Cómo Yahoo creó una cultura de ciberseguridad
Por Dr. Keri Pearlson, Sean Sposito, Masha Arbisman, y Josh A. Schwartz
Persuasión
Harvard Business Review
#Doxa #persuación #cultura #ciberseguridad #Yahoo #empleados #gerentes #simulación #persuasión #tecnología #digital
Resumen. Yahoo estudió las respuestas de los empleados a las simulaciones para comprender mejor cómo hacer que se tomen en serio la ciberseguridad. Para lograr un cambio significativo, los gerentes deben seguir tres pasos clave. Primero, deben identificar los comportamientos críticos de los empleados. En segundo lugar, los gerentes deben medir los comportamientos de manera transparente. Finalmente, los gerentes deben usar la conciencia para explicar por qué algo es importante.
Decirle a sus empleados que deben hacer algo no es suficiente para inspirar un cambio significativo. Pregúntele a cualquier empleado que alguna vez haya visto un video de concientización sobre ciberseguridad. Aunque los videos instruyen a los empleados a tener en cuenta la seguridad de los datos, rara vez conducen a una mejora total de los comportamientos de seguridad de una empresa. Para mejorar su cultura de ciberseguridad y, en última instancia, la resistencia de su empresa a los ataques, debe medir lo que hacen las personas cuando nadie está mirando.
A fines del año pasado, el grupo de investigación Ciberseguridad del MIT Sloan (CAMS) comenzó a colaborar con la organización de seguridad de Yahoo, apodada Paranoids, para comprender cómo han aplicado mecanismos de gestión para influir en la cultura de ciberseguridad de la empresa. El equipo de participación proactiva de Paranoids ha empleado con éxito varios mecanismos interesantes e innovadores que llevaron a mejores comportamientos de ciberseguridad.
Un modelo de compromiso proactivo
En el verano de 2018, en medio de una reorganización de la organización de seguridad más grande, los Paranoicos reunieron a dos grupos dispares: el equipo rojo (un hábil grupo de piratas informáticos que prueba de manera ofensiva sistemas internos, servicios, procesos y personas para descubrir debilidades sistémicas) y el equipo de concienciación sobre seguridad de la empresa. Más tarde, los Paranoids agregaron el equipo de ingeniería del comportamiento, que se centró en medir las actividades que considerarían buenos comportamientos de seguridad basándose en una combinación de datos de recursos humanos y registros de tecnología empresarial.
Para comprender mejor cómo respondieron los empleados a las amenazas de ciberseguridad, el equipo de ingeniería del comportamiento primero distinguió entre acciones, hábitos y comportamientos de los empleados. Una acción, concluyeron, era algo que una persona hace hasta el final. Por ejemplo, los empleados de Yahoo debían realizar un curso anual de formación en seguridad. El resultado deseado, tomando la clase, es una acción. Un hábito era un atajo creado para acciones repetibles. Capacitar a los empleados, por ejemplo, para que confíen en un administrador de contraseñas en lugar de cambios manuales de contraseñas, puede generar un hábito formado.
Finalmente, definieron comportamientos como la combinación de acciones y hábitos dentro del contexto de una situación, entorno o estímulo. En el ejemplo anterior, el comportamiento de seguridad deseado no es simplemente lograr que los empleados utilicen un administrador de contraseñas. En cambio, el objetivo era lograr que los empleados generaran y almacenaran credenciales utilizando un administrador de contraseñas cada vez que creaban o actualizaban cuentas.
El proceso de cambio de comportamiento
Intentar cambiar un comportamiento significaba primero identificar el contexto específico para una acción deseada. Los Paranoicos llamaron a esto la creación de una meta de comportamiento. Al crear una meta conductual, el equipo de ingeniería conductual tuvo como objetivo responder la pregunta: "¿En qué contexto específico queremos que una cohorte (o persona) específica realice qué acción específica?"
