Mejora de la ciberseguridad comienza con la reparación de los malos hábitos de sus empleados
Por Alex Blau
Harvard Business Review
Seguridad y Privacidad
El cibercrimen llegó para quedarse, y les está costando mucho dinero a las empresas estadounidenses. El costo promedio anualizado del cibercrimen para las compañías globales ha aumentado casi un 62% desde 2013, de $ 7.2 millones a $ 11.7 millones. Y estos son solo los costos directos promedio. Target, que sufrió una violación masiva de datos en 2013, informó que el costo total de la violación excedió los $ 200 millones. Verizon, que recientemente compró Yahoo, puede haber obtenido un descuento de $ 350 millones debido a tres incumplimientos de datos de Yahoo a gran escala que ocurrieron en los últimos años. Dados estos costos, ¿qué pueden hacer las empresas?
Los gobiernos y la industria están haciendo lo que parece ser obvio: gastar miles de millones de dólares para desarrollar e implementar nuevas tecnologías diseñadas para detener a los malos antes de que puedan atravesar la puerta de entrada. Sin embargo, a pesar de que tenemos algunas de las mejores y más brillantes mentes en el caso, todavía existen limitaciones importantes sobre lo que podemos hacer con el silicio y el código. A pesar de nuestra predilección por usar tecnología para resolver lo que parecen ser problemas tecnológicos, un lamento que se hace eco en los círculos de seguridad de la información es que no estamos haciendo lo suficiente para lidiar con la amenaza más grande y más persistente de la seguridad cibernética: el comportamiento humano.
En 2014, IBM informó que, "más del 95% de todos los incidentes [de seguridad] investigados reconocen el 'error humano' como un factor contribuyente". De hecho, la reciente cadena de ataques de malware con denominaciones cyberpunk como "WannaCry", "Petya, "Y" Mirai ", así como los aparentes ataques patrocinados por el estado en Equifax y el sistema electoral estadounidense, todo comenzó debido a las malas decisiones y acciones de los usuarios finales. Si no fue un ingeniero creando inadvertidamente una vulnerabilidad en un software, fue un usuario final que hizo clic en un enlace incorrecto, cayendo en un ataque de phishing, usando una contraseña débil o descuidando la instalación de una actualización de seguridad de manera oportuna . Los atacantes no necesitaron romper una pared de unos y ceros, ni sabotear una pieza de hardware sofisticado; en su lugar, simplemente necesitaban aprovechar un comportamiento del usuario previsiblemente deficiente.
Cuando las empresas centran su atención en resolver lo que creen que son problemas de tecnología con soluciones de tecnología, se olvidan de identificar intervenciones simples que pueden ayudar a reducir la incidencia de conductas malas y promover las buenas. Y sí, aunque algunas inversiones en tecnología han tratado de prevenir estos comportamientos en primer lugar al descargar las decisiones humanas en inteligencia artificial y sistemas de aprendizaje automático, estas innovaciones aún tienen algunos caminos por recorrer. Como el robot de seguridad que cayó en una fuente de centro comercial nos recuerda, la IA y las innovaciones relacionadas aún no son tecnologías completamente desarrolladas. Por ejemplo, ¿cuántas veces ha perdido su filtro de spam un correo electrónico de phishing? En ausencia de IA a prueba de fallas, el juicio humano sigue siendo necesario para llenar el vacío entre las capacidades de nuestras tecnologías de seguridad y nuestras necesidades de seguridad. Pero si el juicio humano no es perfecto, y la tecnología no es suficiente, ¿qué pueden hacer las empresas para reducir los riesgos de comportamiento?
