Son necesarias pruebas de suplantación de identidad. Pero no tienen por qué ser malvados.
por Ryan Wright, Jason Bennett Thatcher
El pasado mes de diciembre, la empresa de alojamiento de sitios web GoDaddy.com envió a 500 empleados un correo electrónico en el que ofrecía un Bono de vacaciones de 650$. Lamentablemente, los correos electrónicos adicionales no se enviaron en agradecimiento por su año récord, como indica el correo electrónico: se trataba de una prueba de suplantación de identidad. Los que hicieron clic en el enlace fueron recompensados, no con una bonificación, sino con formación adicional en ciberseguridad.
Tal vez su lugar de trabajo haya hecho una prueba similar; sabemos que la nuestra sí. En 2020, uno de los principales proveedores de formación sobre suplantación de identidad, Knowbe4, denunció que 17 000 organizaciones utilizaron sus soluciones para enviar 9,5 millones de correos electrónicos de pruebas de seguridad de suplantación de identidad a más de cuatro millones de usuarios.
Aunque las pruebas de suplantación de identidad pueden ayudar a proteger a los usuarios, el uso de tácticas cuestionables (por ejemplo, acumular beneficios o bonificaciones) puede dañar las relaciones entre una empresa y sus empleados. En su investigación publicada recientemente, Dan Pienta, uno de los miembros de nuestro equipo en la Universidad de Baylor, sostuvo que los usuarios ven la ciberseguridad como agentes de protección, pero el envío de correos electrónicos de suplantación de identidad puede cambiar las expectativas de los usuarios, de ofrecer protección a causar daño. En un experimento de campo a gran escala, encontramos pruebas de que las pruebas de suplantación de identidad pueden hacer que los usuarios vean la ciberseguridad como agentes dañinos, lo que, a su vez, evoca sentimientos de traición por parte de la organización.
Dado que las pruebas de suplantación de identidad ayudan habitualmente a los profesionales de la ciberseguridad a detectar brechas en las defensas y a reforzarlas, ¿cómo pueden las organizaciones impedir que los empleados las consideren injustas, poco éticas e injustas? Nuestra investigación sugiere que los directivos expertos empleen los tres principios siguientes para equilibrar la necesidad de ciberseguridad con el bienestar de los empleados.
Pruebe equipos, no individuales.
Las pruebas de suplantación de identidad deberían implementarse en el mismo tipo de estilo de trabajo o entorno en el que trabajan los empleados habitualmente. Por ejemplo, si una organización se centra en el equipo, la prueba de suplantación de identidad también debería centrarse en el trabajo en equipo para combatirlo. Los profesionales de ciberseguridad deben animar a los empleados a hablar con sus compañeros de equipo sobre los problemas de seguridad. Un grupo de investigadores de la Universidad de Oklahoma y la Universidad de Virginia descubrieron que entablar relaciones con los usuarios es mucho más importante que crear barreras. Su proyecto llamado Human Firewall se centra en construir relaciones con los empleados (lo que llamamos «tender puentes»), en lugar de controlarlos.
No avergüence a nadie.
Los profesionales de ciberseguridad tienen que acabar con la cultura de avergonzar a los empleados que cometen errores. Los resultados de las pruebas de suplantación de identidad, como el mencionado ejemplo de GoDaddy, pueden ser punitivos. Por ejemplo, conocemos una organización que regala gallinas de goma a las personas que son atrapadas.
En lugar de avergonzar a los empleados, los equipos de seguridad tienen que crear una cultura de intercambio de información. Cuando los equipos de seguridad fomentan las líneas de comunicación directas con los empleados a los que protegen, es probable que tengan una mejor visión a pie de calle de cómo las contramedidas, como las pruebas de suplantación de identidad, afectan a la cultura empresarial. Nuestros colegas de psicología organizacional dirían que, en general, la zanahoria tiende a ser más eficaz que el palo en un entorno profesional. Las pruebas de suplantación de identidad ofrecen la oportunidad de reconocer quién está haciendo un buen trabajo, mucho más de lo que deberían utilizarse para denunciar a las personas.
En lugar de premiar a una gallina de goma por no aprobar una prueba de suplantación de identidad, reconocer a los empleados con un café gratis por denunciar correctamente la prueba a la seguridad de TI y alertar a su equipo puede hacer que se gane la aceptación por la importancia de la tarea en cuestión. A nivel de equipo, celebrar y recompensar reduce los errores y puede crear poderosas influencias culturales que tienen el poder de ampliar la vigilancia y evitar las brechas de seguridad durante semanas seguidas.
Gamificar y premiar.
Las empresas inteligentes han recurrido a las competiciones por equipos para crear culturas de ciberseguridad positivas. Durante el mes de concientización sobre la ciberseguridad, Facebook recompensa a los equipos que identifiquen correctamente el mayor número de correos electrónicos de suplantación de identidad. Otros han aprovechado los principios de la gamificación para conseguir apoyo para las pruebas de suplantación de identidad. Algunas empresas publican una tabla de clasificación sencilla que muestra los equipos que detectan más mensajes de suplantación de identidad durante un período de tiempo determinado y los recompensan en especie por su actuación.
Es importante proporcionar comentarios para ayudar a los equipos con bajo rendimiento a seguir viendo la ciberseguridad como un agente de protección. El personal de ciberseguridad debería entrenar a los equipos con bajo rendimiento para que tengan éxito en las futuras rondas del juego de la suplantación de identidad. La seguridad debería entonces medir el cambio en los resultados a nivel de equipo y celebrar su progreso. Si una empresa realmente quiere mejorar la reacción de los empleados, la seguridad debería incorporar el rendimiento de la seguridad, especialmente las mejoras, como parte de la evaluación anual de cada equipo.
La mayoría de las veces oímos hablar de las pruebas de suplantación de identidad cuando algo sale mal o cuando una empresa emplea métodos de despliegue dudosos. La mayoría de las empresas los hacen de la manera correcta: los tratan como oportunidades para detectar problemas, desarrollar la capacidad de los empleados para identificar los mensajes y entender cómo los nuevos ataques afectan a la seguridad de la información. Cuando se hacen correctamente, las pruebas de suplantación de identidad son una parte importante de cualquier programa de ciberseguridad, pero las empresas tienen que replantearse cómo empoderar a los empleados en lugar de privarlos de sus derechos.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.