Algunos lectores de “Ciberseguridad para directivos” (LID Editorial), al darme feedback sobre mi libro me han dicho que les había parecido muy interesante la visión de que la creación de una cultura organizativa respecto a la ciberseguridad es clave para el éxito de la estrategia en este sentido. Y, como corolario, la necesidad de dedicar un esfuerzo considerable a la concienciación. Pero, como decía Murphy “el optimista”, “nada es tan fácil como parece”.
“El público en general no tiene la misma percepción de riesgo cuando interactúa con un ordenador que cuando, por ejemplo, manipula un líquido inflamable o tóxico. Solo aquellos que han sufrido en sus carnes un incidente grave podrían sentir algo similar.”
La concienciación en ciberseguridad a través del humor resulta una palanca efectiva, como vamos a ver.
Protagonismo de los insiders en los incidentes de seguridad
Tendemos a darle más importancia a tecnologías visualmente más llamativas o a las funciones con un aura más romántico o de aventura: el hacking ético, la inteligencia artificial, los red teams o equipos de respuesta a incidentes. Pero conviene no ignorar que en gran parte de los incidentes de seguridad hay involucrados insiders (colaboradores necesarios dentro de la organización). Según distintos estudios, ocurre entre un 25 y 30 por ciento de las veces y hasta un 70 por ciento de ellas. Pero, en cualquier caso, hay consenso en dos aspectos sobre los incidentes provocados por insiders: son mucho más dañinos y también mucho más difíciles de descubrir y denunciar.
Intencionalidad o desconocimiento como causas
Estos insiders pueden causar estragos por intencionalidad o por simple falta de concienciación sobre la seguridad. Todos los días se siguen produciendo incidentes por ejecutar un adjunto en un correo o responder con datos personales a un mensaje fraudulento.
En conclusión, si las organizaciones pueden reducir el número de insiders -voluntarios o involuntarios- reducirán sustancialmente sus riesgos de ciberseguridad.
La importancia clave de la concienciación y los retos
Por eso es importante analizar cuál es la mejor manera de concienciar a la plantilla de una organización. Dado el impacto que puede tener en los riesgos, se trata de una decisión crítica. Juega en contra la complejidad técnica (las amenazas son difíciles de explicar)… y, sí, también el aburrimiento. Las campañas de comunicación sobre los riesgos de TI suelen ser repetitivas y planas.
Una manera innovadora de abordar la ciberseguridad a través del humor
Otro Murphy, Ian Murphy, un destacado consultor británico en ciberseguridad, fundó Cyberoff con el objetivo de dar un salto de calidad en las campañas de concienciación. Como arma utiliza el humor.
En el video inferior podéis ver un ejemplo de lo que estamos hablando, en el que Ian utiliza una parodia de una película muy arraigada en la cultura popular para concienciar sobre un tema “tan entretenido” como las estafas telefónicas relacionadas con el pago de impuestos.
Como se indica en la web de Cyberoff, “El contenido atractivo es una herramienta crucial para mantenerse seguro online. Ayuda a recordar las malas prácticas que se deben evitar: desde usar con descuido las contraseñas o propocionar demasiada información hasta no detectar cuándo un correo electrónico esconde una estafa. Estas pequeñas mejoras en el comportamiento de los empleados, acompañadas del uso del humor para ayudar a sus “ninjas de seguridad interna” pueden ayudar al negocio. La pérdida de datos, el robo de los de los clientes o la reputación comercial por los suelos son síntomas de no tener una fuerza laboral bien formada y esto se puede prevenir. Todo comienza por prestar atención prioritaria a los empleados. Cuando se les brinda contenido entretenido, que pueden compartir con sus familiares y amigos, se obtiene una fuerza de trabajo cibernéticamente más inteligente sin siquiera tener que pedirlo”.
Para profundizar en el tema, Ian Murphy ha accedido muy amablemente a responder a algunas preguntas para Think Big Grandes empresas sobre la concienciación en ciberseguridad a través del humor.
Enfoque a medida o genérico
Según nos cuenta, Cyberoff utiliza dos enfoques diferentes cuando aborda una nueva campaña: “Uno a medida y el otro, genérico. Cuando una empresa elige el primero, todos los contextos, guiones y temas de discusión se acuerdan directamente con el cliente y el contenido que se produce es para uso exclusivo dentro de dicha empresa. Puede ser cualquier cosa: desde un video live-action o animado hasta una campaña de carteles o libros electrónicos cortos, que expliquen los diferentes problemas que la compañía quiera abordar”.
