Por qué los empleados violan las políticas de ciberseguridad

El verano pasado, Colonial Pipeline pagó un rescate de casi $ 5 millones después de que un ataque cibernético generó un pánico generalizado por la disponibilidad de gasolina en todo el sureste de los EE. UU. Solo unas semanas después, la compañía procesadora de carne más grande del mundo acordó pagar $ 11 millones rescate en respuesta a un ataque cibernético que suspendió las operaciones en plantas en los EE. UU., Canadá y Australia. Ataques como estos se han vuelto más comunes durante años, y la pandemia de Covid-19 solo ha empeorado las cosas, con el FBI informando un aumento del 400% en ciberataques en los primeros meses de la pandemia.

En respuesta, la inversión en ciberseguridad se ha disparado — pero desafortunadamente, estos esfuerzos no siempre han abordado los factores subyacentes que crean vulnerabilidades. Si bien los especialistas en TI se esfuerzan por crear sistemas técnicos mejores, más inteligentes y más seguros, existe un riesgo que no pueden eliminar mediante programación: los humanos. Especialmente a medida que el trabajo remoto se vuelve más frecuente y, por lo tanto, el acceso a sistemas seguros se vuelve más distribuido, un clic incorrecto de un empleado a menudo puede ser suficiente para amenazar todo un ecosistema digital.

Además, aunque algunas organizaciones han comenzado a complementar los esfuerzos centrados en la tecnología con iniciativas de ciberseguridad dirigidas a los empleados como posibles vectores de ataque, estos programas generalmente asume que los empleados rompen los protocolos de seguridad por ignorancia o por malas intenciones. Nuestra investigación reciente, sin embargo, sugiere que la mayor parte del tiempo, los incumplimientos pueden ser el resultado de violaciones intencionales pero no maliciosas, en gran parte impulsadas por el estrés de los empleados.

Muchas infracciones de políticas son impulsadas por el estrés, no por el deseo de dañar

Le pedimos a más de 330 empleados remotos de una amplia gama de industrias que informaran sobre sus niveles de estrés diarios y su cumplimiento de las políticas de seguridad cibernética en el transcurso de dos semanas. Además, realizamos una serie de entrevistas en profundidad con 36 profesionales que se vieron obligados a trabajar de forma remota debido a la pandemia de Covid-19 para comprender mejor cómo la transición al trabajo desde el hogar ha impactado en la ciberseguridad.

Descubrimos que en nuestra muestra, el cumplimiento de las convenciones de seguridad era intermitente. Durante los 10 días laborales que estudiamos, el 67 % de los participantes informaron que no se adhirieron por completo a las políticas de seguridad cibernética al menos una vez, con una tasa promedio de incumplimiento de una de cada 20 tareas laborales.

Pero, ¿qué condujo a esas infracciones en el protocolo? Cuando se les preguntó por qué no siguieron las políticas de seguridad, las tres respuestas principales de nuestros participantes fueron «para realizar mejor las tareas de mi trabajo», «para obtener algo que necesitaba» y «para ayudar a otros a realizar su trabajo». Estas tres respuestas representaron el 85% de los casos en los que los empleados rompieron las reglas a sabiendas. En contraste, los empleados informaron un deseo malicioso de causar daño en solo el 3% de las infracciones de políticas, lo que hace que las infracciones no maliciosas (es decir, aquellas motivadas únicamente por la necesidad de hacer el trabajo) sean 28 veces más comunes que las de represalia.

También descubrimos que las personas eran sustancialmente más propensas a romper los protocolos de seguridad a sabiendas en los días en que informaron haber experimentado más estrés, lo que sugiere que estar más estresados ​​​​reducía su tolerancia para seguir las reglas que interferían en el trabajo. Las fuentes comunes de estrés incluían demandas familiares que estaban en conflicto con el trabajo, temores de seguridad laboral e, irónicamente, las demandas de las propias políticas de seguridad cibernética: era más probable que las personas violaran los procedimientos cuando temían que seguirlos obstaculizaría la productividad, requeriría tiempo o energía extra, significar hacer su trabajo de una manera diferente, o hacerles sentir que están siendo monitoreados constantemente.

Por supuesto, dado que nuestros datos fueron autoinformados, no pudimos medir las infracciones que los empleados no sabían que estaban cometiendo. Como tal, nuestra investigación es menos concluyente cuando se trata de la prevalencia de problemas de seguridad derivados de la ignorancia o el error humano. Pero nuestros hallazgos sugieren que, a pesar de la considerable enfoque de los medios sobre el «amenaza internaplanteados por empleados maliciosos, hay muchas razones bien intencionadas por las que un empleado podría no seguir las reglas a sabiendas. En base a esto, hemos desarrollado tres conclusiones clave para los gerentes:

Hay un término medio entre la ignorancia y la malicia

Muchos líderes asumen que las violaciones de seguridad de los empleados son maliciosas o no intencionales y luego diseñan políticas de seguridad basadas en esa suposición. Sin embargo, nuestra investigación ilustra que existe un término medio considerable entre la ignorancia y la malicia, por lo que los gerentes deberían adaptar sus programas y políticas de capacitación en consecuencia.

Específicamente, en lugar de centrarse en los ataques maliciosos, las políticas de seguridad deben reconocer el hecho de que muchas infracciones provocadas por los empleados surgen de un intento de equilibrar la seguridad y la productividad. Esto significa educar a los empleados y gerentes sobre la prevalencia de infracciones no maliciosas y proporcionar una guía clara sobre qué hacer si el cumplimiento de las prácticas de seguridad parece entrar en conflicto con la realización del trabajo.