Una gran idea de los campos de la economía del comportamiento y la psicología es que nuestros prejuicios conductuales son bastante predecibles. Por ejemplo, los profesionales de seguridad han dicho una y otra vez que mantener el software actualizado e instalar parches de seguridad lo antes posible es uno de los mejores métodos para proteger los sistemas de seguridad de la información de los ataques. Sin embargo, a pesar de que la instalación de actualizaciones es relativamente fácil, muchos usuarios e incluso los administradores de TI posponen las cosas en este paso crítico. ¿Por qué? Parte del problema es que las solicitudes de actualización y los parches a menudo llegan en el momento equivocado, cuando la persona responsable de instalar la actualización está preocupada por algún otro problema actual. Además, cuando se trata de actualizar nuestras computadoras y dispositivos personales, a menudo se nos proporciona una fácil "salida" en forma de una opción "recuérdame más tarde". Debido a este pequeño detalle contextual, es mucho más probable que los usuarios difieran en la actualización, sin importar cuán crítica sea. ¿Cuántas veces ha hecho clic en la opción "Recordarme mañana" antes de comprometerse con la actualización?
En ideas42, mi firma de investigación y diseño de ciencias del comportamiento, hemos estado documentando los diversos contextos que llevan a los usuarios y administradores a decidir (y actuar) de maneras menos que óptimas, colocando a ellos mismos y sus empresas en mayor riesgo de un ciberataque. A través de este objetivo, hemos generado varias ideas sobre por qué las personas establecen contraseñas incorrectas, olvidan la instalación de actualizaciones, hacen clic en enlaces maliciosos y no reciben correos electrónicos de phishing. También hemos delineado lo que las organizaciones y los administradores pueden hacer para mejorar el comportamiento de sus usuarios (para obtener más información, revise nuestra novela de crimen verdadero basada en la investigación, Pensamiento profundo: una historia sobre ciberseguridad).
Establecer valores predeterminados fuertes. Una de las ideas más influyentes de las ciencias del comportamiento es que todo lo que está en la posición "predeterminada" generalmente se mantiene. Esta idea ha sido utilizada con gran efectividad en los ámbitos de los ahorros para la jubilación y la donación de órganos, donde el cambio de un incumplimiento de "opción de suscripción" a "no participación" ha aumentado significativamente las tasas de participación. Se podría aplicar una lógica similar al contexto de elección en torno a la seguridad del usuario de la empresa. En lugar de permitir que sus empleados opten por acciones de seguridad específicas, como instalar y usar una VPN, activar la autenticación de dos factores, habilitar el cifrado de disco completo o autorizar las funciones de actualización automática, los empleadores podrían tomarse el tiempo para configurar las computadoras y sistemas que los empleados usan para tener estas características activadas por defecto. Hacerlo podría llevar a tasas más altas de cumplimiento que confiar en que sus empleados lo hagan por sí mismos.
Use los compromisos del calendario para empujar la actualización del sistema. En ocasiones, no es posible habilitar las actualizaciones automáticas para el software del sistema, lo que deja la opción de actualizar en manos de los empleados. Sin embargo, cuando se enfrenta la perspectiva de detener el flujo de trabajo para actualizar algún software, los empleados pueden decidir diferir la acción hasta un "mejor momento" ambiguo. El problema es que si permanecemos predispuestos, centrados en la tarea actual, "mejor". el tiempo "puede que nunca llegue. Una de las formas en que los investigadores han podido sortear este problema actual de sesgo es hacer que los usuarios realicen compromisos concretos sobre cuándo seguirán adelante: cuanto más específico, mejor. En el contexto de las actualizaciones de software, los empleadores podrían ayudar a facilitar a los empleados a hacer un compromiso concreto de actualización. Por ejemplo, cuando se lanza una actualización, un administrador podría enviar un correo electrónico instruyendo a los empleados para bloquear una hora en su calendario para completar la actualización. El simple hecho de hacer que los empleados se comprometan previamente puede detener el ciclo de procrastinación en seco.
