Investigación: Por qué los empleados violan políticas de ciberseguridad

El estrés puede reducir la tolerancia de las personas para las reglas que parecen interponerse en el camino de hacer sus trabajos.
Pesquisa: Por que os funcionários violam políticas de segurança cibernética
Pesquisa: Por que os funcionários violam políticas de segurança cibernética
Resumen.

Ante los ciberataques cada vez más comunes (y costosos), muchas organizaciones han centrado sus inversiones en seguridad en gran medida en soluciones tecnológicas. Sin embargo, en muchos casos, los ataques no se basan en la capacidad de un extraño para descifrar las defensas técnicas de una organización, sino en que un empleado interno deje entrar a sabiendas o sin saberlo a un mal actor. Pero, ¿qué motiva las acciones de estos empleados? Un estudio reciente sugiere que la gran mayoría de las violaciones intencionales de las políticas no se deben a un deseo malicioso de causar daño, sino más bien a la percepción de que seguir las reglas impediría la capacidad de los empleados para hacer su trabajo de manera efectiva. El estudio también descubrió que los empleados tenían más probabilidades de violar la política en los días en que estaban más estresados, lo que sugiere que los niveles altos de estrés pueden reducir la tolerancia de las personas a seguir las reglas que parecen obstaculizar el desempeño de su trabajo. A la luz de estos hallazgos, los autores sugieren varias formas en las que las organizaciones deben repensar su enfoque de la ciberseguridad e implementar políticas que aborden los factores subyacentes reales que crean vulnerabilidades.


El verano pasado, Colonial Pipeline pagó un rescate de casi 5 millones de dólares después de que un ciberataque creara un pánico generalizado por la disponibilidad de gasolina en el sureste de los EE. UU. Apenas unas semanas después, la empresa procesadora de carne más grande del mundo acordó pagar un$11 millones rescate en respuesta a un ciberataque que suspendió las operaciones en plantas en los EE. UU., Canadá y Australia. Ataques como estos se han vuelto cada vez más comunes durante años, y la pandemia de Covid-19 solo ha empeorado las cosas, ya que el FBI informó de un Aumento del 400% en ciberataques en los primeros meses de la pandemia.

En respuesta, la inversión en ciberseguridad se ha disparado , pero desafortunadamente, estos esfuerzos no siempre han abordado los factores subyacentes que crean vulnerabilidades. Si bien los especialistas de IT se esfuerzan por crear sistemas técnicos mejores, más inteligentes y más seguros, existe un riesgo que no pueden eliminar mediante programación: los humanos. Especialmente a medida que el trabajo remoto se vuelve más frecuente y, por lo tanto, el acceso a sistemas seguros se distribuye más, un clic incorrecto de un empleado a menudo puede ser suficiente para amenazar todo un ecosistema digital.

Además, si bien algunas organizaciones han comenzado a complementar los esfuerzos centrados en la tecnología con iniciativas de ciberseguridad dirigidas a los empleados como posibles vectores de ataque, estos programas asumen en general que los empleados rompan los protocolos de seguridad por ignorancia o por intención maliciosa. Nuestro investigaciones recientes, sin embargo, sugiere que la mayoría de las veces, el incumplimiento puede ser el resultado de violaciones intencionales pero no maliciosas, en gran medida impulsadas por el estrés de los empleados.

Muchas violaciones de políticas son impulsadas por el estrés, no por el deseo de dañar

Le pedimos a más de 330 empleados remotos de una amplia gama de industrias que informaran sobre sus niveles de estrés diarios y su cumplimiento de las políticas de ciberseguridad en el transcurso de dos semanas. Además, realizamos una serie de entrevistas en profundidad con 36 profesionales que se vieron obligados a trabajar de forma remota debido a la pandemia de Covid-19 para comprender mejor cómo la transición al trabajo desde casa ha afectado a la ciberseguridad.

Descubrimos que en nuestra muestra, el cumplimiento de las convenciones de seguridad era intermitente. Durante los 10 días de trabajo que estudiamos, el 67% de los participantes informaron que no se adhirieron completamente a las políticas de ciberseguridad al menos una vez, con una tasa promedio de incumplimiento de una de cada 20 tareas laborales.

Pero, ¿qué llevó a esas violaciones del protocolo? Cuando se les preguntó por qué no siguieron las políticas de seguridad, las tres respuestas principales de nuestros participantes fueron: «realizar mejor las tareas de mi trabajo», «conseguir algo que necesitaba» y «ayudar a otros a hacer su trabajo». Estas tres respuestas representaron el 85% de los casos en que los empleados infringieron las reglas a sabiendas. Por el contrario, los empleados informaron de un deseo malicioso de causar daño en solo el 3% de las infracciones de las políticas, lo que hace que las infracciones no maliciosas (es decir, aquellas motivadas únicamente por la necesidad de realizar el trabajo) sean 28 veces más comunes que las de represalia.

