Un modelo médico para reducir el comportamiento de riesgo en ciberseguridad
La reducción de daño se utiliza para tratar a personas con adicción: si no puedes evitar que abusen de las sustancias, disminuye las consecuencias negativas de ello. Este enfoque aplicado a las conductas de riesgo en ciberseguridad puede ser más eficaz que las amonestaciones.
La mayoría de los profesionales de ciberseguridad saben que formar a los empleados para que sigan buenas prácticas, como los simulacros de phishing que descubren a los empleados que caen en señuelos falsos y convincentes, suele ser una propuesta frustrante. Un experimento reciente llevado a cabo en la Universidad de Baylor encontró pruebas de que los simulacros de phishing pueden dañar las relaciones entre una empresa y sus empleados, provocando sentimientos de traición y haciendo que vean la ciberseguridad como algo perjudicial.
Kyle Tobener, vicepresidente y responsable de seguridad e informática de Copado, cree tener una mejor solución para ayudar a las organizaciones a mejorar la postura de ciberseguridad de sus empleados: la reducción del daño. Esta semana en Black Hat, evento de ciberseguridad que se realiza en Las Vegas entre el 6 y el 11 de agosto, Tobener propondrá un marco para aplicar la reducción de daños a los riesgos de ciberseguridad en el que ha estado trabajando desde 2020.
Aplicar un modelo médico a la ciberseguridad
El concepto de reducción del daño se originó en la comunidad médica, concretamente en el tratamiento del abuso de sustancias. La teoría consiste en conocer a las personas "en el punto en el que están" y aceptar que ciertos comportamientos no pueden eliminarse por completo. En cambio, el objetivo es minimizar los efectos nocivos de los comportamientos negativos en la medida de lo posible.
El concepto de reducción de daños en ciberseguridad no es nuevo, aunque sus ejemplos de uso son escasos. Por ejemplo, Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, publicó en marzo un artículo titulado 'Reducción de daños en Telegram para los usuarios de Rusia y Ucrania'. En su artículo, Galperin orienta a los usuarios sobre cómo navegar de forma más segura por la aplicación Telegram, que "ciertamente no es la aplicación de mensajería más segura del mercado ahora mismo", escribió.
El Centro de Investigación del Ciberacoso también promueve la reducción de daños en relación con el sexting entre los jóvenes, otro tipo de comportamiento que probablemente no se vea afectado por las amonestaciones directas. Según el Centro, "gastamos todo nuestro tiempo y energía en exigir a los jóvenes que nunca envíen fotos íntimas a nadie, a la vez que creamos una especie de estado policial para tratar de garantizar que no ocurra (por ejemplo, vigilancia, programas espía, etc)".
Centrarse en reducir las consecuencias negativas de seguridad
Tobener dijo que aprendió sobre la reducción de daños cuando se enfrentó a un familiar que luchaba contra la adicción. "Una vez que aprendes sobre la reducción de daños y ves que la gente da consejos como 'no hagas esto', y empiezas a darte cuenta de lo ineficaz que es ese consejo, realmente cambia tu forma de pensar", dice. "En seguridad, la gente da muchos consejos".
Por ejemplo, señala el anuncio de Coinbase durante la Super Bowl a principios de este año que incitaba a los espectadores a utilizar un código QR para ir a un sitio web de Coinbase. "Mucha gente de seguridad acudió inmediatamente a Twitter, a los blogs y a lo que sea, y dijo: 'no usen códigos QR al azar. Esto es muy inseguro", dice Tobener.
"Es un consejo terrible. Los códigos QR y los enlaces son la forma en que funciona Internet. La gente es curiosa. Quieren aprender. Así que, cuando das este consejo, la persona lo hace de todos modos. Has perdido una oportunidad de educar a esa persona con una información que podría ser útil".
"La reducción de daños nos enseña que si te centras en reducir las consecuencias negativas o los comportamientos de riesgo que la gente pueda estar adoptando, en lugar de limitarte a tratar de reducir la cantidad de riesgos que la gente asume, en conjunto, a largo plazo, vas a estar dando un consejo más eficaz".
Marco de tres pasos para abordar la reducción de daños
Tobener ha desarrollado un sencillo marco que ha destilado de una gran cantidad de materiales de reducción de daños en el ámbito sanitario. El primer paso del marco es "aceptar que los comportamientos de riesgo están aquí para quedarse", dice. "La investigación médica demuestra que, a pesar de todos nuestros esfuerzos por eliminar las drogas y deshacernos de la bebida, no nos libramos de las conductas de riesgo".
El segundo paso es dar prioridad a la reducción de las consecuencias negativas. "El núcleo de la reducción de daños es centrarse en las consecuencias negativas y reducirlas, en lugar de intentar sólo reducir el comportamiento", dice Tobener.
Tobener cree que la tercera parte, y la más emocionante, de su marco es algo en lo que cree que la mayoría de la gente de ciberseguridad no se centra: abrazar la compasión mientras se proporciona orientación. "La compasión es algo que se puede tener por alguien, como una persona de marketing, que está haciendo algo que se puede considerar arriesgado", dice. "Hay formas de apoyarlos que no estigmatizan las cosas que hacen ni los avergüenzan. Pero, por desgracia, mucha gente de seguridad cree que nombrar y avergonzar es una buena idea".
La compasión puede hacer que los profesionales de seguridad sean más eficaces
Las investigaciones demuestran que la compasión puede hacer que los profesionales de la seguridad sean más eficaces y reducir el agotamiento, porque hace que la gente les escuche con más atención. "Y finalmente, si eres compasivo con ellos, como se ha demostrado en la investigación sobre drogas, a veces llegan a la decisión de dejar de consumir por sí mismos porque alguien fue amable con ellos y les escuchó y ayudó".
Un estudio que cita Tobener muestra que los médicos compasivos, por ejemplo, logran un mayor éxito a la hora de conseguir que sus pacientes diabéticos se atengan a las pautas. "Los pacientes con médicos compasivos mostraron una mayor adherencia a la orientación", dice. "Tenían un 40% menos de probabilidades de sufrir complicaciones y un 80% más de probabilidades de controlar el azúcar en sangre de forma óptima".
Tobener perfeccionó su comprensión de la importancia de la compasión de una manera profundamente personal. Originalmente planeaba presentar su marco de reducción de daños en Black Hat en 2020. Pero antes de poder perfeccionar su charla en el evento, recibió un diagnóstico de cáncer. Posteriormente se sometió a una operación y a quimioterapia y ahora está libre de cáncer.
"Mi experiencia con la profesión médica y los médicos que tuve me ayudaron a informar mi investigación en el lado de la compasión", dice Tobener, ayudando a que su marco sea mucho mejor que cuando lo presentó por primera vez en Black Hat. "Experimenté mucho de lo que hablo de primera mano".
Tobener subraya que decir a la gente que deje de realizar prácticas inseguras sigue estando bien. Su marco de trabajo no elimina el hecho de decirle a la gente que deje de incurrir en conductas de riesgo. "Se trata de que, además del consejo de no hacer algo, se acepte que un porcentaje de la población lo va a hacer de todos modos y se busque la manera de atender a esas personas también".