Compare a los empleados con sus compañeros. Las personas tienden a mirar hacia otras personas, especialmente aquellas que son similares a ellas, para aprender a actuar. Este fenómeno, llamado prueba social, puede tener efectos poderosos sobre el comportamiento de las personas y es especialmente influyente cuando el comportamiento deseable es ambiguo, como ocurre con la ciber higiene. Opower, una plataforma de participación del cliente para proveedores de servicios públicos, ha utilizado esta idea con gran efecto. La compañía envía una pequeña infografía junto con las facturas de servicios públicos de los hogares que muestran cuánta energía consume el hogar en relación con el hogar promedio en su vecindario, así como también las más eficientes. Esta pequeña indicación de lo que otros hogares están haciendo reduce el consumo promedio de energía en un 2% por hogar, lo cual, a escala, es un gran cambio.
Lo que esta y otras intervenciones similares han demostrado es que las personas en realidad no necesitan ver a otros exhibir un comportamiento específico; en cambio, se les puede decir lo que otros hacen. En una configuración empresarial, los administradores pueden aprovechar las pruebas sociales para ayudar a los empleados a identificar comportamientos deseables y motivarlos para que se hagan cargo de ellos. Por ejemplo, los empleadores pueden encuestar a los empleados sobre diversos comportamientos y protecciones que utilizan en línea y asignar un puntaje basado en esos comportamientos. A continuación, podrían generar informes para cada individuo comparándolos con el empleado promedio, así como con los empleados más diligentes, y brindarles pasos accionables que puedan tomar para mejorar su puntaje. Esta simple intervención de prueba social podría conducir a un mayor cumplimiento en toda la organización.
Convierta el entrenamiento de conciencia en un sistema de retroalimentación constante. Una de las principales ideas de la ciencia del comportamiento es que si le brinda capacitación a alguien, puede aumentar el conocimiento de la gente, pero no es probable que cambie sus comportamientos. A menudo, el entrenamiento de sensibilización ocurre de la siguiente manera: una vez al año, los empleados ingresan en una sala por una hora o dos y reciben una charla por un capacitador profesional de conciencia, solo para regresar a sus estaciones de trabajo e ignorar la mayoría de lo que les enseñaron. Hay muchas razones por las que esto puede suceder: las personas tienen una atención limitada y no pueden absorber toda la información que acaban de aprender; es posible que no tengan un sentido concreto de cómo hacer que lo que aprendieron sea procesable y, por lo tanto, no modifiquen su comportamiento; ellos pueden estar seguros de que ninguno de los riesgos que aprendieron se aplica a ellos en particular - "¡nunca me pasará a mí!" - y la lista continúa.
Una forma en que las empresas pueden mejorar la eficacia del entrenamiento de conciencia es convertirlo en un proceso continuo y generar retroalimentación para que los empleados conozcan cuándo se equivocan y qué pueden hacer para evitar ese error en el futuro. Por ejemplo, para hacer que su fuerza de trabajo sea más resistente a los ataques de phishing, puede optar por emplear software como Phishme, que envía correos falsos de phishing a los empleados de forma regular, y proporciona soluciones cuando los usuarios se sumen al ataque. Se pueden implementar procesos similares para ayudar a los empleados a evitar enlaces incorrectos, recordar actualizar su software y asumir otros comportamientos beneficiosos, como usar la autenticación de dos factores, encender su VPN cuando se accede a una red insegura y utilizar contraseñas más seguras.
Si seguimos intentando utilizar la tecnología para resolver lo que en realidad son problemas humanos, seguiremos siendo vulnerables a los ataques. Sin embargo, si tomamos un enfoque que mira el contexto en el cual los seres humanos son propensos a cometer errores, tendremos más posibilidades de encontrar soluciones sostenibles que nos mantengan a nosotros mismos, y nuestras empresas, a salvo de los malos.
Alex Blau es vicepresidente de ideas42 y coautor de Deep Thought: A Cybersecurity Story, una historia corta al estilo del "crimen verdadero" que dramatiza las amenazas del comportamiento humano en la ciberseguridad. Tiene una amplia experiencia en la aplicación de conocimientos de la ciencia del comportamiento para resolver los desafíos de diseño y toma de decisiones en una amplia gama de dominios. Sus enfoques actuales en ideas42 están en las áreas de ciberseguridad, inclusión financiera, seguridad pública y pruebas A/B.
