Liderar los esfuerzos de ciberseguridad para su empresa, su familia o incluso para usted mismo puede ser una tarea ingrata. Ofreces consejos verdaderamente excelentes, y nadie los sigue. No importa con qué frecuencia aclare la necesidad de crear contraseñas seguras y únicas, algunas personas simplemente no usarán un administrador de contraseñas. Y puede advertirle que no haga clic en enlaces dudosos hasta que esté triste… pero la gente sigue haciendo clic.
Kyle Tobener, vicepresidente y jefe de seguridad de la startup de seguridad Copado, desafió a los asistentes a la conferencia Black Hat a cambiar su forma de pensar. Suponga que no puede prevenir los comportamientos de riesgo y, en cambio, trabaje para minimizar las consecuencias negativas, argumentó.
Cambiar el comportamiento a través del miedo no funciona
Tobener abrió con un recuerdo. “Como estudiante de primer año en la escuela secundaria, nos arrastraron a todos al auditorio, nos mostraron un automóvil destrozado y nos dijeron que nuestros compañeros de clase habían muerto”, dijo. Explicó que programas como Cada 15 Minutos(Se abre en una nueva ventana)junto con DARE, Scared Straight y similares, son ineficaces y, de hecho, pueden empeorar los comportamientos.
“¿Por qué te digo esto?”, preguntó Tobener. “¿Por qué es esto relevante? El miedo es una táctica común en la ciberseguridad: simplemente camine por el pasillo de los proveedores. Le decimos a la gente que no haga cosas, pero ¿y si eso empeora las cosas? Mi objetivo es ayudarlo a brindar una mejor orientación sobre seguridad, lo mejor que pueda brindar, ya sea que esté en una empresa Fortune 100 o tratando de enseñarle a su abuela sobre seguridad».
Tobener explicó un marco de tres puntos para implementar una estrategia de reducción de daños:
-
Acepte que los comportamientos de riesgo llegaron para quedarse.
-
Priorizar la reducción de las consecuencias negativas.
-
Abraza la compasión mientras brindas orientación.
¿Qué es la reducción de daños?
Tobener señaló que la comunidad de atención médica ha estado trabajando con esta alternativa de reducción de daños durante casi 40 años, reemplazando una campaña ineficaz de abstinencia exclusiva contra la propagación del VIH. Sabiendo que el VIH se propaga a través de la actividad sexual y el intercambio de agujas, la solución para reducir el uso es simple: sin sexo ni drogas. Pero en el mundo real, las personas humanas complicadas no necesariamente detendrán los comportamientos de alto riesgo.
“La reducción de daños se originó en Liverpool, con un programa de intercambio de agujas”, explicó Tobener. “Esto puede sonar radical, pero lo que hicieron fue prevenir un brote de VIH”. Continuó citando estudio tras estudio que mostraban que los programas para detener comportamientos no deseados mediante la abstinencia eran ineficaces y, a menudo, realmente dañinos. La reducción del uso no puede ser el único objetivo.
“Acepte que la toma de riesgos llegó para quedarse”, dijo Tobener. “Estos comportamientos ocurren por una razón. Decirle a la gente ‘No hagas eso’ no aborda el incentivo. La reducción del uso tiene rendimientos decrecientes y consecuencias no deseadas”.
Tobener citó la Ley de Hierro de la Prohibición(Se abre en una nueva ventana)que establece que cuando proscribes algo, aumentará su potencia y será más difícil de detectar.
“También está el efecto de la violación de la abstinencia”, continuó Tobener. “Cuando las personas alcanzan objetivos de reducción de uso poco prácticos, pueden aumentar conductas de riesgo. No pueden alcanzar las metas, así que ¿por qué intentarlo?”.
Señaló una extensa investigación médica que muestra este efecto en la prohibición del alcohol, la prevención del embarazo adolescente y la Guerra contra las Drogas. “Aceptar que la erradicación no es el objetivo”, dijo. “La reducción del uso es relevante y sigue siendo el resultado preferido, pero no puede ser el único objetivo”.
Cómo aplicar la reducción de daños a la ciberseguridad
Tobener presentó una serie de ejemplos de orientación de seguridad problemática. Les decimos a las personas que hagan que sus contraseñas sean únicas y complejas, y luego nos burlamos de ellos si escriben esas contraseñas en un cuaderno. Imaginamos que podemos acabar con el phishing diciéndole a la gente que no haga clic en un enlace no seguro.
“La gente reutiliza contraseñas simples porque les ahorra tiempo y energía mental”, señaló Tobener, “y algunas capacitaciones antiphishing en realidad han aumentado la susceptibilidad a las estafas de phishing”. También señaló que las estrategias de reducción del uso pueden agregar estigma social. “Cuando nombramos y avergonzamos a alguien que cometió un error de seguridad, lo hacemos sentir menos que sus compañeros”.
Recomendado por Nuestros Editores
“Eso me lleva a la reducción de daños”, dijo Tobener. “Es un conjunto de estrategias e ideas prácticas destinadas a reducir las consecuencias negativas asociadas a diversos comportamientos humanos. Se enfoca en el resultado, no en el comportamiento”.
“El riesgo no es binario”, dijo Tobener. “Hay comportamientos más y menos riesgosos en el espectro. Si simplemente dejas que los que toman riesgos sufran porque ‘se lo merecen’, ignoras el daño a quienes los rodean. Cualquier paso hacia la reducción del daño es valioso. Aceptas el comportamiento arriesgado e identificas cualquier forma que puedas para reducir los aspectos negativos”.
El punto final en el marco es abrazar la compasión en su guía. “Es un poco sensiblero”, admitió Tobener, “pero es importante. Como profesional de seguridad, debe tratar de no agregar estigma a estos comportamientos de alto riesgo. Cuidar de las personas es más divertido que luchar, te convierte en un mejor practicante y reduce el agotamiento. La compasión te hace más eficaz. La investigación apoya esto”.
No digas ‘no’
“La reducción de daños es efectiva en el cuidado de la salud”, concluyó Tobener. “La investigación lo respalda. Existe una gran oportunidad para implementar la reducción de daños en la ciberseguridad. Al salir de esta sala, ya no decimos ‘No hagas eso’. En cambio, estamos diciendo ‘Trate de no hacer eso, pero si lo hace, aquí hay algunas formas de estar seguro’”.
Esta fue una sesión reveladora para mí y, estoy seguro, para otros asistentes. Todos nos hemos encontrado con las soluciones automáticas basadas en la abstinencia en entornos sociales y de salud, y algunos de nosotros hemos experimentado lo mucho que pueden fallar. Tendré en cuenta la reducción de daños en mis propios intentos de orientación de seguridad en el futuro.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.