Ciberpsicología: Los incidentes de seguridad son una cuestión de carácter. El estrés y el comportamiento individual de los empleados influyen en el riesgo de seguridad. ESET encuestó a más de 100 oficiales de seguridad de TI durante la pandemia de Covid-19 para un análisis.
Las personas son consideradas el mayor riesgo de seguridad en una empresa. Pero, ¿por qué algunos empleados hacen clic en enlaces, descargan datos o usan equipos personales cuando el cumplimiento y la capacitación les prohíben hacerlo? El fabricante de seguridad informática ESET y la empresa de psicología empresarial, Myers-Briggs, han investigado estas y otras cuestiones desde una perspectiva psicológica conductual. Para el análisis, se entrevistó a más de 100 oficiales de seguridad de TI durante la pandemia de Covid-19 y se evaluaron sus actitudes y experiencia. Y los resultados fueron sorprendentes: el carácter del empleado obviamente juega un papel decisivo en si habrá o no un incidente de seguridad.
El estrés influye en el trato con la seguridad de TI
El estrés diario difícilmente se puede evitar. La pandemia de corona ha asegurado que la tensión haya aumentado aún más. En este contexto, es útil comprender mejor esta influencia en el propio comportamiento y el manejo de la seguridad de TI. Del estudio surgieron ocho personajes (Activo, Explorador, Líder, Emocional, Guardián, Visionario, Analista y Consciente) que enfrentan el estrés de manera diferente y mostraron comportamientos distintivos cuando se trataba de problemas de seguridad.
Por ejemplo, Active es analítico, extrovertido, lógico e imaginativo. Está estresado por tareas teóricamente abstractas sin aplicaciones prácticas actuales. Esto luego conduce a un comportamiento arrogante y peligroso y a un exceso de confianza. En contraste, "El Concienzudo" tiende a ser cooperativo, humilde y adaptable, así como gentil y leal. Se estresa cuando tiene que trabajar con gente inflexible e irreflexiva. Bajo presión, los concienzudos ignoran los hechos y las reglas que no encajan en la imagen diseñada por ellos mismos y trabajan obsesivamente en la solución óptima para ellos, en el peor de los casos a expensas de la seguridad.
Malware versus personaje
La gran mayoría de los ataques cibernéticos no tienen éxito debido a la habilidad del hacker, sino más bien a un error o descuido humano. Según el estudio, los tipos de personalidad asociados con la decisión, el realismo y la claridad pueden ser más propensos a las descargas maliciosas. Lo mismo se aplica a las personas con un fuerte talento organizacional y aquellas que llaman la atención con su forma de trabajar idiosincrásica o imaginativa. Si bien estos empleados generalmente trabajan con el protocolo de seguridad paso a paso, la presión del tiempo y el estrés podrían llevarlos a tomar una decisión rápida en aras de la eficiencia. Esto se puede remediar centrándose estrictamente en la información relevante antes de tomar decisiones.
El phishing se dirige a personas seguras y positivas
Los correos electrónicos de phishing se encuentran entre los vectores de ataque más peligrosos y entre los más exitosos. Mientras tanto, los mensajes falsos son tan engañosamente reales que incluso los expertos tienen que mirar varias veces para desenmascararlos. Los tipos de personalidad que pasan por la vida con confianza, de manera positiva y con valentía parecen ser particularmente receptivos a las estafas de phishing. Las personas entusiastas y creativas que se dice que tienen un alto nivel de entusiasmo también deben tener especial cuidado. Cuando se trata de seguridad de TI, estos personajes deben tomarse el tiempo para verificar la confiabilidad de los mensajes entrantes antes de abrirlos, descargar archivos adjuntos o responder. Debe tener especial cuidado con los correos electrónicos con contenido interesante o una presentación emocional.
El Internet de las Cosas pone en peligro a los pragmáticos
Hace tiempo que el Internet de las cosas (IoT) se ha convertido en una parte integral de nuestras vidas: la puerta de la oficina se abre automáticamente cuando llegas, la máquina de café inteligente prepara el capuchino cuando comienzas a trabajar y la iluminación del escritorio se adapta al estado de ánimo. Por supuesto, todo esto atrae a los ciberdelincuentes, porque muchos de los dispositivos IoT utilizados tienen que ponerse al día en lo que respecta a la seguridad de TI. Cuando se agrega el error humano, se vuelve crítico.
Cuando se trata de IoT en particular, se hace evidente que los tipos de personalidad que son prácticos y que también se dice que son directos, abiertos y considerados podrían ser vulnerables si toman las riendas de la configuración de los dispositivos conectados. Las personas con altas habilidades para resolver problemas y una tendencia a ser independientes también están en riesgo. Esto es cierto incluso si normalmente siguen las reglas. El mejor enfoque para estos tipos de personalidad es no asumir siempre que sabes más. También deben asegurarse de que no se ignoren las reglas o regulaciones.
Conclusión del estudio
Los ciberataques son una amenaza constante para las empresas. Comprender las personalidades individuales puede desempeñar un papel clave en la estrategia de seguridad de TI de una empresa. De esta manera, se pueden desarrollar conceptos de capacitación más efectivos y se puede motivar a los empleados para que se concentren más en su autorreflexión y sus habilidades. Comprender que el factor humano es tan importante para la seguridad de TI como los aspectos técnicos es el primer paso para desarrollar conceptos de seguridad de TI holísticos para las empresas. El estudio se puede descargar de forma gratuita.
Más en ESET.comAcerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.