Future Insights - Las personas se comportan como personas: el futuro de la ciberseguridad es humano

Una nota de nuestro editor, Global CTO Nicolas Fischbach:
Le damos la bienvenida a la tercera publicación de nuestra serie Forcepoint Future Insights, que ofrecerá seis puntos de vista sobre las tendencias y eventos que creemos que la industria de la ciberseguridad deberá enfrentar en 2021. Consulte las publicaciones anteriores de la serie:
- El Surgimiento del Zoom de la Ciberseguridad
- La objetividad imposible en el Aprendizaje Automatizado
Aquí está la publicación de la Dra. Margaret Cunningham, Principal Research Scientist.
A medida que el 2020 llega a su fin, la importancia de comprender la relación entre los seres humanos y la tecnología está en su punto más alto. Los cambios generalizados en el tejido de nuestra sociedad, provocados por la pandemia en curso, revelaron debilidades en las herramientas y protocolos de seguridad para trabajadores remotos, destacaron problemas de confiabilidad y accesibilidad de la red, y exigieron que los humanos encontraran formas innovadoras de mantener las organizaciones en funcionamiento. Si bien, las consecuencias de la pandemia no se pueden ignorar, la capacidad de las personas para responder a desafíos aparentemente interminables ha sido nada menos que notable.
El año 2021 seguirá reflejando la resiliencia y el ingenio humano. Será el año de las soluciones provisionales y las amenazas internas en beneficio propio, donde las personas encontrarán formas de lograr sus objetivos a pesar de enfrentar adversidades personales y profesionales. Las soluciones alternas, los atajos y las estrategias de trabajo creativas son simultáneamente una celebración de la creatividad humana y un riesgo para las organizaciones que tratan desesperadamente de mantener la visibilidad de sus activos. En última instancia, las personas que comparten datos y acceden a las redes corporativas de formas nuevas y potencialmente no autorizadas, conllevan bastante riesgo, especialmente para las organizaciones que son nuevas en la gestión de trabajadores remotos.
El resultado de estos cambios es que las estrategias de ciberseguridad exitosas dejarán de intentar utilizar la tecnología como una fuerza unilateral para controlar el comportamiento humano. Más bien, las organizaciones aceptarán la realidad de que agregar más y más tecnología o seguridad no conduce a la conformidad del comportamiento, especialmente a una conformidad que se alinea con los principios de seguridad y la higiene cibernética adecuada. De hecho, las capas adicionales de seguridad pueden empujar a más personas fuera de las guías debido a la fricción de seguridad cada vez más agravada que les impide completar tareas o acceder fácilmente a los activos organizativos críticos.
La Comprensión precede a la Predicción
A la luz de esto, comprender cómo las personas se adaptan, responden e informan a sus entornos es fundamental para las organizaciones que se dirigen al nuevo año. Durante mucho tiempo, el mundo de la tecnología ha creado productos con la suposición de que las personas los usarán de manera esperada o uniforme, o que las personas cumpliran las reglas y restricciones establecidas por equipos de ingeniería bien intencionados. Si algo hemos aprendido de 2020, es que las personas no siempre son predecibles, y hacer suposiciones sobre el comportamiento humano es un juego peligroso. Lo que ha salido a la luz es que las expectativas, las pautas, las mejores prácticas e incluso los comandos producirán todo tipo de respuesta de comportamiento, desde el cumplimiento rígido hasta el incumplimiento por represalia.
¿Qué podemos hacer? Podemos aprender más sobre lo que motiva el comportamiento y cómo las personas finalmente deciden comportarse. También podemos comprometernos a diseñar e implementar prácticas y herramientas de seguridad que funcionen con los humanos en lugar de contra ellos. Sin embargo, para hacer esto, tenemos que centrarnos en medir y comprender el comportamiento en lugar de centrarnos exclusivamente en detectar compromisos y vulnerabilidades.
Por ejemplo, sabemos que las necesidades inmediatas de las personas a menudo superan las posibles consecuencias negativas, especialmente cuando las consecuencias no tienen un impacto directo, individual e inmediato. Esto significa que cuando necesitamos lograr nuestros objetivos, a menudo tomamos el camino más fácil. Desafortunadamente, la ruta más fácil es a menudo más riesgosa que la ruta "ideal". Cuando nos enfrentamos a herramientas de intercambio de datos y archivos frustrantes y de gran seguridad, podemos recurrir a compartir a través de aplicaciones personales en la nube. Establecer reglas para evitar que las personas se involucren en este tipo de comportamiento no está funcionando, por lo que debemos comprender mejor estos comportamientos para encontrar formas de mitigar el riesgo que corren las organizaciones y los activos de la organización.
Construyendo Comprensión del Comportamiento en los Sistemas
Dentro de la industria de la ciberseguridad, la observación y la comprensión de los comportamientos deben ir acompañadas del contexto. Lo que a primera vista puede parecer un acto obviamente malicioso que probablemente lleve a la pérdida de datos, por ejemplo, un ingeniero que solicita acceso a varios almacenes de datos confidenciales en el transcurso de dos días, podría ser simplemente una persona que hace su trabajo. Es posible que nuestro ingeniero esté haciendo esto porque se le ha designado a varios proyectos nuevos y necesita poder colaborar con su nuevo equipo.
Queremos que las personas puedan hacer su trabajo dentro de las limitaciones de nuestra red y políticas corporativas, por lo que bloquearlas solo fomentaría la tendencia humana a encontrar una ruta más fácil (¡y menos segura!) para hacer su trabajo. Con un equipo de investigación interdisciplinario, que reúne a expertos de seguridad, contrainteligencia, TI y ciencias conductuales, la comprensión del comportamiento se puede integrar en los sistemas de ciberseguridad. Y este es el primer paso importante para finalmente comenzar a mover la ciberseguridad a la izquierda de la brecha: diseñar la seguridad para el elemento humano.