Crear una cultura organizacional que se tome en serio la ciberseguridad

Tan solo en los Estados Unidos, el daño anual de la ciberdelincuencia ha aumentado un 33%, alcanzando los 16 mil millones de dólares en 2024. La gran mayoría de estas brechas se deben a errores humanos, como una mala configuración de sistemas y dispositivos, el manejo inadecuado de información o dispositivos de almacenamiento, y la manipulación por parte de actores maliciosos. Sin embargo, si el factor humano es el eslabón más débil en la seguridad de la información, también es el área en la que una solución adecuada puede tener el mayor impacto.

La buena noticia es que existen estrategias conductuales bien estudiadas para influir en las personas y lograr que actúen de forma más prudente y responsable. A lo largo de los años, nos hemos enfocado en comprender cómo los comportamientos individuales, la cultura organizacional y los factores psicológicos influyen en las prácticas y decisiones en materia de ciberseguridad. En este artículo, aplicamos el Neidert's Core Motives Model (que uno de nosotros desarrolló) para guiar a los líderes en cómo influir positivamente en el comportamiento en torno a la seguridad de la información dentro de sus organizaciones mediante un proceso de influencia interpersonal.

1. CREE UNA CONEXIÓN

Antes de poder liderar con credibilidad, debe establecer una conexión. En general, las personas tienen más probabilidades de seguir sus indicaciones una vez que: (a) sienten que usted las aprecia y que usted también les agrada, (b) realmente lo consideran parte de su grupo, y (c) usted les ha hecho favores que generan un sentido de obligación.

ESTABLEZCA EL TONO ADECUADO

Los demás dicen "sí" cuando usted les agrada y creen que usted también los aprecia. Cuando muestra apertura y accesibilidad, a menudo ellos reflejan esa actitud. En ciberseguridad, generar empatía mediante la simpatía y una comprensión compartida con los empleados de todos los departamentos es esencial para fomentar la cooperación e impulsar eficazmente las iniciativas de seguridad en toda la empresa.

2. REDUZCA LA INCERTIDUMBRE

Una conexión interpersonal bien establecida convencerá a muchas personas, pero no a todas. Algunas dudarán porque no están seguras respecto al comportamiento que se les solicita. Estas personas buscarán alguna garantía de que la solicitud es razonable. En algunos casos, eso significa recurrir a figuras de autoridad creíbles en busca de orientación sobre cómo pensar y actuar. En otros casos, buscarán referencias en sus compañeros.

UTILICE SU AUTORIDAD CREÍBLE

Puede que usted no sea un experto en ciberseguridad, pero puede demostrar su credibilidad y apoyarse en ella. Cuando usted, como líder, instruye personalmente a su equipo a cumplir con la seguridad de la información corporativa, o mejor aún, participa usted mismo, tendrá más probabilidades de alcanzar el resultado deseado.

3. INSPIRE LA ACCIÓN

Incluso con una relación ya establecida y una menor incertidumbre, las personas aún necesitan empujones para actuar realmente sobre una solicitud. Para animar a los individuos a salir de su zona de confort, es necesario recordarles que se han comprometido con comportamientos de seguridad de la información en el pasado. Por lo tanto, los líderes deben aprovechar el poder de los compromisos pasados de los empleados, como hacer que acepten y firmen una política de seguridad de la información corporativa, como una forma de fomentar comportamientos de seguridad coherentes en el futuro.

SUSCITE UN COMPROMISO PÚBLICO

Las personas quieren ser coherentes. Una vez que han adoptado una postura o se han comprometido con una determinada acción, tienden a cumplirla y sienten una obligación interna de comportarse en consecuencia. Recomendamos añadir una frase como: "No haré clic en enlaces sospechosos" o "Mantendré una actitud de alerta continua ante posibles intentos de phishing" al final de una capacitación en ciberseguridad.

La seguridad de la información forma parte de una cultura organizacional saludable. Para lograrlo, puede utilizarse un enfoque sistemático de influencia social que fomente comportamientos alineados con la seguridad y una cultura organizacional en materia de seguridad de la información que beneficie a todos.