Investigación: Por qué los empleados infringen las políticas de ciberseguridad

El verano pasado, Colonial Pipeline pagó un rescate de casi 5 millones de dólares después de que un ciberataque generalizara un pánico generalizado por la disponibilidad de gasolina en el sureste de los EE. UU. Solo unas semanas después, la mayor empresa procesadora de carne del mundo accedió a pagar un 11 millones de dólares rescate en respuesta a un ciberataque que suspendió las operaciones en plantas de EE. UU., Canadá y Australia. Ataques como estos se han hecho más comunes durante años, y la pandemia de la COVID-19 no ha hecho más que empeorar las cosas, ya que el FBI informa de un Aumento del 400% en los ciberataques de los primeros meses de la pandemia.

En respuesta, invertir en ciberseguridad se ha disparado — pero, lamentablemente, estos esfuerzos no siempre han abordado los factores subyacentes que crean las vulnerabilidades. Si bien los especialistas en TI se esfuerzan por crear sistemas técnicos mejores, más inteligentes y más seguros, existe un riesgo que no pueden programar: los humanos. Sobre todo a medida que el trabajo remoto se hace más frecuente y, por lo tanto, el acceso a sistemas seguros se distribuye más, un clic incorrecto de un empleado suele bastar para amenazar a todo un ecosistema digital.

Además, si bien algunas organizaciones han empezado a complementar las iniciativas centradas en la tecnología con iniciativas de ciberseguridad dirigidas a los empleados como posibles vectores de ataque, estos programas generalmente asumo que los empleados infrinjan los protocolos de seguridad por ignorancia o con mala intención. Nuestro investigaciones recientes, sin embargo, sugiere que la mayoría de las veces, el incumplimiento puede ser el resultado de infracciones intencionales pero no maliciosas, impulsadas en gran medida por el estrés de los empleados.

Muchas infracciones de la política se deben al estrés, no al deseo de hacer daño

Pedimos a más de 330 empleados remotos de una amplia gama de sectores que informaran por sí mismos sobre sus niveles de estrés diarios y su cumplimiento de las políticas de ciberseguridad en el transcurso de dos semanas. Además, realizamos una serie de entrevistas exhaustivas con 36 profesionales que se vieron obligados a trabajar de forma remota debido a la pandemia de la COVID-19 para entender mejor cómo la transición al trabajo desde casa ha afectado a la ciberseguridad.

Descubrimos que en toda nuestra muestra, el cumplimiento de las convenciones de seguridad era intermitente. Durante los 10 días hábiles que estudiamos, el 67% de los participantes declararon no haber cumplido plenamente las políticas de ciberseguridad al menos una vez, con una tasa media de incumplimiento de una de cada 20 tareas laborales.

Pero, ¿qué llevó a esas infracciones del protocolo? Cuando se les preguntó por qué no habían seguido las políticas de seguridad, las tres principales respuestas de nuestros participantes fueron: «para realizar mejor las tareas de mi trabajo», «para conseguir algo que necesitaba» y «para ayudar a los demás a hacer su trabajo». Estas tres respuestas representaron el 85% de los casos en los que los empleados infringieron las normas a sabiendas. Por el contrario, los empleados denunciaron un deseo malintencionado de causar daño solo en el 3% de las infracciones de la política, lo que hizo que las infracciones no maliciosas (es decir, las motivadas únicamente por la necesidad de hacer su trabajo) fueran 28 veces más comunes que las represalias.

También descubrimos que las personas tenían muchas más probabilidades de infringir los protocolos de seguridad a sabiendas los días en que declaraban que estaban más estresadas, lo que sugiere que estar más estresado reducía su tolerancia a seguir las reglas que se interponían en su trabajo. Las fuentes más comunes de estrés incluían las exigencias familiares que entraban en conflicto con el trabajo, los temores a la seguridad laboral e, irónicamente, las exigencias de las propias políticas de ciberseguridad: las personas tenían más probabilidades de infringir los procedimientos cuando les preocupaba que seguirlos obstaculizara la productividad, requiriera tiempo o energía adicionales, significara hacer su trabajo de una manera diferente o hiciera que sintieran que estaban siendo monitoreados constantemente.

Por supuesto, dado que nuestros datos fueron declarados por nosotros mismos, no pudimos medir las infracciones que los empleados no sabían que habían cometido. Por lo tanto, nuestras investigaciones son menos concluyentes en lo que respecta a la prevalencia de los problemas de seguridad derivados de la ignorancia o un error humano. Pero nuestros hallazgos sugieren que, a pesar de la considerable enfoque en los medios en el» amenaza interna» planteadas por empleados malintencionados, hay muchas razones bien intencionadas por las que un empleado podría no seguir plenamente las normas a sabiendas. En base a esto, hemos desarrollado tres conclusiones clave para los directivos:

Hay un punto medio entre la ignorancia y la malicia

Muchos líderes asumen que las infracciones de seguridad de los empleados son malintencionadas o no intencionadas y, luego, diseñan políticas de seguridad en función de esa suposición. Sin embargo, nuestras investigaciones muestran que hay un punto medio considerable entre la ignorancia y la malicia, por lo que los directivos harían bien en adaptar sus programas y políticas de formación en consecuencia.

En concreto, en lugar de centrarse en los ataques malintencionados, las políticas de seguridad deberían reconocer el hecho de que muchas infracciones provocadas por los empleados se deben a un intento de equilibrar la seguridad y la productividad. Esto significa informar a los empleados y a los directivos sobre la prevalencia de las infracciones no dolosas y proporcionarles una orientación clara sobre lo que deben hacer si el cumplimiento de las prácticas de seguridad parece ir en conflicto con la realización del trabajo.

