1

Aprovechar los factores humanos en la ciberseguridad:

un enfoque metodológico integrado

Universidad Nacional de Cañete

Metodología del Trabajo Universitario

Mg. Julio Yarlin Achachagua

20 de abril de 2023
 2

Índice

Aprovechar los factores humanos en la ciberseguridad: un enfoque metodológico

integrado..............................................................................................................................................................
1.Introducción...................................................................................................................................................
2.Desafíos de la seguridad...............................................................................................................................
2.1. Desafío 1-Los factores individuales..........................................................................................
2.2 Desafío 2- El factor organizativo...............................................................................................
2.3. Desafío 3- El factor tecnológico................................................................................................
2.4. Desafío 4- Dimensiones éticas de ciberseguridad...................................................................
3.Método...........................................................................................................................................................
3.1. Un enfoque metodológico integrado.........................................................................................
3.2. Diseño de la investigación........................................................................................................
3.2.1. Procedimiento (nivel individual)...................................................................................................
3.2.2. Procedimiento (nivel organizacional)..........................................................................................
4.Resultados.....................................................................................................................................................
4.1. Nivel individual.........................................................................................................................
4.1.1. Fiabilidad del cuestionario...........................................................................................................
4.1.2. TI vs No TI: análisis descriptivo...................................................................................................
4.2.1. Grupos focales............................................................................................................................
4.2.2. Entrevistas semiestructuradas....................................................................................................
5. Discusión de resultados................................................................................................................................
6. conclusiones.................................................................................................................................................
7.Referencia.....................................................................................................................................................
 3

1.Introducción

El informe de la agencia de ciberseguridad de la Unión Europea “panorama de amenazas

2020: ciberataques. Volverse más sofisticado, selectivo, generalizado y no detectado” (ENISA

2020a) afirma que los ciberataques han aumentado exponencialmente durante la pandemia

covid-19 entre los tipos de ataque más frecuentes se encuentran los que tienen que ver con las

vulnerabilidades del factor humano es éstos incluyen fraude en línea,

DdoS (Denegación de servicio distribuida), conducir por descarga, ataques de ingeniería

social. En particular los ataques de ingeniería son las principales amenazas contra la

CEI (seguridad informática y de la información), ya que apunta al vínculo humano,

manipulándolos para divulgar información confidencial a través de la influencia y la persuasión

coma o utilizar tecnologías sofisticadas de la CEI.

En consonancia con ello, se sostiene que la CEI es una cuestión sistémica y que para

abordar el fenómeno debe tenerse en cuenta una perspectiva holística de alta frecuencia. los

enfoques recientes de la ciberseguridad que adoptan una perspectiva holística del sistema

sociotécnico incluyen cuestiones de gobernanza y formulación de políticas; cuestiones centradas

en el usuario centradas en los clientes, así como en los hackers; y se centró en las condiciones

externas comas referidas a las condiciones físicas, tecnológicas y económicas. de hecho, se

 4

reconoce que el problema de la ciberseguridad depende de la alta complejidad, la interconexión y

las cualidades emergentes de los sistemas

socio-técnicos y qué los humanos pueden ser “parte de la solución” en lugar de “parte del

problema”. Tales iniciativas de mitigación se proponen para empoderar el factor humano en las

organizaciones, y mantenerlas para que sean más efectivas contra los ataques cibernéticos y las

amenazas.

Este documento será el siguiente:

1. Presentar un panorama general de los problemas y métodos actuales relacionados con la

ciberseguridad.

2. Diseñar y probar un método integrado para comprender y medir cómo las organizaciones

sanitarias se enfrentan al riesgo de amenazas y ataques cibernéticos relacionado con la IC

(factor humano).

3. Proporcionar un marco inicial para ayudar a las organizaciones a mejorar sus sistemas de

SIC incluidos los factores humanos como parte de la solución.

2.Desafíos de la seguridad

Estos pueden ser descritos utilizando una perspectiva socio-técnica tomando en cuenta

múltiples perspectivas, es decir, (1) los factores individuales, (2) los factores organizacionales,

(3) los factores tecnológicos y (4) las dimensiones éticas.

