En la primera parte de este artículo expuse el caso de Chanchis, responsable de seguridad en Acme S.A., quién comenta con Cuco, un buen amigo suyo, sus frustraciones por no encontrar “eco” en sus esfuerzos por mejorar la seguridad de la información de la empresa. Cuco, basado en el libro “Switch: How to Change Things When Change Is Hard” de los hermanos Heath, le comparte varios conceptos sobre cómo hacer posibles cambios importantes.

Recuerde que la metodología propuesta por los Heat se basa en tres dimensiones o aristas:

  1. Darle mensajes claros al jinete (el cerebro racional),
  2. Motivar al elefante sobre el cual va el jinete (el cerebro emocional) y
  3. Pavimentar el camino para que sea más fácil para el elefante y para el jinete tomar esa nueva dirección.

La vez anterior desglosé algunas técnicas para la primera dimensión y quedamos en concluir la segunda dimensión correspondiente a cómo modificar nuestros paradigmas. Además de explicar esa técnica, revisaré también algunas formas de lograr la tercera dimensión (pavimentar el camino) y finalizaré compartiendo con ustedes la estrategia de Chanchis.

.

Modificar nuestros paradigmas

Un paradigma es la forma en que vemos al mundo en relación a un tema en particular. Por ejemplo, cuando yo era adolescente practicaba Judo. Cuando me tocaba competir, trataba de concentrarme y hacer mi mejor esfuerzo, pero bastaba con que mi competidor tuviera ojos rasgados para que lo considerara mejor que yo, casi sin importar el color de su cinta. En pocas palabras, mi paradigma me decía “si tiene ojos rasgados, es japonés. El judo se inventó en Japón. Luego entonces él tiene un mejor nivel de judo que yo”. Así son nuestros paradigmas, son patrones mentales que tenemos, basados en la realidad o no, bajo los cuales percibimos el mundo y tomamos decisiones.

Parece que el origen de que nuestro cerebro funcione a través de patrones o paradigmas tiene que ver con la evolución, pues una vez obtenido un patrón mental son mucho más rápidas nuestras decisiones. Sin embargo, en el mundo moderno no siempre nuestros paradigmas juegan a nuestro favor.

Los hermanos Heat enfocan el tema de los paradigmas tomando como base el trabajo de la Dra. Carol S. Dweck, investigadora de la Universidad de Stanford, sobre la forma en que las personas perciben el resultado de sus acciones: por sus talentos innatos o por el esfuerzo que han puesto en lograr una habilidad.

La Dra. Dweck  investigó las dos actitudes principales con las que los niños manejan el fracaso, como puede ser reprobar un examen: por un lado, hay niños que se frustran sintiéndose poco valiosos (“no soy bueno para matemáticas”) o le echan la culpa a otros factores (“el maestro no me quiere”, “ese día estaba distraído”, etcétera), mientras que, por otro lado, hay niños que toman una actitud muy positiva: “necesito estudiar más” o  “voy a practicar más para volverlo a intentar”. A esas dos posturas mentales les llamo mentalidades (mindset en inglés), y denominaré a la primera como mentalidad fija (fixed mindset) y a otra la nombraré la mentalidad de  crecimiento (growth mindset).

Las personas que tienen una mentalidad fija:

  • Creen que la inteligencia o las habilidades se deben a la genética, “Pepe tiene una habilidad innata para las matemáticas”, y –por tanto- piensan que esas habilidades son fijas y la gente que las posee no tiene que esforzarse.
  • No aceptan fácilmente la retroalimentación.
  • Les cuesta mucho aceptar el fracaso y no son tan abiertos al aprendizaje, o, al menos, no lo asocian con el fracaso.

En cambio, las personas con mentalidad de crecimiento:

  • Creen que las habilidades son, fundamentalmente, el resultado del esfuerzo. “Gigi es buena para la música pues ha practicado duro desde los cinco años”.
  • Aceptan la retroalimentación.
  • Consideran el fracaso como parte del aprendizaje.

Cuando Cuco le compartió estas ideas a Chanchis, ella lo miró con cara de interrogación y le comentó “Lo que dices suena muy interesante y lo puedo aplicar a mi vida personal pero, ¿qué relación tiene con mi reto de seguridad?”

