Get a Break from the Chaos of RSA and Meet with Forcepoint at the St. Regis.

Close
X-Labs
Diciembre 17, 2020

Entender los comportamientos negativos en el lugar de trabajo (y qué puede hacer al respecto)

Dr. Margaret Cunningham Principal Research Scientist
Photo by Anete Lusina from Pexels

Fue como si cada día de 2020 nos presentara un nuevo desafío que nos obligara a hacer las cosas de manera diferente. De hecho, el simple cambio a trabajar desde casa ya fue suficiente como para alterar por completo nuestros estilos de trabajo. Y si bien el paso al trabajo remoto tuvo su lado positivo, también contribuyó a un incremento considerable de comportamientos negativos del personal.

¿Qué son los comportamientos negativos?
 
En algún momento, todos nos comportamos de maneras que exponen a las organizaciones a riesgos. Los comportamientos negativos en el lugar de trabajo contribuyen al riesgo de las organizaciones ya que, por definición, van contra las reglas y pautas de protección. En el espacio de la tecnología y la ciberseguridad, esto no se refiere solo a las reglas escritas sino también a las normas implícitas que reflejan tanto las culturas individuales como de la organización. Y si bien pensamos naturalmente que los riesgos basados en el comportamiento son de naturaleza maliciosa, los perfiles de comportamiento riesgoso también incluyen comportamientos inadvertidos y que, en ocasiones, son incluso loables. Puede clasificar estos comportamientos en tres perfiles diferenciados, cada uno de los cuales tiene un efecto distinto en la seguridad de una organización: 

  • Holgazanes: Todos somos algo holgazanes en algún momento.  Los comportamientos de los holgazanes incluyen navegar por internet o realizar actividades personales en la red de la empresa. Son cosas que parecen menores, pero que eventualmente exponen a la empresa a riesgos. Estos comportamientos contribuyen a las amenazas internas accidentales.
  • Ambiciosos: Estos empleados, los preferidos de los líderes corporativos, están tan obsesionados con la productividad que continuamente piensan en atajos creativos (y por lo general no autorizados) para poder hacer sus tareas más rápido. Esto puede implicar el uso de Shadow IT o aplicaciones en la nube personales, o incluso medios extraíbles no autorizados para facilitar su flujo de trabajo. 
  • Malhechores: Estos empleados con malas intenciones están motivados a causar daños a la empresa. Su motivación puede ser externa, como el espionaje corporativo, o en algunos casos puede estar impulsada por el enojo o la venganza. Los empleados con malas intenciones suelen ser sobre los que más se habla al referirse a las amenazas internas y quienes se asocian con el riesgo interno con más frecuencia, aunque en verdad son el grupo menos común. 

Photo by cottonbro from Pexels

La diferencia entre las tres categorías yace en la motivación. Los holgazanes carecen de reflexión y atención al detalle, mientras que los ambiciosos solo buscan tomar decisiones rápidas y encontrar el camino más fácil. El daño que los holgazanes y los ambiciosos pueden causar a una organización no es intencional, por supuesto, pero de todos modos representa una amenaza grave. Quizás más grave todavía que la de los malhechores. 

Conocer las reglas, tanto escritas como implícitas, y luego diseñar métricas centradas en el comportamiento en torno a esas reglas nos puede ayudar a mitigar el impacto de estos comportamientos riesgosos.

Un enfoque centrado en las personas para reforzar el buen comportamiento

Cambiar el comportamiento de las personas no es fácil. Las campañas obligatorias de capacitación y concientización por lo general fracasan. Sembrar el temor tampoco resulta útil y suele ser contraproducente, además de ser desmotivante. Entonces, ¿qué pueden hacer las empresas para reforzar los comportamientos que las mantienen libres de peligro? 

Demostrar el comportamiento funciona. Cuando los equipos de TI y seguridad demuestran un buen comportamiento, otros suelen hacer lo mismo. Nuestro desafío actual es garantizar que los empleados vean este buen comportamiento aun cuando no están trabajando en el mismo lugar. 

Si no es posible demostrarlo personalmente, debemos confiar en la comunicación y las evaluaciones continuas. Los líderes de las empresas deben realizar pruebas regularmente en su organización en busca de vulnerabilidades y apuntar sus conversaciones a los comportamientos riesgosos específicos que experimentan. Pueden hacer un seguimiento con comunicaciones sobre hábitos seguros y la importancia de los comportamientos que impulsen la ciberseguridad. 

Además, podemos elogiar a las personas que demuestran comportamientos de seguridad positivos.  
Las personas y la tecnología son inseparables, y cuando ignoramos el factor humano, omitimos un componente muy significativo que nos ayuda a entender el riesgo y las vulnerabilidades. 

Recientemente, hablé sobre este tema en más detalle con el analista de seguridad sénior del Information Security Forum, Daniel Norman. Puede ver nuestros webinar Slackers, Go-Getters, & Evildoers (Holgazanes, ambiciosos y malhechores) a través del hipervínculo o al hacer clic en el botón verde Vea el webinar de la derecha.
 

Dr. Margaret Cunningham

Principal Research Scientist

Dr. Margaret Cunningham is Principal Research Scientist for Human Behavior within our Global Government and Critical Infrastructure (G2CI) group, focused on establishing a human-centric model for improving cybersecurity. Previously, Cunningham supported technology acquisition, research and...

Leer más artículos de Dr. Margaret Cunningham

Acerca de Forcepoint

Forcepoint es la compañía líder en ciberseguridad de protección de datos y usuarios, encargada de proteger a las organizaciones a la vez que impulsa la transformación digital y el crecimiento. Nuestras soluciones se adaptan en tiempo real a la manera en que las personas interactúan con los datos, y proporcionan un acceso seguro a la vez que permiten que los empleados generen valor.