laptop on table with phone and books

Ciberseguridad y privacidad de los datos: Cómo crear ciberhábitos inteligentes con la formación de los empleados

Author headshotDan Pilat
read time - icon

0 min read

Jul 01, 2022

¿Por qué es tan difícil cambiar de comportamiento?

No importa si se trata de propósitos de Año Nuevo, hábitos alimentarios o ciberseguridad, la gente suele mantener los hábitos que siempre ha tenido, a menos que cuente con los recursos adecuados y un ecosistema que facilite el cambio.1

Los viejos hábitos no mueren

Cuando se piensa en las prácticas de ciberseguridad de los empleados de toda la vida, la situación no es muy diferente, incluso si se tiene en cuenta el cambio al trabajo desde casa durante la pandemia de COVID-19. Aunque los empleados están expuestos a un mayor riesgo de ciberataque debido a la WFH, a menudo siguen prefiriendo hacer las cosas de la misma manera que las han hecho en el pasado.2 La formación obligatoria simplemente no es muy eficaz para cambiar esto.3

De hecho, según una investigación realizada en 2021, el 60% de las empresas (con tamaños comprendidos entre menos de 500 empleados y más de 1.500) tienen 500 o más cuentas de empleados que utilizan contraseñas que no caducan, lo que significa que probablemente no han cambiado su contraseña desde el día en que se incorporaron a la organización.4

Utilizar la ciencia del comportamiento para acabar con nuestros hábitos peligrosos

Mientras que el proceso de incorporación ofrece una excelente oportunidad para formar hábitos de ciberseguridad (más información al respecto aquí), ¿qué se puede hacer para las personas cuyos métodos han sido moldeados durante meses o años con el mismo empleador? Para entender las soluciones, es importante discernir el papel que desempeñan tres tendencias de comportamiento en la negligencia de los empleados: la holgazanería social, la habituación y la predisposición al statu quo. Una vez comprendidas las razones que subyacen a estos atajos mentales, la dirección puede adoptar medidas eficaces y efectivas para contrarrestarlos.

Tres comportamientos que contribuyen a los malos hábitos cibernéticos

Holgazanería social: Creemos que nuestras acciones no importan

La holgazanería social es la tendencia a esforzarse menos en grupo que cuando se trabaja solo. Es especialmente pronunciada en entornos en los que el esfuerzo de cada miembro se combina en un resultado total para el grupo, lo que dificulta determinar quién ha contribuido con qué.5

La holgazanería social nace de la suposición de que nuestras acciones individuales no importan, lo que puede tener consecuencias devastadoras para la ciberseguridad. Parte de la razón por la que ocurre es nuestra tendencia a pensar que si algo es realmente importante, seguramente alguien más estará al tanto de ello6.

Por el contrario, cuando los empleados piensan que sus acciones de cumplimiento de las normas de seguridad repercuten de forma significativa y positiva en la organización, practican mejores hábitos y muestran menos holgazanería social.7

Collective Effort Model (CEM)

Solución al Loafing Social: Potenciar las normas sociales

Para recordar a los empleados que sus acciones importan, hay que crear normas sociales que lo reflejen.

Las creencias normativas tienen una influencia significativa en el comportamiento de los empleados, por lo que las expectativas percibidas de los compañeros, la dirección de TI y los superiores serán las que más influyan en las prácticas de ciberseguridad.7

Cuando se muestran las medidas de ciberseguridad que adoptan los demás, ya sea a través de un boletín mensual o brevemente en una reunión semanal, es probable que se reduzcan los comportamientos derivados de la vagancia social; sin embargo, sólo cuando la mayoría de la gente lo hace:

  • Mostrando realmente un "buen" comportamiento
  • Se conoce el comportamiento mayoritario
  • Cada individuo puede hacer una comparación destacada entre su comportamiento y la norma2

Con el fin de crear los componentes antes mencionados que sitúan a una organización en condiciones de reducir el loafing social entre sus empleados, los supervisores deberían proporcionar feedback personalizado a los subordinados sobre su rendimiento y cómo éste se compara con el de los demás. Esto no sólo crearía normas sociales a partir de las cuales las personas podrían evaluar su progreso, sino que también haría que los empleados se sintieran apoyados y satisfechos, factores clave cuando se intenta promover la unidad dentro de una organización.8

Habituación: Nos acostumbramos a los avisos

Durante el proceso de habituación, las personas reaccionan cada vez menos a los estímulos recurrentes a medida que pasa el tiempo9 : Si eliges recibir sólo las noticias de última hora, sólo recibirás una o dos al día y es más probable que respondas al estímulo. Si optas por recibir varias notificaciones cada hora, es menos probable que leas alguna de ellas, incluidas las noticias de última hora.