También descubrimos que las personas eran sustancialmente más propensas a infringir a sabiendas los protocolos de seguridad en los días en que informaron haber experimentado más estrés, lo que sugiere que estar más estresado reduce su tolerancia a seguir las reglas que se interponen en el camino de hacer su trabajo. Las fuentes comunes de estrés incluían las demandas familiares que entraban en conflicto con el trabajo, los temores de seguridad laboral e, irónicamente, las demandas de las propias políticas de ciberseguridad: las personas eran más propensas a violar los procedimientos cuando les preocupaba que seguirlos obstaculizara la productividad, requiriera tiempo o energía adicionales, hacer su trabajo de una manera diferente, o hacer que sientan que están siendo monitoreados constantemente.

Por supuesto, dado que nuestros datos fueron autoinformados, no pudimos medir las infracciones que los empleados no sabían haber cometido. Como tal, nuestra investigación es menos concluyente cuando se trata de la prevalencia de problemas de seguridad derivados de la ignorancia o el error humano. Sin embargo, nuestros hallazgos sugieren que, a pesar de enfoque en los medios en el» amenaza interna» planteados por empleados malintencionados, hay muchas razones bien intencionadas por las que un empleado podría no seguir las reglas a sabiendas. En base a esto, hemos desarrollado tres puntos clave para los gerentes:

Hay un punto intermedio entre la ignorancia y la malicia

Muchos líderes asumen que las violaciones de seguridad de los empleados son malintencionadas o no intencionales, y luego diseñan políticas de seguridad basadas en esa suposición. Sin embargo, nuestra investigación ilustra que existe un término intermedio considerable entre la ignorancia y la malicia, por lo que los gerentes serían prudentes en adaptar sus programas y políticas de capacitación en consecuencia.

Específicamente, en lugar de centrarse en ataques maliciosos, las políticas de seguridad deben reconocer el hecho de que muchas infracciones impulsadas por los empleados se derivan de un intento de equilibrar la seguridad y la productividad. Esto significa educar a los empleados y gerentes sobre la prevalencia de violaciones no maliciosas y brindar orientación clara sobre qué hacer si el cumplimiento de las prácticas de seguridad parece entrar en conflicto con la realización del trabajo.

Además, las organizaciones deben tomar medidas para incorporar a los empleados en el proceso de desarrollo y prueba de las políticas de seguridad de los usuarios, y equipar a los equipos con las herramientas que necesitarán para seguir realmente estas políticas. Con demasiada frecuencia, los departamentos de IT desarrollan protocolos en el vacío, con una comprensión limitada de cómo estas reglas pueden interferir con los flujos de trabajo de las personas o crear nuevas fuentes de estrés. Especialmente a medida que el cambio al trabajo remoto ha transformado la cantidad de personas que trabajan, los líderes de IT deben asegurarse de involucrar a los empleados que se verán afectados por las nuevas medidas de seguridad en su creación, evaluación e implementación.

El diseño de puestos de trabajo y la ciberseguridad están entrelazados

Es común pensar en la seguridad como algo secundario a la productividad. En tiempos normales, eso no es necesariamente un problema, ya que es probable que los empleados tengan los recursos para dedicar suficiente energía a ambos. Pero a medida que las innumerables tensiones de la pandemia dificultan el mantenimiento de la productividad, eso significa que la seguridad tiende a pasar a un segundo plano en las tareas críticas que impulsan las revisiones de rendimiento, las promociones y las bonificaciones.

Para abordar esto, los gerentes deben reconocer que el diseño del trabajo y la ciberseguridad están fundamentalmente entrelazados. La realidad es que el cumplimiento de las políticas de ciberseguridad puede aumentar las cargas de trabajo de los empleados, por lo que se debe considerar e incentivar junto con otras métricas de rendimiento cuando se determinan las cargas de trabajo.

Además, los gerentes deben trabajar para identificar y reducir las fuentes de estrés para sus equipos, ya que trabajar en condiciones más estresantes puede afectar la consistencia de los empleados en el cumplimiento de los protocolos de seguridad (sin mencionar su bienestar y efectividad en una serie de otras métricas). En particular, especialmente a medida que el trabajo remoto se vuelve más común, los gerentes deben conocer las carga psicológica a los empleados de trabajar bajo sistemas que los monitorean. Los sistemas de vigilancia que parecían razonables en la oficina podrían sentirse intruso en casa, e incluso si no hay consecuencias obvias y directas, nuestra investigación sugiere que el estrés adicional podría hacer que las personas sean más propensas a infringir los protocolos de seguridad.

Los hackers se aprovechan del altruismo

La mayoría de los gerentes dirían que es bueno que sus empleados quieran ayudarse unos a otros. Pero desafortunadamente, el altruismo puede tener un costo: en nuestro estudio, alrededor del 18% de las violaciones de las políticas se motivaron por el deseo de ayudar a un compañero de trabajo. La pandemia solo ha aumentado los desafíos que todos enfrentamos todos los días y, por lo tanto, ha creado aún más oportunidades para que los empleados bien intencionados «ayuden» a sus compañeros de manera que dejen a sus organizaciones vulnerables. Los hackers lo saben y, a menudo, utilizan intencionadamente tácticas de ingeniería social que aprovechan la voluntad de los empleados de romper las reglas si piensan que están ayudando a alguien.

