Cómo creó Yahoo una cultura de ciberseguridad
por Keri Pearlson, Sean Sposito, Masha Arbisman, Josh A. Schwartz
Decirles a sus empleados que deben hacer algo no basta para inspirar un cambio significativo. Pregúntele a cualquier empleado que haya visto alguna vez un vídeo de concienciación sobre ciberseguridad. Aunque los vídeos enseñan a los empleados a ser conscientes de la seguridad de los datos, rara vez conducen a una venta mayorista mejora de los comportamientos de seguridad de una empresa. Para mejorar su cultura de ciberseguridad y, en última instancia, la resistencia de sus empresas a los ataques, debe medir lo que hacen las personas cuando nadie las mira.
A finales del año pasado, el grupo de investigación Sloan (CAMS) sobre ciberseguridad del MIT comenzó a colaborar con la organización de seguridad de Yahoo, apodada los Paranoids, para entender cómo habían aplicado los mecanismos de gestión para influir en la cultura de ciberseguridad de la empresa. El equipo de participación proactiva de los paranoides ha empleado con éxito varios mecanismos interesantes e innovadores que han permitido mejorar los comportamientos de ciberseguridad.
Un modelo de participación proactiva
En el verano de 2018, en medio de una reorganización de la organización de seguridad más grande, los Paranoids reunieron dos grupos dispares: el equipo rojo (un hábil grupo de hackers que pone a prueba de forma ofensiva los sistemas, servicios, procesos y personas internos para descubrir puntos débiles sistémicos) y el equipo de concienciación sobre la seguridad de la empresa. Más tarde, los Paranoids agregaron el equipo de ingeniería del comportamiento, que se centró en medir las actividades que considerarían buenas conductas de seguridad basándose en una combinación de datos de recursos humanos y registros de tecnología empresarial.
Para entender mejor cómo respondían los empleados a las amenazas de ciberseguridad, el equipo de ingeniería del comportamiento primero distinguió entre las acciones, los hábitos y los comportamientos de los empleados. Concluyeron que una acción era algo que una persona hacía hasta completar. Por ejemplo, los empleados de Yahoo tenían que realizar un curso anual de formación en seguridad. El resultado deseado, al aceptar la clase, es una acción. Un hábito era un atajo creado para acciones repetibles. Capacitar a los empleados, por ejemplo, para que confíen en un administrador de contraseñas en lugar de en los cambios manuales de contraseñas puede convertirse en un hábito.
Por último, definieron los comportamientos como la combinación de acciones y hábitos en el contexto de una situación, entorno o estímulo. En el ejemplo anterior, el comportamiento de seguridad deseado no es simplemente hacer que los empleados usen un administrador de contraseñas. En cambio, el objetivo era lograr que los empleados generaran y almacenaran las credenciales mediante un administrador de contraseñas cada vez que creaban o actualizaban cuentas.
El proceso de cambiar el comportamiento
Intentar cambiar un comportamiento significaba primero identificar el contexto específico de la acción deseada. Los paranoicos llamaban a esto la creación de una meta conductual. Al crear una meta conductual, el equipo de ingeniería conductual intentó responder a la pregunta: «¿En qué contexto específico queremos que una cohorte (o persona) específica lleve a cabo qué acción específica?»
Por ejemplo: «Al generar una nueva contraseña de inicio de sesión único, queremos que todos los empleados generen y almacenen la contraseña en nuestro gestor de contraseñas aprobado por la empresa». La capacidad del equipo para definir estos objetivos era clave para medir eficazmente la dirección de la cultura de ciberseguridad en la organización.
A medida que el equipo de ingeniería conductual estudiaba y desarrollaba las metas conductuales, se formó una fórmula.
Leer más sobre
La ciberseguridad no es (solo) un problema tecnológico
Paso 1: Identifique el objetivo conductual deseado. Un objetivo claro para un resultado conductual específico es un requisito previo para que se produzca cualquier cambio mensurable. El objetivo evita lo que el equipo denominó «consejos imposibles», que es cualquier guía de seguridad que exija al usuario final emitir un juicio cualitativo sobre la seguridad.
Paso 2: Busque una medida adecuada y cree una línea base. Para mejorar la cultura de ciberseguridad de una empresa y enriquecer la resistencia de las empresas a los ataques, hay que medir lo que hacen las personas cuando nadie las mira.
Paso 3: Tome medidas que afecten al comportamiento medido, ajústelas con el tiempo y repita el proceso. Luego, las actividades se diseñaron para afectar a las líneas de base. Pero igual de importante para el éxito de conducir con las conductas adecuadas era aprender de los resultados de estas actividades y, luego, ajustarlas y crear nuevas actividades para mejorar continuamente.
El proceso se convirtió en la base de los experimentos basados en el cambio de comportamiento que llevó a cabo el equipo de Proactive Engagement. En lugar de dar instrucciones a los empleados para que determinen si un enlace era sospechoso, lo que es un enfoque subjetivo y defectuoso de la ciberseguridad, el grupo de Proactive Engagement definió un nuevo objetivo de comportamiento para los empleados: cuando su cuenta corporativa reciba un correo electrónico en el que se le envía a un sitio web en el que se le pide que introduzca las credenciales, denuncie el correo electrónico a nuestro equipo de defensa.
