Cree una cultura empresarial que tome en serio la ciberseguridad
Por Fabian Muhly, Jennifer Jordan, Robert B. Cialdini y Gregory PM Neidert
Ciberseguridad y Privacidad Digital
Harvard Business Review
#Doxa #cultura #empresa #ciberseguridad #digital #privada #humano #brecha #oportunidad #líder #confianza #empatía #incertidumbre #inspirar #incentivo #cambio #comportamiento #seguridad #compartida #tarea
Resumen. Con el aumento de los daños causados por la ciberdelincuencia (16 000 millones de dólares en daños en EE. UU. solo en 2024), el error humano sigue siendo la principal causa de las brechas de seguridad, pero también la mayor oportunidad de mejora. Las empresas necesitan invertir en la creación de una seguridad centrada en el ser humano cultura. Los líderes pueden lograrlo siguiendo una estrategia de tres pasos basada en el Modelo de Motivos Fundamentales de Neidert y los principios de influencia de Cialdini: (1) Conectar mediante la confianza y la empatía; (2) Reducir la incertidumbre mediante el ejemplo y el ejemplo de los compañeros; y (3) Inspirar la acción mediante estímulos, compromisos públicos e incentivos. Los autores enfatizan que la concienciación por sí sola no es suficiente; los líderes deben promover un cambio de comportamiento real. Si se implementa correctamente, la seguridad se convierte en una norma cultural compartida, no solo en una tarea de cumplimiento.
Solo en EE. UU., el daño anual causado por la ciberdelincuencia ha aumentado un 33 %, llegando a los 16 000 millones de dólares en 2024. La gran mayoría de estas infracciones se deben a fallos humanos, como la configuración incorrecta de sistemas y dispositivos, el mal manejo de la información o los dispositivos de almacenamiento y la manipulación por parte de actores maliciosos. Pero si el factor humano es el eslabón más débil de la seguridad de la información, también es el área donde la solución adecuada puede tener el mayor impacto. Los enfoques de seguridad centrados en el ser humano ofrecen un potencial significativo para la seguridad de la información sostenible dentro de las organizaciones. Puede alentar, por ejemplo, a todos los empleados a preocuparse por las contraseñas seguras, a ser desconfiados y estar atentos a las posibles amenazas del correo electrónico, a asegurarse de no dejar sus computadoras desbloqueadas y a ser cuidadosos al no hablar de asuntos comerciales sensibles en público.
Para lograr esta cultura de seguridad impulsada por las personas, las empresas deben abordar varios desafíos. En primer lugar, la concientización por sí sola no conduce automáticamente al comportamiento deseado. Si bien generar concientización es un paso importante, las empresas también deben medir el comportamiento real en seguridad, impulsar el comportamiento correcto y trabajar para integrar el comportamiento colectivo en seguridad en la cultura empresarial. En segundo lugar, si bien los ejecutivos desempeñan un papel crucial en el modelado del comportamiento en seguridad, los directores de seguridad de la información que entrevistamos expresaron dificultad para persuadir a otros altos ejecutivos del valor de las inversiones e iniciativas en seguridad de la información. Y en tercer lugar, una cultura de seguridad de la información eficaz requiere un proceso de mejora y reevaluación continuas. Sin una aceptación generalizada, esto es difícil de lograr.
La buena noticia es que existen estrategias conductuales bien estudiadas para influir en las personas y lograr que actúen de forma más prudente y responsable. A lo largo de los años, nos hemos centrado en comprender cómo los comportamientos individuales, la cultura organizacional y los factores psicológicos influyen en las prácticas y la toma de decisiones en ciberseguridad. En este artículo, aplicamos el Modelo de Motivos Fundamentales de Neidert (desarrollado por uno de nosotros) para guiar a los líderes en cómo influir positivamente en el comportamiento de seguridad de la información en sus organizaciones mediante un proceso de influencia interpersonal. Se trata de un marco psicológico que vincula los principios de influencia de Cialdini (desarrollados por otro de nosotros) con los motivos psicológicos y profundiza en la comprensión de por qué estos principios son eficaces para impulsar el comportamiento humano.