Harvard Business Review
Seguridad y Privacidad
El cibercrimen llegó para quedarse, y les está costando mucho dinero a las empresas estadounidenses. El costo promedio anualizado del cibercrimen para las compañías globales ha aumentado casi un 62% desde 2013, de $ 7.2 millones a $ 11.7 millones. Y estos son solo los costos directos promedio. Target, que sufrió una violación masiva de datos en 2013, informó que el costo total de la violación excedió los $ 200 millones. Verizon, que recientemente compró Yahoo, puede haber obtenido un descuento de $ 350 millones debido a tres incumplimientos de datos de Yahoo a gran escala que ocurrieron en los últimos años. Dados estos costos, ¿qué pueden hacer las empresas?
Los gobiernos y la industria están haciendo lo que parece ser obvio: gastar miles de millones de dólares para desarrollar e implementar nuevas tecnologías diseñadas para detener a los malos antes de que puedan atravesar la puerta de entrada. Sin embargo, a pesar de que tenemos algunas de las mejores y más brillantes mentes en el caso, todavía existen limitaciones importantes sobre lo que podemos hacer con el silicio y el código. A pesar de nuestra predilección por usar tecnología para resolver lo que parecen ser problemas tecnológicos, un lamento que se hace eco en los círculos de seguridad de la información es que no estamos haciendo lo suficiente para lidiar con la amenaza más grande y más persistente de la seguridad cibernética: el comportamiento humano.
En 2014, IBM informó que, "más del 95% de todos los incidentes [de seguridad] investigados reconocen el 'error humano' como un factor contribuyente". De hecho, la reciente cadena de ataques de malware con denominaciones cyberpunk como "WannaCry", "Petya, "Y" Mirai ", así como los aparentes ataques patrocinados por el estado en Equifax y el sistema electoral estadounidense, todo comenzó debido a las malas decisiones y acciones de los usuarios finales. Si no fue un ingeniero creando inadvertidamente una vulnerabilidad en un software, fue un usuario final que hizo clic en un enlace incorrecto, cayendo en un ataque de phishing, usando una contraseña débil o descuidando la instalación de una actualización de seguridad de manera oportuna . Los atacantes no necesitaron romper una pared de unos y ceros, ni sabotear una pieza de hardware sofisticado; en su lugar, simplemente necesitaban aprovechar un comportamiento del usuario previsiblemente deficiente.
Cuando las empresas centran su atención en resolver lo que creen que son problemas de tecnología con soluciones de tecnología, se olvidan de identificar intervenciones simples que pueden ayudar a reducir la incidencia de conductas malas y promover las buenas. Y sí, aunque algunas inversiones en tecnología han tratado de prevenir estos comportamientos en primer lugar al descargar las decisiones humanas en inteligencia artificial y sistemas de aprendizaje automático, estas innovaciones aún tienen algunos caminos por recorrer. Como el robot de seguridad que cayó en una fuente de centro comercial nos recuerda, la IA y las innovaciones relacionadas aún no son tecnologías completamente desarrolladas. Por ejemplo, ¿cuántas veces ha perdido su filtro de spam un correo electrónico de phishing? En ausencia de IA a prueba de fallas, el juicio humano sigue siendo necesario para llenar el vacío entre las capacidades de nuestras tecnologías de seguridad y nuestras necesidades de seguridad. Pero si el juicio humano no es perfecto, y la tecnología no es suficiente, ¿qué pueden hacer las empresas para reducir los riesgos de comportamiento?
