Por Claudio Ordóñez(*)
Es muy obvio decir que, en el último año, el día a día de nuestras vidas cambió dramáticamente, incluyendo la forma en que trabajamos. Para muchas organizaciones y personas, el mayor reto ha sido adaptarse a trabajar desde casa a una escala inimaginable antes de la pandemia. Un reporte reciente de Accenture mostró cómo estos extraños tiempos han alterado nuestros hábitos de trabajo, emociones y comportamientos diarios. Sin embargo, muchos de nosotros estamos experimentando impactos negativos en nuestro bienestar psicológico y salud mental. La ansiedad respecto de nuestra salud, nuestros empleos o la economía nos ha golpeado a todos.
Estos cambios nos exponen más a las continuas ciberamenazas y socavan, a través del vector humano, la ciberresistencia de las organizaciones. Los cibercriminales han sido rápidos en explotar las oportunidades que se les presentan y han buscado crear nuevos ataques en el contexto de la pandemia para exponer nuestras vulnerabilidades. Esto es evidente al considerar que los correos electrónicos de phishing aumentaron en más de un 600% durante las primeras semanas de la pandemia a nivel mundial. Desde falsificar la Organización Mundial de la Salud (OMS) hasta obtener los datos personales de personas vulnerables, pasando por instar a los clientes de la banca a «actuar ahora» antes de que se acabe su 10%, los ciberdelincuentes han sacado provecho del miedo y la incertidumbre ocasionados por el COVID-19. Su labor ha demostrado en los términos más crudos que los ataques cibernéticos no se limitan a la piratería informática, sino que también afectan a los corazones y las mentes de las personas.
Diferentes investigaciones explican por qué funcionan esos enfoques. Cuando se trata de tomar decisiones sobre ciberseguridad, el estrés y una pesada carga cognitiva aumentan la propensión de las personas a correr riesgos, a pensar de forma menos racional y a confiar más en los estafadores. Las investigaciones también sugieren que los contextos estresantes pueden infundir sentimientos de resentimiento y molestia hacia las políticas de seguridad cibernética, lo que fomenta comportamientos complacientes.
Datos recientes de Accenture apuntan a la fatiga de los trabajadores remotos: los empleados cansados y frustrados estarán cada vez menos motivados para seguir las políticas de seguridad, por muy importantes que sean. El trabajo a domicilio y el aumento de la distancia física entre los empleados también han proporcionado una sensación de menor supervisión. Junto con la inseguridad financiera y la pérdida de puestos de trabajo, las condiciones de algunos trabajadores también pueden ser altamente inducidas a la actividad interna maliciosa.
Un querido profesor de la universidad nos hablaba de la “Ley de la flojera universal”, más que un comentario chistoso para despertarnos en clases, estudios científicos han detectado que el cerebro humano tiene tendencia a tomar decisiones rápidas y a optar por el camino de menor resistencia. Esto no es una buena noticia cuando se trata de la ciberresistencia liderada por el ser humano, especialmente cuando las organizaciones no han podido proporcionar un cambio fluido hacia el trabajo a distancia. Datos recientes de Accenture indican que sólo al 29% de los trabajadores se le ha ofrecido nuevas herramientas digitales para mejorar su capacidad de trabajo a distancia, y se espera que más de un tercio utilice sus propios dispositivos personales. Esto abre importantes vulnerabilidades.
Cuando se trata de impulsar comportamientos de ciberseguridad en la fuerza de trabajo, es poco probable que la capacitación obligatoria y las campañas genéricas de sensibilización den en el blanco. Por otro lado, las investigaciones han revelado que las campañas de seguridad basadas puramente en tácticas de miedo tienen pocas probabilidades de ser eficaces, sobre todo si no hay estrategias que permitan a los individuos tomar decisiones cibernéticas seguras.
Entonces, ¿qué pueden hacer las organizaciones para proteger a sus trabajadores y sus sistemas? Basándonos en la ciencia del comportamiento, podemos utilizar técnicas específicas para crear comunicaciones convincentes de que la gente realmente escuche, cambiando las mentalidades e impulsando acciones ciberseguras. Además, podemos crear experiencias de aprendizaje que ayuden a los empleados a comprender cómo detectar las señales de alarma y cómo responder.
Como he mencionado, ayudar a las personas a adaptarse al trabajo a distancia con las herramientas adecuadas y eliminar las posibles fuentes de «fricción» es importante para mantener la ciberresistencia. Lo ideal sería que las empresas se centraran en las intervenciones conductuales donde más se necesitan y que tuvieran como objetivo detener los comportamientos perjudiciales antes de que se produzca el daño. El abandono de las estrategias reactivas en favor de los enfoques predictivos con intervención proactiva será un diferenciador clave para las organizaciones de alto rendimiento.
Dado que el 99% de los ciberataques requiere de la interacción humana para tener éxito, y dado lo que sabemos cómo piensa y se comporta la gente en relación con las ciberamenazas, parece poco inteligente incluir programas de cambio de comportamiento como parte de una postura más amplia de ciberseguridad. Y ahora, con las vulnerabilidades humanas más expuestas que nunca, la implementación de tales enfoques ha adquirido un nuevo sentido de urgencia.
El trabajo virtual nos hace sentir aislados. El miedo nos hace sentir inseguros.
(*) Líder de Ciberseguridad de Accenture Chile
Foto: creativeart – www.freepik.com