Usar la influencia para crear una cultura más segura
Impulsar a las personas en la dirección deseada, y hacerlo de forma ética y eficaz, depende de generar confianza y convencer a los demás de la validez de la solicitud. Esto suele implicar superar tres obstáculos comunes: convencerlos de que vale la pena escucharte, de que seguir tu solicitud es más beneficioso que la inacción (o la propuesta de otra persona) y de que deben actuar ahora en lugar de más tarde.
A primera vista, lograr que los empleados cumplan mediante estrategias psicológicas y conductuales puede parecer manipulador. Pero existe una distinción importante entre la influencia ética y la manipulación: el liderazgo consiste en influir en las personas para que alcancen objetivos y propósitos comunes por voluntad propia, en lugar de mediante la fuerza o la coerción. Este modelo busca lograr que las personas actúen por voluntad propia.
El modelo de motivos centrales de Neidert implica tres etapas para motivar a las personas a alcanzar el objetivo deseado:
- Conectar
- Reducir la incertidumbre
- Inspirar la acción
Cada uno de estos métodos le ayudará a superar los obstáculos para convencerlos de que vale la pena escucharle, de que atender su solicitud les beneficia y de que es importante actuar de inmediato. Este enfoque se ha utilizado con éxito durante más de una década en diversas organizaciones militares y policiales para combatir la ciberdelincuencia y el terrorismo. Su lógica se alinea estrechamente con los comportamientos observados de los empleados en el ámbito de la ciberseguridad, lo que revela un potencial sin explotar para una aplicación más intencional.
En un contexto de ciberseguridad, el objetivo es establecer una cultura de comportamiento colectivo en materia de seguridad en toda la organización. Esto significa que, para lograr el cumplimiento de un comportamiento de seguridad ejemplar, los líderes deben ser capaces de forjar una relación duradera con su equipo y hacer que se sientan seguros de seguir el ejemplo.
1. Conectar
Antes de poder liderar con credibilidad, es necesario conectar. En general, es más probable que las personas cumplan tus peticiones cuando (a) sienten que sabes que las aprecias y que tú también las aprecias, (b) te consideran genuinamente parte de su grupo, y (c) les has hecho favores que les generan un sentido de obligación.
Establezca el tono adecuado
Otros dicen "sí" cuando les caes bien y creen que tú también. Cuando muestras franqueza y accesibilidad, suelen corresponder. Por ejemplo, investigadores descubrieron que cuando los gerentes de ventas son simpáticos e invierten en construir una buena relación, sus equipos tienen un mejor rendimiento y mayor probabilidad de alcanzar sus objetivos. En ciberseguridad, construir una buena relación mediante la simpatía y la comprensión mutua con los empleados de todos los departamentos es esencial para fomentar la cooperación e impulsar eficazmente las iniciativas de seguridad en toda la organización.
Consideremos una experiencia que tuvimos con un cliente. Trabajábamos con dos gerentes, cada uno responsable de un departamento diferente, que intentaban conseguir la adopción de un programa específico de ciberseguridad. Uno se mostró muy amable, con una sonrisa de bienvenida y, al presentar el programa por primera vez, dio tiempo a la audiencia para que hiciera preguntas. El otro, frío, hablaba de adoptar el programa como un destino que ninguno de los miembros de su departamento podía controlar. La adopción fue mucho mayor en el departamento del primer gerente que en el del segundo.
Fomentar la unidad
Es más probable que nos esforcemos al máximo por alguien que consideramos parte de nuestro grupo, y esto también aplica a las conductas de seguridad de la información. Por supuesto, construir una cultura de seguridad es un esfuerzo compartido. Pero es responsabilidad de los gerentes crear un sentido de unidad.
