A pesar de los enormes presupuestos y recursos invertidos en ciberseguridad, las vulneraciones siguen siendo frecuentes y cada vez más impactantes. Cuando se analizan estos incidentes, hay un factor común: la tecnología de control se ve socavada por una acción humana. Por ejemplo, el personal puede entregar credenciales, facilitar solicitudes no autorizadas, caer en la trampa de mensajes de suplantación y ejecutar malware a instancias de un atacante.
Cuando el Foro Económico Mundial afirma que el 95 % de los fallos de seguridad se producen por una acción humana, parece claro que la concienciación sobre la seguridad en toda la organización es de vital importancia. Sin embargo, a pesar de años de esfuerzos, aún queda mucho por hacer.
A continuación incluimos algunos errores que podría estar cometiendo y que entorpecen su programa de seguridad y, lo que es más importante, las medidas que puede adoptar para solucionarlos.
Error n.º 1: Poner un nombre incorrecto a su programa de seguridad
Por simple que parezca, es posible que haya elegido un mal nombre para su programa de seguridad.
Todos nos centramos en la concienciación en seguridad informática y creamos “programas de concienciación en seguridad” para nuestras empresas, pero eso no es lo que realmente queremos. Nuestro verdadero objetivo no se limita a mejorar la concienciación: se trata de cambiar el comportamiento. Llamar a nuestro programa “concienciación en seguridad” nos anima a centrarnos en el objetivo equivocado. Al fin y al cabo, si nuestro verdadero objetivo fuera que la gente dejara de fumar, no llamaríamos a nuestra iniciativa “campaña de concienciación sobre los riesgos del tabaco”.
Esto tiene fácil solución. Cambie el nombre de su programa. Decida el resultado que desea obtener y denomine a su programa de forma adecuada, como “Programa de modificación de comportamientos en materia de seguridad” o “Programa de creación de una cultura de seguridad”. Le sorprenderá la diferencia que puede suponer un cambio tan pequeño, porque el nuevo título será un recordatorio permanente de lo que realmente está intentando conseguir.
Error n.º 2: Pensar que grandes dosis de concienciación generan una cultura de seguridad
El segundo error está relacionado con el primero. Con demasiada frecuencia, las organizaciones deciden que pueden cambiar su cultura aumentando el número de iniciativas de formación de concienciación que realiza el personal. Pero se equivocan. Un alto nivel de concienciación no tiene por qué ser sinónimo de instauración de una cultura de seguridad.
Yo utilizo un modelo de madurez “ABC”, que significa Awareness (Concienciación), Behavior (Comportamiento) y Culture (Culture). Cada letra representa una etapa que se basa en la anterior. En cada etapa se necesita un cambio de rumbo para pasar al siguiente nivel.
Supongamos que ya hacemos sesiones de concienciación (etapa A). Para pasar a la etapa B, debe asegurarse de que los miembros de su plantilla comprenden las consecuencias de la ciberseguridad, tanto a nivel personal como profesional. Una vez que estén concienciados y motivados, es mucho más probable que muestren el comportamiento correcto. (Hay evidencias científicas detrás de este enfoque simplificado, y le recomiendo que consulte el modelo de comportamiento del profesor BJ Fogg).
Una vez bien encaminada la etapa B, la cultura se convierte en su objetivo. La transición a la etapa C es la creación de la percepción generalizada de que todos los empleados de la empresa se preocupan por la seguridad. Fíjese que utilizo la palabra “percepción”. No tiene por qué ser cierto inicialmente, ya que de momento se trata realmente de fingir.
Cree esa percepción ajustando su plan de comunicación para garantizar que los mensajes de seguridad lleguen de toda su organización (ejecutivos, recepcionistas y, especialmente, de los mandos intermedios y jefes de servicio). De hecho, estos mensajes deberían provenir de casi todo el mundo excepto del jefe de Seguridad de la Información (CISO).
Esto creará en cada miembro del personal la percepción de que todo el mundo a su alrededor se preocupa por la seguridad, y les incitará a actuar de forma similar. Se trata del crisol de la cultura.
Error n.º 3: Utilizar las consecuencias negativas como principal motivador
La clave para avanzar desde la etapa B mencionada anteriormente es motivar a los usuarios para que modifiquen su comportamiento. La motivación puede fomentarse de varias maneras. Un enfoque consiste en generar miedo al castigo o bochorno si el personal comete un error o no supera una prueba de seguridad.
Muchos profesionales de la seguridad tienen firmes opiniones al respecto. Algunos creen que las consecuencias negativas deben evitarse a toda costa. Otros las utilizan como su principal herramienta de motivación. Ambas están equivocadas, y el mejor camino es el punto medio.
Los equipos de seguridad que son rápidos a la hora de castigar perderán el apoyo de los empleados y se percibirán como la policía de la organización. Puede que esté prestando un servicio, pero a costa de la agilidad, la flexibilidad y el pragmatismo, atributos que las organizaciones modernas necesitan imperiosamente. Hará que sea menos probable que el personal se acerque a usted con preocupaciones, vulnerabilidades e ideas. Cada castigo pone otro ladrillo a su torre de marfil.
Sin embargo, las organizaciones que han registrado la tasa de clics más baja para sus simulaciones de phishing utilizaban tanto un modelo de consecuencias negativas como un equipo de seguridad accesible y muy apreciado. ¿Cómo lo consiguieron?. Todo es cuestión de sincronización.
Cuando adopte un modelo de consecuencias, céntrese únicamente en las recompensas por hacer lo correcto. Solo después de que las organizaciones pasen de la etapa B a la etapa C debe considerarse el modelo de consecuencias negativas.
Llegados a este punto, la empresa cuenta con un sólido nivel de apoyo y el modelo de consecuencias negativas puede situarse como la última etapa, aplicada para motivar a los pocos rezagados que aún no se han alineado con la cultura que el resto ha adoptado. La aplicación es la misma, pero el mensaje es completamente distinto.
Conclusión
En una época en la que la identidad es la nueva superficie de ataque y las personas son tan fundamentales para nuestra ciberdefensa, la cultura de seguridad se convierte en un control esencial al que todo CISO debería dar prioridad. Corregir estos tres problemas comunes marcará una diferencia notable en su programa de seguridad. Y ayudará a reducir el riesgo de que se produzca una vulneración de la ciberseguridad a través de su base de usuarios.
Obtenga más información sobre la formación para concienciar en materia de seguridad de Proofpoint y empiece hoy a impulsar cambios de comportamiento.