Safe Conduct

El programa tiene como objetivo reducir los incidentes de seguridad de la información causados por errores humanos, mediante procesos dirigidos por profesionales en psicología y a través de la aplicación de teorías de modificación del comportamiento humano que permiten la predicción de comportamientos inseguros.

Impacto de los errores humanos para las empresas

Estos datos son el reflejo de una situación crítica para la seguridad y privacidad de la información que se ha sostenido en el tiempo y que exige cambios en los procesos de concientización de las empresas:

Impacto de los errores humanos para las empresas

De acuerdo con los resultados obtenidos de la XXIV Encuesta Nacional de Informática, capítulo Colombia, soportada por la Asociación Colombiana de Ingenieros de Sistemas. (Almanza, 2024), tenemos que los errores humanos es el incidente más común con un 43% y que más les cuesta a las empresas colombianas en un total aproximado de $US 3.750.000 dólares, seguido del phishing con un 33% con un costo aproximado de $ 3.450.000 mil dólares, y con un 27% las acciones de ingeniería social por $US2.550.000.

En cuanto a violación de protección de datos personales, las fallas humanas más frecuentes y que han ocasionado las multas más costosas, impuestas por las Superintendencia de Industria y Comercio SIC, autoridad de protección de datos personales en Colombia, son (SIC Sede Electrónica, s.f.):

Del CONOCIMIENTO a la ACCIÓN

Nuestra propuesta consiste en la práctica de procesos psicológicos que encaminan a sus colaboradores a convertir en acciones, todos los conocimientos adquiridos en seguridad y privacidad de la información.

Para que la concientización sea la medida de seguridad más efectiva, requiere no solamente la transmisión de conocimiento, sino la disposición de quienes los reciben de comprometerse a su aplicación y control, frente a nuevas acciones inseguras.

SAFE CONDUCT se encarga del fortalecimiento del grupo de empleados, interviniendo los aspectos de su comportamiento como son: La intuición, los procesos cognitivos, las emociones y la influencia social, para que no solamente asimilen conceptos y los reflejen en sus acciones, sino que además tomen decisiones, asuman las responsabilidades de sus errores y los corrijan, tengan compromiso y desarrollen estrategias, tácticas y recursos, que les permitan identificar y detener los ataques online y off line.

SAFE CONDUCT combina la Teoría de Acción Razonada, con los conceptos de Autoeficacia de Bandura, para la modificación de los comportamientos inseguros.

La aplicación de este modelo, permite que los empleados se comprometan con un determinado comportamiento, por ejemplo, anonimizar la información personal que obre en los diferentes canales y herramientas; así como el incremento de los niveles de esfuerzo, frente a la predicción de prácticas inseguras.

SAFE CONDUCT promueve la intuición, para que vuelva a ser ese potente mecanismo de seguridad, que ayude a las personas a distinguir entre lo verdadero y lo falso, lo cual es fundamental en los casos de suplantación de identidad, donde cada vez la IA será más sofisticada y promete que le será más difícil a las personas descubrir, si quien le está hablando es realmente quien dice ser y no es una máquina.

SAFE CONDUCT está concebido para ser desarrollado de manera 100% presencial, con la conformación de grupos interdisciplinarios, para involucrar a todos los empleados, en todos los niveles de la organización.

SAFE CONDUCT surte su ejecución en 3 etapas: Diagnóstico, intervención y seguimiento, de la misma forma que una psicoterapia.

SAFE CONDUCT es la respuesta a una de las exigencias del modelo de gobernanza en Ciberseguridad en Colombia: La adopción de comportamientos seguros por parte de sus empleados.

El programa proporciona:

El Empowerment o fortalecimiento de los empleados para que actúen de manera comprometida, consciente y crítica frente a la seguridad de la información
La disminución de los incidentes de seguridad por errores humanos (fallas humanas)
La resistencia frente a los ataques por acciones de ingeniería social

Referencias:

Almanza A., (2024). XXIV Encuesta Nacional de Informática. Revista Sistemas Ed. 171. Computación confidencial: El reto de la seguridad y control en la nube. P. 47-56.https://doi.org/10.29236/sistemas.n171a4
Superintendencia de Industria y Comercio SIC, s.f., Tema Protección de Datos Personales, Decisiones Administrativas. https://www.sic.gov.co/tema/proteccion-de-datos-personales/decisiones-ad