Cuco le preguntó “¿Los altos ejecutivos de tu empresa entienden la seguridad como un esfuerzo permanente y como un camino en el que se aprende día a día y, por tanto, existen errores, o –más bien- creen que la seguridad es cuestión de invertir y responsabilidad solamente tuya?

Cuco le sugirió un par de ideas:

  • Los líderes con mentalidad fija no aceptan los errores como parte del aprendizaje, pero en seguridad informática cada día aparecen nuevas amenazas. Hay que hacer cambios y correcciones sobre lo que tenemos: reconfigurar algún dispositivo de seguridad, implementar o reforzar una política, o definir un nuevo control. Entonces hay una enorme ventaja en el enfoque de los proyectos de seguridad cuando existe una mentalidad de crecimiento.
  • Los resultados son producto del esfuerzo. Las empresas que tienen mejores niveles de seguridad son las que han sumado mejor los esfuerzos de todos, no necesariamente las que han invertido más dinero.

Además, Cuco agregó “¿Piensas que tus usuarios son muy necios y no entienden la importancia de la seguridad?” Cuando Chanchis respondió afirmativamente Cuco comentó “Creo que estás actuando con una mentalidad fija hacia ellos. No es que sean necios, aunque su actitud puede no ser la adecuada frente a la seguridad. Trata de ver qué tienes que hacer para mover sus modelos mentales o paradigmas,  y que perciban la seguridad como una necesidad de la empresa y una ventaja para ellos. Si te sientes frustrada, entonces dejas de aprender, ya no intentas entender qué te hace falta y le echas la culpa a los usuarios”.

Cuco, sin quererlo, le acababa de dar a su amiga una de las mayores lecciones de su vida.

.

Técnicas para pavimentar el camino

Hemos visto cómo dirigirnos al cerebro racional (el jinete) a través de lineamientos claros, y cómo motivar al cerebro emocional (el elefante) provocando sentimientos, como la identidad, o moviendo creencias (el mindset). El tercer elemento en la metodología propuesta por los hermanos Heat es pavimentar el camino, en otras palabras, hacer el cambio más fácil para las personas involucradas. Para ello, los autores nos proponen tres estrategias principales.

1.- Modificar el medio ambiente.

En el libro se comentan ejemplos en los que se alteró uno o más elementos del medio ambiente. Tal es el caso de un ejecutivo que tenía la mala, malísima, diría yo, costumbre de contestar sus correos en la computadora mientras hablaba con sus empleados. Cuando se dio cuenta, hizo un cambio muy simple en el ambiente: colocó la computadora a un lado del escritorio (en vez de enfrente de él) de manera que ya le resultaba muy incómodo estar contestando correos mientras hablaba con la gente. Asunto arreglado.

Hablando de mejorar la seguridad informática y dado que la técnica no se basa en atacar el problema en sí ¿Podríamos lograrlo haciendo más efectiva la seguridad física? Pues se ha visto que el reforzar la seguridad física tiene resultados muy visibles a corto plazo y ayuda a que los empleados tomen mayor conciencia sobre la necesidad de implementar diversos tipos de controles.

O bien, ¿podríamos lograr que las computadoras nuevas que se asignan a los usuarios ya vengan preconfiguradas con antivirus y con la política de cambio de contraseña cada tres meses? Así, el usuario no tendría que acordarse de mandarle instalar el antivirus y, de forma automática, el sistema operativo le recordaría cambiar la contraseña del equipo.

.

 2.- Crear hábitos.

Una de las formas más efectivas de generar un cambio es crear hábitos. Los científicos han descubierto que el cerebro invierte mucho en tomar decisiones y, por tanto, de una forma u otra evadimos esta tarea. Un hábito nos evita tomar decisiones pues hacemos de manera automática lo que el hábito nos manda, sea bueno o malo,

Los autores del multicitado libro proponen una técnica de “disparadores” mentales muy eficiente para crear hábitos (la palabra inglesa que usan es triggers). La idea es que ante un escenario futuro nos imaginemos a nosotros mismos tomando la acción apropiada.

El requisito es que la situación sea relevante y que estemos convencidos de que queremos tomar esa acción apropiada. De esta forma, cuando tal evento se presenta, nuestro cerebro ha creado el hábito de tomar dicha acción, y lo más probable es que sea la que realicemos.