Además, las organizaciones deben tomar medidas para incorporar a los empleados en el proceso de desarrollo y prueba de las políticas de seguridad, y equipar a los equipos con las herramientas que necesitarán para seguir realmente estas políticas. Con demasiada frecuencia, los departamentos de TI desarrollan protocolos en el vacío, con una comprensión limitada de cómo estas reglas pueden interferir con los flujos de trabajo de las personas o crear nuevas fuentes de estrés. Especialmente dado que el cambio al trabajo remoto ha transformado la cantidad de personas que trabajan, los líderes de TI deben asegurarse de involucrar a los empleados que se verán afectados por las nuevas medidas de seguridad en su creación, evaluación e implementación.

El diseño del trabajo y la ciberseguridad están entrelazados

Es común pensar que la seguridad es secundaria a la productividad. En tiempos normales, eso no es necesariamente un problema, ya que es probable que los empleados tengan los recursos para dedicar suficiente energía a ambos. Pero a medida que la miríada de tensiones de la pandemia hace que sea más difícil mantener la productividad, eso significa que la seguridad tiende a pasar a un segundo plano frente a las tareas críticas que impulsan las revisiones de desempeño, las promociones y las bonificaciones.

Para abordar esto, los gerentes deben reconocer que el diseño del trabajo y la ciberseguridad están fundamentalmente entrelazados. La realidad es que el cumplimiento de las políticas de seguridad cibernética puede aumentar las cargas de trabajo de los empleados, por lo que debe considerarse e incentivarse junto con otras métricas de rendimiento cuando se determinan las cargas de trabajo.

Además, los gerentes deben trabajar para identificar y reducir las fuentes de estrés para sus equipos, ya que trabajar en condiciones más estresantes puede afectar la consistencia de los empleados en el seguimiento de los protocolos de seguridad (sin mencionar su bienestar y efectividad en una gran cantidad de otras métricas). . En particular, especialmente a medida que el trabajo remoto se vuelve más común, los gerentes deben ser conscientes de la carga psicológica para los empleados de trabajar bajo sistemas que los monitorean. Los sistemas de vigilancia que parecían razonables en la oficina pueden parecer intruso en el hogar, e incluso si no hay consecuencias obvias y directas, nuestra investigación sugiere que el estrés adicional podría hacer que las personas sean más propensas a romper los protocolos de seguridad indirectamente.

Los hackers se aprovechan del altruismo

La mayoría de los gerentes dirían que es bueno que sus empleados quieran ayudarse unos a otros. Pero, lamentablemente, el altruismo puede tener un costo: en nuestro estudio, alrededor del 18 % de las infracciones de la política fueron motivadas por el deseo de ayudar a un compañero de trabajo. La pandemia solo ha aumentado los desafíos que todos enfrentamos todos los días y, por lo tanto, ha creado aún más oportunidades para que los empleados bien intencionados «ayudan» a sus compañeros de maneras que dejan a sus organizaciones vulnerables. Los piratas informáticos lo saben y, a menudo, utilizan intencionalmente tácticas de ingeniería social que se aprovechan de la disposición de los empleados a infringir las reglas si creen que están ayudando a alguien.

Para abordar esto, los gerentes no solo deben implementar políticas de seguridad diseñadas específicamente para proteger contra este tipo de ataques, sino que también deben trabajar para reducir el impacto de estas medidas en los flujos de trabajo de los empleados y explicar claramente su razón de ser para aumentar el cumplimiento de los empleados.

Por ejemplo, dado que el paso al trabajo remoto ha reducido la comunicación en persona, estafas de compromiso de correo electrónico comercial (BEC) se han vuelto aún más frecuentes. Estas son estafas en las que un atacante se hace pasar por un supervisor o un compañero de trabajo cercano y envía un correo electrónico a los empleados con una solicitud urgente de transferencia de fondos. La presión del tiempo y el deseo de ayudar a un colega pueden empujar a los empleados a romper el protocolo y realizar estas transferencias sin verificar adecuadamente las solicitudes. Proteger su organización de este tipo de ataques significa no solo instituir una política de verificación para grandes transacciones, sino también educar a los empleados sobre por qué la política es importante y minimizar la medida en que obstaculiza el trabajo diario.

. . .

En el panorama moderno de la ciberseguridad, cada empleado es un vector de amenaza potencial. Para mantener seguras a sus organizaciones, los líderes técnicos y comerciales deben comprender los factores que pueden hacer que cualquier persona sea susceptible de burlar la política y abrir la puerta a los atacantes. Si bien la idea de un empleado resentido que intenta dañar a su empresa a propósito puede ser una historia convincente, nuestra investigación apunta al papel principal del estrés de los empleados en la motivación de violaciones de seguridad no maliciosas (pero potencialmente catastróficas). Para abordar el creciente riesgo de ataques cibernéticos, así como los innumerables otros riesgos asociados con una fuerza laboral cada vez más estresada, los líderes deben realizar esfuerzos específicos para minimizar las causas fundamentales del estrés en el lugar de trabajo y diseñar cargas de trabajo más saludables y sostenibles para los empleados en cada lugar. nivel.

Este trabajo fue apoyado por el Premio RAPID de la Fundación Nacional de Ciencias #2030845, División de Ciencias Sociales y Económicas. Las opiniones expresadas aquí son de los autores y no reflejan las de la National Science Foundation.