Uno de los errores más persistentes en la ciberseguridad es diseñar estrategias para un “usuario perfecto”: alguien que está siempre atento, altamente motivado, con tiempo de sobra y conocimientos técnicos avanzados. En la realidad, diseñamos para personas que operan en entornos multipantalla y bajo condiciones de estrés, cansancio, urgencia y sobrecarga cognitiva. Para lograr una evolución transformacional, debemos aceptar que el diseño debe vencer a la intención.
Diseñar para humanos reales como ruega “The Design of Everyday Things” de Don Norman. Este clásico del diseño enseña que si una puerta es difícil de abrir, el error es del diseñador, no del usuario. En ciberseguridad, la seguridad falla cuando el entorno hace que sea fácil romper una regla ¿Te pasó que algunos usuarios coloquen nombres de meses y el año para no repetir contraseñas pero cumplir con la cantidad de números y caracteres que exige la política?
Te invito a ver este webinar que hicimos con Paula Geosits desde las oficinas de Safe-U donde ampliamos estos temas.
La premisa es simple pero profunda: la seguridad no falla cuando alguien rompe una regla; falla cuando el entorno hace que sea fácil romperla. Cuando un colaborador comete un error, la pregunta no debería ser “¿qué le pasa a esta persona?”, sino “¿qué parte del sistema está fallando?”. Si un proceso permite que una decisión impulsiva comprometa a la organización, el problema es de diseño, no de negligencia individual. El objetivo es que la opción segura sea la más simple, natural y automática para personas bajo estrés o sobrecarga cognitiva
Para construir una cultura resiliente, debemos enfocarnos en:
• Hacer que lo seguro sea lo fácil: La opción protegida debe ser la más simple, natural y automática para el usuario.
• Reducir la fricción: Debemos eliminar obstáculos para las conductas seguras y, en cambio, aumentar la fricción para las acciones riesgosas.
• Diseñar para el error: En lugar de castigar el fallo, debemos crear sistemas que minimicen su impacto, como alertas contextuales justo antes de una decisión crítica.
Esperar racionalidad permanente y atención constante es diseñar para un ser humano ideal que no existe. La gestión del riesgo humano efectiva consiste en reconocer la brecha entre “saber” y “hacer” como una condición humana estructural y construir defensas que protejan a la organización incluso cuando la racionalidad falla.
Cuando las empresas tienen una mirada tradicional intentan “arreglar” a su gente con más cursos, cuando lo que realmente necesitan es arreglar sus procesos. Si estás cansado de encontrate con los mismos errores humanos a pesar de la capacitación constante, te invito a rediseñar ese entorno para que la seguridad deje de ser una carga y se convierta en el hábito más sencillo de seguir para tu equipo.
Seguime en linkedin para estar al tanto de cada novedad sobre ciberseguridad, riesgo humano y concientización. ¿Vos como lo ves? Espero por tus comentarios.