 5

2.1. Desafío 1-Los factores individuales

Las acciones de seguridad incorrectas pueden tomar la forma de errores y/o violaciones.

Sin embargo, sólo unos pocos de ellos tienen una intención maliciosa, la mayoría son el

resultado de configuraciones inapropiadas de elementos de trabajo, causando violaciones

accidentales y no deliberadas, así como acciones deliberadas de intención no maliciosa.

La Teoría de la Acción Razonada (Fishbein y Ajzen 1975) y la Teoría del

Comportamiento Planificado (Ajzen 1991) representan dos modelos consolidados que vinculan

comportamientos y actitudes, por el efecto mediador de la llamada “intención conductual”.

De acuerdo con estos modelos, es posible explicar los errores humanos y las violaciones

mediante el estudio de las actitudes de los empleados hacia los comportamientos críticos de

ciberseguridad, ya que la ciberseguridad puede mejorar las actitudes y predecir de manera directa

la intención real de comportamiento de comportamientos inseguros. Las actitudes presentan un

factor crucial para evitar las infracciones de los SIC relacionadas con acciones deliberadas que

determinan una violación no deseada de una norma de seguridad, Ya que la ciberseguridad puede

mejorarse impulsando un conjunto específico de factores individuales capaces de moldear

actitudes, como las normas subjetivas; creencias en las consecuencias percibidas de una acción;

conocimiento real del tema de la ciberseguridad; las estrategias cognitivas preferidas utilizadas

en el proceso de toma de decisiones, etc.

Empleados bien informados y entrenados minimizan la ocurrencia de acciones

accidentales y no deliberadas que determinan una violación de las reglas de ciberseguridad, y

desempeñar un papel significativo en la minimización de los riesgos de seguridad de la

información y la protección de los activos críticos de la organización y su valiosa propiedad

intelectual.
 6

2.2 Desafío 2- El factor organizativo

Las organizaciones tienen políticas, procesos y procedimientos formales para guiar a los

empleados a mantener el sistema seguro.

dichos procedimientos formales por sí mismos no rigen el comportamiento humano ya

que hay muchas maneras en que los seres humanos pueden configurar y utilizar un sistema en

modos inesperados y/o desprotegidos y tomar atajos en nombre de mejorar la eficiencia o

simplemente ser útiles, incluso sí implica implementar una violación.

 7

Por lo tanto, cuando las políticas y normas organizativas se consideran demasiado

costosas, o los empleados no saben cómo implementarlas en casos reales, simplemente no

siguen. Por ende, los procedimientos deben ser vistos como recursos para la acción en lugar de

una expectativa de comportamiento humano. Hay que entender los procedimientos: su eficacia

depende más del conocimiento que requieren que de su aceptación ciega. Las organizaciones

tienen el reto de mejorar la comunicación CIS para evitar posibles brechas de seguridad.

2.3. Desafío 3- El factor tecnológico

El desafío de diseñar una seguridad que sea efectiva pero utilizable es un aspecto central

del fenómeno CIS. La Investigación ha demostrado que los usuarios evitan activamente los

mecanismos de seguridad que son difíciles de usar o cometen errores que podrían socavar la
 8

seguridad. la seguridad debe estar centrada en el usuario para mejorar la usabilidad sigue siendo

un tema abierto con respecto a la implementación actual de CIS en las organizaciones.

Se han sugerido interfaces de usuario adaptables o personalizadas como posibles formas

de superar los problemas de usabilidad y aceptabilidad relacionados con diferentes dominios y

contextos de usuarios.