Medir el comportamiento de los empleados
Una y otra vez, en las operaciones del equipo rojo, los empleados caían en correos electrónicos de suplantación de identidad que les mostraban páginas de inicio de sesión falsas, igual que el que engañó al entonces presidente del DNC John Podestá el asistente para escribir su contraseña en una página de inicio de sesión falsa ocultada por un enlace abreviado en un correo electrónico malicioso.
El equipo estudió el problema y destacó tres medidas clave:
Tasa de susceptibilidad: el número de empleados que introdujeron sus credenciales y no denunciaron los correos electrónicos de suplantación de identidad dividido por el número total de correos electrónicos de simulación de suplantación de identidad enviados.
Velocidad de captura de credenciales: el número de empleados que introdujeron sus credenciales (y no denunciaron el enlace a nuestro equipo de defensa) dividido por el número de empleados que abrieron la simulación de suplantación de identidad y llegaron a la página de inicio de sesión falsa.
Tasa de presentación de informes: el número de empleados que denunciaron la simulación de suplantación de identidad dividido por el número total de correos electrónicos de simulación enviados.
Con un objetivo de comportamiento y unas medidas clave definidas, el equipo se propuso implementar nuevos mecanismos de gestión para reducir el ritmo al que los empleados renunciaban a sus credenciales. En ese momento, las simulaciones de suplantación de identidad capturaban casi las credenciales de uno de cada siete empleados en cada prueba. Uno de cada 10 empleados denunció con precisión el correo electrónico de simulación original como una posible suplantación de identidad. Tras analizar los datos, el equipo de Proactive Engagement decidió centrarse en impedir que los empleados introdujeran sus credenciales en una página de suplantación de identidad.
La solución ya estaba en marcha. Querían que los empleados utilizaran el administrador de contraseñas que la empresa ya había pagado y proporcionado. Como el gestor de contraseñas solo rellena automáticamente las contraseñas de los sitios que reconoce, no las falsas destinadas a robar credenciales, los empleados acabaron con las conjeturas.
Arquitectura, incentivos, comunicación y gamificación de Choice
A mediados de 2019, el equipo instaló el gestor de contraseñas corporativo como herramienta de detección de dominios en los navegadores gestionados por la empresa e hizo que el uso de la herramienta fuera la opción por defecto para todos los empleados. El equipo también ofreció incentivos para el uso activo del gestor de contraseñas corporativo. Los empleados que utilizaban activamente el gestor de contraseñas recibían productos como camisetas, sudaderas con capucha y sombreros de la marca Paranoid. También crearon vídeos y contenido instructivos para informar a los usuarios sobre qué buscar, cómo identificar los correos electrónicos sospechosos y qué hacer si veían algo sospechoso. Estas comunicaciones iban acompañadas de correos electrónicos en los que se empujaba a las personas engañadas mediante simulaciones de suplantación de identidad a leer material educativo adicional y las dirigían al gestor de contraseñas corporativo.
El equipo de Proactive Engagement midió el progreso mediante la creación de paneles en los que los directivos podían comparar el desempeño de su pilar corporativo con el de sus pares. Los paneles eran una herramienta importante para los directivos porque creaban un entorno de competencia activa y pasiva. El concurso incentivó a los empleados a mejorar y el panel de control permitió a los gerentes ver el rendimiento de sus informes. También sirvieron de puente entre el equipo de Proactive Engagement y la alta dirección de Yahoo.
Recomendaciones prácticas para los directivos
Para hacer un cambio significativo , los gerentes deben tomar tres medidas clave. En primer lugar, deben identificar los comportamientos críticos de los empleados. La mayor transformación que emprendieron los paranoicos fue organizativa, no tecnológica. Hicieron pruebas a los empleados para informar mejor su estrategia a fin de cambiar la cultura de la ciberseguridad. Solo entonces desarrollaron e implementaron un plan.
En segundo lugar, los directivos deben medir los comportamientos de forma transparente. Si bien el equipo de seguridad no podía tomar decisiones empresariales, los líderes empresariales sí. Para que lo hicieran, el equipo de Proactive Engagement creó paneles que permitían a los gerentes comparar el comportamiento de sus subordinados directos con el de los pilares corporativos de sus pares.
Por último, los directivos deben utilizar la conciencia para explicar por qué algo es importante. En ningún momento el equipo de Proactive Engagement castigó a los empleados ni ordenó la adopción de herramientas específicas. Más bien, utilizaron sus capacidades de pruebas ofensivas para basar sus consejos en los ataques del mundo real y, a continuación, explicaron por qué esos comportamientos tenían sentido para la empresa.
Para el segundo semestre de 2020, el ritmo al que se capturaban las credenciales de los empleados de Yahoo en simulaciones de suplantación de identidad se había reducido a la mitad. El número de intentos de suplantación de identidad denunciados con precisión se ha duplicado. Y lo que es más importante, el uso del gestor de contraseñas corporativo de la empresa, la pieza central de la cultura de ciberseguridad de la empresa, se ha triplicado.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.