Economía del comportamiento de la administración de contraseñas en las empresas
Cuando alguien te pregunta cómo comienzas un día típico de la semana, es probable que tu respuesta incluya a los típicos hábitos, ya sea despertarse, preparar café o incluso un rápido recorrido por las noticias. Pero casi inevitablemente, en el mundo pospandémico donde el trabajo remoto se ha convertido en algo común, también incluye iniciar sesión para trabajar.
ENTERRADA EN este acto mundano hay una verdad eterna que a menudo pasamos por alto. Es parte de un ritual moderno que todos los trabajadores híbridos realizan en silencio, instintivamente, como si se tratara de memoria muscular, un ritual en el que las organizaciones de todo el mundo confían, día tras día, para proteger su integridad empresarial. No es glamuroso. Rara vez se cuestiona. Pero define la primera línea de la seguridad empresarial: es la rutina de contraseñas.
Si bien la rutina de contraseñas es algo importante para las organizaciones, para los empleados, es simplemente una parte de la rutina diaria, una ocurrencia tardía escondida entre invitaciones de calendario y recargas de café, impulsada más por hábito que por una comprensión consciente de sus implicaciones de seguridad.
El sutil arte de elegir una contraseña
Cuando alguien se une a una organización, se le agrega a su red corporativa. Inmediatamente, se le indica que elija una contraseña que utilizará para iniciar sesión en el trabajo, de forma remota o de otro modo. Ahora, seamos honestos, en esta coyuntura en particular, ¿cuántos de nosotros ponemos la seguridad de la organización por encima de nuestra conveniencia diaria?
Sí, hay políticas de la organización que exigen que elija contraseñas complejas. Pero, siendo realistas, la mayoría de nosotros todavía elegimos el atajo mental más cercano: la misma contraseña que hemos usado durante años en otros lugares, ajustada lo suficiente para cumplir con los requisitos mínimos, probablemente escrita en algún lugar.
Hacemos esto para rutinas organizacionales en las que olvidar una contraseña es una molestia, porque hay políticas de cumplimiento que navegar, procedimientos de restablecimiento que seguir y soporte de TI que involucrar. En un entorno de trabajo burocrático, reutilizar una contraseña fácil de recordar tiene cierto sentido.
Nosotros, sin embargo, también llevamos el mismo comportamiento a nuestra vida personal, donde el soporte es limitado y las consecuencias de una violación de datos pueden ser mucho más personales. Sin embargo, a menudo elegimos la conveniencia sobre la seguridad.
Sabemos que la reutilización de contraseñas es mala. Entonces, ¿por qué seguimos haciéndolo?
Las organizaciones tienden a pasar por alto este patrón de comportamiento subyacente y, en cambio, responden acumulando capas de capacitación en cumplimiento y protocolos de seguridad rígidos sobre rutinas de contraseñas ya onerosas. Esto se debe a que, a menudo, optan por tratar el mal comportamiento de las contraseñas por parte de su personal como un problema de conocimiento. Asumen que si los empleados supieran más, practicarían una mejor higiene de contraseñas.
Este comportamiento se debe a sesgos cognitivos profundamente codificados que nos impulsan a tomar decisiones que expresan nuestra desconfianza hacia cualquier cosa que caiga más allá de los límites de lo familiar:
- Racionalidad acotada: “Lo suficiente es suficiente”
El concepto sugiere que cuando las personas están limitadas por el tiempo, la información y los recursos cognitivos, no buscan tomar la decisión perfecta, sino que eligen conformarse con una satisfactoria.
No estamos tratando de equivocarnos en materia de seguridad. Simplemente estamos tratando de hacer nuestro trabajo. Administrar contraseñas es mentalmente agotador, por lo que nos conformamos con atajos como el autocompletado del navegador o las contraseñas reutilizadas. Es simplemente una compensación eficiente en nuestro cálculo de costo-beneficio mental.