“Para el enfoque genérico -continúa-, tengo un programa de early-adopters, a los que propongo cada mes temas variados sobre los que votan y el seleccionado se produce y publica como video de concienciación de ese mes. Lo enviamos por el correo electrónico interno de la empresa y generamos expectativa con correos electrónicos del tipo “trailers” y “coming soon” antes del lanzamiento del video final.”
En esta pieza veréis que Ian utiliza como hilo conductor al “Dr. Who”, la serie mundialmente famosa de la BBC.
Un gran trabajo detrás para hacer de la ciberseguridad algo divertido
Como se puede apreciar, son campañas que requieren de una preparación muy concienzuda, cuidar mucho los detalles y en ellas interviene un equipo de creativos que incluye guionistas, directores de fotografía, editores, productores, directores, etc. “Seguimos un briefing que acordamos con el cliente -explica Murphy. En general, tratamos de cubrir el mayor número de temas de concienciación de tantas maneras diferentes como sea posible para mostrar lo que se puede hacer para conseguir que la ciberseguridad resulte divertida y sea atractiva.”
¿Apuestan las empresas por el sentido del humor?
Pero ¿cuál es la reacción de las empresas ante este nuevo enfoque de la concienciación en ciberseguridad a través del humor? Según Ian, su percepción está cambiando. “Para empezar, muchas empresas temen mostrar su lado divertido para evitar que nadie se sienta ofendido. Una vez que les muestro el impacto y acordamos actuar dentro de sus límites morales (palabrotas, insinuaciones, etc.) “compran” la idea. Curiosamente, después del COVID-19 la mayoría de las organizaciones parece haber encontrado su sentido del humor. Entienden que la vida es demasiado corta para tanto formalismo asfixiante.
La involucración de la alta dirección marca la diferencia
Un aspecto clave siempre es la involucración de la alta dirección, como explico extensamente en “Ciberseguridad para directivos”.
Para Ian es un tema en curso, sobre el que hay que seguir trabajando. “Trato de alentar a los ejecutivos a involucrarse lo más posible en el resultado. Reconozco que no muchos de ellos quieren pero aquellos dispuestos a estar frente a la cámara comprueban que el plus de que su gente los vea comportarse como un ser humano hace maravillas.”
Para medir el impacto de su enfoque para la concienciación en ciberseguridad a través del humor, Ian se basa en los indicadores de éxito de su engagement en LinkedIn donde “se sorprenden de que tanta gente se tome tan en serio la concienciación sobre ciberseguridad”.
El humor maximiza los resultados
En definitiva, está demostrado que el humor, bien utilizado, maximiza el aprendizaje y atrae la atención de la gente sobre contenidos que, de otra forma, serían insoportables o al menos no resultarían prioritarios. Ya se utiliza en la publicidad, en la comunicación política, en las aulas… así que ¿por qué no utilizar el humor también en ciberseguridad?
La anécdota del general Maxwell Taylor en la guerra de Corea
Para quien piense que su uso es una forma de banalizar el tema y le resta importancia quiero recordar la famosa anécdota del general Maxwell Taylor en la guerra de Corea.
Las tropas de las Naciones Unidas se encontraban en una situación crítica. El ejército aliado chino-norcoreano los había sitiado completamente y disponía de una abrumadora superioridad de medios. Cundía la desesperación y la resignación: nadie tenía confianza en que se pudiese evitar una derrota catastrófica. En ese momento, el general Taylor, jefe del ejército, convocó una reunión con su desmoralizado estado mayor, consciente de que era necesario un empujón moral o serían barridos.
En el briefing, después de que los oficiales subalternos explicaran en detalle la gravedad del momento, Taylor tomó la palabra: “Veamos: están a nuestra derecha, a nuestra izquierda, delante y detrás de nosotros… esta vez no se nos van a escapar”.
El humor de Taylor salvó la situación. Si estaba dispuesto a gastar bromas era porque mantenía la cabeza fría, lejos de estar desesperado. Transmitió a sus hombres una confianza en sus propias fuerzas que nadie tenía. Eso los ayudó a romper el sitio y evitar el desastre.
Por tanto, utilicemos el humor en la concienciación y en las situaciones de crisis de ciberseguridad de la misma forma. Y cuanto más lo hagan los altos directivos, mucho mejor. No habrá mejor firewall, red team o pentester que un directivo con la cabeza fría y sentido del humor para liderar a su gente.
Imagen y videos: Cyberoff
Subtítulos vídeo: Víctor Deutsch y Fernando Rodríguez Cabello