Por: Juan Mario Posada Daza, Líder de Ciberseguridad para Accenture Colombia
En el último año, el día a día de nuestras vidas ha cambiado dramáticamente, incluyendo la forma en la que trabajamos. Para muchas organizaciones e individuos, el mayor reto ha sido adaptarse a trabajar desde casa a una escala inimaginable antes de la pandemia. Un reporte reciente de Accenture mostró cómo estos extraños tiempos han alterado nuestros hábitos de trabajo, emociones y comportamientos diarios. Muchas personas han experimentado impactos negativos en su bienestar psicológico y salud mental. La ansiedad respecto de nuestra salud, empleos y la economía nos ha golpeado a todos. El trabajo virtual nos hace sentir aislados. El miedo nos hace sentir inseguros.
Estos cambios exponen las vulnerabilidades humanas a las ciberamenazas y socavan la ciberresistencia de las organizaciones. Los cibercriminales han sido rápidos en explotar las oportunidades que se les presentan y han buscado crear nuevos ataques. Esto se hace evidente con el aumento de los correos electrónicos de phishing en más de un 600% durante las primeras semanas de la pandemia a nivel mundial. Desde suplantar a la Organización Mundial de la Salud (OMS) hasta obtener los datos personales de personas vulnerables, pasando por instar a los clientes de la banca a «actuar ahora» antes de que se cierren las cuentas, los ciberdelincuentes han sacado provecho del miedo y la incertidumbre del contexto social. Su labor ha demostrado en los términos más crudos que los ataques cibernéticos no se limitan a la piratería informática, sino que también afectan las emociones y las mentes de las personas.
Diferentes investigaciones explican por qué funcionan esos enfoques. Cuando se trata de tomar decisiones sobre ciberseguridad, el estrés y una pesada carga cognitiva aumentan la propensión de las personas a correr riesgos, a pensar de forma menos racional y a confiar más en los estafadores, en general a bajar la guardia. Las investigaciones también sugieren que los contextos estresantes pueden infundir sentimientos de resentimiento y molestia hacia las políticas de seguridad cibernética, lo que fomenta comportamientos complacientes.
Datos recientes de Accenture apuntan a la fatiga de los trabajadores remotos: los empleados cansados y frustrados estarán cada vez menos motivados para seguir las políticas de seguridad, por muy importantes que sean. Junto con la inseguridad financiera y la pérdida de puestos de trabajo, las condiciones de algunos trabajadores también pueden ser altamente inducidas a la actividad maliciosa desde el interior de las organizaciones.
Además, debemos tener en cuenta que, como han demostrado los estudios científicos, el cerebro humano tiene tendencia a tomar decisiones rápidas y a optar por el camino de menor resistencia. Esto no es una buena noticia cuando se trata de la ciberresistencia liderada por el ser humano, especialmente cuando las organizaciones no han podido proporcionar un cambio fluido hacia el trabajo a distancia. Datos recientes de Accenture indican que sólo al 29% de los trabajadores se les han ofrecido nuevas herramientas digitales para mejorar su capacidad de trabajo a distancia, y se espera que más de un tercio utilice sus propios dispositivos personales. Esto abre importantes vulnerabilidades.
Cuando se trata de impulsar comportamientos de ciberseguridad en la fuerza de trabajo, es poco probable que la capacitación obligatoria y las campañas genéricas de sensibilización den en el blanco. Además, las investigaciones han revelado que las campañas de seguridad basadas puramente en tácticas de miedo tienen pocas probabilidades de ser eficaces, sobre todo si no hay estrategias que permitan a los individuos tomar decisiones cibernéticas seguras.
Entonces, ¿qué pueden hacer las organizaciones para proteger a sus trabajadores y sus sistemas? Podemos crear experiencias de aprendizaje que ayuden a los empleados a comprender cómo detectar las señales de alarma y cómo responder.
Ayudar a las personas a adaptarse al trabajo a distancia con las herramientas adecuadas y eliminar las posibles fuentes de «fricción» es importante para mantener la ciberresistencia. Lo ideal sería que las empresas se centraran en las intervenciones conductuales donde más se necesitan y que tuvieran como objetivo detener los comportamientos perjudiciales antes de que se produzca el daño. El abandono de las estrategias reactivas en favor de los enfoques predictivos con intervención proactiva será un diferenciador clave para las organizaciones de alto rendimiento.
Dado que el 99% de los ciberataques requiere de la interacción humana para tener éxito, y dado lo que sabemos acerca de cómo piensa y se comporta la gente en relación con las ciberamenazas, parece interesante incluir programas de cambio de comportamiento como parte de una postura más amplia de ciberseguridad. Y ahora, con las vulnerabilidades humanas más expuestas que nunca, la implementación de tales enfoques ha adquirido un nuevo sentido de urgencia.