Un cliente con el que trabajamos dedicó un día a gamificar la formación en seguridad de la información de su equipo, como ejercicios de mesa y juegos de escape. Utilizaron este formato de aprendizaje interactivo para transmitir conocimientos y, al mismo tiempo, fortalecer la unión de los empleados. El equipo concluyó la jornada no solo con más conocimientos sobre cómo construir una cultura de seguridad más sólida, sino también con un compañerismo más sólido.
Construir reciprocidad
Existe una norma social generalizada que dicta que si alguien nos da algo, nos sentimos obligados a dar algo a cambio. Esta norma, llamada reciprocidad, ayuda a generar confianza y conexión. Una definición aceptada de confianza es la disposición a ser vulnerable con la otra persona. La regla de la reciprocidad es especialmente poderosa si el regalo es significativo, inesperado, personalizado para el destinatario y no está relacionado con la solicitud que le harás en el futuro.
Además de los favores, la regla también funciona para las concesiones que generan un sentimiento de deuda. Esto significa que reducir la severidad de la solicitud inicial también puede aumentar la probabilidad de que las personas correspondan en la dirección deseada. Primero, pida a los empleados que alcancen un objetivo extremo y luego concédalo, aplicándole un objetivo más pequeño y alcanzable. Por ejemplo, pedir inicialmente a sus empleados que realicen pruebas puntuales de correos electrónicos de phishing correctamente el 100 % del tiempo y luego hacer una concesión para permitir una menor tasa de aciertos falsos por período probablemente generará tasas de aciertos promedio más altas que solicitar la tasa más baja al principio.
2. Reducir la incertidumbre
Una conexión interpersonal sólidamente establecida convencerá a muchas personas, pero no a todas. Algunas dudarán porque no están seguras del comportamiento solicitado. Estas personas suelen buscar garantías de que una solicitud es razonable. En algunos casos, esto implica recurrir a personas con autoridad creíble para obtener pistas sobre cómo pensar y actuar. En otros casos, implica recurrir a sus pares. Los líderes pueden tomar dos medidas para ayudar a reducir dicha incertidumbre: usar su autoridad creíble y permitir que vean a otros hacerlo.
Utilice su autoridad creíble
Puede que sea o no un experto en ciberseguridad, pero puede demostrar y fortalecer su credibilidad. Cuando usted, como líder, instruye personalmente a su equipo para que cumpla con las normas de seguridad de la información corporativa —o mejor aún, participa usted mismo—, tendrá más probabilidades de obtener el resultado deseado. Por ejemplo, en una organización a la que asesoramos, el presidente de la junta directiva participó activamente en un simulacro de cibercrisis, lo que demostró la relevancia y la gravedad del asunto. Su asistencia propició un comportamiento más centrado por parte de los empleados durante el simulacro y un comportamiento sostenido después.
Hazles ver a otros haciéndolo
Cuando las personas tienen incertidumbre, buscan a su alrededor señales que les indiquen cómo pensar y actuar. Los líderes pueden aprovechar esta respuesta natural demostrando un buen comportamiento de seguridad, además de destacar la relevancia que otros han adoptado. Por ejemplo, en lugar de informar únicamente a la dirección sobre los resultados de las pruebas de phishing, las empresas pueden promover acciones responsables compartiéndolos con toda la organización. Recomendamos centrarse en el comportamiento positivo y deseado de los demás, cuántos lo hicieron y cómo lo lograron, ya que un punto de referencia positivo es más eficaz que uno negativo.
3. Inspirar la acción
Incluso con una relación establecida y una incertidumbre reducida, las personas aún necesitan estímulos para actuar en consecuencia. Para animar a las personas a salir de su zona de confort, es necesario recordarles que se han comprometido con comportamientos de seguridad de la información en el pasado. Por lo tanto, los líderes deben aprovechar el poder de los compromisos pasados de los empleados, como lograr que acepten y firmen una política corporativa de seguridad de la información, para lograr comportamientos de seguridad consistentes en el futuro. Además, los motivadores que se centran en los riesgos si no actúan y en lo que podrían perder si no actúan a tiempo son muy eficaces.