Un ejemplo: para que los alumnos de un profesor universitario tuvieran una mejor calificación, tenían la opción de entregar un breve escrito de cómo fue su reunión familiar de Navidad. El reto verdadero era que lo tenían que entregar un día después de la Navidad, cuando el tiempo que deberían dedicar a esta tarea competiría con la desvelada del día anterior y los momentos de diversión familiar. Solo una tercera parte de los estudiantes lograba cumplir con la tarea, y eran aquellos que, previamente, habían visualizado el momento y el ambiente en donde desarrollarían su escrito. En otras palabras, la decisión difícil de en qué momento y lugar harían la tarea, la habían tomado desde días antes a través de este ejercicio mental, y era lo que terminaban haciendo; los demás no lograron tomar la decisión de crear ese ambiente.

Algunos ejemplos de buenos hábitos en seguridad informática podrían ser: que los usuarios tengan presente la seguridad cuando están abriendo sus correos. Que cambien sus contraseñas de forma periódica, y que dichas contraseñas sean robustas. Y que todos los usuarios hablen al área de seguridad cuando se topen con algún incidente o situación sospechosa (un correo “raro” o una persona que está haciendo mal uso de la información, incluyendo navegar a sitios no autorizados). Con la técnica de los disparadores mentales, ¿se le ocurre cómo podríamos ir creando esos hábitos en nuestros usuarios? En la última sección del artículo, veremos que Chanchis utilizará –entre otras- esta técnica.

.

3.- Guiar a la manada

Aunque el título de esta técnica puede parecer agresivo, recuerde que los elefantes son nuestros cerebros emocionales por lo que esta técnica se enfoca a invocar nuestro instinto gregario y hacer que todo mundo se comporte de cierta forma.

En muchas situaciones de nuestra vida personal o laboral verificamos qué están haciendo los demás y hacemos lo mismo. Esa es la razón por la que muchos mexicanos no tiramos basura ni violamos las señales de tránsito cuando cruzamos la frontera hacia Estados Unidos, a pesar de que sí lo hacemos en nuestro país.

Una técnica en esta categoría es informar a “la manada” sobre alguien que esté haciendo lo adecuado. Por ejemplo, un coordinador financiero estaba cansado de que muchas áreas no enviaran sus reportes mensuales a tiempo, hasta que decidió hacer dos cosas: (1) Informar a todas las áreas acerca del porcentaje de cumplimiento, para lo cual empezó a enviar mensualmente un mensaje que decía así: “El 78% de las áreas cumplen a tiempo. Esperamos que tú también lo puedas lograr”; y (2)  hablar personalmente con las áreas que se retrasaban, mostrarles los resultados de las que cumplían, y preguntarles qué necesitaban para comprometerse con una fecha. Con estas dos medidas logró prácticamente 100% de los reportes a tiempo.

En el caso de su empresa, imagínese que tiene implementado un servicio de filtrado de contenido Web, y cada mes envía a los gerentes y directivos de cada área un reporte como el siguiente:

REPORTE DE CUMPLIMIENTO DE LA POLÍTICA DE NAVEGACIÓN WEB

Área

Número   de usuarios en cumplimiento

Porcentaje  

Finanzas

18

85%

Sistemas

6

55%

Operaciones

67

94%

¿Cree que el reporte anterior ayudaría a que se creara una sana competencia entre áreas relacionada a cuál de ellas logra primero un cumplimiento del 100%?

 .

Conclusión: la estrategia de Chanchis

Después de la plática con Cuco, Chanchis quedó muy pensativa y bastante motivada, sobre todo por contar con técnicas específicas para actuar. Al cabo de pocas semanas había logrado, por fin, que los altos ejecutivos de la empresa apoyaran los esfuerzos de seguridad y además había empezado a convencer a los usuarios de la importancia de dichos esfuerzos y de la necesidad del apoyo colectivo.

La tabla siguiente muestra, de forma resumida, las acciones que tomó Chanchis en esas primeras semanas.

Reto   o problemática

Acciones   implementadas

Comentarios

Convencer   a los ejecutivos de la necesidad de invertir en la administración de los   riesgos de la información. Chanchis   consiguió darles una presentación de 30 minutos a los directivos. Después de   algunas cifras y datos relevantes, les planteó un par de escenarios de riesgo específicos con los cuales la audiencia   quedó muy impresionada y todos pensaron: “Hasta ahora entendemos lo que puede   suceder y el impacto que tendría en la empresa”

[Motivar al elefante: encuentre el   sentimiento]Los   altos ejecutivos “sintieron” el impacto de no tener una protección adecuada para   su información, y les movió la identidad: “Por Dios, es la información de la   empresa y de nuestros clientes ¡No podemos quedarnos con los brazos   cruzados!”

