Sin culpables: como la seguridad psicológica ayuda a mejorar la ciberseguridad

Las empresas deben crear una cultura de seguridad, pero esto es imposible cuando el personal tiene miedo de discutir incidentes o sugerir mejoras.

Las empresas con una postura de ciberseguridad madura e inversiones significativas en protección de datos tampoco son inmunes a los incidentes cibernéticos. Los atacantes pueden aprovechar las vulnerabilidades de día cero o poner en riesgo una cadena de suministro. Los miembros del personal pueden ser víctimas de estafas sofisticadas diseñadas para transgredir las defensas de la empresa. El propio equipo de ciberseguridad puede cometer un error al configurar las herramientas de seguridad o durante un procedimiento de respuesta a incidentes. Sin embargo, cada uno de estos incidentes representa una oportunidad para mejorar los procesos y sistemas, haciendo que tus defensas sean aún más efectivas. Esto no es solo un llamamiento a la acción; es un enfoque práctico que ha tenido bastante éxito en otros campos, como la seguridad de la aviación.

Casi todas las personas en la industria de la aviación, desde el equipo de ingeniería de diseño de aeronaves hasta los auxiliares de vuelo, deben compartir información para evitar incidentes. Esto no se limita a bloqueos o fallos del sistema; la industria también informa de problemas potenciales. Estos informes se analizan constantemente y las medidas de seguridad se ajustan en función de los resultados. Según las estadísticas de Allianz Commercial, esta implementación continua de nuevas medidas y tecnologías ha dado lugar a una reducción significativa de los incidentes fatales, de 40 por millón de vuelos en 1959 a 0,1 en 2015.

También se reconoció hace mucho tiempo que este modelo simplemente no funciona si las personas tienen miedo de informar sobre incumplimiento de procedimientos, problemas de calidad y otras causas de incidentes. Es por eso por lo que los estándares de la aviación incluyen requisitos para la notificación no punitiva y una cultura justa, lo que significa que la notificación de problemas e infracciones no debe conducir a un castigo. En la ingeniería de DevOps, existe un principio similar que se denomina cultura libre de culpa, que usan al analizar incidentes importantes. Este enfoque también es fundamental en la ciberseguridad.

¿Cada error tiene un nombre?

Lo contrario de una cultura libre de culpa es la idea de que “cada error tiene un nombre”, lo que significa que la culpa es de una persona específica. Según este enfoque, todo error puede dar lugar a medidas disciplinarias, incluido el despido. Este principio se considera nocivo y no conduce a una mejor seguridad.

  • Los miembros del personal temen asumir la responsabilidad y tienden a distorsionar los hechos durante las investigaciones de incidentes o incluso a destruir pruebas.
  • La evidencia distorsionada o parcialmente destruida complica la respuesta y empeora el resultado general porque los equipos de seguridad no pueden evaluar rápida y correctamente el alcance de un incidente dado.
  • Centrarse en una persona a la que culpar durante la revisión de un incidente evita que el equipo se enfoque en cómo cambiar el sistema para prevenir incidentes similares.
  • Los miembros del personal temen denunciar las infracciones de las políticas de seguridad y de TI, lo que hace que la empresa pierda oportunidades para corregir los fallos de seguridad antes de que provoquen un incidente crítico.
  • No tienen ninguna motivación para discutir problemas de ciberseguridad, formarse entre sí o corregir los errores de sus colegas.

Para permitir que cada empleado contribuya realmente a la seguridad de la empresa, necesitas un enfoque diferente.

Los principios básicos de una cultura justa

Ya sea que la llames “notificación no punitiva” o “cultura libre de culpa”, los principios básicos son los mismos:

  • Todos cometemos errores. Aprendemos de nuestros errores; no los penalizamos. Sin embargo, es fundamental distinguir entre un error honesto y una infracción maliciosa.
  • Al analizar los incidentes de seguridad, es necesario considerar el contexto general, la intención del miembro del personal y cualquier problema sistémico que pueda haber contribuido a la situación. Por ejemplo, si hay una alta rotación de empleados temporales en tiendas minoristas, lo que impide darles cuentas individuales, podrían recurrir a compartir un único inicio de sesión para un terminal de punto de venta. ¿Tiene la culpa el administrador de la tienda? Probablemente no.
  • Más allá de solo revisar los datos técnicos y los registros, debes tener conversaciones exhaustivas con todas las personas involucradas en un incidente. Para esto, debes crear un entorno productivo y seguro donde las personas se sientan cómodas compartiendo sus puntos de vista.
  • El objetivo de la revisión de un incidente debe ser mejorar el comportamiento, la tecnología y los procesos en el futuro. Con respecto a estos últimos en el caso de incidentes graves, deben dividirse en dos: respuesta inmediata para mitigar el daño y análisis post mortem para mejorar los sistemas y procedimientos.
  • Lo más importante es ser abierto y transparente. Los miembros del personal deben saber cómo se manejan los informes de problemas e incidentes, y cómo se toman las decisiones. Deben saber exactamente a quién acudir si ven un problema de seguridad o incluso si sospechan que hay uno. Necesitan saber que tanto sus supervisores como los especialistas en seguridad les apoyarán.
  • Confidencialidad e integridad. Informar de un problema de seguridad no debería crear problemas a la persona que lo informó ni a la persona que pueda haberlo causado, siempre que ambas hayan actuado de buena fe.

Cómo implementar estos principios en tu cultura de seguridad

Asegura el compromiso de las personas en puestos de liderazgo. Una cultura de seguridad no requiere una inversión directa masiva, pero sí necesita un apoyo congruente de los equipos de recursos humanos, seguridad de la información y comunicaciones internas. Los miembros del personal también deben ver que la alta dirección respalda activamente este enfoque.

Documenta el enfoque. La filosofía de la cultura sin culpables debe reflejarse en los documentos oficiales de la empresa, desde las directivas de seguridad detalladas hasta una guía breve y sencilla que todos los miembros del personal realmente leerán y comprenderán. Este documento debe indicar claramente la posición de la empresa sobre la diferencia entre un error y una infracción maliciosa. Debe declarar formalmente que los miembros del personal no serán responsables personalmente de los errores honestos y que la prioridad colectiva es mejorar la seguridad de la empresa y evitar que se repitan en el futuro.

Crea canales para notificar problemas. Ofrece varias formas para que los miembros del personal notifiquen problemas: una sección dedicada en la intranet, una dirección de correo electrónico específica o la opción de decirle a su supervisor inmediato. Idealmente, también debes tener una línea directa anónima para denunciar inquietudes sin temor.

Forma al personal. La formación permite que el personal reconozca procesos y comportamientos inseguros. Usa ejemplos del mundo real de problemas que deberían informar y guíales a través de diferentes situaciones de incidentes. Puedes usar nuestra solución en línea Kaspersky Automated Security Awareness Platform para organizar estas sesiones de formación de concienciación en ciberseguridad. Motiva al personal no solo a notificar incidencias, sino también a sugerir mejoras y pensar en cómo prevenir problemas de seguridad en su trabajo diario.


Forma a las personas en puestos de liderazgo. Cada gerente debe comprender cómo responder a los informes de su equipo. Necesitan saber cómo y dónde enviar un informe, y cómo evitar crear islas centradas en la culpa en un mar de cultura justa. Enseña a los líderes a responder de una manera que haga que sus colegas sientan respaldo y seguridad. Sus reacciones a los incidentes y los informes de errores deben ser constructivas. Las personas en puestos de liderazgo también deben fomentar las discusiones sobre problemas de seguridad en las reuniones del equipo para normalizar el tema.

Desarrolla un procedimiento de revisión justo para los informes de incidentes y problemas de seguridad. Debes reunir un grupo diverso de personas de varios equipos para formar una “junta de revisión sin culpas”. Será responsable de procesar con prontitud los informes, tomar decisiones y crear planes de acción para cada caso.

Premia la proactividad. Elogia y recompensa públicamente a los miembros del personal que informan sobre intentos de phishing o fallos recientes en las directivas o configuraciones, o que completan la formación de concienciación mejor y más rápido que otros miembros de su equipo. Menciona a estas personas proactivas en las comunicaciones habituales de TI y seguridad, como los boletines.

Integra los resultados en los procesos de administración de la seguridad. Las conclusiones y sugerencias de la junta de revisión deben priorizarse e incorporarse en el plan de ciberresiliencia de la empresa. Algunos resultados pueden simplemente influir en las evaluaciones de riesgos, mientras que otros podrían conducir directamente a cambios en las políticas de la empresa o a la implementación de nuevos controles técnicos de seguridad o la reconfiguración de los existentes.

Usa los errores como oportunidades de aprendizaje. El programa de concienciación en seguridad será más eficaz si usas ejemplos de la vida real de tu propia organización. No es necesario que nombres a personas específicas, pero puedes mencionar equipos y sistemas, y describir escenarios de ataque.

Mide el rendimiento. Para garantizar que este proceso funcione y dé resultados, debes usar métricas de seguridad de la información, así como KPI de recursos humanos y comunicaciones. Rastrea el MTTR para problemas identificados, el porcentaje de problemas descubiertos a través de los informes del personal, los niveles de satisfacción del personal, la cantidad y la naturaleza de los problemas de seguridad identificados y la cantidad de empleados comprometidos en sugerir mejoras.

Excepciones importantes

Una cultura de la seguridad o una cultura sin culpables no significa que nunca nadie deba rendir cuentas. Los documentos de seguridad de la aviación sobre notificación no punitiva, por ejemplo, incluyen excepciones fundamentales. La protección no se aplica cuando alguien se desvía consciente y maliciosamente de los reglamentos. Esta excepción evita que una persona con información privilegiada que haya filtrado datos a la competencia goce de total impunidad después de confesar.

La segunda excepción es cuando los reglamentos nacionales o de la industria requieren que los empleados individuales sean responsables personalmente de los incidentes y las infracciones. Incluso con este tipo de reglamento, es vital mantener el equilibrio. El enfoque debe permanecer en mejorar los procesos y prevenir incidentes futuros, no en encontrar quién tiene la culpa. Puedes crear una cultura de confianza si las investigaciones son objetivas y la rendición de cuentas solo se aplica donde es realmente necesario y justificado.

Consejos
  • Para el resto de países