Por ejemplo: "Al generar una nueva contraseña de inicio de sesión único, queremos que todos los empleados generen y almacenen la contraseña dentro de nuestro administrador de contraseñas aprobado por la empresa". La capacidad del equipo para definir estos objetivos fue clave para medir de manera efectiva la dirección de la cultura de ciberseguridad dentro de la organización.
A medida que el equipo de ingeniería conductual estudiaba y desarrollaba objetivos conductuales, se formó una fórmula.
Paso 1: Identifique el objetivo de comportamiento deseado. Un objetivo claro para un resultado de comportamiento específico es un requisito previo para que ocurra cualquier cambio medible. El objetivo evita lo que el equipo llamó "consejo imposible", que es cualquier guía de seguridad que requiera que el usuario final haga un juicio cualitativo sobre la seguridad.
Paso 2: encuentre una medida adecuada y cree una línea de base. Para mejorar la cultura de ciberseguridad de una empresa y enriquecer la resistencia de una empresa a los ataques, se debe medir lo que hacen las personas cuando nadie está mirando.
Paso 3: Tome acciones para afectar el comportamiento medido, ajuste esas acciones a lo largo del tiempo y repita el proceso. Luego, las actividades se diseñaron para impactar las líneas de base. Pero igualmente importante para el éxito de conducir comportamientos apropiados fue aprender de los resultados de estas actividades y luego ajustar y crear nuevas actividades para la mejora continua.
El proceso se convirtió en la base de los experimentos basados en cambios de comportamiento que llevó a cabo el equipo de Proactive Engagement. En lugar de instruir a los empleados para que determinen si un enlace era sospechoso, que es un enfoque subjetivo y defectuoso de la ciberseguridad, el grupo de participación proactiva definió un nuevo objetivo de comportamiento para los empleados: cuando su cuenta corporativa recibe un correo electrónico que lo envía a un sitio web pidiéndole que ingrese credenciales, informe el correo electrónico a nuestro equipo de defensa.
Medir el comportamiento de los empleados
Una y otra vez, en rojo, los empleados de operaciones del equipo caerían en los correos electrónicos de phishing que les presentaban páginas de inicio de sesión falsas, como la que engañó al asistente del entonces presidente del DNC, John Podesta, para que ingresara su contraseña en una página de inicio de sesión falsa oscurecida por una abreviatura. enlace en un correo electrónico malicioso.
El equipo estudió el problema y destacó tres medidas clave:
Tasa de susceptibilidad: la cantidad de empleados que ingresaron credenciales y no reportaron correos electrónicos de phishing dividida por la cantidad total de correos electrónicos de simulación de phishing enviados.
Tasa de captura de credenciales: la cantidad de empleados que ingresaron credenciales (y no informaron el enlace a nuestro equipo de defensa) dividido por la cantidad de empleados que abrieron la simulación de phishing y llegaron a la página de inicio de sesión falsa.
Tasa de informes: el número de empleados que informaron la simulación de phishing dividido por el número total de correos electrónicos de simulación enviados.
Con una meta de comportamiento y medidas clave definidas, el equipo se propuso implementar nuevos mecanismos de gestión para disminuir la tasa de abandono de las credenciales por parte de los empleados. En ese momento, las simulaciones de phishing capturaban casi una de cada siete credenciales de empleados en cada prueba. Uno de cada 10 empleados informaba con precisión el correo electrónico de simulación original como un posible phishing. Después de analizar los datos, el equipo de participación proactiva decidió concentrarse en evitar que los empleados ingresen sus credenciales en una página de phishing.
La solución ya estaba en su lugar. Querían que los empleados usaran el administrador de contraseñas que ya había sido pagado y proporcionado por Verizon. Debido a que el administrador de contraseñas solo completará automáticamente las contraseñas de los sitios que reconoce, no las falsas destinadas a robar credenciales, eliminó las conjeturas de los empleados.
