Profesionales de la ciberseguridad: el refuerzo positivo hace maravillas con los usuarios


El juego de la culpa no funciona los expertos sugieren utilizar el refuerzo positivo para mejorar la actitud y el desempeño de los empleados.

istock-471043674.jpg

Imagen: iStock / jauhari1

Con toda la negatividad del mundo, parece un buen momento para recordarles a todos que el refuerzo positivo es una herramienta eficaz para mejorar el comportamiento de los empleados cuando se trata de ciberseguridad.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Para mantener a todos en la misma página, usemos la definición defendida en el artículo PositivePsychology.com de Courtney E. Ackerman Refuerzo positivo en psicología: «Un estímulo deseable o agradable después de una conducta. El estímulo deseable refuerza la conducta, haciendo más probable que la conducta vuelva a ocurrir».

Ackerman citó al famoso psicólogo Modelo de condicionamiento operante de B.F. Skinner como una forma de aclarar el refuerzo positivo. «El modelo de condicionamiento operante de Skinner se basa en la suposición de que estudiar la causa de un comportamiento y sus consecuencias es la mejor manera de comprenderlo y regularlo», dijo Ackerman.

El modelo operante de Skinner utiliza los siguientes métodos de condicionamiento:

  • Refuerzo positivo: Se introduce un estímulo deseable para fomentar un comportamiento específico.
  • Castigo positivo: Se presenta un estímulo indeseable para desalentar un comportamiento existente.
  • Reforzamiento negativo: Se elimina un estímulo indeseable para promover un comportamiento adecuado.
  • Castigo negativo: Se elimina un estímulo deseable para desalentar un comportamiento existente.

«Cada uno de estos cuatro métodos de acondicionamiento se puede implementar para enseñar, entrenar y manejar el comportamiento», dijo Ackerman.

¿Por qué la psicología es importante en la ciberseguridad?

Según el FBI, el phishing fue el tipo más común de delito cibernético en 2020, y el phishing solo funciona si la víctima prevista es obligada a hacer lo que quiere el ciberdelincuente. Por lo tanto, los usuarios son culpados por su participación voluntaria y reciben mucho de lo que Skinner consideraba un castigo.

VER: Los ataques DDoS se dirigen principalmente a EE. UU. Y los sectores de las computadoras e World-wide-web (TechRepublic)

Sai Venkataraman, director ejecutivo de SecurityAdvisor, en su artículo Assistance Web Protection, El poder del refuerzo positivo en la lucha contra los ciberdelincuentes, dijo que quiere que la gerencia reconsidere su enfoque y utilice el refuerzo positivo en su lugar.

«Es importante reconocer que el sesgo cognitivo es parte de la estructura y funcionalidad del cerebro humano», dijo Venkataraman en su introducción. «Si bien estos atajos mentales subconscientes dificultan el cambio de comportamientos, no es imposible».

El sesgo cognitivo es sin duda el culpable. Charlotte Ruhl, en su artículo de psicología easy ¿Qué es el sesgo cognitivo? sesgo cognitivo definido como:

«Un error subconsciente en el pensamiento que te lleva a malinterpretar la información del mundo que te rodea y afecta la racionalidad y precisión de las decisiones y juicios.

«Los sesgos son procesos inconscientes y automáticos diseñados para hacer que la toma de decisiones sea más rápida y eficiente. Los sesgos cognitivos pueden ser causados ​​por varias cosas diferentes, como heurísticas (atajos mentales), presiones sociales y emociones».

VER: Detrás de escena: un día en la vida de un experto en ciberseguridad (TechRepublic)

Venkataraman dijo que cree firmemente que el refuerzo positivo es el camino a seguir. «A través de la repetición y el aprendizaje contextual, los comportamientos pueden cambiar con el tiempo, y el refuerzo positivo sirve como el paraguas normal de la estrategia más amplia de conciencia de seguridad de una organización», dijo.

Con ese fin, Venkataraman ofreció las siguientes pautas para ayudar a los responsables a realizar cambios de comportamiento significativos:

Establece reglas claras: Los gerentes a cargo de la ciberseguridad y los recursos humanos deben comunicar claramente las políticas de la empresa con respecto a los incidentes de ciberseguridad a todos los involucrados. También es importante comprender cómo confrontar correctamente a los responsables de un incidente.

«Este es un paso vital para asegurar que los empleados reconozcan que la organización no está tratando de atraparlos haciendo algo mal, sino que les proporciona las herramientas y la guía para identificar posibles ataques maliciosos», dijo Venkataraman. «Establecer estas reglas básicas ganará la aceptación de toda la organización y garantizará que todos estén en la misma página».

hazlo individual: Los gerentes deben comunicar a cada empleado que recibirán instrucción personalizada sobre ciberseguridad. «Todos se involucran en acciones y comportamientos únicos, y están más inclinados a escuchar cuando consideran que la información es directamente relevante», dijo.

VER: Cómo asegurarse de que sus proveedores sean ciberseguros para protegerlo de los ataques a la cadena de suministro (TechRepublic)

No haga que los empleados se sientan estúpidos o avergonzados: Aquí es donde entra en juego el refuerzo positivo. La única forma de lograr un cambio significativo es establecer el tono adecuado.

«Con frecuencia, con las simulaciones de phishing, los empleados terminan sintiéndose estúpidos cuando cometieron un mistake», dijo Venkataraman. «La experiencia de aprendizaje debe sentirse orgánica y auténtica, al mismo tiempo que se presenta en un tono útil, en lugar de criticar o señalar errores».

Los amantes de los perros saben

Los dueños de perros comprenderán especialmente el ejemplo de los cachorros a quienes se anima con un premio después de obedecer una orden. «La probabilidad de que un empleado cambie un comportamiento se fortalece cuando tiene éxito», dijo Venkataraman. «Al abordar la conciencia de seguridad de una manera que realmente aliente e informe a los empleados, aumenta su motivación para eliminar un comportamiento negativo».

Avanzando con refuerzo positivo

Esto no es ciencia espacial, pero todos hemos estado en situaciones difíciles en las que no existía ningún pensamiento de refuerzo positivo. «En lugar de deshacer los comportamientos (castigo positivo y negativo), debemos reforzar los nuevos y positivos», dijo Venkataraman. «Esto será clave para proteger adecuadamente a las organizaciones de los ciberdelincuentes implacables y altamente sofisticados».

Para citar al normal retirado del Ejército de Estados Unidos Stanley McChrystal: «Los líderes pueden permitirle fallar y, sin embargo, no dejar que usted sea un fracaso».

Ver también



Enlace a la noticia authentic