Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

El modelo de seguridad centrado en las personas llega a las personas dondequiera que estén

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 123

Sea honesto: si tuviera que cumplir una fecha límite importante, ¿obviaría a sabiendas las normas de seguridad de su empresa para realizar el trabajo? Si respondió “sí”, tiene mucha compañía. Según los impulsores del comportamiento seguro de Gartner encuesta, el 93% de los empleados que se comportan de forma insegura lo hacen a sabiendas.

Con tanto conocimiento público sobre las consecuencias de eludir las políticas de seguridad, ¿por qué lo hacen los empleados? Generalmente es porque es el camino de menor resistencia.

“En la mayoría de las empresas probablemente tengas que autentificarte no sólo con una contraseña, sino también con autenticación multifactor. Si bien es mucho más seguro que las contraseñas por sí solas, es otra cosa que los empleados deben hacer”, explica Chris Mixter, vicepresidente analista de Gartner. "En general, la ciberseguridad establece un control que pueden implementar a escala, pero los empleados experimentan mucha fricción a la hora de cumplir, por lo que encuentran formas de evitarlo".

El impacto de la fricción está dando importancia a una nueva forma de atacar el problema de la ciberseguridad: poner a los humanos directamente en el centro de la mezcla.

Los múltiples caminos hacia una seguridad centrada en las personas

La seguridad centrada en las personas considera los comportamientos, las necesidades y las limitaciones de las personas en todos los puntos, no sólo en el plan de respuesta a incidentes, sino también en el día a día a medida que surgen problemas. Eso significa políticas legibles que reduzcan la fricción en tantos puntos como sea posible, menor complejidad en los procesos relacionados con la seguridad, refuerzo positivo en lugar de castigo y ayudar a los empleados cuando lo necesiten sin juzgarlos.

Hasta 2027, Gartner predijo que la mitad de los CISO adoptar Seguridad centrada en el ser humano para reducir la fricción operativa en materia de ciberseguridad. Y para 2030, predijo Gartner, el 80% de las empresas tendrán un programa de gestión de riesgos humanos formalmente definido y dotado de personal, frente al 20% en 2022.

Centrar a las personas es el enfoque que Random Timer, una empresa que crea una aplicación de productividad del mismo nombre, utiliza con sus empleados. Tradicionalmente, la seguridad ha estado muy impulsada por la tecnología y las políticas sin considerar suficientemente el elemento humano. Esto puede hacer que resulte restrictivo y frustrante para los usuarios finales, explica el fundador de la empresa, Matthew Anderson.

“Por eso intentamos adoptar un enfoque centrado en el ser humano. Por ejemplo, cuando estábamos implementando un nuevo sistema de autenticación de dos factores, pasamos mucho tiempo hablando con los empleados sobre lo que les gustaba y lo que no les gustaba de nuestro antiguo sistema. Utilizamos esos comentarios para elegir una solución que abordara sus mayores problemas en cuanto a conveniencia y usabilidad”, dice.

Con diferencia, la fricción es el mayor enemigo de los empleados seguros. Y es rampante: un informe reciente de Gartner encontró que más de uno de cada tres empleados dice que considera que los controles y políticas de ciberseguridad son difíciles de cumplir, poco razonables para su función y en conflicto con sus objetivos laborales.

El uso de enfoques centrados en la tecnología ayuda a reducir la fricción, pero eso no puede resolver todo el trabajo. Por ejemplo, implementar la seguridad del navegador y sin contraseña El acceso son buenos pasos, porque el usuario ni siquiera tiene que pensar en ellos. Pero muchas empresas todavía no están adoptando estas tecnologías, e incluso si lo hacen, no siempre funcionan bien con la tecnología de décadas de antigüedad en la que los empleados todavía confían para hacer su trabajo.

Estas tecnologías también siguen causando fricciones, a su manera. Por ejemplo, el navegador seguro puede bloquear muchas cosas malas, pero el equipo de seguridad tiene que "permitirlo" todo. Eso significa que si un usuario desea visitar un nuevo sitio web, debe comunicarse con seguridad para incluirlo en la lista de permitidos.

Sin embargo, existen opciones basadas en tecnología que pueden ayudar. Una es la pantalla emergente, basada en señales de comportamiento.

“Si envío un correo electrónico a alguien a quien nunca antes le había enviado un correo electrónico, el sistema podría configurarse para que reciba una alerta similar a una luz de verificación del motor moderna, que se usa como advertencia para potencialmente cambiar el comportamiento. ”, dice Matthew Miller, director del área de servicios de ciberseguridad de KPMG. "Se trata de incorporar tecnología desde una perspectiva conductual en lugar de una perspectiva de cumplimiento, y no se trata de amonestar al usuario".

Comprenda a sus usuarios

También es fundamental comprender a los usuarios, añade Anderson. Eso significa hablar directamente con los usuarios a través de entrevistas, observaciones y encuestas. Con esos comentarios, puede crear prototipos y lanzar productos mínimos viables para recopilar aún más comentarios y perfeccionar la experiencia del usuario. Incluso sugiere contar con expertos en usabilidad para defender a los empleados.

Miller coincide en que es fundamental comprender los comportamientos y las motivaciones de los usuarios. Da un ejemplo de que cuando trabajaba en un banco (hace tanto tiempo que la nube todavía era un concepto nuevo), varios miles de pasantes trabajaban allí de forma rutinaria cada verano. A muchos de ellos se les asignaron proyectos que utilizaban datos, análisis de datos y nubes de palabras, por lo que la empresa bloqueó muchos de los sitios que les habrían permitido cargar sus resultados públicamente, para proteger los datos de la empresa.

Su equipo descubrió que uno de los pasantes había subido archivos a la nube. “Cuando se le preguntó por qué y cómo hizo esto, y que no estaba en problemas, dijo que después de encontrarse con un sitio bloqueado tras otro, finalmente encontró uno que no estaba bloqueado, por lo que pensó que debía ser el sitio aprobado para cargar datos”, explica Miller.

Algunas empresas llevan la comprensión de la experiencia del usuario al extremo, pero da resultados. Por ejemplo, Santander, el banco más grande de España, enseñó a su personal de ciberseguridad los principios de la experiencia del usuario, que normalmente es dominio de los desarrolladores y empleados de atención al cliente. Ahora, cuando un empleado dice "No puedo" o viola la política, el personal de ciberseguridad puede hacer preguntas sobre la experiencia del usuario. En lugar de preguntar por qué hicieron algo, podrían preguntar con qué frecuencia tienen que hacerlo, si es difícil hacerlo y si la tarea es esencial para su flujo de trabajo. Con esa información, el equipo de ciberseguridad puede cambiar el proceso o eliminarlo del flujo de trabajo si no es esencial.

Por supuesto, siempre hay una la formación componente, pero pensar en la capacitación de manera diferente es clave para centrado en el ser humano mentalidad. Eso significa adaptar la formación a los roles individuales.

"Los diferentes tipos de empleados interactúan de diferentes maneras con la tecnología, los clientes y los datos, por lo que hay que ser muy específico al ayudar a las personas a desarrollar las habilidades que necesitan y establecer los comportamientos que luego gestionarán el riesgo", dice Miller.

Construir una cultura del 'Sí'

Si espera que los empleados actúen de forma más segura, es importante nunca decir "no". Si lo hace, simplemente encontrarán una manera de eludir el sistema, dice Mixter.

Johnson & Johnson, por ejemplo, convirtió todas las actividades prohibidas de su política negativa de uso aceptable en una evaluación de autoservicio positiva. Según las respuestas del empleado, el sistema automatizado los dirigirá a una solución alternativa segura. Si el sistema determina que un empleado está haciendo algo nuevo, podría enviar un video de capacitación como respuesta. Si las respuestas revelan que un empleado planea utilizar datos de propiedad incorrectamente, podría enviarle una datos sintéticos repositorio, que se basa en conjuntos de datos reales pero no incluye datos de propiedad reales.

Las empresas que realmente solicitan comentarios a menudo obtienen mejores resultados, añade Mixter. SRI, una empresa de tecnología con sede en California, incluye cuadros de comentarios en sus políticas. Eso dio sus frutos al comprender que las políticas cibernéticas no son tan legibles para quienes están fuera del dominio cibernético, lo que, según la compañía, ha llevado a cambios positivos.

Al final, todo se reduce al típico triángulo personas/proceso/tecnología, con las personas en el centro.

"La tecnología proporciona la base, pero el proceso y la filosofía impulsan el éxito", dice Anderson. "Básicamente, se requiere una cultura que adopte el diseño centrado en el usuario, no sólo nuevas herramientas tecnológicas".

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.