Tendemos a cansarnos y a agobiarnos si hay demasiada información. En términos de ciberseguridad, la habituación puede parecerse a que los empleados se desentiendan por completo de los comportamientos seguros.10

Parte de la razón por la que la habituación se produce con tanta frecuencia es porque:

  • Las situaciones de ciberseguridad a menudo parecen idénticas, ocurren muy seguidas y no hay consecuencias inmediatas por ignorar el estímulo.11 Por ejemplo, uno puede recibir advertencias sobre la necesidad de crear una contraseña más segura cada vez que se conecta a su correo electrónico, pero como son fácilmente ignorables y ocurren tan a menudo, el usuario puede habituarse fácilmente y descuidar por completo el cambio de su contraseña.
  • Un lenguaje complejo puede disuadir a los usuarios de responder a cualquier estímulo, ya que les llevaría demasiado tiempo o esfuerzo intentar comprender de qué se trata.12
  • Si los efectos secundarios de las respuestas no son variables ni evidentes, el efecto de habituación puede aumentar aún más.13

Solución de habituación: Crear advertencias únicas y aclarar las consecuencias

¿Cómo evitar que los empleados se habitúen a los avisos cibernéticos? Una solución es crear avisos que sean distintos entre sí y que describan cómo la actualización puede ayudar al usuario.2 Si es posible, haga que estos avisos sean lo menos frecuentes posible -centrándose sólo en los puntos de mayor valor que requieran compromiso- ya que la exposición continuada puede agotar la energía cognitiva de los empleados14 o provocar estrés y fatiga.15

Otra vía es indicar claramente las consecuencias de ignorar las advertencias. Por ejemplo, al recibir un posible correo electrónico de phishing, tendrían que leer una descripción detallada de cómo es un ataque de phishing antes de continuar. Del mismo modo, podrían ver un breve vídeo de personas que han sufrido un ataque de phishing y, después, se les preguntaría si siguen queriendo abrir el correo electrónico sospechoso.2

Status Quo: Dudamos en cambiar

El sesgo del statu quo se produce cuando sobrestimamos el valor positivo de nuestras circunstancias actuales, lo que reduce nuestra motivación para cambiarlas.2 Nos lleva a aferrarnos al statu quo, incluso cuando realmente no deberíamos, por ejemplo, mantener una contraseña de hace dos años o no actualizar el software del ordenador. Este comportamiento se debe a una de estas tres causas:16

  1. Toma de decisiones racionales ante la incertidumbre
  2. Percepciones cognitivas erróneas
  3. Compromisos psicológicos