Los   altos ejecutivos no saben cómo atacar el problema ni tienen claridad respecto   al rol que ellos mismos deben desempeñar.En   la misma presentación, Chanchis les explicó los principales escenarios de solución, haciendo   explícito el apoyo que requeriría de cada persona y departamento para hacer   posibles los cambios.

[Instrucciones al jinete, apuntar al   destino]Los   directivos entendieron todo lo que se podría lograr, para cuándo, y cuál   sería el precio, no solo en dinero sino en compromiso de cada quién.Los   ejecutivos son escépticos respecto a poder realmente lograr algo importante respecto   a la seguridad.Para   cada escenario mencionó algunas historias de éxito (emular a los puntos   brillantes) o expuso un posible mapa de ruta (road-map) para llegar al   resultado.

[Apuntar al destino]El   escepticismo de la alta dirección cambió bastante cuando conocieron las   historias de éxito y la forma en que podrían “aterrizar” esa experiencia   dentro de Acme.Los   ejecutivos no están dispuestos a tener errores en los proyectos e ir   aprendiendo sobre la marcha (mentalidad fija).Para   finalizar la presentación Chanchis explicó a los ejecutivos, en forma breve y   elocuente, los dos tipos de mentalidad que existen y los convenció para que   arrancara la estrategia de seguridad.

[Motivar al elefante. Mover los   paradigmas]Los   ejecutivos se convencieron de iniciar la estrategia de seguridad cuando   entendieron que, a pesar de la buena planeación y cuidado que se tengan, todo   proyecto puede tener errores, y que la empresa debería APRENDER de dichos   errores e ir corrigiéndolos.Los   usuarios no están interesados en la seguridad informática.Chanchis   hizo cambios importantes al programa de concientización: grabó al Director   General comunicando a toda la empresa la importancia de la seguridad …

[Pavimentar el camino: cambio en el   ambiente]

 

y dentro de los   talleres, los usuarios ahora “viven” algunos escenarios de riesgo.

[Motivar al elefante: encuentre el   sentimiento]Al   ver al director en los videos, los empleados concedieron importancia a los   esfuerzos de seguridad.

 

Adicionalmente,   a través de los ejercicios prácticos se están dando cuenta de lo que   significa para la empresa, para los clientes, y para ellos mismos, no contar   con seguridad.Los   usuarios no tienen buenos hábitos de seguridad (por ejemplo, dejan sus PC sin   protección mientras se van a comer).En   el mismo taller de concientización, empezó a formar un par de hábitos con la   técnica de disparadores mentales. [Pavimentar   el camino: formar hábitos]Los   dos hábitos con los que ha iniciado Chanchis son:

 

a)   Poner un protector de pantalla cuando se abandone el puesto de trabajo y

 

b)   cambiar contraseñas cada tres meses. Al finalizar el taller, el participante   hace una autoevaluación de qué tanto considera que ha internalizado los   hábitos.No   todos los usuarios se apegan a las políticas de seguridad.Chanchis   también contrató un servicio de filtrado de contenido Web. Premió   simbólicamente a las áreas cuyos usuarios cumplían con la política de   navegación Web y lo difundió a toda la empresa.

[Pavimentar el camino: guiar a la   manada]

Como   era de esperarse, en cuanto se conocieron las cifras de cumplimiento, la   mayoría de las personas han estado cambiando comportamientos y   “contagiándose” positivamente unos a otros.

Con la sinergia lograda en estos primeros meses, Chanchis está muy motivada y su credibilidad interna ha mejorado notablemente. La estrategia de seguridad es –hoy por hoy- todo un éxito.

Aunque el caso de Chanchis es imaginario, creo que ilustra de forma muy concreta algunas maneras en que las técnicas que se explican en el libro “Switch…” se pueden aplicar a los retos de la seguridad informática, sobre todo para venderle a ejecutivos y usuarios la importancia de ésta para la empresa y –como dice el título del artículo- tomar en cuenta a nuestros elefantitos.

Mucha suerte y ojalá que le sirvan las técnicas expuestas en esta serie de dos artículos. Hasta la próxima.

.

[email protected]