2.4. Desafío 4- Dimensiones éticas de ciberseguridad

Las cuestiones éticas han sido un tema crítico en la ciberseguridad, y especialmente en el

cuidado de la salud. con la creciente implementación de base de datos electrónicas de

información de salud, Se ha mejorado la comunicación entre las organizaciones de atención

médica y Los profesionales, pero surgieron preocupaciones con respecto a la relación entre los

pacientes y los proveedores y Los profesionales de salud y cómo se administran y protegen la

confidencialidad, la integridad y la disponibilidad. Ciberseguridad cumple un papel instrumental

para facilitar u obstaculizar lo que las TIC en la salud pretenden lograr y los cuatro principios de

la ética médica. Estos se refieren a la atención que se crea cuando, para garantizar la privacidad y

la autonomía del paciente, los datos críticos en situaciones de emergencia no son accesible.

3.Método

3.1. Un enfoque metodológico integrado

 9

Para abordar los tres desafíos de él CIS mencionados anteriormente y comprender como

las organizaciones podrían enfrentar el riesgo relacionado con él HF de amenazas y ataques

cibernéticos, se propuso un enfoque integrado en el contexto de Horizon 2020 financiado por la

UE. HERMENEUT.

HERMENEUT se centró en la economía de la ciberseguridad y pretende proporcionar a

las organizaciones una metodología innovadora para la evaluación dinámica de sus

vulnerabilidades organizativas y técnicas y la evaluación económica de los correspondientes

activos tangibles e intangibles en riesgo. esta metodología incluía tanto el nivel de análisis

individual como el organizacional.

La necesidad de un enfoque integrado tiene como objetivo ir más allá de la llamada

primera ola de investigación de seguridad y privacidad sobre el riesgo de amenazas y ataques

cibernéticos relacionados con HF.

Métodos cualitativos y cuantitativos derivados de la metodología HERMENEUT y

utilizados en el presente estudio se presentan en la tabla 2. Se dio prioridad a los métodos que

permitieron una evaluación cuantificada del nivel de vulnerabilidad con respecto a las amenazas

cibernéticas.
 10

3.2. Diseño de la investigación

En general, n=94 usuarios de las tres organizaciones de atención médica participaron en

nuestro estudio. De los 94 usuarios,4 eran gerentes,32 expertos en TI y 58 tenían un rol

operativo. La tabla 3 proporciona una descripción general del enfoque adaptado en este estudio y

los usuarios involucrados.

 11

General, la recopilación de datos incluyó: la administración de n=94 cuestionarios, 3

grupos focales de 16 personas y 14 entrevistas semiestructuradas dirigido a los roles gerenciales

en la organización.

3.2.1. Procedimiento (nivel individual)

Para analizar las interacciones y vulnerabilidades desde una perspectiva individual,

adaptamos el cuestionario de aspectos humanos de la seguridad de la información qué se basa en

la hipótesis de que a medida que aumenta el conocimiento de los usuarios de computadoras sobre

políticas y procedimientos de ciberseguridad, mejoran su actitud y creencias hacia las políticas y

procedimientos de seguridad de la información, lo que debería traducirse en un comportamiento

de seguridad de la información más reacio al riesgo.

 12

Este proceso también se conoce como el modelo conocimiento-actitud-comportamiento,

ya que Investiga el conocimiento de los empleados sobre política y procedimientos; actitudes

hacia la política y los Procedimientos y “Comportamientos” auto informados(KAB). El HAIS-Q

permite la investigación del modelo KAB siguiendo siete escenarios de usuario, en adelante

'áreas de enfoque' (FA): (FA1) gestión de contraseñas, (FA2) uso de correo electrónico, (FA3)

uso de Internet, (FA4) computación móvil, (FA5) redes sociales, (FA6) reporte de incidentes y

(FA7) manejo de la información (Fig. 1).

Estos siete FA son el resultado de los hallazgos de Parsons y colegas y están destinados a

cubrir toda la información sobre la política de seguridad.

 13

La Tabla 4 a continuación presenta un ejemplo de los 9 elementos que se utilizaron para

investigar la 'gestión de contraseñas' FA1 para cada uno de los KAB.

Las respuestas al cuestionario fueron analizadas con tres técnicas diferentes:

● Un análisis de confiabilidad del HAIS-Q utilizando el método de Cronbach alfa

● Un análisis descriptivo (Media, Desviación Estándar y Mediana) de la muestra sobre los

componentes del modelo KAB en las diferentes AF.

