La
Dra. Margaret Cunningham, de Forcepoint, habla sobre la manera en que
este efecto psicológico puede influir en la toma de decisiones
y en los resultados empresariales.
Los
términos de la ciencia cognitiva no son etiquetas arbitrarias que se
aplican a la seguridad cibernética. Históricamente, la relación entre el
cómputo y el conocimiento surgió a principios de los años cincuenta
durante la revolución cognitiva, cuando la ciencia
psicológica, basada en el comportamiento, incluyó a la mente y sus
procesos. Actualmente, la ciencia cognitiva es un ámbito
interdisciplinario que se amplía de manera constante, y que coincide con
prácticamente todos los aspectos de la seguridad cibernética.
En este
artículo exploraré seis sesgos cognitivos comunes: sesgo agregado, de
anclaje, de disponibilidad, de confirmación, el efecto marco y el error
fundamental de la atribución;
así como el impacto que tienen en la seguridad cibernética y cómo
pueden abordarse.
Cómo los sesgos humanos desvían las estrategias de seguridad
Todos
estamos expuestos al sesgo cognitivo y a los errores del razonamiento,
los cuales pueden influir en las decisiones y en los resultados
empresariales en el ámbito de la seguridad cibernética.
Observamos con regularidad que los factores externos tienen influencia
en los líderes empresariales. Por ejemplo, si los noticieros difunden
gran cantidad de información sobre una reciente violación a la
privacidad por parte de hackers, y se lanzan serias
advertencias respecto a los ataques externos, los encargados de dirigir
los programas de seguridad van a tender a desviar la estrategia y la
actividad de seguridad cibernética contra las amenazas externas.
Aquí estamos hablando del
sesgo de la disponibilidad en acción, donde una brecha de alto
perfil individual podría provocar que las empresas ignoren o minimicen
las amenazas que trae consigo el malware, los procesos de parcheo
deficientes o el comportamiento de los empleados en
el momento de manejar datos. Depender de lo que se conoce es una
herramienta que utilizan los humanos para tomar decisiones, pero puede
también llevar a tomar decisiones equivocadas.
El sesgo de la confirmación
también afecta inconscientemente a los profesionales de la seguridad.
Cuando los individuos están explorando una teoría para resolver un
problema particular,
son susceptibles a confirmar sus creencias con sólo buscar y encontrar
lo que apoye a su creencia. Por ejemplo, un analista de seguridad
experimentado puede “decidir” qué sucedió antes de investigar una
violación de datos, asumiendo que fue un empleado malintencionado
a partir de eventos anteriores. El conocimiento y la experiencia, si
bien son valiosos, pueden ser débiles si la gente investiga los
incidentes partiendo de una base que confirme lo que ellos sospechan.
No es mi culpa, es EPETC
Un sesgo social y psicológico que repercute en casi todos los aspectos del comportamiento humano es
el error fundamental de la atribución. Los profesionales de la
seguridad han utilizado el anacronismo EPETC, que significa “Existe un
Problema Entre el Teclado y la Silla”. En otras palabras, culpan al
usuario por los incidentes relacionados con la seguridad.
Los especialistas en la materia no son los únicos afectados por este
sesgo, pues los usuarios finales también culpan a los entornos de
seguridad mal diseñados de los incidentes que ocurren, o se niegan a
reconocer que sus comportamientos son peligrosos.
Hacer frente a los
errores fundamentales de la atribución, y al sesgo propio, no es cosa
sencilla y requiere del conocimiento y de la empatía personales. Para
los supervisores y líderes, reconocer
las imperfecciones y las fallas puede ayudar a crear una cultura más
flexible y dinámica. Quienes diseñan arquitecturas de software complejas
deben reconocer que no todas las motivaciones de los usuarios estarán
totalmente enfocadas en la seguridad como las
de los diseñadores de los sistemas. Los usuarios cometen errores no
porque sean “estúpidos”, sino porque son humanos.
Sin embargo, una
característica humana excepcional es que podemos pensar en pensar, lo
que permite reconocer y enfrentar estos sesgos. Al adoptar un enfoque
diferente y evitar esas instancias
donde el pensamiento automático causa daños, podemos mejorar la toma de
decisiones.
Superar el sesgo con conocimiento aplicado
Cuando se comprenden
mejor estos sesgos, es más sencillo identificar y reducir el impacto del
razonamiento fallido y de las convenciones para tomar decisiones. Los
esfuerzos de la industria
por crear armonía entre las mejores características de los humanos y
las mejores características de la tecnología para enfrentar los desafíos
de la seguridad cibernética dependen de entender y superar dichos
sesgos.
Conocer
a fondo el comportamiento humano dentro de las soluciones de seguridad
que se adaptan a los riesgos es vital para el propósito final de mejorar
los procesos y resultados de negocio,
reducir la fricción y promover el desarrollo y el éxito. Los productos
creados de este modo pueden computar y actualizar continuamente una
puntuación de riesgo conductual tomando como base el comportamiento
“normal” de cada uno de los usuarios, donde sea y
como sea que tengan acceso a la red corporativa.
Los
sistemas inteligentes, que toman información sobre la evaluación del
riesgo individual, pueden aplicar una serie de contramedidas de
seguridad para afrontar el riesgo identificado según
el apetito de riesgo de una organización, o impedir por completo el
acceso a archivos sensibles, dependiendo del contexto de las
interacciones individuales con los datos corporativos y de la puntuación
de riesgo resultante.
Actúe para abordar el sesgo: preguntas que deben hacerse los profesionales de la seguridad cibernética
¿Por dónde se debe
comenzar? Nuestra recomendación para los profesionales de la seguridad y
para los líderes empresariales es tomarse algunos momentos para
analizar los seis sesgos y hacerse
estas preguntas:
·
¿Usted y sus
colegas hacen suposiciones sobre los individuos, pero utilizan
características grupales para crear sus suposiciones?
·
¿Alguna
vez se ha quedado estancado en un detalle forense del que le ha sido
difícil salir para identificar una nueva estrategia de exploración?
·
¿Las recientes noticias influyeron en la percepción que tiene su compañía de los riesgos actuales?
·
Cuando se enfrenta al mismo problema, una y otra vez, ¿se detiene a pensar en otras posibles soluciones o respuestas?
·
Cuando ofrece
nuevos productos y servicios, ¿evalúa usted el riesgo (y su tolerancia
al riesgo) de una forma equilibrada? ¿Desde múltiples perspectivas?
·
Y
finalmente, ¿su equipo tiene una metodología para reconocer su
responsabilidad de los errores o de comportarse de forma peligrosa, y le
da crédito a otros que pudieran
haber cometido un error debido a factores ambientales?
La
gente comete errores cuando tiene demasiada información, compleja o
vinculada a probabilidades. Sin embargo, hay un poderoso paralelismo
entre cómo los humanos aprenden
a pensar y razonar, y cómo la tecnología de la seguridad puede
diseñarse para mejorar la manera en afrontar un “espacio gris”. En el
caso de los sesgos, combinar la analítica conductual con las
contramedidas de seguridad puede reducir este problema de manera
importante y acercarlo a usted a un entorno más seguro.
Si desea obtener más información,
consulte el reporte “Pensar
en Pensar
– Explorando el Sesgo en Seguridad Cibernética con Conocimientos de la
Ciencia Cognitiva” de Forcepoint X-Labs, la primera división de
investigación
dedicada a combinar una amplia experiencia en seguridad con la
investigación de la ciencia del comportamiento.
No hay comentarios:
Publicar un comentario