Además, las organizaciones deberían tomar medidas para incorporar a los empleados en el proceso de desarrollo y prueba de las políticas de seguridad, y equipar a los equipos con las herramientas que necesitarán para seguir realmente estas políticas. Con demasiada frecuencia, los departamentos de TI desarrollan protocolos en el vacío, con una comprensión limitada de cómo estas reglas pueden interferir con los flujos de trabajo de las personas o crear nuevas fuentes de estrés. Sobre todo porque el cambio al trabajo remoto ha transformado el número de personas que trabajan, los líderes de TI deberían asegurarse de incluir a los empleados que se verán afectados por las nuevas medidas de seguridad en su creación, evaluación e implementación.

El diseño del trabajo y la ciberseguridad están entrelazados

Es común pensar que la seguridad es secundaria a la productividad. En tiempos normales, eso no es necesariamente un problema, ya que es probable que los empleados tengan los recursos para dedicar suficiente energía a ambas. Pero a medida que las innumerables presiones de la pandemia dificultan el mantenimiento de la productividad, la seguridad tiende a pasar a un segundo plano ante las tareas críticas que impulsan las evaluaciones del rendimiento, los ascensos y las bonificaciones.

Para abordar este problema, los directivos deben reconocer que el diseño del puesto y la ciberseguridad están fundamentalmente relacionados. La realidad es que el cumplimiento de las políticas de ciberseguridad puede aumentar las cargas de trabajo de los empleados, por lo que hay que tenerlo en cuenta e incentivar junto con otros indicadores de rendimiento a la hora de determinar las cargas de trabajo.

Además, los directivos deberían esforzarse por identificar y reducir las fuentes de estrés para sus equipos, ya que trabajar en condiciones más estresantes puede afectar a la coherencia de los empleados a la hora de seguir los protocolos de seguridad (sin mencionar su bienestar y eficacia en muchos otros indicadores). En particular, especialmente a medida que el trabajo remoto se hace más común, los gerentes deben conocer las carga psicológica a los empleados que trabajan bajo sistemas que los monitorean. Los sistemas de vigilancia que parecían razonables en la oficina podrían parecer intrusivo en casa, y aunque no haya consecuencias directas y obvias, nuestras investigaciones sugieren que el estrés adicional podría hacer que las personas fueran más propensas a infringir los protocolos de seguridad.

Los hackers se aprovechan del altruismo

La mayoría de los directivos dirían que es bueno que sus empleados quieran ayudarse unos a otros. Pero, lamentablemente, el altruismo puede tener un precio: en nuestro estudio, alrededor del 18% de las infracciones de la política estuvieron motivadas por el deseo de ayudar a un compañero de trabajo. La pandemia no ha hecho más que aumentar los desafíos a los que nos enfrentamos todos los días y, por lo tanto, ha creado aún más oportunidades para que los empleados bien intencionados «ayuden» a sus compañeros de manera que sus organizaciones sean vulnerables. Los hackers lo saben y, a menudo, utilizan intencionalmente tácticas de ingeniería social que aprovechan la voluntad de los empleados de infringir las reglas si creen que están ayudando a alguien.

Para solucionar este problema, los directivos no solo deben implementar políticas de seguridad diseñadas específicamente para proteger contra este tipo de ataques, sino que también deben trabajar para reducir el impacto de estas medidas en los flujos de trabajo de los empleados y explicar claramente sus motivos para aumentar el cumplimiento de las normas por parte de los empleados.

Por ejemplo, dado que la transición al trabajo remoto ha reducido la comunicación en persona, estafas de compromiso de correo electrónico empresarial (BEC) se han hecho aún más frecuentes. Se trata de estafas en las que un atacante se hace pasar por supervisor o compañero de trabajo cercano y envía correos electrónicos a los empleados con una solicitud urgente de transferencia de fondos. La presión del tiempo y el deseo de ayudar a un colega pueden llevar a los empleados a infringir el protocolo y realizar estas transferencias sin verificar adecuadamente las solicitudes. Proteger a su organización de este tipo de ataques significa no solo instituir una política de verificación para las transacciones grandes, sino también informar a los empleados sobre la importancia de la política y minimizar el grado en que impide el trabajo diario.

. . .

En el panorama moderno de la ciberseguridad, cada empleado es un posible vector de amenazas. Para mantener la seguridad de sus organizaciones, tanto los líderes técnicos como empresariales deben entender los factores que pueden hacer que cualquier persona sea susceptible de infringir la política y abrir la puerta a los atacantes. Si bien la idea de que un empleado resentido intente dañar a su empresa a propósito puede ser una historia convincente, nuestra investigación apunta al papel principal del estrés de los empleados a la hora de motivar infracciones de seguridad no maliciosas (pero potencialmente catastróficas). Para abordar el creciente riesgo de ciberataques, así como los muchos otros riesgos asociados con una fuerza laboral cada vez más estresada, los líderes deben realizar esfuerzos específicos para minimizar las causas fundamentales del estrés en el lugar de trabajo y diseñar cargas de trabajo más saludables y sostenibles para los empleados de todos los niveles.

Este trabajo contó con el apoyo del RAPID #2030845 de la Fundación Nacional de Ciencias, de la División de Ciencias Sociales y Económicas. Las opiniones expresadas aquí son de los autores y no reflejan las de la Fundación Nacional de Ciencias.