a table with a laptop, notebooks, and iPad with a person holding a coffee

Formación en Ciberseguridad 101: Cómo crear hábitos entre los empleados que eviten los ciberataques

Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

Desde que comenzó la pandemia, los ciberataques han ido en aumento a medida que los piratas informáticos han explotado las vulnerabilidades de las prácticas de trabajo desde casa de los empleados. En lugar de atacar a grandes organizaciones o gobiernos, que suelen contar con grandes equipos de seguridad y software de protección, los hackers han cambiado sus tácticas para explotar las susceptibilidades en las prácticas de privacidad y seguridad de los empleados.1

Parte de la razón del aumento de los ciberataques es la negligencia de los empleados. La falta de atención de los empleados se ha convertido en un problema más importante desde que comenzó la pandemia, y más de la mitad de los ataques a organizaciones en 2021 serán consecuencia directa de la negligencia de los empleados.2

Abordar la ciberseguridad el primer día

El proceso de incorporación es un momento crucial para establecer expectativas y crear una base sólida de ciberseguridad. También ofrece oportunidades para reforzar el sentido de pertenencia de un empleado, lo que reduce en gran medida la probabilidad de un comportamiento displicente.

Prepárese contra la negligencia con la adquisición de conocimientos

Hay mucho en juego cuando se trata de formar adecuadamente a los empleados: por término medio, los ataques causados por negligencia de empleados o contratistas cuestan a las empresas 484.931 dólares.2 Aunque hay formas eficaces de cambiar el comportamiento una vez que un empleado ha terminado de incorporarse a la empresa (más información al respecto aquí), este artículo se centra en la importancia de crear resiliencia desde el principio.

Los resultados de las investigaciones sugieren que la solución más eficaz para prevenir los ciberataques es crear un programa de formación integral que aumente la base de conocimientos de los empleados sobre los métodos habituales de pirateo informático.3 La incorporación ofrece amplias oportunidades para mejorar la concienciación sobre los ciberriesgos, dado que todos los empleados nuevos deben completar los mismos protocolos de formación.

Formar hábitos desde el principio

Otro problema que surge al asignar la formación en ciberseguridad a empleados que ya están incorporados es que compite con sus hábitos y obligaciones laborales actuales.4 Del mismo modo, pedirles que la completen fuera del horario laboral puede hacer que algunos empleados no puedan asistir, o invitar a la falta de atención.5

Según un profesional de la formación empresarial, menos del 20% de los empleados cambian sus hábitos tras recibir formación.6

La ciencia del comportamiento puede abordar los hábitos y reflejos de ciberseguridad de los empleados, y puede encontrar más información al respecto aquí. Centrarse en la formación desde el principio evita muchos de estos problemas.

Promover la pertenencia para aumentar la iniciativa de seguridad

Un principio clave para poder proteger la información y actuar conforme a las mejores prácticas de ciberseguridad es el nivel de compromiso de los empleados con la organización. Las investigaciones sugieren que los empleados comprometidos toman decisiones que benefician a la organización y van más allá de las recomendaciones mínimas de ciberseguridad porque quieren influir positivamente en los resultados de la organización.7 La incorporación es un momento clave para mejorar el compromiso.8

Cuando una empresa fomenta el compromiso durante la incorporación, tratando a los nuevos empleados como socios de la organización y aumentando su confianza, experimentan una mayor asimilación y menos estrés, factores clave a la hora de pensar en el riesgo cibernético.8 En términos más generales, quienes se asimilan con éxito experimentan una mayor satisfacción laboral, mayores tasas de retención y un aumento de la productividad. Por el contrario, los que no se incorporan bien tienen mayores tasas de rotación, menor satisfacción del cliente y menor productividad.

illustration of data presented using icons of bodies

Datos del informe global 2022 Cost of Insider Threats de Ponemon.

Aprovechar las tendencias conductuales para fomentar la pertenencia

Una de las razones por las que tienen éxito los ciberataques que se aprovechan de nuestra naturaleza básica, como la confianza o la curiosidad, es que las personas carecen a menudo de motivación para seguir formándose.9 Es más, se calcula que el 85% de los ciberataques que se producen en todo el mundo tienen éxito no porque los malos actores pirateen el código, sino porque piratean nuestros comportamientos humanos básicos.10, 11

Los estudios demuestran que el cambio de comportamiento rara vez se produce sólo porque hayamos estado expuestos a un mensaje concreto; ese mensaje también debe transmitirse en el momento adecuado, es decir, en un momento en el que dispongamos del tiempo, la energía y la motivación necesarios para asimilarlo y reflexionar sobre él. Esta idea engloba el modelo de probabilidad de elaboración, que sugiere que nuestra capacidad para ser persuadidos sobre un tema depende de lo interesados que estemos en él.12 La incorporación es una oportunidad ideal para aprovechar el entusiasmo de un nuevo empleado por el puesto y su deseo de labrarse una reputación positiva en la empresa, así como el hecho de que aún no está atascado por otras tareas y es más probable que disponga de recursos para procesar en profundidad la información que recibe.