Elección de arquitectura, incentivos, comunicación y gamificación
A mediados de 2019, el equipo instaló el administrador de contraseñas corporativas como una herramienta de detección de dominio en sus navegadores administrados por la empresa y convirtió el uso de la herramienta en la opción predeterminada para todos los empleados. El equipo también ofreció incentivos para el uso activo del administrador de contraseñas corporativas. Los empleados que usaron activamente el administrador de contraseñas recibieron mercadería como camisetas, sudaderas con capucha y gorras con la marca Paranoid. También crearon videos instructivos y contenido para educar a los usuarios sobre qué buscar, cómo identificar correos electrónicos sospechosos y qué hacer si veían algo sospechoso. Estas comunicaciones se combinaron con correos electrónicos que empujaban a aquellos que fueron engañados por simulaciones de phishing para que leyeran materiales educativos adicionales y los dirigieran al administrador de contraseñas corporativo.
El equipo de Compromiso Proactivo midió el progreso mediante la creación de paneles en los que los gerentes podrían comparar el desempeño de su pilar corporativo con el de sus pares. Los cuadros de mando fueron una herramienta importante para los gerentes porque crearon un entorno de competencia activa y pasiva. La competencia proporcionó un incentivo para que los empleados lo hicieran mejor, y el tablero permitió a los gerentes ver cómo les estaba yendo a sus informes. También sirvieron de puente entre el equipo de Compromiso Proactivo y la alta dirección de Yahoo.
Recomendaciones prácticas para gerentes
Para lograr un cambio significativo, los gerentes deben seguir tres pasos clave. Primero, deben identificar los comportamientos críticos de los empleados. La mayor transformación que emprendieron los Paranoicos fue organizativa, no tecnológica. Probaron a los empleados para informar mejor su estrategia para cambiar la cultura de la ciberseguridad. Solo entonces desarrollaron e implementaron un plan.
En segundo lugar, los gerentes deben medir los comportamientos de manera transparente. Si bien el equipo de seguridad no podía tomar decisiones comerciales, los líderes empresariales sí podían hacerlo. Para lograr que lo hicieran, el equipo de participación proactiva creó paneles de control que permitieron a los gerentes comparar el comportamiento de sus subordinados directos con el de los pilares corporativos de sus pares.
Finalmente, los gerentes deben usar la conciencia para explicar por qué algo es importante. En ningún momento el equipo de Compromiso Proactivo castigó a los empleados ni exigió la adopción de herramientas específicas. Más bien, utilizaron sus capacidades de prueba ofensivas para basar sus consejos en ataques del mundo real y luego explicaron por qué esos comportamientos tenían sentido para el negocio.
Para la segunda mitad de 2020, la tasa de captura de las credenciales de los empleados de Yahoo en las simulaciones de phishing se había reducido a la mitad. El número de intentos de phishing informados con precisión se había duplicado. Y lo más importante, el uso del administrador de contraseñas corporativas de la empresa, la pieza central de la cultura de ciberseguridad de la empresa, se había triplicado.
Dra. Keri Pearlson es la Directora Ejecutiva del consorcio de investigación Cybersecurity en MIT Sloan (CAMS). Su investigación investiga cuestiones organizativas, estratégicas, de gestión y de liderazgo en ciberseguridad. Su enfoque actual es construir una cultura de ciberseguridad.
Sean Sposito forma parte del equipo de participación proactiva de Yahoo. Anteriormente trabajó como analista de la industria, periodista y estratega de contenido.
Masha Arbisman anteriormente dirigía un equipo dentro de Yahoo de científicos del comportamiento, analistas de seguridad, especialistas en capacitación y visualizadores de datos para fomentar un cambio positivo en los comportamientos de ciberseguridad de los empleados. Se graduó de UC Davis con una licenciatura en psicología cuantitativa y ha centrado sus esfuerzos en el comportamiento humano en lo que respecta al aprendizaje, el consumismo y ahora la ciberseguridad.
Josh A. Schwartz es director senior de seguridad técnica de Paranoids, el equipo de seguridad de la información de Yahoo. Supervisa una organización centrada en evaluaciones de seguridad ofensivas; metodología del equipo rojo; crear productos que apoyen la cultura de la seguridad; e iniciativas de cambio de comportamiento.
No hay comentarios:
Publicar un comentario