El cambio de comportamiento y una (de muchas) técnica para lograrlo

El cambio de comportamiento y una (de muchas) técnica para lograrlo

Sobre el cambio de comportamiento

Muchas veces escuchamos hablar sobre “ Concientizar a los usuarios”, pero, ¿Qué es realmente?

Mucho se ha hablado ya acerca de que los usuarios son el eslabón más débil de una organización. Esto es así cuando dichos usuarios no han pasado por un correcto proceso de concientización. Concientizar significa incluir a los usuarios de una organización en la estrategia de seguridad de la misma, y lograr un cambio de comportamiento en ellos, mediante el desarrollo de hábitos seguros. De esta manera, se logra convertir al usuario en un aliado para la Seguridad de la Información de la organización y se alcanza el desarrollo de una nueva y muy importante capa de seguridad para ella.

De todas formas, muchas veces se emprende un plan de Concientización sólo para dar cumplimiento a una norma o política interna de la organización. De esta manera, los planes (y la inversión para llevarlos adelante) se convierten en un tilde en el checklist de un auditor y una falsa apariencia de seguridad.

Este enfoque de concientizar sólo para cumplir, viene dado   porque las técnicas y herramientas utilizadas para llevar adelante planes de Awareness no suelen ser las apropiadas. Esto genera un prejuicio alrededor del cambio de hábitos en los usuarios finales, donde se cree que es, o bien muy difícil de lograr, o hasta imposible. Entonces, “lo mejor” pasa a ser  educar para cumplir, e intentar parchear el gran agujero de seguridad que queda con controles tecnológicos que, si bien hacen su mejor esfuerzo, no logran detener todos los ataques dirigidos a los usuarios.

Resumiendo: Concientizar es importante, ya que el usuario está continuamente en la mira de los ciberdelincuentes, y las soluciones tecnológicas por sí solas no son suficientes para detenerlos. Y muy importante: Concientizar es posible.

Dicho esto, vamos a ver una de las técnicas (de muchas) que debemos tener en nuestro portafolio a la hora de llevar adelante un cambio de comportamiento exitoso en los usuarios de nuestra organización: El Refuerzo Positivo.

nota: si estás pensando que concientizar (de verdad, no sólo para cumplir) es un proceso en el que hay que tener en cuenta muchas técnicas, herramientas y metodologías, estás en lo cierto. Pero para tu suerte, existen plataformas que integran las mejores prácticas para que hacerlo se convierta en una tarea simple y efectiva.

Corregir con lapicera verde

El Refuerzo Positivo es una forma diferente de encarar un proceso de cambio de hábitos. La mayoría de las veces, durante la enseñanza, la persona a cargo de la misma se enfoca en destacar errores, con el objetivo de que éstos se reconozcan y se eviten. Esto sucede también en la mayoría de los entrenamientos asistidos por computadora.

Si nos ponemos en el lugar de una persona cualquiera dentro de nuestra organización, con todas sus tareas, obligaciones y estrés del día, lo que menos querrá es que remarquen, continuamente, cada cosa que hace mal. Menos, tendrá interés de rehacer una capacitación en la que no logró determinada nota, o quedar “trabada” por no encontrar una solución correcta.
Aquí entra en juego el Refuerzo Positivo. Esta técnica consiste en centrar la atención en lo positivo y no limitarse sólo a destacar los errores. Tiene su origen en la Psicología, como no podía ser de otra manera, puntualmente en el “Reforzamiento”.

Reforzamiento: procedimiento mediante el cual la aplicación de un estímulo (llamado reforzador) hace que aumente la probabilidad de que una conducta se repita en el futuro.

El Refuerzo Positivo entonces tiene lugar cuando una respuesta va seguida de una recompensa o cualquier otro evento positivo, y aumenta la probabilidad de que ésta vuelva a ocurrir.

Este cambio de enfoque, trae consigo una multitud de ventajas:

Afianza los conocimientos

Contribuye a afianzar lo bueno o correcto y a desechar lo negativo o incorrecto.

Estimula el esfuerzo

Al sentir que se reconoce algo que ha hecho correctamente, la persona va a valorarlo y se sentirá más predispuesta a continuar con su capacitación.

Fomenta la receptividad

Si nos limitamos a criticar y destacar los fallos, la persona acabará perdiendo el interés y abandonará su capacitación. Si la misma es obligatoria, la hará a la fuerza, pero sin asimilar ninguna enseñanza. En cambio, al incluir comentarios positivos y señalar lo que hace bien contribuiremos a que la persona esté más receptiva y asimile mucho mejor cuál es el camino correcto.

Motiva y crea conductas

A través del reconocimiento de sus aciertos ofrecemos a la persona un estímulo, despertamos sus ganas de actuar correctamente y hacer bien las cosas.

El método del refuerzo positivo contribuirá a motivar a la persona en busca del premio o aprobación por sus aciertos, pero creará también una conducta, un hábito que formará parte de su personalidad.

Cuando una persona está ya bajo el control del reforzamiento positivo, tiende a actuar sin que haya un motivo o causa antecedente o previa. De esta forma, llevará a cabo los comportamientos inducidos con “libertad”. Y cuando hay sensación de libertad, no hay control aparente, lo cual es positivo ya que cuando hay control la gente se molesta, trata de huir, reclama, se queja, y ejerce la rebeldía.

Mejora la autoestima

Ayudamos a la persona a detectar sus fortalezas y mejorar su autoestima, evitamos el desánimo y la frustración y contribuimos a que construya una imagen de sí misma real y positiva. Además, logramos que la persona pase un buen momento dentro de la capacitación y su predisposición a este tipo de campañas de concientización sea positiva.

Conclusión

A la hora de elaborar una metodología para llevar adelante un Plan de Concientización tengamos en cuenta el concepto del Refuerzo Positivo. Si vamos a utilizar una herramienta para llevarlo a cabo, entonces seleccionemos una que tenga en cuenta este concepto.
Éste, será uno de varios elementos que nos ayudarán a crear un cambio de comportamiento real en los usuarios de nuestra organización y en consecuencia una capa de seguridad muy importante para ella. Y, no menos importante, hará que el área de seguridad sea vista con ojos amigables, como un aliado dispuesto a ayudar a los usuarios y reconocer de buena manera sus aciertos.

Fuentes

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario