Menu

La ciberseguridad es vulnerada por los sesgos cognitivos: ForcePoint

*La doctora Margaret Cunningham de Forcepoint habla sobre la manera en que este efecto psicológico puede influir en la toma de decisiones

*Los errores humanos pueden vulnerar la seguridad de una empresa, la mejor manera de evitarlos es conocer el comportamiento humano, añade

La ciencia cognitiva que se ha desarrollado desde el siglo pasado, estudia de manera sistemática la mente y sus procesos. Hoy en día esta ciencia ha estrechado lazos en el desarrollo de la ciberseguridad. Al respecto la doctora Margaret Cunningham de Forcepoint nos habla de cómo el sesgo cognitivo puede influir de manera negativa en este sector.

Cunningham explica la presencia de seis sesgos cognitivos comunes: sesgo agregado, de anclaje, de disponibilidad, de confirmación, el efecto marco y el error fundamental de la atribución; así como el impacto que tienen en la seguridad cibernética y cómo pueden abordarse.

La especialista explica que el sesgo cognitivo deriva en errores de razonamiento que pueden influir en la toma de decisiones y por ende en los resultados empresariales. Ejemplifica con el hecho de que los factores externos suelen tener influencia en los directivos empresariales.

“Por ejemplo, si los noticieros difunden gran cantidad de información sobre una reciente violación a la privacidad por parte de hackers, y se lanzan serias advertencias respecto a los ataques externos, los encargados de dirigir los programas de seguridad van a tender a desviar la estrategia y la actividad de seguridad cibernética contra las amenazas externas”, indica.

Este sesgo es el denominado de “disponibilidad en acción”. En esta situación una brecha de alto perfil individual podría provocar que las empresas ignoren o minimicen las amenazas que trae consigo el malware, los procesos de parcheo deficientes o el comportamiento de los empleados en el momento de manejar datos.

La doctora indica que depender de lo que se conoce es una herramienta que utilizan los humanos para tomar decisiones, pero puede también llevar a tomar decisiones equivocadas.

El denominado sesgo de confirmación sucede cuando los individuos exploran una teoría para resolver un problema particular. De acuerdo con la especialista de Forcepoint, esto los vuelve suceptibles a confirmar sus creencias con sólo buscar y encontrar lo que apoye a su creencia.

Por ejemplo, un analista de seguridad experimentado puede “decidir” qué sucedió antes de investigar una violación de datos, asumiendo que fue un empleado malintencionado a partir de eventos anteriores. “El conocimiento y la experiencia, si bien son valiosos, pueden ser débiles si la gente investiga los incidentes partiendo de una base que confirme lo que ellos sospechan”, indica.

La espcealista destaca además la existencia de lo que denomina “error fundamental de la atribución”. Los profesionales de la seguridad han utilizado el anacronismo EPETC, que significa “Existe un Problema Entre el Teclado y la Silla”. “En otras palabras, culpan al usuario por los incidentes relacionados con la seguridad”.

Los especialistas en la materia no son los únicos afectados por este sesgo, pues los usuarios finales también culpan a los entornos de seguridad mal diseñados de los incidentes que ocurren, o se niegan a reconocer que sus comportamientos son peligrosos, añade.

La especialista de Forcepoint destaca que para hacer frente a los errores fundamentales de la atribución y el sesgo propio es necesaria la empatía personal. Que las personas que ocupan puestos de toma de decisión puedan reconocer sus fallas puede ayudar a crear una cultura más flexible y dinámica.

Añade que para los diseñadores de arquitectura de software es necesaria la toma en consideración de que no todas las motivaciones del usuario final estarán enfocadas en la seguridad, como si sucede con los expertos en la materia.  “Los usuarios cometen errores no porque sean “estúpidos”, sino porque son humanos”, indica.

De acuerdo con la psicóloga,  cuando se comprenden mejor estos sesgos, es más sencillo identificar y reducir el impacto del razonamiento fallido y de las convenciones para tomar decisiones. Los esfuerzos de la industria por crear armonía entre las mejores características de los humanos y las mejores características de la tecnología para enfrentar los desafíos de la seguridad cibernética dependen de entender y superar dichos sesgos.

Conocer a fondo el comportamiento humano dentro de las soluciones de seguridad que se adaptan a los riesgos es vital para el propósito final de mejorar los procesos y resultados de negocio, reducir la fricción y promover el desarrollo y el éxito. Los productos creados de este modo pueden computar y actualizar continuamente una puntuación de riesgo conductual tomando como base el comportamiento “normal” de cada uno de los usuarios, donde sea y como sea que tengan acceso a la red corporativa.

Los sistemas inteligentes, que toman información sobre la evaluación del riesgo individual, pueden aplicar una serie de contramedidas de seguridad para afrontar el riesgo identificado según el apetito de riesgo de una organización, o impedir por completo el acceso a archivos sensibles, dependiendo del contexto de las interacciones individuales con los datos corporativos y de la puntuación de riesgo resultante.

Finalmente la especialista de ForcePoint recomienda a  los profesionales de la seguridad hacerse las siguientes preguntas:

  • ¿Usted y sus colegas hacen suposiciones sobre los individuos, pero utilizan características grupales para crear sus suposiciones?
  • ¿Alguna vez se ha quedado estancado en un detalle forense del que le ha sido difícil salir para identificar una nueva estrategia de exploración?
  • ¿Las recientes noticias influyeron en la percepción que tiene su compañía de los riesgos actuales?
  • Cuando se enfrenta al mismo problema, una y otra vez, ¿se detiene a pensar en otras posibles soluciones o respuestas?
  • Cuando ofrece nuevos productos y servicios, ¿evalúa usted el riesgo (y su tolerancia al riesgo) de una forma equilibrada? ¿Desde múltiples perspectivas?
  • Y finalmente, ¿su equipo tiene una metodología para reconocer su responsabilidad de los errores o de comportarse de forma peligrosa, y le da crédito a otros que pudieran haber cometido un error debido a factores ambientales?

 






Comments are Closed