- Heurística de disponibilidad: “Si lo recuerdo, debe ser correcto”
Este sesgo cognitivo sugiere que las personas verifican la integridad o la verdad de algo en función de la facilidad con la que pueden recordar un ejemplo o una información para justificarlo. Cuanto más reciente o personal es, más íntegra o segura se siente la gente, independientemente de la evidencia real.
Administramos las contraseñas de la misma manera que administramos los recuerdos: apoyándonos en lo que es más fácil de recordar. Así que nos quedamos con variaciones de la misma contraseña o reutilizamos las de otras cuentas. No elegimos estas contraseñas porque sean seguras, que no lo son, sino porque están disponibles cognitivamente. Equiparamos la memorabilidad con la seguridad, incluso cuando eso nos hace más vulnerables.
- Aversión a la pérdida: “Prefiero no perder el acceso a hacerlo más seguro”
Este principio cognitivo se refiere al hecho de que las personas sienten el dolor de la pérdida más vívidamente que el placer de las ganancias potenciales.
Para muchos usuarios, el miedo a ser bloqueado parece más inmediato que el riesgo de un ciberataque. Esta ansiedad impulsa hábitos como escribir contraseñas, reutilizar contraseñas de cuentas personales o usar valores predeterminados del sistema. No es que la gente no entienda los riesgos. Es que la necesidad de acceso ininterrumpido a menudo supera la promesa de protección a largo plazo.
Esperar decisiones perfectas de una fuerza laboral en circunstancias imperfectas a menudo resulta inútil. Si el comportamiento seguro se siente como una carga, significa que el sistema no se construyó pensando en las personas. Si bien las prácticas de seguridad podrían inculcarse con un video de capacitación, la responsabilidad no se detiene ahí.
Cerrando la brecha entre lo conocido y lo seguro
Para respaldar realmente el comportamiento seguro a escala, las organizaciones deben quitar la carga de la administración de contraseñas de las manos de los empleados. Las organizaciones necesitan reducir la probabilidad de errores humanos y evitar los sesgos que conducen a la fatiga de las contraseñas, la reutilización o el almacenamiento inseguro. La mejor manera de evitar el comportamiento riesgoso de las contraseñas es eliminar por completo la necesidad de contraseñas.
La adopción de herramientas de autenticación que permiten el uso de claves de acceso, SSO y enlaces mágicos elimina los puntos de fricción en los que los usuarios suelen fallar.
Las claves de paso son un cambio en el comportamiento predeterminado. En lugar de obligar a los usuarios a recordar o administrar credenciales, las claves de acceso utilizan claves criptográficas vinculadas al dispositivo que se sincronizan de forma segura entre dispositivos. En lugares donde no se pueden aplicar claves de paso, el SSO se puede habilitar para el acceso entre organizaciones.
SSO agiliza el acceso a través de plataformas con una única credencial o punto de contacto de autenticación. Al centralizar el inicio de sesión, los usuarios no tienen que hacer malabarismos con docenas de puntos de entrada.
Para eliminar aún más los sesgos que interfieren con la administración de contraseñas, las organizaciones pueden aprovechar el uso de bóvedas habilitadas para claves de acceso que eliminan la necesidad de administrar contraseñas por parte del individuo. Una vez que estos sistemas están en su lugar, las organizaciones pueden, con una capacitación que permita el compromiso basado en el valor, mostrar a los empleados cómo estos sistemas hacen que la seguridad vaya de la mano con la productividad.
Estas actualizaciones evitan la racionalidad limitada al eliminar la tensión mental de administrar el acceso bajo presión porque cuantas menos decisiones tengan que tomar las personas, menos posibilidades tendrán de conformarse con lo que sea que les ayude a pasar el día. Y cuando no hay nada que recordar, el sesgo de disponibilidad no tiene espacio para hacer su ilusión. La elección desaparece, por lo tanto, también el riesgo. Para los usuarios que temen ser bloqueados más que ser violados, este es un cambio que importa, porque ahora obtienen seguridad sin sacrificar el acceso.
