Si las infracciones son habituales y cada vez más impactantes pese a contar con un buen presupuesto y demás recursos invertidos en ciberseguridad, es posible que, analizándolo con detenimiento, se produzca el siguiente factor: la tecnología de control se debilita por la acción humana. Esto puede deberse a la entrega de credenciales por parte del personal, caer ante solicitudes no autorizadas y correos electrónicos fraudulentos, o simplemente ejecutar malware a instancias de un atacante.
El Foro Económico Mundial afirma que el 95% de las brechas de seguridad se produce debido al comportamiento de las personas, de ahí que la concienciación sobre seguridad deba ser algo imprescindible en las organizaciones. Hay que hacer más. Y, precisamente, hay tres aspectos conectados entre sí que, de no seguirse, podrían estar obstaculizando el buen desarrollo del programa de seguridad y la mejora del posicionamiento de la organización.
1. Nombrar la iniciativa según el verdadero objetivo
Aunque parezca algo simple, quizá se haya dado un nombre incorrecto al programa de seguridad. Todos nos centramos en la concienciación sobre seguridad, pero eso no es lo que realmente se quiere para las organizaciones. El verdadero deseo va más allá de mejorar la concienciación, y es cambiar el comportamiento de las personas. Por tanto, si se le llama “programa de concienciación sobre seguridad”, se anima a perseguir el resultado equivocado. Es como si se quisiera que la gente dejase de fumar y la iniciativa fuese “campaña de concienciación sobre los riesgos de fumar”.
La solución es fácil: cambiar el nombre del programa. Sea cual sea el objetivo, hay que decidir adecuadamente cómo se denomina dicha actividad: cambio de comportamientos en torno a la seguridad, creación de una cultura de seguridad… Sorprende ver la diferencia que puede suponer un cambio tan pequeño. Ese nombre devolverá constantemente la atención sobre lo que realmente se está intentando conseguir.
2. Seguir la técnica de las tres “c”
El segundo error suele estar relacionado con el primero. Con demasiada frecuencia, se cree que los programas pueden cambiar la cultura de una organización, aumentando simplemente la cantidad de formación que realiza el personal. Pero eso no es así, porque “cultura” no es lo mismo que “mucha concienciación”.
Existe un modelo de madurez, el de las tres “c”, que implica conciencia, comportamiento y cultura. Cada uno de estos pasos se basa en el anterior y, asimismo, cuenta con un cambio de enfoque necesario para pasar de un nivel a otro.
Si se está trabajando la “conciencia”, y se quiere pasar al “comportamiento”, hay que asegurarse de que el personal entiende las consecuencias de la ciberseguridad, tanto en lo personal como lo profesional. Una vez que los empleados estén concienciados y motivados, será mucho más probable que tengan el comportamiento adecuado. Cuando se consiga, entonces la “cultura” pasará a ser el objetivo, a través de una amplia percepción entre las personas de la empresa de que hay que preocuparse por la seguridad. Ahí hay que afinar los mensajes para que lleguen a toda la organización: desde los recepcionistas hasta los directivos y, sobre todo, a mandos intermedios. A casi todos excepto al CISO. Esto hará que cada miembro perciba que todos a su alrededor se preocupan por la seguridad, creando una presión de grupo para que actúen de forma similar. Ese es el crisol de la cultura.
3. La sanción, solo cuando sea necesaria
La clave para alcanzar el nivel de “comportamiento”, que se mencionaba en el anterior apartado, es generar una motivación para cambiar las conductas de los empleados. Esa motivación puede fomentarse de varias maneras, y una de ellas es infundir cierto miedo a una posible sanción o vergüenza si se comete un error o no se aprueba un test de seguridad.
Muchos profesionales de seguridad tienen una opinión firme sobre esta cuestión. Algunos creen que las consecuencias negativas deben evitarse a toda costa, mientras que otros las utilizan como herramienta de motivación. Ambas opciones son un error. El mejor camino se encuentra justo en medio de las dos.
Los equipos de seguridad que sancionan perderán el apoyo de los usuarios. Puede que presten un servicio, pero a costa de la agilidad, la flexibilidad y el pragmatismo, cosas que las organizaciones de hoy necesitan en abundancia. Hará que el personal sea menos propenso a acercarse con sus preocupaciones, vulnerabilidades e ideas. Cada castigo será una losa.
Sin embargo, la organización con el menor índice de clics en pruebas de phishing, que he visto hasta ahora, tenía tanto un modelo de consecuencias negativas como un equipo de seguridad accesible y bien valorado. ¿Cómo lo consiguieron? Todo es una cuestión de tiempo.
Cuando se introduce por primera vez un modelo de consecuencias, este debe centrarse únicamente en la recompensa por hacer lo correcto. Solo una vez que la organización pase del nivel “comportamiento” al de “cultura” debería considerarse el modelo de consecuencias negativas. Es en ese momento cuando se cuenta con un sólido apoyo en toda la empresa, y el modelo de consecuencias negativas puede situarse como la última etapa para motivar a los pocos rezagados que no están alineados con la cultura que el resto ha adoptado. La aplicación es la misma, pero el mensaje es completamente diferente.
En una época en la que la identidad es la nueva superficie de ataque y las personas son tan fundamentales para la ciberdefensa de las organizaciones, la cultura de seguridad se convierte en un control esencial al que todo CISO debería dar prioridad. Abordar estos tres aspectos marcará una diferencia notable en el programa de seguridad y reducirá el riesgo de que se produzca una brecha de seguridad a través de los usuarios.