El concepto de seguridad centrada en las personas (people-centric security) es una estrategia que se enfoca en la persona como el centro de todo el proceso de seguridad.

En la seguridad tradicional, se pone más énfasis en la tecnología y las políticas, mientras que en la seguridad centrada en las personas se busca entender las necesidades y comportamientos de las personas para crear un ambiente de seguridad efectivo.

Las principales ideas del concepto de seguridad centrada en las personas incluyen:

Enfoque en las personas: En lugar de centrarse en la tecnología o las políticas, la seguridad se enfoca en las personas, entendiendo sus necesidades, motivaciones y comportamientos. La idea es crear una cultura de seguridad que sea natural y fácil de seguir para las personas.

Cambio de mentalidad: La persona se convierte el centro de todo el proceso de seguridad. Esto implica considerar el comportamiento de los individuos al diseñar políticas y procedimientos de seguridad.

Comunicación efectiva: Comunicar claramente los riesgos y las políticas de seguridad para que las personas puedan entenderlas y seguirlas.

Entrenamiento y educación: Se deben proporcionar capacitaciones y educación para que las personas entiendan los riesgos de seguridad y cómo protegerse.

Evaluación continua:  Es necesario evaluar constantemente la efectividad de las políticas y procedimientos de seguridad y hacer ajustes según sea necesario.

Antecedentes

Algunos de los antecedentes de la seguridad centrada en las personas se pueden rastrear hasta la psicología, específicamente a la teoría de la motivación humana de Maslow. En su teoría, Maslow propone que las necesidades de las personas se organizan en una jerarquía, donde las necesidades más básicas, como la seguridad física y la protección, deben satisfacerse antes de que las personas puedan satisfacer necesidades más elevadas, como la autorrealización.

En cuanto a los principales exponentes del tema, una de las figuras más influyentes es Bruce Schneier (San Schneider, para mi), quien ha evangelizado por una “seguridad empática”, que se centra en las necesidades y comportamientos de las personas en lugar de la tecnología y las políticas. Schneier menciona que la seguridad centrada en las personas es esencial para abordar los riesgos de seguridad modernos, como el phishing y la ingeniería social.

Otro exponente importante de la seguridad centrada en las personas es Lance Hayden, quien ha escrito extensamente sobre el tema y es autor del libro “People-Centric Security: Transforming Your Enterprise Security Culture” que me inspiró a escribir esta entrada en el blog y te recomiendo mucho leer. Hayden enfatiza la importancia de comprender la psicología humana para crear políticas y procedimientos de seguridad efectivos y argumenta que la seguridad centrada en las personas puede mejorar significativamente la seguridad de las organizaciones.

Tambien te recomiendo el trabajo de John Rodriguez es un experto en seguridad (que digo experto, expertazo!) que ha desarrollado el concepto de “seguridad empática”. Este enfoque se centra en comprender las necesidades y preocupaciones de los las personas para desarrollar políticas y procesos de seguridad que sean efectivos y fáciles de seguir.

La seguridad empática reconoce la importancia de la empatía y la compasión en la seguridad corporativa, y cómo estos elementos pueden mejorar la cultura de seguridad en una organización. Los profesionales que nos dedicamos a esto, comenta John, deben ser capaces de ver la seguridad desde la perspectiva de los usuarios finales y abordar sus preocupaciones para mejorar su salud psicológica y la de la organización en su conjunto.

La compasión también es importante en la seguridad empática, ya que permite a los profesionales de seguridad a crear una cultura  positiva y de apoyo.

Además, la seguridad empática también reconoce la importancia de la salud psicológica de los profesionales de seguridad, ya que pueden (o casi siempre pasa) enfrentar un estrés significativo en su trabajo.

Un caso real en el que la seguridad centrada en las personas fue efectiva en la prevención de ataques de ingeniería social es el ataque de de ingeniería social contra Twitter en 2020, en el que los atacantes lograron obtener acceso a las cuentas de alto perfil de la plataforma y publicar mensajes de estafa. En respuesta al ataque, Twitter implementó medidas centradas en las personas para prevenir futuros ataques de ingeniería social. La plataforma proporcionó capacitación y educación sobre la seguridad en línea a sus empleados y mejoró la autenticación de dos factores para proteger mejor las cuentas.

Conclusiones

La seguridad centrada en las personas es una estrategia que se enfoca en las necesidades y comportamientos de las personas para crear un ambiente de seguridad efectivo. Se basa en el entendimiento de que las personas son el eslabón más débil en la cadena de seguridad, por lo que es importante diseñar políticas y procedimientos que sean fáciles de seguir y comprender.

Si bien el enfoque de seguridad centrada en las personas puede ser efectivo para abordar algunos riesgos de seguridad, también tiene limitaciones y desafíos que deben ser considerados.

Las personas pueden ser una vulnerabilidad en la seguridad, pero también pueden ser una fortaleza. Al entender las necesidades y comportamientos, se pueden desarrollar políticas y procedimientos que sean fáciles de seguir y que mejoren la cultura de seguridad en una organización.

La implementación de un enfoque centrado en las personas puede requerir recursos y costos adicionales, como la capacitación y educación continua de los empleados. Sin embargo, también puede ser una inversión valiosa en la prevención de riesgos de seguridad y en la creación de una cultura de seguridad sólida.

Si deseas implementar este enfoque para  la seguridad de tu empresa, te sugiero seguir estos pasos:

  1. Evalúa la cultura de seguridad actual.
  2. Identifica las necesidades y comportamientos de los empleados.
  3. Desarrolla políticas y procedimientos de seguridad que sean fáciles de seguir y que aborden las necesidades y comportamientos.
  4. Proporciona capacitación y educación continua.
  5. Evalúa la efectividad del enfoque.

Al seguir estos pasos, podrás desarrollar políticas y procedimientos de seguridad que sean efectivos y fáciles de seguir para tus empleados. Esto mejorará la cultura de seguridad de tu empresa.

 

Fuente: Seguridad centrada en personas: educar y concientizar (criminologiacorporativa.com)