Una gran idea de los campos de la economía del comportamiento y la psicología es que nuestros prejuicios conductuales son bastante predecibles. Por ejemplo, los profesionales de seguridad han dicho una y otra vez que mantener el software actualizado e instalar parches de seguridad lo antes posible es uno de los mejores métodos para proteger los sistemas de seguridad de la información de los ataques. Sin embargo, a pesar de que la instalación de actualizaciones es relativamente fácil, muchos usuarios e incluso los administradores de TI posponen las cosas en este paso crítico. ¿Por qué? Parte del problema es que las solicitudes de actualización y los parches a menudo llegan en el momento equivocado, cuando la persona responsable de instalar la actualización está preocupada por algún otro problema actual. Además, cuando se trata de actualizar nuestras computadoras y dispositivos personales, a menudo se nos proporciona una fácil "salida" en forma de una opción "recuérdame más tarde". Debido a este pequeño detalle contextual, es mucho más probable que los usuarios difieran en la actualización, sin importar cuán crítica sea. ¿Cuántas veces ha hecho clic en la opción "Recordarme mañana" antes de comprometerse con la actualización?
En ideas42, mi firma de investigación y diseño de ciencias del comportamiento, hemos estado documentando los diversos contextos que llevan a los usuarios y administradores a decidir (y actuar) de maneras menos que óptimas, colocando a ellos mismos y sus empresas en mayor riesgo de un ciberataque. A través de este objetivo, hemos generado varias ideas sobre por qué las personas establecen contraseñas incorrectas, olvidan la instalación de actualizaciones, hacen clic en enlaces maliciosos y no reciben correos electrónicos de phishing. También hemos delineado lo que las organizaciones y los administradores pueden hacer para mejorar el comportamiento de sus usuarios (para obtener más información, revise nuestra novela de crimen verdadero basada en la investigación, Pensamiento profundo: una historia sobre ciberseguridad).
Establecer valores predeterminados fuertes. Una de las ideas más influyentes de las ciencias del comportamiento es que todo lo que está en la posición "predeterminada" generalmente se mantiene. Esta idea ha sido utilizada con gran efectividad en los ámbitos de los ahorros para la jubilación y la donación de órganos, donde el cambio de un incumplimiento de "opción de suscripción" a "no participación" ha aumentado significativamente las tasas de participación. Se podría aplicar una lógica similar al contexto de elección en torno a la seguridad del usuario de la empresa. En lugar de permitir que sus empleados opten por acciones de seguridad específicas, como instalar y usar una VPN, activar la autenticación de dos factores, habilitar el cifrado de disco completo o autorizar las funciones de actualización automática, los empleadores podrían tomarse el tiempo para configurar las computadoras y sistemas que los empleados usan para tener estas características activadas por defecto. Hacerlo podría llevar a tasas más altas de cumplimiento que confiar en que sus empleados lo hagan por sí mismos.
Use los compromisos del calendario para empujar la actualización del sistema. En ocasiones, no es posible habilitar las actualizaciones automáticas para el software del sistema, lo que deja la opción de actualizar en manos de los empleados. Sin embargo, cuando se enfrenta la perspectiva de detener el flujo de trabajo para actualizar algún software, los empleados pueden decidir diferir la acción hasta un "mejor momento" ambiguo. El problema es que si permanecemos predispuestos, centrados en la tarea actual, "mejor". el tiempo "puede que nunca llegue. Una de las formas en que los investigadores han podido sortear este problema actual de sesgo es hacer que los usuarios realicen compromisos concretos sobre cuándo seguirán adelante: cuanto más específico, mejor. En el contexto de las actualizaciones de software, los empleadores podrían ayudar a facilitar a los empleados a hacer un compromiso concreto de actualización. Por ejemplo, cuando se lanza una actualización, un administrador podría enviar un correo electrónico instruyendo a los empleados para bloquear una hora en su calendario para completar la actualización. El simple hecho de hacer que los empleados se comprometan previamente puede detener el ciclo de procrastinación en seco.
Compare a los empleados con sus compañeros. Las personas tienden a mirar hacia otras personas, especialmente aquellas que son similares a ellas, para aprender a actuar. Este fenómeno, llamado prueba social, puede tener efectos poderosos sobre el comportamiento de las personas y es especialmente influyente cuando el comportamiento deseable es ambiguo, como ocurre con la ciber higiene. Opower, una plataforma de participación del cliente para proveedores de servicios públicos, ha utilizado esta idea con gran efecto. La compañía envía una pequeña infografía junto con las facturas de servicios públicos de los hogares que muestran cuánta energía consume el hogar en relación con el hogar promedio en su vecindario, así como también las más eficientes. Esta pequeña indicación de lo que otros hogares están haciendo reduce el consumo promedio de energía en un 2% por hogar, lo cual, a escala, es un gran cambio.