● Una medida ANOVA repetida a través de un Modelo Lineal General, para determinar y

explicar las diferencias estadísticas en la muestra.

3.2.2. Procedimiento (nivel organizacional)

Los grupos focales y las semiestructuradas respaldaron la comprensión de que factores

organizacionales podrían influir potencialmente en los comportamientos relacionados con el

riesgo de los empleados.

Los grupos focales tenían el objetivo de proporcionar una comprensión más profunda de

los hallazgos que surgieron en las respuestas al cuestionario HAIS-Q.La guía del grupo focal

incluyó temas y escenarios de seguridad derivados de los FA Del cuestionario HAIS-QY el

marco de taxonomía de errores humanos y violaciones. la interpretación y análisis se realizó de

acuerdo a la taxonomía descrita anteriormente (cuadro 1).

Las entrevistas semi estructuradas apoyaron la recopilación de opiniones de los gerentes

y representantes de los empleados en relación con los desafíos que enfrenta la organización con

respecto a los CIS y las amenazas cibernéticas, y específicamente tuvieron como objetivo

comprender (i) cómo las personas toman decisiones sobre seguridad, (ii) cómo evalúan el riesgo
 14

y las situaciones críticas para la seguridad, (iii) cuáles son las violaciones más comunes de la

política de ciberseguridad.

El protocolo de entrevista semiestructurada incluyó ciertos temas de ciberseguridad:

gobernanza y personas. política y procesos. operaciones. controles técnicos y respuestas a

ataques derivados del modelo de madurez de ciberseguridad.

4.Resultados

4.1. Nivel individual

4.1.1. Fiabilidad del cuestionario

El Alfa de cronbach evidenció que el cuestionario HAIS-Q alcanzó un alto grado de

confiabilidad, α=0,935.

Este resultado permitió la creación de puntajes totales de Conocimiento, Actitud y

Comportamiento, así como puntajes de FA. Los resultados del cuestionario HAIS-Q para toda la

muestra reportaron puntajes generales de moderados a altos para los componentes principales

(Tabla 5), con Conocimiento y Comportamiento resultando en niveles muy similares.

 15

Las correlaciones globales presentaron correlaciones lineales directas significativas entre

los factores Conocimiento y Actitud r=0,856 p<0,001; Conocimiento y Comportamiento r

=0,834 p<0,001; y Actitud y Comportamiento r=0.825 p<0.001 (Fig. 2)

 16

4.1.2. TI vs No TI: análisis descriptivo

Al considerar las diferentes especializaciones de los encuestados, se observaron

diferencias en varias áreas de enfoque para el personal de TI y el personal que no es de TI, según

el área específica investigada. Para un primer grupo de AF, fue posible ver una tendencia

promedio del personal de TI a presentar más conocimiento, mejor actitud y comportamientos

más correctos en comparación con el personal que no es de TI, como uno esperaría. Ese fue el

caso de FA1 (gestión de contraseñas), FA2 (uso de correo electrónico), FA4 (computación

móvil) y FA7 (manejo de información) para los cuales el personal de TI (líneas azules sólidas en

la Fig. 3) alcanzó buenos niveles en comparación

 17

con un desempeño ligeramente más promedio del personal que no es de TI (líneas

discontinuas amarillas en la Fig. 3).

El personal de TI no solo no presentó buenos puntajes promedio en FA5, pero también

puntuaron incluso peor que el personal No TI, que presentó, en promedio, Conocimientos y

Actitudes hacia las redes sociales (FA5) más correctos que los TI (Fig. 4). De manera similar, en

FA6 (Reporte de incidentes), el personal de TI y no TI presentó un nivel casi idéntico en

Conocimiento sobre el reporte de incidentes (promedio de 4.3 para ambas especializaciones),

pero luego el personal de TI obtuvo puntajes aún más bajos en sus Actitudes y Comportamientos

en comparación con los puntajes promedio informados por el personal que no es de TI (Fig. 4).
 18

Finalmente, para el FA3 (Uso de Internet) las puntuaciones medias de TI y No TI, fueron

casi idénticas y no especialmente altas, para Conocimiento y Actitudes y Comportamiento

declarado, por lo que no fue posible ver ninguna diferencia en todos en el uso de internet de

todos los empleados, independientemente de su especialización (Fig. 4).