  1. Toma de decisiones racionales
    Sorprendentemente, una decisión racional podría ser posponer la actualización del software del ordenador. Cambios como una actualización de software son, a corto plazo -y en casi todas las interacciones más destacadas del usuario-, generalmente neutros (es decir, da la sensación de que no ha cambiado nada) o negativos (es decir, es más difícil interactuar con el software y genera mayor frustración entre los usuarios).
    Como ya saben utilizar su software actual, el riesgo de cambiarlo puede ser demasiado alto. Es probable que el usuario crea que si la actualización es fácil de ignorar y no tiene un valor inmediato, o incluso un valor negativo, no merece la pena. Esto llevaría a la persona a asumir que la opción del statu quo es la mejor opción disponible, y a no actualizar su software.
  2. Percepciones cognitivas erróneas
    Siguiendo una lógica similar a la de la aversión a las pérdidas, las personas perciben más las pérdidas de abandonar el statu quo que los beneficios de ese cambio. Incluso cuando no hay efectos de pérdida o ganancia, el sesgo del statu quo persiste.16
    Las percepciones cognitivas erróneas que conducen al sesgo del statu quo se producen en los procesos de toma de decisiones que requieren que las personas conozcan sus opciones en orden secuencial. Como han invertido tiempo en las primeras opciones, es más probable que elijan una de ellas en lugar de dedicar un tiempo excesivo a conocer todas las opciones. Por ejemplo, supongamos que va a empezar un nuevo trabajo y está intentando decidir qué póliza de seguro médico elegir. Dado que lleva mucho tiempo sopesar los pros y los contras de cada póliza, no es razonable esperar que tenga tiempo suficiente para investigar a fondo cada opción. Por eso, lo más racional es estudiar un subconjunto de opciones e ignorar las demás por completo. En este caso, la opción del statu quo tiene una ventaja competitiva dada su posición en el proceso de toma de decisiones.
  3. Compromisos psicológicos
    L    a tercera y última cuestión que puede conducir al sesgo del statu quo es cuando nos comprometemos psicológicamente con algo para "cortar por lo sano" metafóricamente (también conocido como falacia del coste hundido). Cuanto más tiempo se haya dedicado a investigar la opción del statu quo, más probable será que se mantenga ese compromiso en el futuro, aunque surjan alternativas mejores.

Solución Status Quo Bias: Comunicación y facilidad de uso

La primera estrategia que hay que aplicar es cambiar la configuración por defecto siempre que sea posible para hacerla más segura. Por ejemplo, al incorporar nuevos empleados, configúrelos automáticamente con autenticación de dos factores, contraseñas complejas y un gestor de contraseñas seguro. Además, cambia su configuración para que las contraseñas caduquen automáticamente al cabo de unos meses. Forzar la caducidad de sus contraseñas requeriría mucho menos esfuerzo que permitir que caduquen e intentar animar a los empleados a cambiarlas.

Un segundo método consiste en crear un breve cuestionario para mejorar las destrezas y repetirlo. El cuestionario podría consistir en recibir correos electrónicos sospechosos y tener que descifrar si son o no phishing o spam. En función de sus puntuaciones, recibirían información sobre cómo mejorar la próxima vez que se enfrenten a correos inesperados. Esta estrategia abordaría tanto los compromisos psicológicos como las percepciones cognitivas erróneas del sesgo del statu quo, mostrando que el comportamiento habitual puede acarrear pérdidas, y que merece la pena adaptarse para estar mejor protegido.

Por último, si una organización no puede cambiar la configuración por defecto o aplicar la entrega de valor en el proceso de fricción, puede recurrir a los efectos de encuadre. Una organización podría enmarcar la opción por defecto como la opción menos atractiva.17 Debido a la relación de este sesgo con la aversión a las pérdidas, cuando enmarcamos la opción por defecto como una pérdida, animamos a los empleados a realizar cambios en su configuración inicial, reforzando así las prácticas de ciberseguridad.17

Aborde los malos hábitos de sus empleados mediante la ciencia del comportamiento

Para saber cómo asegurarse de que sus empleados fijos practican comportamientos ciberseguros, es necesario comprender los tres sesgos y tendencias clave que contribuyen a las prácticas inseguras: la holgazanería social, la habituación y el sesgo del statu quo. La mayoría de las personas de su organización no muestran un comportamiento peligroso en línea por malicia, sino que actúan según los mismos atajos mentales que todos experimentamos en un momento u otro, aunque en entornos diferentes. Con un enfoque psicológicamente informado y empático, puede asegurarse no sólo de que su empresa tendrá un riesgo reducido de sufrir un ciberataque, sino también de que sus empleados se sientan más seguros e importantes dentro de sus funciones.

The Decision Lab es una consultoría de comportamiento que utiliza la ciencia para promover el bien social. Trabajamos con algunas de las mayores organizaciones del mundo para impulsar el cambio y abordar problemas sociales difíciles. La toma de decisiones basada en datos es clave para eliminar los prejuicios en el lugar de trabajo y aprovechar al máximo el talento con el que ya cuentan las organizaciones. Si desea abordar esta cuestión en su lugar de trabajo, póngase en contacto con nosotros.