Lo que esta y otras intervenciones similares han demostrado es que las personas en realidad no necesitan ver a otros exhibir un comportamiento específico; en cambio, se les puede decir lo que otros hacen. En una configuración empresarial, los administradores pueden aprovechar las pruebas sociales para ayudar a los empleados a identificar comportamientos deseables y motivarlos para que se hagan cargo de ellos. Por ejemplo, los empleadores pueden encuestar a los empleados sobre diversos comportamientos y protecciones que utilizan en línea y asignar un puntaje basado en esos comportamientos. A continuación, podrían generar informes para cada individuo comparándolos con el empleado promedio, así como con los empleados más diligentes, y brindarles pasos accionables que puedan tomar para mejorar su puntaje. Esta simple intervención de prueba social podría conducir a un mayor cumplimiento en toda la organización.
Convierta el entrenamiento de conciencia en un sistema de retroalimentación constante. Una de las principales ideas de la ciencia del comportamiento es que si le brinda capacitación a alguien, puede aumentar el conocimiento de la gente, pero no es probable que cambie sus comportamientos. A menudo, el entrenamiento de sensibilización ocurre de la siguiente manera: una vez al año, los empleados ingresan en una sala por una hora o dos y reciben una charla por un capacitador profesional de conciencia, solo para regresar a sus estaciones de trabajo e ignorar la mayoría de lo que les enseñaron. Hay muchas razones por las que esto puede suceder: las personas tienen una atención limitada y no pueden absorber toda la información que acaban de aprender; es posible que no tengan un sentido concreto de cómo hacer que lo que aprendieron sea procesable y, por lo tanto, no modifiquen su comportamiento; ellos pueden estar seguros de que ninguno de los riesgos que aprendieron se aplica a ellos en particular - "¡nunca me pasará a mí!" - y la lista continúa.
Una forma en que las empresas pueden mejorar la eficacia del entrenamiento de conciencia es convertirlo en un proceso continuo y generar retroalimentación para que los empleados conozcan cuándo se equivocan y qué pueden hacer para evitar ese error en el futuro. Por ejemplo, para hacer que su fuerza de trabajo sea más resistente a los ataques de phishing, puede optar por emplear software como Phishme, que envía correos falsos de phishing a los empleados de forma regular, y proporciona soluciones cuando los usuarios se sumen al ataque. Se pueden implementar procesos similares para ayudar a los empleados a evitar enlaces incorrectos, recordar actualizar su software y asumir otros comportamientos beneficiosos, como usar la autenticación de dos factores, encender su VPN cuando se accede a una red insegura y utilizar contraseñas más seguras.
Si seguimos intentando utilizar la tecnología para resolver lo que en realidad son problemas humanos, seguiremos siendo vulnerables a los ataques. Sin embargo, si tomamos un enfoque que mira el contexto en el cual los seres humanos son propensos a cometer errores, tendremos más posibilidades de encontrar soluciones sostenibles que nos mantengan a nosotros mismos, y nuestras empresas, a salvo de los malos.
Alex Blau es vicepresidente de ideas42 y coautor de Deep Thought: A Cybersecurity Story, una historia corta al estilo del "crimen verdadero" que dramatiza las amenazas del comportamiento humano en la ciberseguridad. Tiene una amplia experiencia en la aplicación de conocimientos de la ciencia del comportamiento para resolver los desafíos de diseño y toma de decisiones en una amplia gama de dominios. Sus enfoques actuales en ideas42 están en las áreas de ciberseguridad, inclusión financiera, seguridad pública y pruebas A/B.
No hay comentarios:
Publicar un comentario