Las diferencias en los FA también emergen como más prominentes cuando se observa la

distribución de personas de TI y no TI en diferentes organizaciones. Algunas organizaciones son

capaces de afectar el Conocimiento, la Actitud y el Comportamiento individual de sus empleados

de una manera más positiva, independientemente de la especialización. Como se ve en la Fig. 5,

los puntajes no relacionados con TI para el personal que trabaja en la empresa de software son

casi comparables en promedio con los puntajes de TI de una empresa no relacionada con el
 19

software, y claramente más altos en comparación con el personal no relacionado con TI

correspondiente que trabaja en la empresa.

4.2. Nivel organizacional

4.2.1. Grupos focales

Los hallazgos de los grupos focales destacaron cuatro tipos diferentes de prácticas

laborales inseguras que podrían generar vulnerabilidades de seguridad cibernética.

Estos incluyeron:

1. El uso de dispositivos móviles (FA4), la discusión de los grupos focales confirmó que

los expertos que no son de TI tienen menos conocimiento del riesgo seguridad porque

suelen confiar demasiado en el estado de seguridad de los dispositivos móviles al

utilizarlos para descargar, administrar y abrir archivos adjuntos confidenciales

 20

2. La gestión de acceso a cuentas (FA1) De cuentas personales y empresas, se observó que

las encuestas personales también se utilizan para acceder a aplicaciones específicas y

servicios basados en la web para actividades tanto privadas como laborales, mientras que

estos últimos se utilizan para las funciones obligatorias de acceso a las computadoras y

dispositivos médicos de la empresa.

3. El almacenamiento de datos confidenciales (FA7), Se utilizan diferentes plataformas o

aplicaciones según el tipo de datos, por ejemplo: servidores de archivos para gestionar

documentos internos, bases de datos Oracle para gestionar datos personales y clínicos,

GDrive para compartir documentos con proveedores externos, socios y empresas.

4. El intercambio de datos para la coordinación del trabajo propósitos entre colegas (FA3) y

Comunicación con pacientes y clientes (FA2). Se destacó que las aplicaciones como

WhatsApp a veces se usan para intercambiar datos confidenciales con colegas y para

coordinar las actividades laborales. este tipo de aplicación también se utiliza para

compartir información clínica con usuarios finales o clientes, con una consideración

inadecuada de los requisitos de privacidad y seguridad.

 21

4.2.2. Entrevistas semiestructuradas

Las entrevistas semiestructuradas fueron útiles tanto para identificar fuentes adicionales

de vulnerabilidades como para comprender las razones organizacionales detrás de algunas de las

vulnerabilidades individuales y organizacionales identificadas con los cuestionarios HAIS-Q y

los grupos focales.

Estos pueden enmarcarse en dos tendencias principales:

1. Dificultad para gestionar el trade-off entre ciberseguridad y eficiencia laboral, la

compensación entre seguridad y eficiencia se manifiesta en el intercambio de contraseñas

personales y claves de acceso, cómo las huellas dactilares de identificación.

2. Riesgo frecuente de desajuste entre las restricciones relacionadas con la seguridad

impuestas al personal de la organización y el exceso de confianza de los gerentes y

expertos en TI con respecto a sus prácticas relacionadas con la seguridad personal, una

práctica de trabajo insegura debido a una el equilibrio inadecuado entre la seguridad y

eficiencia puede resultar en la tendencia de eludir las prohibiciones de instalar software

P2P en las PC de la empresa.

