La seguridad de la información y la protección de datos es una de las principales garantías que debe suministrar un proveedor de ciberseguridad a una organización, por lo tanto, se hace necesario utilizar diferentes herramientas que permitan generar ambientes donde se cumplan todas las políticas de seguridad y los parámetros ya establecidos con el cliente, es aquí donde surge el popular y a veces mal interpretado concepto que el usuario es el eslabón más débil, y lo digo porque siempre ha generado debates, que van desde las burlas, hasta los más profundos análisis. Como toda opinión siempre estará expuesta al escrutinio y generará controversia, desde mi perspectiva lo dejo a que lo evaluemos, nos documentemos, pero que principalmente tomemos posición.
La Psicología Social y la Persuasión en Ciberseguridad
Retomando el tema de la seguridad y su relación con el usuario, siguiendo la explicación de Cori Faklaris, quien se enfoca en entender como las personas toman posición en un entorno social, señala que gran parte de las investigaciones sobre seguridad informática se ha centrado en los usuarios como actores aislados; sin embargo, esto puede estar abordado de manera incompleta, ya que se debería aprovechar los hallazgos en la psicología social para fomentar conductas de ciberseguridad más seguras.
A partir de este punto de vista, el procesamiento de información y la toma de decisiones sobre la tecnología, la teoría de influencia social es una de las más acertadas ya que busca persuadir a las personas a cambiar sus comportamientos bajo 6 técnicas de persuasión conocidas como “Armas de influencia”, cada una de estas denominada por su potencia y posibilidad de éxito:
- Reciprocidad.
- Compromiso.
- Prueba social.
- Gusto.
- Autoridad.
- Escasez.
Comportamiento del Usuario y Riesgos Asociados
Es aquí donde el análisis de comportamiento y el riesgo asociado a este toma nuevamente validez. Existen unas serie de subproblemas que en ocasiones no se notan a menos que el investigador de seguridad sea detallista. Por ejemplo, una persona que comparte su contraseña o cuenta con su pareja, es probable que no use un doble factor de autenticación, lo cual podría derivar en un problema ya que esta cuenta podría tener datos relevantes de la compañía que podría ser fácilmente filtrados en caso que se de una brecha de seguridad
Nuevamente sale a la luz la teoría que se mencionó al inicio (el eslabón débil) y es que muchos de estos usuarios también pueden ver a la tecnología y más a la ciberseguridad como algo aterrador, confuso o aburrido. Estas actitudes negativas generan inquietud, ya que pueden anticipar patrones de comportamiento, revelando actitudes reales que podrían ser el punto de partida para procesos de ingeniería social en desarrollo.
Para abordar este problema, como investigadores podemos preguntarnos:
- ¿Qué produjó este cambio de actitud frente a su postura inicial de seguridad?
- ¿Cuál es su efecto a corto, mediano o largo plazo frente a seguridad de la empresa?
El no detectarlo a tiempo dificulta la investigación de usuarios a gran escala. Por eso, es crucial contar con herramientas que faciliten el establecimiento de medidas de registro o control sobre la actitud de seguridad. Aunque este proceso pueda demandar tiempo, disponer de la herramienta adecuada, respaldada por un criterio sólido y conocimientos especializados, resulta fundamental para mitigar este riesgo.
Esto es solo una pequeña parte de lo que se puede evaluar y detectar a través del comportamiento del usuario.
La complejidad de las interacciones humanas exige personal y herramientas cada vez más calificados.La capacitación en todas las áreas de la compañía no solo impulsa la comprensión de la ciberseguridad, sino que también desmitifica mitos y miedos, y especialmente nos ayuda a preparnos para enfrentar la desinformación.
La seguridad informática y la estrategia para implementarla debe tener un enfoque holístico ya que va más allá de la aplicación de controles o respuestas técnicas, se debe enfatizar en la compresión de las dinámicas humanas que generalmente están presentes en actos malintencionados, es allí donde la educación el monitoreo, y las herramientas se integran en estrategias para forjar un esquema de protección resiliente siempre preparado para los desafíos cada día más diversos y complejos, esto es solo una aproximación valiosa, que no solo cubrirá la compañía contra amenazas sino que también potencialmente amentará la confianza y seguridad de los usuarios, si, esos que seguimos llamando el eslabón más débil.
Con Safetica puedes conocer en detalle el comportamiento de los usuarios y anticiparte al riesgo. Agenda una demo y compruébalo tu mismo.
Referencia:
Faklaris, C., Dabbish, L., & Hong, J. (2019). A Self-Report Measure of End-User Security Attitudes (SA-6). ResearchGate. https://doi.org/10.13140/RG.2.2.29840.05125/3
