Riesgos del comportamiento en la Seguridad de Información y Activos

 

Habitualmente, cuando nos paramos a pensar en los riesgos y como tratarlos, se nos ocurren toda una serie de salvaguardas basadas en tecnología (anti-virus, firewall o gestión de usuarios) o en infraestructuras (detectores, cámaras, etcétera). De esta manera nos olvidamos de las personas y de su comportamiento, lo que supone en la mayoría de los casos unas brechas considerables de seguridad.

No será la primera vez que hemos encontrado una llave con una etiqueta que pone “caja fuerte” o ese post-it al lado del ordenador con el código de acceso, y ni que decir tiene todas esas conversaciones de las que uno se entera en trenes, aeropuertos u hoteles. Por ello, el comportamiento humano es un factor clave en el riesgo de seguridad de la información.

 

En este artículo vamos a repasar unos cuantos principios básicos de la seguridad del comportamiento humano aplicables a los escenarios habituales.

 

En las propias instalaciones

Malas praxis habituales:

  • Tono de voz alto en zonas comunes.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Hablar de temas confidenciales en ascensores.
  • Dejar información sensible o dispositivos fuera de zonas seguras
  • Dejar los ordenadores desatendidos sin bloqueo de pantalla.
  • No destruir material confidencial en destructora.

 

En trayecto de avión, tren o similar

Malas praxis habituales:

  • Tono de voz alto en asiento, restaurante o pasillo.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Trabajar con el portátil a la vista de otros viajeros.
  • Dejar dispositivos móviles a la vista en vehículos.
  • No bloquear el equipo cuando se deja en el equipaje de mano.

 

En Hoteles

Malas praxis habituales:

  • Tono de voz alto en habitación, restaurante, pasillo o recepción
  • Hablar de clientes y colaboradores con nombres y apellidos
  • Hablar de temas confidenciales en ascensores
  • Dirigirnos a la ventana abierta o balcón para hablar por teléfono
  • Dejar información sensible o dispositivos fuera de la caja de seguridad
  • Conectarse a redes no seguras.

 

En casa de amigos y familiares

Malas praxis habituales:

  • Smartphones desatendidos. (dejados en mesas o sobre armarios)
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Conectarse a redes no seguras.

 

En congresos o en visitas

Malas praxis habituales:

  • Exponer casos de éxito o de fracaso con información sensible.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Conectarse a redes no seguras.

Actuaciones correctivas

Aquí enumeramos una relación de actuaciones que se pueden ejecutar para corregir malos hábitos y fomentar una buena conducta de seguridad.

Hay un grupo de acciones generales que sirven para todos los contextos como son:

  • La formación, comunicación y concienciación del personal en materia de seguridad. Estas actuaciones pueden ir acompañadas de recompensa o sanción. En algunos casos solamente con acciones de gratificación hay muchas personas que son capaces de corregir vicios y cambiarlos por hábitos. Desgraciadamente hay casos que el correctivo es más efectivo, porque establecer regímenes disciplinarios puede ayudar en algunos casos.
  • El establecimiento de políticas claras por parte de la organización, mediante manuales de conducta y buenas prácticas.

En las propias instalaciones

  • Disponer de zonas claramente identificadas con espacios de archivo mediante control de acceso.
  • Elaborar de una política de escritorios para reducir las pantallas desatendías
  • Desarrollar una política de destrucción de papel y dispositivos.
  • Implementar una política de contraseñas y uso de las mismas.
  • La ejecución de auditorías de seguridad o inspecciones es un factor de refuerzo que permite reconducir conductas

 

En trayecto de avión, tren o similar

  • Disponer de filtros de pantalla para bloqueo de visión lateral.
  • Utilizar dispositivos móviles con aplicaciones de bloqueo automático.

 

En Hoteles, casa de amigos y familiares

  • Disponer de una política de uso de dispositivos móviles que no se reduzca a la conexión.

 

En congresos o en visitas

  • Utilizar dispositivos móviles con aplicaciones de bloqueo automático.

 

Seguridad Basada en Comportamiento

El SBC (Seguridad Basada en Comportamiento) es una técnica que permite mejorar la seguridad poniendo en el centro de las salvaguardas el comportamiento humano, poniendo en práctica las actuaciones correctivas anteriormente descritas.

Esta metodología se basa en 7 principios

  1. Concentrarse en los comportamientos
  2. Definición clara de los comportamientos
  3. Utilizar el poder de las consecuencias
  4. Uso de los antecedentes
  5. Potenciar la participación
  6. Establecer un código ético
  7. Diseñar una estrategia y método

Concentrarse en los comportamientos: los comportamientos se pueden observar y por tanto registrar, la cuantificación y medición de los mismos nos ha de separar de las interpretaciones y de los matices de la percepción. Es importante no centrarse en motivos o actitudes y mantener el foco en la consecuencia del acto.

