Un problema relacionado es que los usuarios a menudo pueden mostrarse reacios a informar un problema porque temen las consecuencias cuando han realizado una acción que pone en riesgo la seguridad de la empresa. Estos retrasos en la notificación amplían el tiempo para que los actores malintencionados causen daños graves. De acuerdo a DBIR de Verizonlas organizaciones necesitan un promedio de 55 días para corregir las vulnerabilidades críticas, y ese tiempo puede traducirse en pérdidas graves, desde costosos ataques de ransomware hasta daños a la reputación de la empresa.
Los CISO pueden abordar este problema fomentando aún más una cultura en la que todos reconozcan el papel esencial que desempeñan en el mantenimiento de la seguridad de la organización. En lugar de contribuir a una cultura del miedo señalando y avergonzando, los CISO pueden destacar a las personas que han tomado decisiones de seguridad inteligentes y han evitado riesgos para que sirvan como modelos a seguir y conviertan los eventos en experiencias de aprendizaje.
2. Priorizan la comodidad sobre la seguridad
Las personas tienden naturalmente a encontrar la ruta más rápida posible en el trabajo, y eso a menudo se traduce en tomar atajos que comprometen la seguridad en aras de la conveniencia. Incluso los empleados de tecnología no son inmunes cuando, por ejemplo, importan bibliotecas de repositorios públicos, asumiendo que son seguras, ya que continúan utilizándose para distribuir malware y robar contraseñas.
Para evitar estos atajos que pueden amenazar los sistemas, los CISO pueden implementar avisos MFA automatizados para evitar riesgos debido a contraseñas comprometidas y restringir el acceso a servicios que podrían poner en riesgo los datos, incluida la IA generativa o bibliotecas de código descargables. Los CISO deben proporcionar una lista de alternativas seguras a los servicios gratuitos a las que los desarrolladores de la empresa puedan recurrir para descargar archivos que hayan sido escaneados y certificados como libres de malware.
3. Sufren fatiga de alerta
Los seres humanos tienden a entrar en modo de piloto automático para tareas repetitivas y a desconectarse de las alertas constantes, explica el asesor de ciberseguridad Alexandre Blanc. Los estafadores aprovechan esto insertando sus intentos de phishing y otros ataques en mensajes digitales que coinciden con lo que los empleados ven todo el tiempo.
Si bien es posible publicar alertas sobre ellos, un flujo constante de notificaciones genera fatiga de alerta. Los empleados aprenden a desconectar las alarmas y pueden llegar a ignorar las advertencias de una amenaza real.
