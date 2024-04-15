Los últimos hallazgos del informe IBM X-Force Threat Intelligence Index destacan un cambio en las tácticas de los atacantes. En lugar de utilizar métodos de piratería informáticos tradicionales, se ha producido un aumento significativo del 71 % en los ataques en los que los delincuentes explotan credenciales válidas para infiltrarse en los sistemas. Los ladrones de información han experimentado un asombroso aumento del 266 % en su utilización, lo que pone de relieve su papel en la adquisición de estas credenciales. Su objetivo es sencillo: explotar el camino de menor resistencia, a menudo a través de empleados desprevenidos, para obtener credenciales válidas.
Las organizaciones han gastado millones en desarrollar e implementar tecnologías punta para reforzar sus defensas contra tales amenazas, y muchas ya tienen campañas de conciencia sobre seguridad, entonces, ¿por qué no podemos detener estos ataques?
La mayoría de los programas de conciencia sobre seguridad hoy en día proporcionan a los empleados la información que necesitan sobre el manejo de datos, las normas del RGPD y amenazas comunes, como el phishing.
Sin embargo, hay una gran debilidad en este enfoque: los programas no tienen en cuenta el comportamiento humano. Suelen seguir un enfoque único, en el que los empleados completan una formación anual genérica por ordenador con alguna animación ingeniosa y un breve cuestionario.
Aunque esto proporciona la información necesaria, la naturaleza apresurada de la formación y la falta de relevancia personal a menudo resulta en que los empleados olviden la información en tan solo 4-6 meses. Esto puede explicarse por la teoría de Daniel Kahneman sobre la cognición humana. Según esta teoría, cada individuo tiene un proceso de pensamiento rápido, automático e intuitivo, denominado Sistema 1. Las personas también tienen un proceso de pensamiento lento, deliberado y analítico, llamado Sistema 2.
Los programas tradicionales de conciencia sobre seguridad se dirigen principalmente al Sistema 2, ya que la información debe procesarse racionalmente. Sin embargo, sin suficiente motivación, repetición y significado personal, la información suele entrar por un oído y salir por el otro.
Casi el 95 % del pensamiento humano y la toma de decisiones están controlados por el Sistema 1, que es nuestra forma habitual de pensar. Los humanos nos enfrentamos a miles de tareas y estímulos al día, y gran parte de nuestro procesamiento se realiza de forma automática e inconsciente a través de sesgos y heurísticas. El empleado promedio trabaja en piloto automático y, para asegurarnos de que los problemas y riesgos de la ciberseguridad están incluidos en sus decisiones diarias, necesitamos diseñar y crear programas que comprendan realmente su forma intuitiva de trabajar.
Para comprender el comportamiento humano y cómo cambiarlo, hay algunos factores que debemos evaluar y medir, con el apoyo de la rueda de cambio de comportamiento COM-B.
Una vez que comprendamos y evaluemos estas tres áreas, podemos identificar las áreas de cambio de comportamiento y diseñar intervenciones que se centren en las conductas intuitivas de los empleados. En última instancia, este enfoque ayuda a las organizaciones a fomentar una primera línea de defensa mediante el desarrollo de un personal más consciente del ciberseguridad.
Una vez identificadas las causas raíz de los problemas de comportamiento, la atención se dirige naturalmente hacia la construcción de una cultura de seguridad. El reto predominante en la cultura de la ciberseguridad hoy en día es su fundamento en el miedo al error y a la equivocación. Esta mentalidad a menudo fomenta una percepción negativa de la ciberseguridad, lo que se traduce en bajas tasas de finalización de la formación y una responsabilidad mínima. Este enfoque requiere un cambio, pero ¿cómo lo logramos?
Ante todo, debemos reconsiderar nuestro enfoque de las iniciativas, alejándonos de un modelo centrado únicamente en la conciencia y el cumplimiento normativo. Aunque la formación en conciencia en seguridad sigue siendo vital y no debe pasarse por alto, debemos diversificar nuestros métodos educativos para fomentar una cultura más positiva. Junto con una amplia formación organizativa, deberíamos adoptar programas específicos para cada función que incorporen el aprendizaje experiencial y la gamificación, como los atractivos rangos cibernéticos facilitados por IBM X-Force. Además, las campañas a nivel de Organización pueden reforzar la idea de una cultura positiva, que incluye actividades como establecer una red de campeones de ciberseguridad o organizar meses de conciencia con eventos diversos.
Una vez seleccionadas e implementadas estas iniciativas para cultivar una cultura de ciberseguridad positiva y sólida, es imperativo que reciban el apoyo de todos los niveles de la organización, desde la alta dirección hasta los profesionales de nivel inicial. Solo cuando hay un mensaje unificado y afirmativo, podemos transformar realmente la cultura dentro de las organizaciones.
Ahora que hemos identificado los desafíos de comportamiento e implementado un programa destinado a fomentar una cultura positiva, el siguiente paso es establecer métricas y parámetros para el éxito. Para medir la eficacia de nuestro programa, debemos abordar una pregunta fundamental: ¿en qué medida hemos mitigado el riesgo de un incidente de ciberseguridad derivado de un error humano? Es crucial establecer un conjunto integral de métricas capaces de medir la reducción de riesgos y el éxito general del programa.
Tradicionalmente, las organizaciones han recurrido a métodos como campañas de phishing y pruebas de competencia, con resultados dispares. Un enfoque moderno es la cuantificación del riesgo, un método que asigna un valor financiero al riesgo humano asociado a un escenario específico. La integración de estas métricas en nuestro programa de cultura de seguridad nos permite evaluar su éxito y mejorarlo continuamente a lo largo del tiempo.
El cambiante panorama de la ciberseguridad exige un enfoque integral que aborde el factor humano crítico. Las organizaciones deben cultivar una cultura positiva de ciberseguridad respaldada por el compromiso del liderazgo y las iniciativas innovadoras. Esto debe ir acompañado de métricas efectivas para medir el progreso y demostrar su valor.
IBM ofrece una gama de servicios para ayudar a nuestros clientes a pasar de la conciencia al comportamiento humano. Podemos ayudarle a evaluar y adaptar las intervenciones de su Organización a las motivaciones y hábitos de sus empleados, y ayudarle a fomentar una primera línea de defensa Resilient® contra las amenazas emergentes capacitando a cada individuo para que sea un guardián proactivo de la ciberseguridad.