Aunque sólo usted conoce los matices culturales y las necesidades de ciberseguridad de su organización, hay algunas sugerencias probadas empíricamente que puede tener en cuenta a la hora de discutir con sus colegas los cambios en los procedimientos de incorporación.

1. Reforzar las expectativas de ciberseguridad desde el principio

Cómo hacerlo: Es esencial crear un entorno de alta confianza desde el primer día de un empleado definiendo su papel dentro de la organización.13 Esto ayuda a los empleados a entender el contexto en el que van a trabajar y les da una idea de a quién dirigirse en caso de recibir un correo electrónico de phishing o ser pirateados. Durante el proceso de incorporación, explique al empleado las expectativas, no sólo las relacionadas con el trabajo, sino también con la seguridad. Deje claro que el empleado ha sido elegido por una razón y por qué pertenece a la organización.

Por qué funciona: Cuando se intenta reforzar las expectativas de ciberseguridad entre los empleados más veteranos, la dirección tiene que tener en cuenta el papel de los hábitos en la vida diaria de sus empleados. Los hábitos pueden ser extremadamente difíciles de romper,6 incluso cuando saben que deben hacerlo mejor.14 Por el contrario, los nuevos empleados tienen más de una pizarra en blanco y aún no están influenciados por las normas sociales que pueden dar forma a cómo las personas actúan (y mantienen la ciberseguridad) dentro de un grupo.15

El impacto: Al comprender lo importantes que son ellos y sus prácticas cibernéticas para la organización, los empleados valorarán más sus opciones de privacidad, lo que puede ayudar a prevenir el tipo de comportamiento negligente explotado por los hackers.16 Cuando se sienten valorados en su equipo y empleador, también son más propensos a informar de actividades sospechosas e ir más allá de las recomendaciones mínimas de ciberseguridad.7

2. Practicar una comunicación eficaz sobre el riesgo

Cómo hacerlo: Las empresas se enfrentan a varios problemas a la hora de comunicar los riesgos. Pueden comunicarlos con demasiada frecuencia (lo que provoca fatiga de notificación y que los empleados no presten atención a los mensajes) o con poca frecuencia (lo que provoca que los empleados se sientan ineptos o que crean que la empresa valora más su propia reputación que la protección de los empleados).17
Una estrategia de comunicación eficaz es el Modelo de Proceso Paralelo Ampliado (EPPM, por sus siglas en inglés), en el que los mensajes de amenaza se equilibran con mensajes sobre autosuficiencia y capacitación.18 Además, hay que tener cuidado al presentar estadísticas: aunque pueden atraer la atención de algunos, otros con menor fluidez numérica pueden desestimar el mensaje.19

Por qué funciona: Al incluir recomendaciones de comportamiento junto al texto que induce al miedo, los CISO y los directivos pueden animar a sus equipos a tomar medidas de autoprotección, en lugar de simplemente dejarse llevar por el pánico o ignorar el mensaje.18 Al incluir recomendaciones específicas, una empresa puede capacitar a los empleados para ayudarse a sí mismos y tomar medidas cuando algo va mal.18

El impacto: Con demasiada frecuencia, los empleados reciben comunicaciones durante su incorporación o a lo largo de su permanencia, con distintos niveles de eficacia. Los mensajes mal comunicados pueden llevar a los empleados a adoptar una actitud descuidada hacia la seguridad.19 Mediante una redacción estratégica y en el momento oportuno, la dirección puede fomentar los resultados que desea ver y garantizar mejores medidas de ciberseguridad entre los empleados.

Aunque los profesionales de Recursos Humanos suelen dirigir las sesiones de incorporación, una solución aún mejor sería trabajar estrechamente con el equipo de Behavioral Insights de su empresa y aprovechar su familiaridad con las falacias conductuales descritas en este artículo. Si desea crear un equipo de análisis del comportamiento dentro de su organización, pero no está seguro de por dónde empezar, póngase en contacto con nosotros: hemos ayudado a algunas de las mayores empresas del mundo a introducir el análisis del comportamiento en su trabajo mediante la creación de "Unidades Nudge" adaptadas a su cultura y objetivos únicos.

Planifique su formación en ciberseguridad para obtener el máximo impacto

El cambio de comportamiento no es sólo cuestión de lo que se le dice a la gente, sino también de cuándo se tiene esa conversación. Si nos centramos en la formación inicial, la probabilidad de que se produzcan ciberataques por negligencia puede reducirse en gran medida, con el beneficio adicional de dar a los empleados un mayor sentido de pertenencia y responsabilidad.

