Factor humano y comunicación del riesgo
El enfoque de Gobernanza de Riesgo Cibernético es clave para esta adopción cultural.
La evaluación de riesgos y el desarrollo de principios de mitigación para gestionar los riesgos solo pueden ser efectivos cuando se implementa una política de gobernanza coordinada y bien comunicada dentro del sistema que se gestiona. Existen cuatro elementos influyen en la percepción del riesgo:
- 1. Juicio intuitivo asociado a probabilidades y daños.
- 2. Factores contextuales que rodean las características percibidas del riesgo (p. ej., Familiaridad) y la situación de riesgo (p. ej., Control personal).
- 3. Asociaciones semánticas vinculadas a la fuente del riesgo, personas asociadas con el riesgo y circunstancias de la situación de riesgo.
- 4. Confianza y credibilidad de los actores involucrados en el debate de riesgo.
El enfoque de Gobernanza de Riesgo Cibernético es clave para esta adopción cultural. Sasse y Flechais identificaron factores humanos que pueden afectar la gobernanza de la seguridad, incluidas las personas:
- 1. Tener problemas para usar las herramientas de seguridad correctamente.
- 2. No comprender la importancia de los datos, el software y los sistemas para su organización.
- 3. No creer que los activos están en riesgo (es decir, que serían atacados).
- 4. O no entender que su comportamiento pone en riesgo el sistema de ser atacado).
Esto destaca que el riesgo no se puede mitigar solo con tecnología, y que para la evaluación de preocupaciones es importante educar a las personas dentro de una organización, es vital para garantizar la adopción cultural de los principios definidos en el plan de gestión de riesgos y la política de gobierno de seguridad asociada.
Las personas no siguen el comportamiento de seguridad requerido por una de dos razones, de acuerdo con Sasse y Flechais:
1. Son incapaces de comportarse como se requiere
2. No quieren comportarse de dicho modo.
Fuente: CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM