El poder de la narración de historias en la formación en ciberseguridad

Por Rick Wash en The Wall Street Journal del 25 de noviembre de 2023

Las empresas han gastado millones de dólares en capacitar a sus empleados para que se mantengan a salvo del phishing.
Pero en gran medida no está funcionando.
Podrían considerar un arma poderosa pero infrautilizada: la narración de historias.
Recientemente escribí sobre las “pruebas de phishing” que muchas empresas utilizan para capacitar (bueno, asustar) a los empleados para que sean más cibervigilantes.
Envíe un correo electrónico de phishing falso y miden cuántas personas hacen clic en él.
Pero mi investigación muestra que estas pruebas en realidad pueden ser dañinas. Crean miedo, estrés y desconfianza entre los empleados y, al final, no mejoran mucho la resistencia al phishing.
Cuando escribí este artículo, varios lectores escribieron haciendo una pregunta simple: si las pruebas de phishing no funcionan, ¿qué funciona?
Creo que una mejor manera de capacitar a las personas es que sus compañeros les cuentan historias sobre sus experiencias con las estafas.
Los seres humanos tenemos una capacidad innata para aprender de historias sobre otras personas, incluso si son sólo historias casuales que caen en medio de una conversación.
Mi investigación sobre el tema ha descubierto cuán efectivas pueden ser las historias cuando se aplican al delito cibernético: escuchar que alguien más ha sido atrapado por phishing, o evitarlo por poco, hace que las personas sean más propensas a tomar en serio la seguridad y evitar. los errores de los que han oído hablar.

Superando las barreras
Sólo para aclarar una cosa, no estoy diciendo que debamos desarrollar la formación tradicional. Piénselo: la mayoría de las personas que trabajan con el correo electrónico todo el día deben conocer los conceptos básicos del phishing y cómo evitarlo.Pero dicha capacitación no está funcionando tan bien como podría o debería porque, de alguna manera, es demasiado superficial y demasiado fácil de olvidar o ignorar cuando las cosas se ponen muy ocupadas. Por el contrario, las buenas historias muestran cómo y por qué ser cauteloso, al poner la seguridad en términos personales que realmente impactan. Cuando un compañero cuenta una advertencia, podemos vernos a nosotros mismos en ese lugar y absorber las lecciones mucho más profundamente. Por ejemplo, los consejos de phishing estándar de los procedimientos a menudo dicen a las personas, sin contexto, que “tengan cuidado con los llamados a la urgencia” en los correos electrónicos. ¿Qué significa eso de que cada correo electrónico que exige atención inmediata? Por otro lado, una historia puede describir cómo alguien que usted conoce consiguió piratear su tarjeta de crédito al hacer clic en un enlace que decía “Se requiere acción” o “Su paquete está en espera”. ¿Qué es más probable que te hagas sentarte y prestarte atención?Para tener una idea de cuán poderosas pueden ser las historias, considere un estudio que realizó con Emilee Rader y Brandon Brooks. Poco menos de la mitad de las 700 personas con las que hablamos habían oído historias sobre temas como virus informáticos, violaciones de cuentas, robo de identidad y, sí, phishing.

Lo más importante es que tres cuartas partes de las personas de ese grupo dijeron que aprendieron una lección importante sobre ciberseguridad al escuchar las historias, y más de la mitad informaron que cambiaron su forma de pensar y sus acciones como resultado de escuchar las historias.
Por ejemplo, una persona contó una historia sobre su compañera de cuarto, quien notó que su chat de Facebook Messenger tenía varias ventanas de conversación abiertas que no reconocía.
Alguien que se hacía pasar por el compañero de cuarto había estado pidiendo a sus amigos y colegas información personal, que el compañero de cuarto describió como el tipo de detalles que normalmente se usan en “esas preguntas de seguridad extrañas”. La compañera de cuarto tuvo que cambiar su contraseña y anunciar a todos sus contactos que ellos también podrían haber sido pirateados.
Cuando una persona escucha una historia de un compañero, le resulta más fácil versar a sí mismo en esa situación.
Después de enterarse de la experiencia de su compañera de cuarto, dijo la mujer en el estudio, aprendió a “no dar tu información a nadie, incluso si es tu amigo”.
Descubrimos que historias como esa nos impactan por varias razones.
Por un lado, el toque personal fue crucial. La mayoría de las personas que informaron haber escuchado historias (64%) las obtuvieron de sus amigos y familiares. El setenta por ciento de las historias se escuchan en entornos informales como el hogar o la casa de un amigo, y en su mayoría ​ e discutieron cara a cara. Las historias que enseñaban claramente una lección también fueron muy efectivas: tenían más de 20 puntos porcentuales más probabilidades de provocar un cambio en el pensamiento y las acciones futuras del oyente que otras historias.
Así, por ejemplo, la relación del compañero de cuarto funcionó porque el oyente escuchó acerca de un problema concreto con soluciones concretas. Por otro lado, las historias en las que no se percibió ninguna lección, o en las que la lección fracasó, simplemente no resonaron entre los oyentes

Historias en el trabajo
¿Qué pueden sacar las empresas de esta información?
Una vez más, las lecciones que los “expertos” en ciberseguridad dan a los empleados no tienen la misma fuerza que la historia de un compañero de trabajo.
Al fin y al cabo, piensa en cuántas veces repites algo que escuchaste de un experto en formación en ciberseguridad. Me imagino que para la mayoría de la gente nunca lo es.
Esto se debe a que las historias de un experto a menudo parecen críticas en lugar de educación. Los profesionales de la seguridad también tienen la reputación de gritar como lobo ante peligros potenciales.
Cuando una persona escucha una historia de un compañero, le resulta más fácil verse a sí misma en esa situación y pensar: “Ese podría ser yo”, lo que le ayuda a prestar atención a las lecciones de la historia. Además, escuchar una historia sobre un compañero que evitó con éxito una trampa de phishing ayuda a las personas a reconocer que sí tienen habilidades para evitar estas estafas.
Mucha gente piensa que el phishing es algo que sólo las personas con conocimientos técnicos pueden afrontar con éxito. Escuchar historias de compañeros ayuda a las personas a pensar: “Puedo hacer esto”.
En una investigación con Molly Cooper, realicé una capacitación sobre phishing que mostraba una historia en una página web de capacitación.
En la historia, describimos a una persona que recibe un mensaje de phishing supuestamente de su departamento de TI y luego hace clic en el enlace de ese mensaje.
La persona de la historia acaba teniendo que restablecer la contraseña de su cuenta.
La lección: pase el cursor sobre los enlaces para comprobar que la dirección sea legítima antes de hacer clic.

Ver nota completa en https://www.wsj.com/tech/cybersecurity/cybersecurity-training-scams-9ffe486b?reflink=integratedwebview_share

exto

Texto

Texto

Scroll to Top