Crea en lo que hago, no en lo que digo: Comprendiendo los hábitos de seguridad del usuario con Análisis del Comportamiento
Se le ha acabado el tiempo para completar su capacitación anual sobre seguridad de la información, por lo que encuentra el correo con el recordatorio final y se registra en el portal de capacitación. A medida que la capacitación se ejecuta en una de sus pantallas, usted continúa enviando correos electrónicos, completando otras tareas o navegando en Internet. Si no corre con suerte, su módulo de entrenamiento le va a quitar la capacidad de realizar múltiples tareas, por lo que mientras el entrenamiento sigue corriendo de fondo, usted hace un viaje a la cocina. ¡Finalmente! Es hora de hacer el examen. En su segundo intento, logra un 84%, lo que es lo suficientemente bueno para seguir adelante con su día.
Si bien este escenario describe materiales y procesos de capacitación lejos de ser ideales (un tema por sí solo digno de publicación en el blog), refleja lo que muchos empleados experimentan.
¿Por qué es este el caso?
Algunas búsquedas rápidas sobre la concienciación de capacitación de seguridad dejan al descubierto una constante de artículos que insisten en que se debe aumentar la capacitación para abordar[1] el “error humano”, ya que “los humanos son el eslabón más débil en la ciberseguridad”[2] [3] [4]. El resultado es que la mayoría de las organizaciones crean materiales de capacitación que se ajustan a su estrategia actual de capacitación orientada al cumplimiento, y algunas invierten en métodos de capacitación superiores como simulacros de ataques, educación continua y refuerzo de objetivos clave de aprendizaje.
Sin embargo, lo que rara vez se encuentra son datos que ilustren qué tan bien la capacitación en concientización de seguridad capta las diferencias individuales en los comportamientos reales del día a día, alineados con sólidas prácticas de seguridad. Si bien la capacitación no será reemplazada en el futuro cercano, las organizaciones que se toman en serio la construcción de resiliencia contra las amenazas cibernéticas deben invertir en comprender el comportamiento humano.
Investigaciones recientes[5] muestran que a menudo existe discrepancia entre el nivel de conciencia de seguridad auto-reportado de una persona (como sus respuestas a un cuestionario o encuesta) y su comportamiento real frente a una amenaza de seguridad. Esto significa que una puntuación perfecta en un módulo de capacitación anual, o un cuestionario lleno de respuestas deseables, puede no traducirse en comportamientos que mantengan a una organización segura.
Sin embargo, cuando se analizan los comportamientos reales de una persona (no la documentación auto-reportada), sus acciones típicas del día a día se alinean con su desempeño en los desafíos de seguridad. En pocas palabras, las personas que adoptan comportamientos menos seguros o menos “conscientes de seguridad” tiene menores probabilidades de superar desafíos de seguridad (como ser víctima de suplantación de identidad), mientras que las personas que adoptan comportamientos más seguros y “conscientes de seguridad” tienen mayores probabilidades de superar estos desafíos.
De hecho, al observar la Tabla 1, se puede ver que en varios tipos de desafíos, superar los mismos con éxito se correlacionó casi perfectamente con las medidas de “conciencia de seguridad” derivadas de los datos de comportamiento. Sin embargo, la correlación desaparece (¡o es negativa!) cuando se busca una relación entre el desempeño en los desafíos de seguridad y las respuestas de “conciencia de seguridad” de un cuestionario.
Tabla 1. Correlación entre el desempeño en desafíos de seguridad y el comportamiento observado del usuario (red o agente móvil) o auto-reportado (Cuestionario) de Bitton et al., 2020
|
|
Tipo de Recopilación de Datos |
||
|
Tipo de Desafío |
Red |
Agente Móvil |
Cuestionario |
|
Phishing |
0.86 |
0.91 |
0.57 |
|
Manipulación de certificados |
0.94 |
0.94 |
-0.61 |
|
Spam Pop-ups |
0.97 |
0.99 |
-0.27 |
|
Solicitud de permisos |
0.99 |
1.00 |
-0.92 |
Adicionalmente, Bitton y sus colegas encontraron discrepancias entre el comportamiento auto-reportado y el verdadero, más allá de los desafío de seguridad. Los participantes que reportaron que evitarían los sitios web con advertencias de seguridad, que nunca descargarían archivos no seguros o no cifrados y usarían pantallas bloqueadas protegidas con contraseña, a menudo se contradecían al involucrarse en esos mismos comportamientos.
Conclusión
A medida que nuestra fuerza laboral se ve cada vez más bombardeada por ataques sofisticados, es fundamental alejarse de una sensación de seguridad excesiva construida sobre medidas de auto-reporte sesgadas, y dirigirse hacía una evaluación del comportamiento real de la resiliencia humana a las amenazas cibernéticas.
El análisis de comportamiento puede hacer avanzar la comprensión de una organización sobre los niveles reales de “conciencia de seguridad” de sus empleados al eliminar el sesgo inherente a las medidas de auto-reporte y el desempeño en los módulos de capacitación de baja fidelidad.
Comprender el comportamiento de esta manera también proporciona una base significativa de los comportamientos del usuario final, que puede promover la capacidad de una organización para medir el impacto de capacitaciones futuras o campañas de concientización sobre seguridad.
[1] https://cybersecurityventures.com/security-awareness-training-report/
[2] https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years#assets_all
[3] https://search.proquest.com/openview/6535856a33b27389b0f070f8a841c1bd/1?pq-origsite=gscholar&cbl=52433
[4] https://www.infosecurity-magazine.com/news/90-data-breaches-human-error/
[5] Bitton, Boymgold, Puzis, & Shabtai, 2020. Evaluating the information security awareness of smartphone users. Proceedings of the 2020 CHI Conference on Human Factors in Computing Systems, 1-13; Black Hat 2020 Human Factors Presentation: https://www.blackhat.com/us-20/briefings/schedule/#a-framework-for-evaluating-and-patching-the-human-factor-in-cybersecurity-2069
