¿POR QUÉ HACEMOS SOBRE MENSAJES QUE RECIBIMOS?
Algunas reflexiones desde las ciencias del comportamiento.
A propósito de la pregunta que lleva el título de esta reflexión, recientemente se adelantó una encuesta con este mismo interrogante en un evento donde participaron alrededor de 100 profesionales de seguridad, ciberseguridad, auditoría y control, y cuyas respuestas
revelan aspectos interesantes desde la perspectiva de las estrategias que actualmente se utilizan en las organizaciones. El resultado muestra que las personas hacemos “clic” de forma general por dos razones: curiosidad y distracción, en ese orden.
Con esta respuesta dada por el público, la pregunta que se hizo nuevamente a la audiencia fue: “Si estas dos son las razones por las cuales nosotros hacemos 'clic', ¿es el entrenamiento la respuesta para cambiar el comportamiento?” Desde ese momento, la idea de “resolver” el tema de cambio de comportamiento con cursos de formación y simulaciones comienza a ceder terreno y es necesario profundizar en otras disciplinas que pueden sugerir propuestas y análisis que ofrezcan luces sobre este reto que viven las organizaciones hoy.
En ese sentido, las ciencias comportamiento, como esa disciplina científica que se dedica a la comprensión y el análisis de las diferentes formas de actuar del ser humano con el fin de comprender, prevenir y dar soluciones a problemas relacionados con el comportamiento humano en contextos educativos, laborales y sociales (IFC, 2023), abre nuevas posibilidades para entender la dinámica del “clic” de las personas y así revelar aspectos distintos que deben ser analizados e incorporados en la caja de herramientas del ejecutivo de seguridad de la información en el desarrollo de la cultura organizacional de seguridad de la información (COSI).
En el fondo, los especialistas en seguridad, ciberseguridad y control de las organizaciones quieren que las personas tengan un comportamiento esperado frente al tratamiento de la información, ese comportamiento que denominan “seguro”, que sigue las buenas prácticas
y asegura que la información y los sistemas de información se mantienen en un entorno sin hostilidades ni condiciones inseguras que pongan en peligro los activos digitales estratégicos de las empresas.
Para lograr lo anterior, se hace necesario superar y situar en su debido contexto la idea del entrenamiento y las simulaciones como única estrategia para cambiar los comportamientos de las personas y motivar una transformación de la COSI, sabiendo que los desarrollos científicos propios del comportamiento humano nos indican que los cambios que se dan en las personas con el entrenamiento son temporales y que, si no se mantiene un refuerzo positivo e inteligente, poco a poco se irán debilitando y se regresará a los comportamientos previos (Agnew & Daniels, 2010).
CONTEXTO DE LAS CIENCIAS DEL COMPORTAMIENTO
Para comprender los retos propios de las ciencias del comportamiento y las distinciones claves para su análisis, se detalla un ejemplo a continuación, tomado de Agnew y Daniels (2010, p. 5), que permite contextualizar dónde están las diferencias y las acciones distintas que resultan relevantes para los profesionales de seguridad, ciberseguridad y control en las organizaciones.
“Casi nadie entiende la tecnología interna de los ordenadores, por ejemplo, pero con un poco de instrucción casi cualquiera puede manejar uno. Con estas instrucciones básicas y el conocimiento de uso de programas específicos como procesadores de palabras, hojas de cálculo y elaboradores de presentaciones, las personas pueden desarrollar documentos, adelantar cálculos con datos o desarrollar presentaciones sobre diversos temas. Sin embargo, el reto empieza cuando el computador no se comporta como lo hace de forma habitual. Por ejemplo, no inicia, se queda en blanco, no carga el sistema operativo o se vuelve intolerablemente lento.
En este punto, el poco conocimiento que se tiene sobre los computadores no sólo se vuelve poco útil, sino nocivo, pues al tratar de arreglar el problema, perdemos tiempo y frecuentemente hacemos cosas que, sin saberlo, complican la reparación de la situación. En pocas palabras, estamos entrenados, pero no educados” (Agnew & Daniels, 2010, p. 5).
Los autores Agnew y Daniels (2010, p. 7) definen el modelo ABC para enmarcar las ciencias del comportamiento de la siguiente manera:
El comportamiento (B – Behavior en inglés) está influi- do por lo que le precede (A–Antecedents) y lo que le sigue (C–Consequences).
El comportamiento es una función de sus consecuencias, afirman los autores. Las consecuencias del comportamiento tienen dos efectos: incrementar o disminuir la tasa de un comportamiento. A continuación, se detallan las formas en las que se incrementan y disminuyen los comportamientos (Agnew & Daniels, 2010, p. 8-12).
Estrategias para incrementar los comportamientos:
Refuerzo positivo: Es cualquier consecuencia que sigue a un comportamiento y que aumenta su frecuencia.
Refuerzo negativo: Un aumento en la tasa de comportamiento diseñado para escapar o evitar un castigo
o penalización.
Recuperación: Es la suspensión del comportamiento inseguro que ocurre cuando se advierte la presencia de la autoridad que puede castigar dicho comportamiento, el cual se reactiva tan pronto como esta se va.
Estrategias para modificar los comportamientos:
Castigos: Es cualquier consecuencia que sigue un comportamiento y disminuye su frecuencia en el futuro.
Sanciones: Es la penalización que se hace por un comportamiento inseguro que, por lo general, produce resentimiento hacia la empresa y la gerencia.
Extinción: Es la eliminación del mal hábito eliminando el refuerzo externo, lo que implica que la persona tenga control del refuerzo frente al comportamiento inseguro.
Basado en estas estrategias, la ciencia indica que el refuerzo positivo (conocimiento + acción situada y evaluada) es la estrategia más recomendada para iniciar el proceso de transformación de los comportamientos, dado que las otras sólo generan una disuasión temporal que no suma al proceso de educación del individuo, sino que se concentra en el cumplimiento de aquello que se espera en una situación particular y que resulta de interés para la empresa y sus reportes particulares.
