Kyle Tobener quiere que los profesionales de la seguridad de la información eliminen las palabras “no hagas eso” de su vocabulario. Tobener, vicepresidente, jefe de seguridad y TI de la startup de DevOps Copado, habló en Black Hat USA 2022 el 10 de agosto sobre cómo la creación de un marco de reducción de daños puede mejorar la ciberseguridad más que simplemente centrarse en la reducción del uso.
Proporcionar una guía de seguridad efectiva no es tan simple como decirle a la gente “No haga clic en ese enlace” o “No reutilice las contraseñas”, según Tobener. La primera parte de un marco de reducción de daños para la seguridad cibernética exige que quienes brindan orientación acepten que las personas participarán en comportamientos de riesgo.
Las personas participan en conductas de riesgo por una razón. El incentivo para el comportamiento puede ser mayor que el riesgo. Las personas reutilizan las contraseñas porque les ahorra tiempo y energía mental a pesar de que son conscientes del riesgo de seguridad.
El patrón humano de asumir riesgos está bien establecido en algo más que la ciberseguridad. Simplemente prohibir el comportamiento de riesgo no siempre es efectivo. Tobener ofreció el ejemplo de la prohibición del alcohol en los Estados Unidos. Si bien el consumo de alcohol disminuyó inicialmente después del advenimiento de la prohibición, el consumo volvió a subir mientras aumentaba el costo de la aplicación. El negocio del contrabando floreció y el alcohol se volvió más potente. El simple hecho de tratar de evitar que las personas participen en un comportamiento resultó ser ineficaz.
“Hay algo que se llama el efecto de violación de la abstinencia. Esto sucede cuando las personas se enfrentan a objetivos de reducción de uso poco prácticos”, dijo Tobener. “En realidad, pueden aumentar su riesgo porque sienten que no pueden cumplir con sus expectativas demasiado altas”.
Reducir las consecuencias negativas
La reducción de daños tiene una larga historia en el cuidado de la salud. Tobener señaló el papel que juegan los programas de intercambio de agujas en la reducción de las infecciones por el VIH entre los usuarios de drogas por vía intravenosa. También destacó los cigarrillos electrónicos como ejemplo. Cuando inicialmente se prohibió en los EE. UU., floreció un mercado negro de cigarrillos electrónicos y muchas personas murieron. El Reino Unido optó por la regulación en lugar de una prohibición general. El uso de cigarrillos electrónicos fue menor y no hubo muertes.
Si el comportamiento de asunción de riesgos es inevitable, ¿qué significa eso para la guía de seguridad cibernética? Encontrar formas de reducir las consecuencias negativas es la siguiente parte del marco de reducción de daños de Tobener.
“Una y otra vez en la investigación estamos viendo [that] solo la reducción del uso aumenta el daño a las personas”, explicó. “Para ser más efectivo, debe observar los resultados nocivos de los comportamientos de riesgo que tiene en su entorno y diseñar tratamientos que mitiguen esos riesgos y resultados nocivos”.
En lugar de decirle a la gente que simplemente no participe en un comportamiento, ofrezca información sobre cómo mitigar las consecuencias de su comportamiento. “Hay versiones de comportamientos más riesgosas y menos riesgosas. El riesgo existe en un espectro”, dijo Tobener.
Implementar un marco de reducción de daños no significa dejar completamente atrás las estrategias de reducción de uso. “Ningún control individual es suficiente”, dijo Tobener. “Puede superponer controles y, en conjunto, tener un programa de seguridad muy exitoso al adoptar la reducción de daños”.
Ofrece compasión
La parte final del marco de reducción de daños de Tobener puede parecer contradictorio. ¿Qué tiene que ver la compasión con la ciberseguridad?
Las tácticas de “nombre y vergüenza” son comunes en ciberseguridad. El objetivo es adjuntar consecuencias negativas a los comportamientos que resultan en un riesgo de seguridad. Ese tipo de estigma social puede ser contraproducente y hacer que la guía de seguridad cibernética sea menos efectiva. “Cuando se trata de avergonzar y estigmatizar, esto reduce la eficacia y aumenta el daño que pueden causar los comportamientos de alto riesgo”, dijo Tobener.
Ofreció una alternativa a la estigmatización del comportamiento de riesgo. “Al construir una relación compasiva y de confianza con las personas a las que está tratando de guiar, su orientación será más efectiva”, dijo Tobener.
Una relación basada en la confianza, en lugar del miedo, hace que las personas sean más propensas a adoptar la guía y aprender de cualquier error que cometan en el camino. “Cuando castigamos a las personas, cuando las avergonzamos por cometer errores en su programa de seguridad, es menos probable que compartan los resultados de lo que han aprendido en su incumplimiento, sus errores, sus esfuerzos de respuesta. Eso nos hace a todos menos seguros. No nos beneficiamos del conocimiento que obtuvieron”, argumentó Tobener.
Una orientación eficaz sobre ciberseguridad mantiene seguras a las empresas y a las personas al adoptar el pragmatismo. “El objetivo aquí es eliminar ‘No hagas eso’ de tu vocabulario. En su lugar, diga algo como ‘Trate de no hacer eso, pero si lo hace, aquí hay algunas formas de hacer que ese comportamiento sea más seguro’”, dijo Tobener.
Qué leer a continuación:
Black Hat a los 25: por qué la ciberseguridad va a empeorar antes de mejorar
Cómo los ciberatacantes están cultivando nuevas estrategias y reconfigurando los trucos clásicos
Boletín de política tecnológica global de julio de 2022: de la victoria de Biden sobre el chip a la privacidad de datos posterior a Roe