References

  1. Rompiendo malos hábitos. (2012, enero). NIH News in Health. https://newsinhealth.nih.gov/2012/01/breaking-bad-habits
  2. Blau, A., Alhadeff, A., Stern, M., Stinson, S., & Wright, J. (2017). Pensamiento profundo: A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
  3. Cisco Systems, Inc. (2008). Fuga de datos en todo el mundo: The High Cost of Insider Threats [Libro blanco]. https://www.01net.it/whitepaper_library/Cisco_DataLeakage.pdf
  4. Informe 2021 sobre el riesgo de los datos en los servicios financieros (2021). Varonis.
  5. Hoffman, R. (2020, 22 de junio). Social loafing: Definición, ejemplos y teoría. Simply Psychology. https://www.simplypsychology.org/social-loafing.html
  6. Darley, J. M., y Latane, B. (1968). Bystander intervention in emergencies: Difusión de la responsabilidad. Journal of Personality and Social Psychology, 8(4), 377-383. https://doi.org/10.1037/h0025589
  7. Herath, T., y Rao, H. R. (2009). Fomento de los comportamientos de seguridad de la información en las organizaciones: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, 47(2), 154-165. https://doi.org/10.1016/j.dss.2009.02.005
  8. Meyer, J. P., y Allen, N. J. (1991). A three-component conceptualization of organizational commitment. Human Resource Management Review, 1(1), 61-89. https://doi.org/10.1016/1053-4822(91)90011-Z
  9. Thompson, R. F., y Spencer, W. A. (1966). Habituation: A model phenomenon for the study of neuronal substrates of behavior. Psychological Review, 73(1), 16-43. https://doi.org/10.1037/h0022681
  10. Furnell, S., y Thomson, K.-L. (2009). Reconocer y abordar la "fatiga de seguridad". Computer Fraud & Security, 2009(11), 7-11. https://doi.org/10.1016/S1361-3723(09)70139-3
  11. Amran, A., Zaaba, Z. F., & Mahinderjit Singh, M. K. (2018). Efectos de habituación en la advertencia de seguridad informática. Revista de seguridad de la informacn: A Global Perspective, 27(4), 192-204. https://doi.org/10.1080/19393555.2018.1505008
  12. Bravo-Lillo, C., Cranor, L. F., Downs, J., & Komanduri, S. (2011). Cerrar la brecha en las advertencias de seguridad informática: A Mental Model Approach. IEEE Security & Privacy, 9(2), 18-26. https://doi.org/10.1109/MSP.2010.198
  13. Boutros, N., y Davis, T. (2022). Habituación: Definition, Examples, & Why It Occurs. The Berkeley Well-Being Institute. https://www.berkeleywellbeing.com/habituation.html
  14. Pignatiello, G. A., Martin, R. J., & Hickman, R. (2020). Decision fatigue: A conceptual analysis. Journal of Health Psychology. https://doi.org/10.1177/1359105318763510
  15. Salvagioni, D. A. J., Melanda, F. N., Mesas, A. E., González, A. D., Gabani, F. L., & Andrade, S. M. de. (2017). Consecuencias físicas, psicológicas y laborales del agotamiento laboral: Una revisión sistemática de estudios prospectivos. PloS One, 12(10), e0185781. https://doi.org/10.1371/journal.pone.0185781
  16. Samuelson, W., y Zeckhauser, R. (1988). Status quo bias in decision making. Journal of Risk and Uncertainty, 1(1), 7-59. https://doi.org/10.1007/BF00055564
  17. Fallahdoust, M. (2022). Nudges and Cybersecurity: Harnessing Choice Architecture for Safer Work-From-Home Cybersecurity Behaviour [Texto, Universidad de Carleton].https://curve.carleton.ca/92b0cf7c-8751-4587-be25-8baa920f4ea8

About the Authors

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

blue photo of romans
Insight

Una dura mirada a la democracia

Tom Spiegler, cofundador y director general de The Decision Lab, se une a Nathan Collett para hablar de lo que la ciencia del comportamiento puede decirnos sobre las elecciones estadounidenses de 2020 y el estado de la democracia en general.

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us