 22

5. Discusión de resultados

El objetivo general de este estudio fue arrojar luz y profundizar el conocimiento de los

desafíos actuales de HF para contrastar los ataques cibernéticos. Para ello, se argumentó que el

fenómeno CIS es un asunto sistémico que debe ser entendido desde una “perspectiva del

sistema” HF, organizacional y técnica, en la que diferentes componentes interactúan con usuarios

legítimos para mantener el sistema seguro.

El objetivo de la investigación fue presentar y discutir un enfoque sistémico de método

mixto para la ciberseguridad que es capaz de abarcar contramedidas humanas, organizativas y

técnicas, aplicadas a organizaciones reales.

Fundamentalmente, en este enfoque sistémico, el factor humano se consideró el vínculo

estratégico, la 'primera línea de defensa', contra diversas amenazas a la seguridad de la

información; al minimizar las vulnerabilidades humanas (es decir, falacias cognitivas y errores

humanos), se puede mejorar la postura de seguridad de la organización.

El objetivo de este estudio es triple:

1. En primer lugar, Su objetivo era proporcionar una descripción general de los enfoques

CIS relacionados con HF en uso. además de mejorar las soluciones técnicas, sugerimos

integrar contra medidas CIS no técnicas para mejorar la eficacia del sistema.

2. En segundo lugar, se sugirió un método integrado para comprender y medir cómo las

organizaciones enfrentan el riesgo de amenazas y ataques cibernéticos, presentando la

investigación realizada en organizaciones de atención médica piloto, involucrando

diferentes roles de participantes. Al hacerlo, se investigó una serie de escenarios en un

enfoque de investigación- acción.

 23

3. En tercer lugar, este estudio tuvo como objetivo proporcionar un marco inicial para

ayudar a las organizaciones a mejorar sus sistemas CIS, al incluir pautas específicas para

diferentes roles para la evaluación y el apoyo a nivel individual y organizacional.

A nivel individual, el cuestionario HAIS-Q hizo posible investigar en qué medida los

conocimientos (K) de las políticas y los procedimientos, las actitudes (A) hacia las políticas y los

procedimientos y los comportamientos auto informados (B) de los empleados individuales

relacionados con siete áreas de enfoque crítico (FA) de aplicación, a saber: (FA1) administración

de contraseñas, (FA2) uso de correo electrónico, (FA3) uso de Internet, (FA4) computación

móvil, (FA5) redes sociales, (FA6) reporte de incidentes y manejo de información (FA7). Los

resultados mostraron una correlación directa entre Conocimientos y Comportamientos, mientras

que las Actitudes hacia la ciberseguridad estuvieron más relacionadas con las diferentes áreas de

enfoque y los resultados a nivel organizacional.

Específicamente, los resultados de HAIS-Q mostraron que en cuatro áreas de enfoque,

Conocimiento y Comportamiento presentó una tendencia similar tanto para el personal de TI

como para el personal que no es de TI: FA1 (administración de contraseñas), FA2 (uso de correo

electrónico), FA4 (computación móvil) y FA7 (manejo de información)

Los grupos focales permitieron una comprensión más profunda del contexto (ambiente) y

situaciones (eventos/ejemplo de actividades críticas) en las que las áreas de HAIS-Q resultaron

críticas, proporcionando también la justificación de sus posibles errores y violaciones. Por

ejemplo, al considerar el uso común de dispositivos móviles personales (FA4) para acceder a las

cuentas de la empresa para descargar, almacenar y compartir archivos adjuntos confidenciales,

fue posible comprender por qué las organizaciones estaban expuestas a infracciones de CIS.
 24

Además, una serie de acontecimientos. también se destacaron errores basados en errores

o infracciones sin intención maliciosa en el uso de herramientas tecnológicas y aplicaciones,

como WhatsApp, o como la compartición de estaciones de trabajo compartidas por diferentes

médicos y enfermeras; tales prácticas cotidianas plantean problemas de privacidad y seguridad a

nivel organizacional que van más allá del enfoque de CIS puramente centrado en la tecnología.