Existe una amplia gama de falacias de comportamiento que encontramos en la preparación para la ciberseguridad. En su seminario web, Strengthen Your Strategy with Cybersecurity, The Decision Lab y Boston Consulting Group analizan dos escenarios hipotéticos que ponen de manifiesto diferentes niveles de preparación y la psicología que subyace en cada uno de ellos.

The Decision Lab es una consultoría orientada a la investigación que utiliza la ciencia del comportamiento para promover el bien social. Trabajamos con algunas de las mayores organizaciones del mundo para impulsar el cambio y abordar problemas sociales difíciles. Contamos con el asesoramiento de algunas de las mentes más innovadoras en ciberseguridad, una cuestión cada vez más importante en el nuevo panorama de la WFH. Si quieres que lo abordemos juntos, ponte en contacto con nosotros.

References

  1. Okereafor, K., & Adelaiye, O. (2020). Randomized Cyber Attack Simulation Model: A Cybersecurity Mitigation Proposal for Post COVID-19 Digital Era. 05, 61-72.
  2. Informe mundial 2022 sobre el coste de las amenazas internas. (2022). Proofpoint. https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
  3. Greitzer, F. L., Strozer, J. R., Cohen, S., Moore, A. P., Mundie, D., & Cowley, J. (2014). Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits (Análisis de amenazas internas no intencionadas derivadas de exploits de ingeniería social). 2014 IEEE Security and Privacy Workshops, 236-250. https://doi.org/10.1109/SPW.2014.39
  4. Conteh, N., y Schmick, P. (2016). Ciberseguridad:riesgos, vulnerabilidades y contramedidas para prevenir ataques de ingeniería social. International Journal of Advanced Computer Research, 6, 31-38. https://doi.org/10.19101/IJACR.2016.623006
  5. Aldawood, H., & Skinner, G. (2019). Revisión de los programas de capacitación y concientización de ingeniería social de seguridad cibernética-Pitfalls and Ongoing Issues. Future Internet, 11(3), 73. https://doi.org/10.3390/fi11030073
  6. Yakowicz, W. (2015, 17 de febrero). 3 Errores que estás cometiendo cuando entrenas a tus empleados. Inc.Com. https://www.inc.com/will-yakowicz/3-mistakes-you-make-coaching-employees.html
  7. Blau, A., Alhadeff, A., Stern, M., Stinson, S., & Wright, J. (2017). Pensamiento profundo: A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
  8. Caldwell, C., y Peters, R. (2018). Incorporación de nuevos empleados: contratos psicológicos y perspectivas éticas. Journal of Management Development, 37(1), 27-39. https://doi.org/10.1108/JMD-10-2016-0202
  9. Mann, I. (2017). Hackear lo humano: técnicas de ingeniería social y contramedidas de seguridad. Routledge. https://doi.org/10.4324/9781351156882
  10. Informe de Verizon sobre investigaciones de violaciones de datos 2021. (2021). Verizon. verizon.com/dbir
  11. Iny, A., Khanna, S., Coden, M., & Struck, B. (2021). Refuerce su estrategia con escenarios cibernéticos. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  12. Hopper, E. (2019, 3 de julio). Qué es el modelo de probabilidad de elaboración en psicología? ThoughtCo. https://www.thoughtco.com/elaboration-likelihood-model-4686036
  13. Leana, C. R., & van Buren, H. J. (1999). Organizational Social Capital and Employment Practices. The Academy of Management Review, 24(3), 538-555. https://doi.org/10.2307/259141
  14. Gundu, T. (2019, 13 de mayo). Reconocer y reducir la brecha de saber y hacer en el cumplimiento de la ciberseguridad de los empleados.
  15. Kelman, H. C. (2006). Intereses, relaciones, identidades: Three Central Issues for Individuals and Groups in Negotiating Their Social Environment. Annual Review of Psychology, 57(1), 1-26. https://doi.org/10.1146/annurev.psych.57.102904.190156
  16. Wiederhold, B. (2014). El papel de la psicología en la mejora de la ciberseguridad. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  17. Cleaveland, A., Newman, J. C., & Weber, S. (2020, 24 de septiembre). El arte de comunicar el riesgo. Harvard Business Review. https://hbr.org/2020/09/the-art-of-communicating-risk
  18. Zhang, X. A., y Borden, J. (2020). ¿Cómo comunicar el riesgo cibernético? An examination of behavioral recommendations in cybersecurity crises. Journal of Risk Research, 23(10), 1336-1352. https://doi.org/10.1080/13669877.2019.1646315
  19. Nurse, J. (2013, 1 de enero). Comunicación eficaz de los riesgos de ciberseguridad. https://www.researchgate.net/publication/274663654_Effective_Communication_of_Cyber_Security_Risks

About the Authors

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us