No estamos logrando transmitir el mensaje cibernético a los usuarios

“Nunca trabajes con niños o animales” es como dice el famoso adagio del mundo del espectáculo, y si miras en LinkedIn en una semana determinada, verías muchos profesionales de seguridad cibernética que agregarían “usuarios finales” a esa lista.

Entonces, fue con cierta inquietud que asumí la tarea de crear un programa global de concientización sobre seguridad cibernética para todos los empleados de una empresa. Comenzando con una simulación de phishing para establecer la base de la conciencia actual, los resultados fueron nefastos. Estaba empezando a pensar que todas esas personas en LinkedIn tenían razón.

Con la esperanza de obtener mejores resultados, creé lo que pensé que era la simulación de phishing más obvia que jamás había existido. Se trataba de un banquero ficticio de un banco central que no existe, que deseaba transferir una gran cantidad de efectivo y, a cambio, sería recompensado generosamente con billetes de 50 dólares usados. El correo electrónico estaba plagado de errores ortográficos y gramaticales, y todo lo demás que se me ocurrió para hacerlo obvio.

Una semana después aparecieron los resultados y no eran buenas noticias. Era el momento del Plan C, era el momento de profundizar en los datos. Entonces, con una taza grande de café, me puse manos a la obra y saqué algunas conclusiones interesantes:

  • La cultura tiene un papel que desempeñar incluso en la concienciación sobre la seguridad cibernética: gran parte de las simulaciones de mensajería y phishing no viajaron bien, ya sea dentro o fuera de Europa.
  • La antigüedad mostró que consistentemente los peores infractores eran los empleados más veteranos y los más jóvenes, el primero porque afirman estar demasiado ocupados y el segundo porque están acostumbrados a hacer clic en cosas, instalar aplicaciones, etc.
Más contenido para leer:  Clubcard a los 30 – la evolución de la fidelización minorista

Dicho esto, los culpables más interesantes y sorprendentes para mí fueron aquellos que eran profesionales de la seguridad cibernética o aquellos que pensaban que eran expertos en seguridad cibernética. Fue este grupo de personas el que, por tamaño de población, fueron los peores infractores, desde personas que intentaban investigar un correo electrónico en dispositivos en red hasta otras personas que compartían el correo electrónico con todos los que conocían para decir que lo habían encontrado. Sí, habían detectado que se trataba de un correo electrónico de phishing, pero sus acciones en realidad aumentaron la proliferación de ese correo electrónico y, si hubiera sido real, aumentaron el riesgo para la empresa.

Sin embargo, más allá de esto, el aprendizaje clave fue que permitir la diversidad y la inclusión es tan importante en un programa de concienciación sobre seguridad cibernética como lo es en la publicidad u otras formas de comunicación. Para dar algunos ejemplos, un mensaje que podría llegar a casa en el Reino Unido, por ejemplo, podría no funcionar de la misma manera en Francia, India o Australia. Para una empresa que trabaja a través de múltiples fronteras culturales y geográficas, es fundamental considerar un programa de mensajería regionalizado. Los principios de seguridad cibernética subyacentes siguen siendo los mismos, pero la mensajería debe localizarse para obtener el máximo beneficio.

La inclusión también juega un papel. Un ejemplo podría ser la inclusión neurocognitiva. Si cree que, en promedio, el 20% de la población es disléxica, y ese es solo un ejemplo de neurodiversidad, entonces mi correo electrónico, plagado de errores ortográficos y gramaticales a propósito, puede que no haya sido tan obvio para ellos como pretendía. Del mismo modo, lo mismo podría aplicarse a cualquier persona cuyo primer idioma no sea el inglés.

Más contenido para leer:  Cinco consejos para asegurarse de que su plan de comunicaciones en caso de crisis esté listo para un ciberataque

Volvamos al principio: ¿deberían los usuarios ser considerados parte de ese adagio? Lo que he aprendido este año es que “no”, no deberian. La realidad es que la forma en que nosotros, la comunidad de seguridad cibernética, hemos estado enseñando a las personas sobre la conciencia de la seguridad cibernética no ha logrado transmitir el mensaje. Necesitamos aprender del mundo del marketing que debemos considerar la psicología como parte de estos programas, al mismo tiempo que contamos con una fuerza laboral diversa.


Chris Cooper, CEng FBCS CITP FCIIS CISM, es un asesor de estrategia de seguridad cibernética y CISO, y miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales