solo uso (OTP por sus siglas en inglés) como una medida que pone el freno.
Al eliminar las barreras para el cumplimiento, en lugar de proporcionar más herramientas e información, las organizaciones fomentan comportamientos más seguros con más probabilidades de ser adoptados y cumplidos.
Los aceleradores pueden impulsar la ciberseguridad.
Si poner el freno promueve que adoptemos mejores opciones, ¿pueden los incentivos (aceleradores) también desempeñar un papel positivo?
Nosotros pensamos que sí. Como ejemplo, durante una conversación con un cliente en la que surgió el tema de entrenamiento de los empleados, pero con un cambio innovador. En lugar de tratar a los empleados como el eslabón débil de la ciberseguridad, nuestro cliente les pidió pasar del cumplimiento básico a ser "superhéroes de ciberseguridad".
Esto puede ser un desafío para cualquier organización, pero hay investigaciones que lo respaldan. Considere, por ejemplo, el trabajo del profesor Robert Rosenthal con profecías que se cumplen por su propia naturaleza. Como se describe en el libro de Rutger Bregman, "La Humanidad: Una historia esperanzadora”, Rosenthal llevó a cabo un estudio de estudiantes que creían que estaban tomando una prueba de coeficiente intelectual.
Después de la "prueba", los investigadores etiquetaron al azar a algunos estudiantes como "de alto potencial" y los identificaron ante sus maestros. Posteriormente, los maestros dieron a sus estudiantes de alto potencial más atención y más elogios, y la imagen personal de cada uno de esos estudiantes mejoró.
Aquí está la parte interesante: no solo mejoraron los puntajes de las pruebas de la vida real de los estudiantes, sino que las mejoras más dramáticas ocurrieron con niños cuyos maestros anteriormente tenían bajas expectativas de ellos. Los investigadores llaman a esto el efecto Pigmalión, por el mito griego.
Creación de superhéroes de ciberseguridad
Si aplicamos el efecto Pigmalión a los comportamientos en el lugar de trabajo, parece lógico que los empleados adopten comportamientos en línea más seguros y una actitud más positiva hacia la ciberseguridad. Dígales que pueden ayudar a detener estas infracciones, trátelos como profesionales bien informados y podríamos esperar ver un mejor rendimiento.
Si bien el pensamiento positivo no es una fórmula mágica, podemos comenzar a cambiar la narrativa sobre la ciberseguridad y cómo involucrar a los empleados. Un primer paso lógico es asegurarse de que las comunicaciones de la empresa no hagan sentir a los empleados como el problema. Proporcionar capacitación relevante, reflexiva más las herramientas adecuadas es importante, pero crear un entorno donde los empleados estén facultados para hacer un cambio positivo también es un componente clave. ¿Cuánto más efectivos podrían ser sus empleados si se sintieran como superhéroes de ciberseguridad?