Definición clara de los comportamientos: es necesario disponer de una clasificación clara de comportamiento seguros y comportamientos que suponen riesgo. Para ello la organización ha de definir los principales casos y establecer frente a situaciones concretas y habituales las acciones adecuadas y las no admisibles.

Utilizar el poder de las consecuencias: la relación entre Antecedente-Comportamiento-Consecuencia es eje básico sobre el que se puede trabajar para evitar riesgos. La retroalimentación y el refuerzo (positivo o negativo) del comportamiento permite establecer al sujeto una correlación lógica sobre el impacto de las acciones que lleva a cabo.

Uso de antecedentes: ya hemos vista la importancia de los antecedentes, por lo que el entrenamiento en seguridad y la fijación de metas nos permiten medir comportamientos y tener un valor de referencia para fomentar los hábitos frente a los vicios.

Potenciar la participación: dada la gran variedad de personas que suponen el colectivo de una organización la participación de todas las partes es fundamental para disponer de un mapa concreto del comportamiento. Por ello organizaciones con tamaños y actividades iguales presentan comportamientos completamente diferentes, ahí radica la necesidad de establecer un modelo participativo.

Establecer un código ético: se requiere de unos principios básicos que han de ser comunicados a toda la organización para que ésta los conozca e interiorice consiguiendo un proceso de concienciación sobre aquellos valores clave del comportamiento.

Diseñar una estrategia y método: la definición de políticas y controles del comportamiento permiten definir un método que nos facilita la consecución de la estrategia. La medición del desempeño derivado de disponer de unas directrices normalizadas y constatadas facilitan el logro de los objetivos.

Conclusiones

Todos estos consejos nos deberían permitir mejorar las salvaguardas de seguridad de la información y activos. Aunque como en todos los casos que afectan a los recursos humanos el cómo se ejecute este proceso es la clave que separa el éxito del fracaso.

Más allá del valor añadido que puedan suponer la corrección de estos comportamientos en la seguridad, la imagen proyectada a nuestros clientes y colaboradores se verá beneficiada considerablemente.

Riesgos del comportamiento en la Seguridad de Información y Activos

 

Habitualmente, cuando nos paramos a pensar en los riesgos y como tratarlos, se nos ocurren toda una serie de salvaguardas basadas en tecnología (anti-virus, firewall o gestión de usuarios) o en infraestructuras (detectores, cámaras, etcétera). De esta manera nos olvidamos de las personas y de su comportamiento, lo que supone en la mayoría de los casos unas brechas considerables de seguridad.

No será la primera vez que hemos encontrado una llave con una etiqueta que pone “caja fuerte” o ese post-it al lado del ordenador con el código de acceso, y ni que decir tiene todas esas conversaciones de las que uno se entera en trenes, aeropuertos u hoteles. Por ello, el comportamiento humano es un factor clave en el riesgo de seguridad de la información.

 

En este artículo vamos a repasar unos cuantos principios básicos de la seguridad del comportamiento humano aplicables a los escenarios habituales.

 

En las propias instalaciones

Malas praxis habituales:

  • Tono de voz alto en zonas comunes.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Hablar de temas confidenciales en ascensores.
  • Dejar información sensible o dispositivos fuera de zonas seguras
  • Dejar los ordenadores desatendidos sin bloqueo de pantalla.
  • No destruir material confidencial en destructora.

 

En trayecto de avión, tren o similar

Malas praxis habituales:

  • Tono de voz alto en asiento, restaurante o pasillo.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Trabajar con el portátil a la vista de otros viajeros.
  • Dejar dispositivos móviles a la vista en vehículos.
  • No bloquear el equipo cuando se deja en el equipaje de mano.

 

En Hoteles

Malas praxis habituales:

  • Tono de voz alto en habitación, restaurante, pasillo o recepción
  • Hablar de clientes y colaboradores con nombres y apellidos
  • Hablar de temas confidenciales en ascensores
  • Dirigirnos a la ventana abierta o balcón para hablar por teléfono
  • Dejar información sensible o dispositivos fuera de la caja de seguridad
  • Conectarse a redes no seguras.

 

En casa de amigos y familiares

Malas praxis habituales:

  • Smartphones desatendidos. (dejados en mesas o sobre armarios)
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Conectarse a redes no seguras.

 

En congresos o en visitas

Malas praxis habituales:

  • Exponer casos de éxito o de fracaso con información sensible.
  • Hablar de clientes y colaboradores con nombres y apellidos.
  • Conectarse a redes no seguras.