Para abordar esto, los gerentes no solo deben implementar políticas de seguridad diseñadas específicamente para proteger contra este tipo de ataques, sino que también deben trabajar para reducir el impacto de estas medidas en los flujos de trabajo de los empleados y explicar claramente sus razones para aumentar el cumplimiento de los empleados.

Por ejemplo, dado que el paso al trabajo remoto ha reducido la comunicación en persona, estafas de compromiso de correo electrónico empresarial (BEC) se han vuelto aún más frecuentes. Se trata de estafas en las que un atacante se hace pasar por supervisor o compañero de trabajo cercano y envía correos electrónicos a los empleados con una solicitud urgente para transferir fondos. La presión del tiempo y el deseo de ayudar a un colega pueden empujar a los empleados a romper el protocolo y realizar estas transferencias sin verificar adecuadamente las solicitudes. Proteger a su organización de este tipo de ataques significa no solo instituir una política de verificación para transacciones grandes, sino también educar a los empleados sobre por qué es importante la política y minimizar la medida en que impide el trabajo diario.

. . .

En el panorama moderno de la ciberseguridad, cada empleado es un vector de amenaza potencial. Para mantener a sus organizaciones seguras, los líderes técnicos y empresariales deben comprender los factores que pueden hacer que cualquier persona sea susceptible de burlar las políticas y abrir la puerta a los atacantes. Si bien la idea de que un empleado resentido intente dañar a su empresa a propósito puede convertirse en una historia convincente, nuestra investigación apunta al papel principal del estrés de los empleados en la motivación de violaciones de seguridad no maliciosas (pero potencialmente catastróficas). Para abordar el creciente riesgo de ciberataques, así como los innumerables otros riesgos asociados con una fuerza laboral cada vez más estresada, los líderes deben emprender esfuerzos específicos para minimizar las causas fundamentales del estrés en el lugar de trabajo y diseñar cargas de trabajo más saludables y sostenibles para los empleados en todos los niveles.

Este trabajo fue apoyado por el Premio RAPID #2030845 de la National Science Foundation, División de Ciencias Sociales y Económicas. Las opiniones expresadas aquí son de los autores y no reflejan las de la Fundación Nacional de Ciencias.

Related Posts
El «capitalismo consciente» no es un oxímoron

La economía sostenible

Escuche una entrevista con Jib Ellisondownload este podcast Ninguno, estos días niega seriamente la necesidad de prácticas comerciales sostenibles. Incluso a los interesados en solo negocios y no el destino del planeta reconocen que la viabilidad del negocio en sí depende de los recursos de los ecosistemas saludables, el agua dulce, el aire limpio, la biodiversidad robusta, la tierra productiva y [...]
Leer más
El «capitalismo consciente» no es un oxímoron

La pregunta de la entrevista que siempre debe esperar

Ya sea que usted sea un nuevo administrador medio o un nuevo presidente electo, la sabiduría común es que tiene tres meses para tener un impacto en su nuevo rol. Y, sin embargo, cuando se preparan para las entrevistas de trabajo, los candidatos cometen el error de creer que la mayoría de las preguntas serán sobre su experiencia pasada, no en lo que planean para [...]
Leer más
El «capitalismo consciente» no es un oxímoron

Historias de una empresa inconformista

En mi experiencia, hay tres rompecabezas perpetuos de rompecabezas, personas y tecnología, y el truco es averiguar cómo hacer que trabajen para usted en lugar de usted. Mi propio enfoque es tratar de controlar el cambio, anticiparlo, dominarlo, explotarlo, al poner a las personas y la tecnología a la cabeza de mi lista de prioridades. Explotando [...]
Leer más
El «capitalismo consciente» no es un oxímoron

Nuevo marco para la política de deuda corporativa

Pocos, si los hay, los artículos sobre finanzas que han aparecido en HBR han disfrutado de la influencia del artículo de 1962 reimpreso aquí como un "clásico". El análisis de Gordon Donaldson de cuántas compañías estableció su capacidad de deuda al azar, y su cuidadosa explicación de lo que consideraba una mejor manera, parecía atacar un acorde entre las [...] administrativas corporativas.
Leer más
El «capitalismo consciente» no es un oxímoron

Competencias de un administrador eficaz

Si bien la selección y la capacitación de buenos administradores se reconoce ampliamente como uno de los problemas más apremiantes de la industria estadounidense, es sorprendentemente poco convenio entre los ejecutivos o educadores sobre lo que hace que un buen administrador. Los programas de desarrollo ejecutivo de algunas de las principales corporaciones y colegios de la nación reflejan una variación tremenda en los objetivos. En el […]
Leer más

Newsletter

Avanza tu carrera profesional, con el resumen semanal de las publicaciones, un libro de negocio resumido en 10 minutos y entrevistas con líderes de negocio