Resalte lo que podrían perder (o ganar)
Las oportunidades cobran valor cuando son menos disponibles o limitadas en el tiempo. Este proceso se potencia aún más cuando las personas se ven en competencia con otras, se ha aplicado un enfoque de pérdida o consideran la oportunidad como exclusiva. Por ejemplo, la aseguradora de salud suiza Helsana utilizó el enfoque de pérdida al rescindir los contratos de los empleados que tres veces consecutivas no detectaron las pruebas trimestrales de detección de correos electrónicos de phishing. Helsana redujo la tasa de incumplimiento de los empleados del 15 % al 3 % en cinco meses.
Este enfoque extremo, si bien efectivo, podría reemplazarse por uno más moderado y permisivo. Recomendamos implementar un programa de campeones de seguridad. Regularmente, los empleados con una determinada puntuación en seguridad de la información pueden optar a reconocimientos exclusivos, como beneficios financieros o complementarios. Quienes no alcanzan estas puntuaciones pierden la oportunidad de acceder a estos beneficios.
Obtener el compromiso público
Las personas buscan la coherencia. Una vez que adoptan una postura o se comprometen con un determinado curso de acción, tienden a cumplirla y se sienten obligadas a comportarse en consecuencia. Se sienten aún más obligadas a actuar si se han comprometido de forma activa, pública y voluntaria. Recomendamos añadir una frase como "No haré clic en ningún enlace sospechoso" o "Mantendré un comportamiento de alerta continuo en relación con el phishing" al final de una formación en ciberseguridad. Además, recuerde periódicamente a estos empleados su compromiso con las iniciativas de seguridad de la información de la organización, por ejemplo, colocando una pegatina en sus escritorios o puertas. Otra idea es que los empleados firmen anualmente un código de conducta, preferiblemente delante de sus superiores y compañeros, que describa cómo proteger la información, los activos y la propiedad de la empresa.
...
Las prácticas de seguridad de la información benefician a las organizaciones y a todos sus empleados. Las culturas organizacionales tienen algo en común: proponen valores compartidos que generan un sentido de pertenencia. Proporcionan a la organización y a su equipo una orientación ideológica con la que todos pueden identificarse. La seguridad de la información forma parte de una cultura organizacional saludable. Una cultura de seguridad de la información eficaz aprovechará los efectos colaterales del "nosotros" en la seguridad de la información, que la mantienen intacta tanto cuando se incorporan empleados como cuando se marchan personal clave. Para lograrlo, se puede utilizar un enfoque sistemático de la influencia social para fomentar un comportamiento que cumpla con las normas de seguridad y una cultura de seguridad de la información organizacional que beneficie a todos.
Lea más sobre Ciberseguridad y privacidad digital o temas relacionados Poder e influencia, Tecnología y análisis y Gestión de seguridad de TI.
Fabian Muhly es socio de Leo & Muhly Cyber Advisory y fundador de DRMUHLY, una iniciativa que promueve la resiliencia ante los riesgos cibernéticos a través del bienestar. Doctor en criminología, su experiencia en consultoría e investigación abarca los aspectos conductuales y psicológicos de la seguridad de la información y la resiliencia del factor humano.
Jennifer Jordan es psicóloga y profesora de liderazgo en el IMD de Suiza. Es experta en poder, influencia y transiciones de liderazgo.
Robert B. Cialdini es Profesor Emérito de Psicología y Marketing de la Universidad Estatal de Arizona y miembro de la Academia Nacional de Ciencias. Su libro « Influencia» ha vendido más de cinco millones de ejemplares y ha aparecido en numerosas ediciones y en 49 idiomas.
Gregory PM Neidert obtuvo su doctorado en psicología social en la Universidad Estatal de Arizona, donde impartió numerosos cursos sobre persuasión e influencia social durante más de tres décadas. Actualmente preside World of Work Inc., una firma que ofrece servicios de consultoría y evaluación laboral.
No hay comentarios:
Publicar un comentario