Por lo tanto, cuando una organización adopta estos controles que eliminan la dependencia de los sesgos cognitivos del usuario, no solo está implementando una medida de seguridad. Están haciendo una intervención conductual. Están eliminando los puntos de decisión donde las cosas salen mal, donde la gente elige lo que es fácil, no lo que es correcto.
Garantizar que la política siga el ritmo de la tecnología
La transición a una empresa verdaderamente segura también debe reflejarse a nivel político. El uso compartido de acceso tradicional cuando se trata de acceso privilegiado a sistemas críticos a menudo deja brechas. Por ejemplo, en los casos en los que hay tareas de mantenimiento programadas que se deben realizar en los puntos finales de dominio críticos, los empleados confían en credenciales compartidas o procesos de aprobación manuales, donde los atajos cognitivos conducen a cuentas con permisos excesivos y derechos de acceso estancados.
Para contrarrestar esto, las organizaciones están recurriendo cada vez más al uso compartido de acceso sin contraseña a través de soluciones de gestión de acceso privilegiado. Estas soluciones agilizan el proceso al otorgar, revocar y auditar automáticamente el acceso en función de políticas predefinidas. Las soluciones PAM garantizan que cada acceso se realice justo a tiempo y con un alcance preciso, lo que elimina la necesidad de intervención humana.
Sin embargo, incluso las mejores soluciones técnicas no pueden superar una política desalineada.
En este contexto, la inteligencia artificial interviene como un facilitador crucial en el nivel de las políticas. Los administradores de TI que deben supervisar el acceso privilegiado también son humanos y también atraviesan sesgos cognitivos similares, que asignarían el acceso en función de instancias anteriores. Sin embargo, a veces los usuarios privilegiados pueden tener permisos que nunca han usado, lo que puede pasar desapercibido, degenerando en privilegios permanentes.
Cuando la inteligencia artificial se introduce en esta coyuntura para sugerir políticas dinámicas de acceso privilegiado basadas en evaluaciones de riesgos en tiempo real y para detectar comportamientos anómalos, tiende a estas interferencias cognitivas innecesarias.
Reconociendo lo absurdo de la gestión de contraseñas empresariales
En “El mito de Sísifo”, Albert Camus cuenta una historia absurda de un hombre condenado a empujar una roca cuesta arriba para siempre, solo para verla rodar hacia abajo cada vez. Camus utiliza esta imagen para explorar cómo, incluso en tareas repetitivas y aparentemente sin sentido, buscamos un propósito.
En muchos sentidos, nuestras interacciones diarias con los protocolos de seguridad, ya sean contraseñas, avisos de inicio de sesión, simulacros de phishing y listas de verificación de cumplimiento, se parecen mucho a la carga de Sísifo. Se espera que nos mantengamos alerta, que sigamos una lista cada vez mayor de reglas y que nos mantengamos al día con nuestro trabajo real.
Pero las personas no funcionan bien bajo presión constante. Con el tiempo, la fatiga se apodera de nosotros, los hábitos se apoderan de nosotros y buscamos soluciones alternativas, no porque no nos importe, sino porque es la naturaleza humana.
La solución no es añadir más complejidad, sino repensar el sistema. Herramientas como las claves de acceso, el SSO, el PAM y la IA no solo mejoran la seguridad; son correcciones filosóficas, liberan al individuo de este absurdo y, al hacerlo, la roca se desvanece, y lo que queda es un sistema diseñado para reflejar la realidad de los procesos de pensamiento y las capacidades cognitivas de las personas.
Por Niresh Swamy, evangelista empresarial en ManageEngine
«Las organizaciones necesitan reducir la probabilidad de errores humanos y evitar los sesgos que conducen a la fatiga de las contraseñas, la reutilización o el almacenamiento inseguro. La mejor manera de evitar el comportamiento riesgoso de las contraseñas es eliminar por completo la necesidad de contraseñas» (Niresh Swamy, ManageEngine)