6. conclusiones

El aporte del artículo reside en el enfoque metodológico multicapa y macro ergonómico,

que permite domar la complejidad de los factores humanos en Ciberseguridad. El enfoque

propuesto pretendía promover un enfoque integral y holístico centrado en el usuario y basado en

datos para analizar/gestionar la ciberseguridad en la asistencia sanitaria.

El estudio ha destacado que las contramedidas de seguridad a menudo toman la forma de

Procedimientos complejos que brindan un apoyo limitado a las misiones y tareas diarias de los

empleados. nuestros resultados mostraron que en FA específicas la falta de conocimiento de las

reglas correctas y el comportamiento de seguridad no es la razón principal para no cumplir con

los procedimientos de seguridad correctos sino es el resultado de la cultura de seguridad

organizacional implícita que puede exponer a la organización a posibles vulnerabilidades

humanas por lo que se reconoce la importancia de Resaltar los diferentes errores humanos y

violaciones como lo sugiere la extensa literatura y el extenso trabajo de HF.

Estudio respalda el argumento de que se necesita un enfoque inclusivo, multidisciplinario

y holístico para mejorar la ciberseguridad en las organizaciones de atención médica.

Por lo tanto, se Proponen una serie de contramedidas no técnicas para potenciar el factor

humano en la organización y ayudar a las organizaciones a ser más eficaces contra los

ciberataques y los amenazas. Incluye adoptar un enfoque de diseño entre tejido y centrado en el
 25

usuario para promover e implementar reglas y prácticas utilizables, así como fomentar la

rendición de cuentas y la circulación de información relevante.

Las siguientes medidas de mitigación construyen un marco macroeconómico:

1. Al definir el contenido central de la seguridad de la información programas de

sensibilización, evaluar la percepción de riesgo de los empleados para mitigar los

beneficios percibidos que pueden prever en comportamientos de riesgo.

2. Mejorar la usabilidad de las herramientas que respaldan las necesidades específicas del

trabajo, asegurando que su cumplimiento con las restricciones de seguridad no ponga en

peligro la experiencia del usuario.

3. al definir políticas de seguridad y campañas de capacitación, se debe utilizar un enfoque

personalizado para que el mensaje de concientización sobre seguridad sea acorde con el

conocimiento y las habilidades de los empleados y estén dirigidos a áreas específicas de

seguridad de información.

4. al diseñar políticas de seguridad se debe verificar el impacto de las compensaciones entre

las disposiciones de seguridad y los procedimientos que respaldan otras metas de la

organización, como la eficiencia y la seguridad en el trabajo.

 26

7.Referencia

● Awajy J (2014) Preferencia del usuario de los métodos de entrega de conciencia de

seguridad cibernética. Behav Inform Technol 33(3):237–248. https:// doi.org/

10.1080/0144929X.2012.708787

● Alessandro Pollini (2021) Leveraging human factors in cybersecurity: an integrated

methodological approach. Cognición, tecnología y trabajo (2022) 24:371–390 https://

doi.org/10.1007/s10111-021-00683-y

● Chua HN, Wong PPF, Low YC, Chang Y (2018) Impacto de las características

demográficas de los empleados en el conocimiento y cumplimiento de la política de

seguridad de la información en las organizaciones. Información telemática 35 (6):

1770–1780

● D, Flahault A (2020) Ciberseguridad de los hospitales: discutiendo los desafíos y

trabajando para mitigar los riesgos. BMC Med Informar Decis Mak 20 (1): 146.

https://doi.org/ 10.1186/s12911-020-01161-7

● Carroll JS, Quijada MA (2004) Reorientando los valores profesionales tradicionales para

apoyar la seguridad: cambiando la cultura organizacional en salud cuidado. Quality

Safety Health Care 13 (suplemento 2): 16–21. https://doi. org/

10.1136/qshc.2003.009514

● Colwill C (2009) Factores humanos en la seguridad de la información: la amenaza

interna: ¿en quién puede confiar en estos días? Inf Secur Tech Rep 14(4):186– 196.

https://doi.org/10.1016/j.istr.2010.04.004 Conteh NY, Schmick PJ