Actuaciones correctivas

Aquí enumeramos una relación de actuaciones que se pueden ejecutar para corregir malos hábitos y fomentar una buena conducta de seguridad.

Hay un grupo de acciones generales que sirven para todos los contextos como son:

  • La formación, comunicación y concienciación del personal en materia de seguridad. Estas actuaciones pueden ir acompañadas de recompensa o sanción. En algunos casos solamente con acciones de gratificación hay muchas personas que son capaces de corregir vicios y cambiarlos por hábitos. Desgraciadamente hay casos que el correctivo es más efectivo, porque establecer regímenes disciplinarios puede ayudar en algunos casos.
  • El establecimiento de políticas claras por parte de la organización, mediante manuales de conducta y buenas prácticas.

En las propias instalaciones

  • Disponer de zonas claramente identificadas con espacios de archivo mediante control de acceso.
  • Elaborar de una política de escritorios para reducir las pantallas desatendías
  • Desarrollar una política de destrucción de papel y dispositivos.
  • Implementar una política de contraseñas y uso de las mismas.
  • La ejecución de auditorías de seguridad o inspecciones es un factor de refuerzo que permite reconducir conductas

 

En trayecto de avión, tren o similar

  • Disponer de filtros de pantalla para bloqueo de visión lateral.
  • Utilizar dispositivos móviles con aplicaciones de bloqueo automático.

 

En Hoteles, casa de amigos y familiares

  • Disponer de una política de uso de dispositivos móviles que no se reduzca a la conexión.

 

En congresos o en visitas

  • Utilizar dispositivos móviles con aplicaciones de bloqueo automático.

 

Seguridad Basada en Comportamiento

El SBC (Seguridad Basada en Comportamiento) es una técnica que permite mejorar la seguridad poniendo en el centro de las salvaguardas el comportamiento humano, poniendo en práctica las actuaciones correctivas anteriormente descritas.

Esta metodología se basa en 7 principios

  1. Concentrarse en los comportamientos
  2. Definición clara de los comportamientos
  3. Utilizar el poder de las consecuencias
  4. Uso de los antecedentes
  5. Potenciar la participación
  6. Establecer un código ético
  7. Diseñar una estrategia y método

Concentrarse en los comportamientos: los comportamientos se pueden observar y por tanto registrar, la cuantificación y medición de los mismos nos ha de separar de las interpretaciones y de los matices de la percepción. Es importante no centrarse en motivos o actitudes y mantener el foco en la consecuencia del acto.

Definición clara de los comportamientos: es necesario disponer de una clasificación clara de comportamiento seguros y comportamientos que suponen riesgo. Para ello la organización ha de definir los principales casos y establecer frente a situaciones concretas y habituales las acciones adecuadas y las no admisibles.

Utilizar el poder de las consecuencias: la relación entre Antecedente-Comportamiento-Consecuencia es eje básico sobre el que se puede trabajar para evitar riesgos. La retroalimentación y el refuerzo (positivo o negativo) del comportamiento permite establecer al sujeto una correlación lógica sobre el impacto de las acciones que lleva a cabo.

Uso de antecedentes: ya hemos vista la importancia de los antecedentes, por lo que el entrenamiento en seguridad y la fijación de metas nos permiten medir comportamientos y tener un valor de referencia para fomentar los hábitos frente a los vicios.

Potenciar la participación: dada la gran variedad de personas que suponen el colectivo de una organización la participación de todas las partes es fundamental para disponer de un mapa concreto del comportamiento. Por ello organizaciones con tamaños y actividades iguales presentan comportamientos completamente diferentes, ahí radica la necesidad de establecer un modelo participativo.

Establecer un código ético: se requiere de unos principios básicos que han de ser comunicados a toda la organización para que ésta los conozca e interiorice consiguiendo un proceso de concienciación sobre aquellos valores clave del comportamiento.

Diseñar una estrategia y método: la definición de políticas y controles del comportamiento permiten definir un método que nos facilita la consecución de la estrategia. La medición del desempeño derivado de disponer de unas directrices normalizadas y constatadas facilitan el logro de los objetivos.

Conclusiones

Todos estos consejos nos deberían permitir mejorar las salvaguardas de seguridad de la información y activos. Aunque como en todos los casos que afectan a los recursos humanos el cómo se ejecute este proceso es la clave que separa el éxito del fracaso.

Más allá del valor añadido que puedan suponer la corrección de estos comportamientos en la seguridad, la imagen proyectada a nuestros clientes y colaboradores se verá beneficiada considerablemente.