Comprendiendo el comportamiento humano ante las amenazas cibernéticas
He desempeñado una carrera profesional por más de nueve años en el área de la informática y ciberseguridad para múltiples empresas internacionales y el común denominador que les preocupa a casi todas es el tema de la llamada ingeniería social. Que comúnmente lo conocemos como estafas, engaños o trampas que los atacantes utilizan contra los empleados o usuarios finales.
De lo cual surgen diferentes interrogantes mediante lo que expresa el análisis del comportamiento, sobre todo ¿Qué hacemos?, el ¿Cómo pensamos? y ¿Cómo se toman decisiones?, en el abordaje de la contención y percepción de las amenazas que emergen día con día de los propios ordenadores en las estaciones de trabajo o personales en cada hogar.
Lo que destaca es que entre los errores que son más comunes, es que se presume que los temas sobre concientización han sido creados de forma personal y no para pensar como un usuario, se sigue con una jerga técnica que solo es entendible para aquellos que dominan los temas informáticos y de ciberseguridad, siendo una preocupación distante para aquellas personas que se han preparado para trabajar en diferentes ámbitos del rol económico empresarial, por lo cual debería crearse capacitaciones con un lenguaje más flexible y acoplado para una comprensión universal.
Se puede exponer que en varias ocasiones lo que expresamos por su tecnicismo puede dejar más dudas e incógnitas, por esta falta de comprensión que se puede tornar aburrido y se distrae a la persona. Realmente el objetivo primordial se pierde en el transcurso del ejercicio, y no se logran las metas propuestas como el cambiar comportamiento para mejorar el uso responsable del equipo y sus herramientas y servicios que se han instalado para su uso, llevar a que tomen una acción de protección de la información e infraestructura critica, formar hábitos en una cultura de detección de amenazas y posibles vulnerabilidades, motivar a las personas a mejorar sus prácticas diarias en el resguardo de su accesos.
Muchas veces el contenido llega hacia la persona de forma complicada o demasiado amplio para su entendimiento, por lo que se tiene realizar un ejercicio práctico en el intercambio de conocimientos y experiencias, como el ejemplo de un vendedor que tiene todas las intenciones de promocionar un producto nuevo, que es poco conocido o se desconoce en su totalidad del mismo, pero en su afán de vender los describen como un artículo de suma necesidad y se compra con esa visión, lo que después genera un análisis de forma personal si en verdad era algo que se necesitaba o se arrepiente la persona de esa compra.
En ese sentido las personas que trabajan en el medio de la ciberseguridad tienen que vender todo este esquema de información vital para reducir los riesgos ante cualquier vulnerabilidad, para que llegue de forma adecuada al usuario final y comprenda su importancia en su medio laboral. Pero para eso se necesitan a los colaboradores de Marketing, que formulen algo que permita convencer al cliente, y por ende se tiene que tomar el papel de un trabajador de Marketing e iniciar un juego sobre el análisis de los perfiles humanos, sus pensamientos y comportamientos para el entendimiento de su toma de decisiones. Resultado de este ejercicio que la concientización es saber vender, y que se vende:
- Nuevas Ideas
- La motivación para el cambio de comportamientos
- Confianza
Comenzar a salir un poco de la caja para entrar en ese mundo que a veces también puede ser el mundo de un psicólogo.
El primer punto que se debe tomar en cuenta es que las personas son clientes a los que se debe vender servicios o productos. Algunas de las cosas que se me instruyeron cuando curse la maestría de negocios, especialmente en el curso de marketing, es que lo más importante es conocer a tu cliente, alrededor a sus preferencias, para ofrecer algo que realmente va a comprar y va comprar, captando su atención.
Y con respecto a esto siempre he tenido el gusto por esta frase:
“La gente olvidará lo que dijiste,
la gente olvidará lo que hiciste,
pero la gente nunca olvidará cómo la hiciste sentir.”
Maya Angelou.
Si se recuerda de algún anuncio que le hizo tener una sensación de felicidad, tranquilidad, o expresar alguna otra emoción. Seguramente no se recordará de los detalles de un todo, los argumentos, pero si la permanencia de esa sensación que dejó. Precisamente porque logró tocar emociones en los consumidores. Que, en la propia historia personal de cada persona, se puede asociar y mezclar con creencias o experiencias previas y recuerdos que se tienen asociados en nuestro subconsciente.
De la misma forma en que se dejan este tipo de anuncios emocionales o instintivos más que racionales, se deben entregar hacia las personas para que la concientización produzca mejores resultados.
¿Y cómo se puede lograr?
Con un procedimiento de unos pasos sencillos se explica que esto se basa en cómo una persona toma una decisión de compra:
Primero observen cómo la corporación líder en el comercio electrónico AMAZON, para influir sobre el proceso de decisión de compra de sus clientes, se basa en la representación de los beneficios y ventajas de comprar en línea.
Caso Amazon
Amazon es una empresa que ha entendido cómo llevar la acción de las compras, seducir a un cliente para llevarlo de un proceso de mostrarle una necesidad hasta realizar de manera efectiva una compra.
Teniendo claro este ejemplo como una de las herramientas del marketing para vender un producto o servicio, se puede aplicar para la ciberseguridad.
Primero: Se debe realizar una clasificación del nivel que existe sobre la concientización de seguridad en el que se encuentran las personas objetivo.
Segundo: Después de la clasificación se puede armar un contenido o una ruta de aprendizaje dependiendo su nivel de aplicación. Por ejemplo:
- Nivel Bajo: el propósito despertar el interés de la persona o que se genere una necesidad, lo cual se puede realizar transmitiendo contenido fresco, amigable y divertido (contando historias o experiencias de la vida real, referencias con memes, chistes, entre otros).
- Nivel Medio: el objetivo es que cuando ya se ha logrado despertar ese interés, se debe influir en el deseo. En este nivel ya se pueden tocar temas un poco más técnicos, pero con una explicación simple al hablar o mencionarlos, introduciendo el phishing, vishing, troyanos, virus, rasomware utilizando una serie de ejemplos.
- Nivel Alto: debe llevar a las personas a la acción de la compra, es decir, en este punto ya se puede considerar que están listos para venderles el producto, que en este caso se presentan las políticas, estándares, procedimientos de seguridad y todo el esquema deseado. Pero para no utilizar estos términos o tecnicismos se puede cambiar su nombre como por ejemplo llamarlos acuerdos.
Finalmente se tiene un proceso de postventa para asegurarse que este llegando correctamente el producto a su destino final, y observar cómo transita de un nivel a otro, lo cual se puede analizar en unidades métricas que permita la evaluación del programa en intervalos de dos meses. De esta forma también se retroalimenta con alguna información que permita conocer lo que cada persona participante necesita para poder venderle el producto que ofrecemos. Y con estas experiencias la misma retroalimentación como un ciclo productivo.
Con toda esta información y esquemas de experiencias se puede evitar seguir generando programas de concientización que solo tendrán un resultado poco favorable en capacitaciones aburridas y que más que generar un valor positivo hacia las empresas, generan cuellos de botella y obstáculos en los procesos de negocio.
Comentarios