De los memes a la confianza: 5 tácticas psicológicas que protegerán tus datos mejor que las contraseñas
Un estudio de Gartner reveló cómo convertir a cada empleado en un ciberdefensor.
El estudio de Gartner muestra que los enfoques tradicionales para informar a los empleados sobre los riesgos cibernéticos suelen ser ineficaces para prevenir comportamientos peligrosos. Los especialistas señalan que, para reducir el número de violaciones de seguridad, es necesario utilizar enfoques basados en aspectos culturales y conductuales, y no solo en la información.
La conclusión principal del estudio es que es importante hacer que las consecuencias de los riesgos cibernéticos sean más tangibles para los empleados sin recurrir a sanciones. Según una encuesta de Gartner, alrededor del 93% de los empleados realizan conscientemente acciones que aumentan los riesgos cibernéticos, y el 74% está dispuesto a infringir la política de seguridad para alcanzar objetivos comerciales. Una de las principales razones de este comportamiento es la falta de consecuencias personales para los empleados.
Los expertos recomiendan a los directores de seguridad cambiar el estilo de comunicación y utilizar activamente la presión social. Gartner sugiere emplear el modelo PIPE (Personas, Impacto, Proceso, Entorno), que se centra en formar normas culturales en el ámbito de la seguridad. Este modelo ayuda a que la seguridad forme parte de la cultura corporativa y a aumentar el compromiso de los empleados con el cumplimiento de las normas de ciberseguridad.
El informe destaca 5 tácticas clave que ayudarán a inculcar en los empleados la comprensión de las consecuencias personales de los riesgos cibernéticos y motivarlos a cumplir con las normas de seguridad basadas en la cultura organizacional.
Táctica nº 1: Relaciona las acciones con consecuencias concretas
Las personas buscan naturalmente oportunidades y evitan los peligros. Por lo tanto, es importante que las consecuencias de las decisiones en ciberseguridad sean claras y personales para cada empleado.
- Cómo funciona: Es esencial enfocar la atención en los resultados positivos del comportamiento seguro y subrayar que tales acciones contribuyen a la confianza de los clientes. Por ejemplo: «Cuando los clientes confían en que sus datos están seguros, esto atrae a nuevos clientes».
- Ejemplo: Presenta ejemplos de comportamientos positivos para que los empleados puedan seguirlos. Por ejemplo: «Ana pudo usar datos sintéticos en lugar de privilegiados, lo que facilitó el trabajo y aceleró el lanzamiento de la aplicación al mercado».
- Por qué funciona: Las personas empiezan a ver ejemplos reales de las consecuencias y beneficios del comportamiento seguro, lo cual los motiva a cumplir con las normas de seguridad.
Táctica nº 2: Basarse en los valores corporativos existentes
Es más fácil implementar nuevas creencias cuando se basan en valores corporativos ya existentes.
- Cómo funciona: En empresas donde la seguridad o la calidad ya son valores importantes, se pueden vincular estos valores con la seguridad del entorno informático.
- Ejemplo: «Podemos predecir cuándo fallará el equipo, pero no cuándo será atacado».
- Por qué funciona: Cuando una nueva iniciativa está estrechamente relacionada con los valores de la empresa, los empleados la aceptan más fácilmente. Por ejemplo, si comprenden que la seguridad de los datos afecta los resultados financieros de la empresa, esto los motiva a actuar.
Táctica nº 3: Reforzar las consecuencias a través de la presión social
Las personas tienden a ser más conservadoras frente a los riesgos que afectan a otras personas que frente a los que los afectan personalmente.
- Cómo funciona: Crear conciencia de que las acciones de cada empleado pueden afectar a los demás puede aumentar significativamente su compromiso con las normas de seguridad.
- Ejemplo: «Una filtración de datos puede arruinar la vida de alguien».
- Por qué funciona: El sentido de responsabilidad hacia los colegas y los demás ayuda a formar una cultura de conciencia de riesgos y cumplimiento de las normas de seguridad.
Táctica nº 4: Hacer que la amenaza sea personal
Los empleados toman mayor conciencia de la importancia de la seguridad si pueden imaginar las consecuencias de las violaciones para ellos o sus seres queridos.
- Cómo funciona: Es importante mostrar que las consecuencias de las infracciones pueden afectar a cualquiera, incluyendo la seguridad de datos personales y financieros.
- Ejemplo: Un cartel con la frase «Si cambiar tu contraseña te parece incómodo, intenta cambiar tu identidad» subraya lo serias que pueden ser las consecuencias para cada persona.
- Por qué funciona: Cuando las consecuencias se vuelven personales y tangibles, los empleados empiezan a tomarlas en serio y actúan de manera más consciente.
Táctica nº 5: Usa el humor y haz que el aprendizaje sea entretenido
El humor es una herramienta poderosa que ayuda a que la información sea memorable.
- Cómo funciona: Los memes y frases humorísticas relacionadas con la seguridad hacen que el proceso de aprendizaje sea menos formal y más accesible.
- Ejemplo: Un cartel con la imagen de un niño en uniforme escolar y cuentas de crédito con la frase «El robo de identidad permanecerá en tu expediente permanente».
- Por qué funciona: El humor facilita la comprensión de temas serios, los hace más accesibles y ayuda a recordar la información por más tiempo.
Se prevé que para 2027, la mitad de las empresas pasarán de centrarse en la “conciencia individual” a un enfoque orientado a las “normas de comportamiento grupales”. Este enfoque vincula de manera más efectiva la conciencia de riesgos con el comportamiento real de los empleados.
El estudio también destaca que la percepción cultural de la seguridad requiere un esfuerzo constante por parte de la dirección. En particular, es importante el apoyo de los altos directivos, quienes pueden demostrar que la seguridad es una prioridad de la empresa y que debe convertirse en una norma corporativa aceptada.
¿Estás cansado de que Internet sepa todo sobre ti?