Resistencia del usuario, el talón de Aquiles de la ciberseguridad

 
ciberseguridad

Completar el aforo de participantes a la charla sobre ciberseguridad es difícil, más ahora que los colaboradores están trabajando desde casa ¿Le parece un escenario conocido? Las razones y excusas recibidas indican que para los empleados “hay asuntos más importantes del negocio que atender”. ¿Por qué los usuarios se resisten a la ciberseguridad?

El talón de Aquiles de la ciberseguridad es precisamente la resistencia del usuario, muchas veces por desconocimiento. ¿Realmente comprenden que está en juego con la ciberseguridad?

Ciberseguridad, garantía de la continuidad del negocio

De la misma manera como se cuida la imagen de marca y se invierten fuertes sumas de dinero en promover a la empresa en plataformas online, se debería cuidar la ciberseguridad.

Actualmente, los ataques a empresas son más frecuentes y se pronostica que seguirán en aumento. Por esta razón, comprender el alcance de pasar por alto medidas de ciberseguridad es tan grave como descuidar a la marca. Sin embargo, los usuarios siguen resistiéndose a la formación en ciberseguridad porque perciben que es un tema fuera de su competencia, o quizás consideran que las amenazas son lejanas y que se exagera con tantas medidas y controles.

Por otro lado, también es cierto que las comunicaciones y los llamados a recibir charlas usualmente son fríos y poco explicativos. Precisamente porque no disponen de personal experto en promocionar ideas, usualmente, se envía un email con la invitación a un listado de correo electrónico, la convocatoria lleva el título de la charla. Pocas veces se enfatiza en lo crucial que es seguir las medidas de ciberseguridad. En cambio, cuando las invitaciones a capacitación o presentación de campañas viene de mercadeo, la comunicación se enfoca en “beneficios” de asistir, de participar. Tal vez, los encargados de ciberseguridad deben solicitar apoyo a mercadeo para las invitaciones de ciberseguridad.

En realidad, los efectos de pasar por alto las medidas de ciberseguridad ponen en juego la permanencia del negocio. También se afecta la reputación corporativa, se ven afectados los clientes y socios estratégicos. No olvide que una empresa sin confianza pierde clientes y en consecuencia reducirá sus operaciones; al mismo tiempo que se quedan sin plazas de trabajo los colaboradores que se resisten a la seguridad. Ciertamente, es un escenario drástico, pero ya ha sucedido.

Resistencia del usuario ¿por qué?

La naturaleza humana juega un papel importante. Según estudios de comportamiento y psicología, las personas se encuentran atentas a los riesgos y peligros que parecen inmediatos y se descuidan ante lo que no perciben como amenaza cercana.

En lugar de prestarle atención a la amenaza que no es inmediata la mente trata de minimizarla ignorándola. Contrario a ello, cabe destacar que el cerebro se encuentra buscando constantemente riesgos y peligros. De hecho, esos peligros alimentan los miedos y promueven mecanismos de protección con los que los humanos han sobrevivido hasta hoy.

Igualmente, todo cambio genera rechazo y resistencia, sobre todo a los cambios impuestos. Por esto, cuando se imponen las políticas de ciberseguridad sin previa explicación consciente el usuario dilatará el proceso, buscará excusas para adoptarlas. 

Irónicamente el cuidar la ciberseguridad se transforma en añadir una carga laboral adicional, en incertidumbre, pérdida de control, falta de conocimiento. Motivo por el cual el empleado lucha por no salirse de la zona confortable, siente incapacidad, poco dominio del tema, es algo amenazante. Como resultado de ello, se da una reacción neurológica que genera barreras para que se acepte la ciberseguridad como un mecanismo imprescindible para todos en la organización.

¿Cómo superar la resistencia del usuario?

La ciberseguridad debe estar presente en el plan de negocios, contar con el apoyo de los líderes de la empresa. Sin apoyo desde la alta gerencia será más difícil lograr el objetivo de implantar las políticas.

Primero: planifique el proceso de comunicación, divulgación e implantación, llévelo a categoría de proyecto anual. Pida el apoyo de la gente de comunicaciones de la empresa.

Segundo: reclute aliados, preferiblemente los influenciadores naturales de cada área o dirección de negocios.

Tercero: muestre datos reales, ejemplos en la industria de situaciones de alarma y amenazas de seguridad informática.

Al desarrollar el programa segmente a los usuarios por grupos etarios (según la edad se percibe y reacciona distinto hacia el tema de ciberseguridad y las amenazas), ajuste la capacitación al estilo de comunicación de cada grupo (Generación Y, Millenials, Generación X, Baby Boomers, etc) a la comprensión y conocimientos generales sobre el tema.

¿Sabía que expertos en ingeniería social recomiendan incluir dinámicas de juegos de conocimiento al programa de capacitación en ciberseguridad? A su vez, instan a valorar, a recompensar a los ganadores en competencias internas de ciberseguridad (incentivos y recompensas relacionadas con el tema). Si la ciberseguridad se percibe como algo positivo se derriban las barreras al cambio.

Otra forma de promover es haciendo más breves y frecuentes las capacitaciones, se harán parte de la rutina habitual lo que reduce el rechazo.

Concluye este artículo recomendando la microsegmentación; crear ecosistemas de confianza y defensa activa, brigadas internas, departamentos ciberseguros. No importa el tamaño de su empresa, la ciberseguridad es necesaria para seguir operando en un mundo que está conectado permanentemente a la red.