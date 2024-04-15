Los últimos hallazgos del informe IBM X-Force Threat Intelligence Index destacan un cambio en las tácticas de los atacantes. En lugar de utilizar métodos de piratería tradicionales, ha habido un aumento significativo del 71 % en los ataques en los que los delincuentes explotan credenciales válidas para infiltrarse en los sistemas. Los ladrones de información han visto un asombroso aumento del 266 % en su utilización, lo que enfatiza su papel en la adquisición de estas credenciales. Su objetivo es sencillo: explotar el camino de menor resistencia, a menudo a través de empleados desprevenidos, para obtener credenciales válidas.
Las organizaciones han gastado millones en desarrollar e implementar tecnologías de punta para reforzar sus defensas contra tales amenazas, y muchas ya tienen campañas de concientización, entonces, ¿por qué no podemos detener estos ataques?
La mayoría de los programas de concientización de seguridad actuales proporcionan a los empleados la información que necesitan sobre el manejo de datos, las reglas GDPR y las amenazas comunes, como el phishing.
Sin embargo, este enfoque tiene una gran desventaja: los programas no tienen en cuenta el comportamiento humano. Por lo general, siguen un enfoque único, en el que los empleados completan una capacitación genérica anual basada en computadora con una animación ingeniosa y un breve cuestionario.
Si bien esto proporciona la información necesaria, la naturaleza apresurada de la capacitación y la falta de relevancia personal a menudo dan como resultado que los empleados olviden la información en solo 4 a 6 meses. Esto puede explicarse por la teoría de Daniel Kahneman sobre la cognición humana. Según la teoría, cada individuo tiene un proceso de pensamiento rápido, automático e intuitivo, llamado Sistema 1. Las personas también tienen un proceso de pensamiento lento, deliberado y analítico, llamado Sistema 2.
Los programas tradicionales de concientización sobre seguridad se dirigen principalmente al Sistema 2, ya que la información debe procesarse racionalmente. Sin embargo, sin suficiente motivación, repetición y significado personal, la información suele entrar por un oído y salir por el otro.
Casi el 95 % del pensamiento humano y la toma de decisiones están controlados por el Sistema 1, que es nuestra forma habitual de pensar. Los humanos se enfrentan a miles de tareas y estímulos por día, y gran parte de nuestro procesamiento se realiza de forma automática e inconsciente a través de sesgos y heurísticas. El empleado promedio trabaja en piloto automático, y para garantizar que los problemas y riesgos de ciberseguridad estén arraigados en sus decisiones diarias, necesitamos diseñar y crear programas que realmente comprendan su forma intuitiva de trabajar.
Para comprender el comportamiento humano y cómo cambiarlo, hay algunos factores que debemos evaluar y medir, con el apoyo de la rueda de cambio de comportamiento COM-B.
Una vez que entendemos y evaluamos estas tres áreas, podemos identificar áreas para el cambio de comportamiento y diseñar intervenciones que se dirijan a los comportamientos intuitivos de los empleados. En última instancia, este enfoque ayuda a las organizaciones a fomentar una primera línea de defensa a través del desarrollo de una fuerza laboral más consciente de lo cibernético.
Una vez que se identifican las causas principales de los problemas de comportamiento, la atención se desplaza naturalmente hacia la creación de una cultura de seguridad. El desafío predominante en la cultura de la ciberseguridad hoy en día se basa en el miedo al error y a las irregularidades. Esta mentalidad a menudo fomenta una percepción negativa de la ciberseguridad, lo que resulta en bajas tasas de finalización de la capacitación y una responsabilidad mínima. Este enfoque requiere un cambio, pero ¿cómo lo logramos?
Ante todo, debemos reconsiderar nuestro enfoque de las iniciativas, alejándonos de un modelo centrado únicamente en la concientización y el cumplimiento normativo. Si bien la capacitación en concientización en materia de seguridad sigue siendo vital y no debe pasarse por alto, debemos diversificar nuestros métodos educativos para fomentar una cultura más positiva. Junto con una amplia capacitación organizacional, debemos adoptar programas específicos de roles que incorporen aprendizaje experiencial y gamification, como los atractivos cyber ranges facilitados por IBM X-Force. Además, las campañas en toda la organización pueden reforzar la noción de una cultura positiva, involucrando actividades como establecer una red de campeones de ciberseguridad u organizar meses de concientización con diversos eventos.
Una vez que estas iniciativas se seleccionan e implementan para cultivar una cultura de ciberseguridad positiva y sólida, es imperativo que reciban el apoyo de todos los niveles de la organización, desde la alta dirección hasta los profesionales de nivel inicial. Solo cuando hay un mensaje unificado y afirmativo, podemos transformar realmente la cultura dentro de las organizaciones.
Ahora que identificamos los desafíos de comportamiento e implementamos un programa destinado a fomentar una cultura positiva, el siguiente paso es establecer métricas y parámetros para el éxito. Para medir la eficacia de nuestro programa, debemos dar dirección a una pregunta fundamental: ¿en qué medida hemos mitigado el riesgo de un incidente de ciberseguridad derivado de un error humano? Es crucial establecer un conjunto integral de métricas capaces de medir la reducción de riesgos y el éxito general del programa.
Tradicionalmente, las organizaciones han confiado en métodos como campañas de phishing y pruebas de aptitud, con resultados mixtos. Un enfoque moderno es la cuantificación del riesgo, un método que asigna un valor financiero al riesgo humano asociado con un escenario específico. La integración de dichas métricas en nuestro programa de cultura de seguridad nos permite evaluar su éxito y mejorarlo continuamente a lo largo del tiempo.
El cambiante escenario de la ciberseguridad exige un enfoque integral que aborde el factor humano crítico. Las organizaciones deben cultivar una cultura positiva de ciberseguridad respaldada por el compromiso del liderazgo y las iniciativas innovadoras. Esto debe combinarse con métricas efectivas para medir el progreso y demostrar el valor.
IBM ofrece una gama de servicios para ayudar a nuestros clientes a pasar de la concientización al enfoque en el comportamiento humano. Podemos ayudarle a evaluar y adaptar las intervenciones de su organización a las motivaciones y hábitos de sus empleados, y ayudarle a fomentar una primera línea de defensa resiliente contra las amenazas emergentes al capacitar a cada individuo para que sea un guardián proactivo de la ciberseguridad.
