A través del ojo de su mente: cómo abordar los sesgos en la seguridad cibernética – Parte 2


En la Parte 1 de nuestro A través de la serie Your Mind&#39s Eye, Exploramos cómo nuestros cerebros no prestan la misma atención a cada decisión que tomamos, y tomamos atajos mentales conocidos como sesgos. Estos sesgos nos permiten reaccionar rápidamente, pero también pueden provocar errores y descuidos. Debido a que todos tenemos sesgos que moldean quiénes somos, nuestras decisiones dentro y fuera de la ciberseguridad pueden verse afectadas tanto de manera positiva como negativa.

Sesgo de seguridad

El sesgo de seguridad se centra en las deficiencias para no correr riesgos. Muchos estudios han demostrado que nosotros, como seres humanos, preferiríamos no perder dinero incluso más de lo que preferiríamos ganar dinero. Es posible que haya oído hablar de estudios en los que a las personas se les ofrece una cantidad menor de dinero ahora o una cantidad mayor en dos años. La mayoría de los participantes tomaron lo seguro del dinero ahora en lugar de esperar más. Sin embargo, esto cambia cuando las personas se enfrentan a una decisión de pérdida. Por ejemplo, cuando se les pregunta si preferirían perder definitivamente $ 100 o tener un 50% de posibilidades de perder $ 1000, la mayoría dice que tomaría la opción de arriesgarse a perder $ 1000. Debido a los sesgos de seguridad, el progreso en la toma de decisiones se ralentiza y las formas saludables de toma de riesgos se detienen.

El sesgo de seguridad se ve en las operaciones de desarrollo de la seguridad, la evaluación de riesgos, las políticas y procedimientos, la toma de decisiones y la gestión de identidad y acceso. Para el área de operaciones de desarrollo de seguridad, ¿su equipo de operaciones de desarrollo está aplicando controles de pink tradicionales a la nube o están analizando cómo pueden refactorizar para ayudar a llevar su organización al siguiente nivel? ¿Están atrapados en el pasado o se mueven hacia el futuro?

¿Cuándo fue la última vez que revisó sus productos de seguridad y sus capacidades para la evaluación de riesgos? ¿Conserva lo que tiene porque ya compró esas soluciones o las está revisando para asegurarse de que sean las mejores para mantener segura su organización? Por ejemplo, ¿su solución actual tiene un escáner de vulnerabilidades que pueda identificar vulnerabilidades avanzadas? ¿Actualizaría si no fuera así? Si no está evaluando sus productos de seguridad contra amenazas emergentes de forma standard, sus riesgos pueden verse afectados sin darse cuenta.

También hay paralelismos con nuestro ejemplo anterior donde los participantes tomaron lo seguro inmediato. El mismo pensamiento hace que las empresas inviertan en soluciones que pueden ser excesivas para abordar factores de riesgo demasiado específicos y de alto impacto / baja probabilidad. Están resolviendo algo con poca probabilidad de que suceda y, como resultado, pueden estar gastando mucho más en políticas y procedimientos de lo necesario.

Cuando existe una ambigüedad en la toma de decisiones, los propietarios del sistema pueden mostrarse reacios a actualizar o aplicar los últimos parches. También puede haber una falta de voluntad de los usuarios finales para configurar las funciones de seguridad y una falta de interés por parte de los desarrolladores para agregar nuevas funciones de seguridad a una aplicación existente. Como resultado, estos propietarios de sistemas pecan de precaución para no romper o cambiar algo, ya que ven esto como un riesgo mayor que instalar los últimos parches. Del mismo modo, los desarrolladores pueden optar por ahorrar costos en lugar de agregar funciones de seguridad.

A medida que pasa de las soluciones locales a las soluciones en la nube, ¿ha considerado qué aplicaciones de software deben actualizarse para su optimización en la nube para sus requisitos de administración de identidad y acceso? ¿Qué nuevas soluciones de análisis de identidad se deben implementar para estar preparados para el futuro? ¿O está manteniendo las cosas «como están» porque es lo más seguro?

Algunos científicos sociales clasifican el efecto avestruz con un sesgo de seguridad. El efecto avestruz se basa en el mito de que los avestruces entierran la cabeza en la arena cuando sienten peligro. ¿Está su equipo “enterrando la cabeza en la arena” cuando necesita tomar una decisión arriesgada?

Para superar el sesgo de seguridad, mantenga cierta distancia entre usted y la decisión que se está tomando. Imagínese un yo pasado que ya ha tomado la decisión con éxito para debilitar la percepción de que habrá una pérdida. Otra notion, si cree que esto es algo que está sucediendo en su entorno, es equilibrar a su equipo con miembros del equipo que asumen riesgos y que son adversos al riesgo.

Otros sesgos que podrían surgir

Efecto de encuadre El efecto de encuadre también influye en el sesgo de seguridad y se relaciona con cómo se “enmarca” o describe algo. Por ejemplo, si algo está redactado de manera negativa para enfatizar el potencial de pérdida, el receptor puede tener miedo de correr un riesgo. Es posible que haya visto comerciales de servicios cibernéticos que dicen: «1 de cada 5 empresas perdió sus datos mientras usaba otro servicio». En lugar de enfocarse en los 4 que no perdieron sus datos, ellos se enfocaron en el 1 que sí perdió, así que pensarás en ellos protegiéndote a ti en lugar de a su competencia. Otro ejemplo que lleva a casa el punto está relacionado con la salud. Supongamos que necesita una operación. ¿Cómo se sentiría si el médico le dijera que tiene un 80% de posibilidades de recuperación? Ahora, ¿qué pasa si el médico dice que tiene un 20% de posibilidades de morir por esta misma operación? ¿Pensarías de manera diferente cómo enfocaste la operación? Preste atención a cómo se redactan las declaraciones para superar las reacciones viscerales al momento de tomar una decisión.

Sesgo de afinidad El sesgo de afinidad está gravitando hacia lo que sabemos o con lo que nos sentimos cómodos en lugar de lo desconocido. Por ejemplo, cuando ves a un extraño vistiendo tu sudadera del alma mater de la universidad en otra ciudad, instantáneamente sientes una conexión con él aunque nunca te hayas conocido. Esto crea un sesgo «dentro del grupo». Esto puede manifestarse en la cibernética como una aversión a las ofertas de nuevos productos. ¿Sigues usando las mismas soluciones que has estado usando durante los últimos 20 años porque te son familiares y cómodas o estás usando una solución XDR ahora? También puede sentir que solo su equipo directo tiene todas las respuestas correctas y que nadie más sabe cómo proteger el entorno o la aplicación mejor que su equipo. ¿Es eso porque es verdad o porque te sientes más cómodo con ellos?

Sesgo de similitud El sesgo de similitud ocurre porque nosotros, como seres humanos, estamos muy motivados para vernos a nosotros mismos y a quienes son similares a nosotros de una manera favorable. Inconscientemente creamos «grupos internos» y «grupos externos». Estos podrían estar relacionados con la ciudad o el país donde crecimos o vivimos hoy, dónde fuimos a la escuela, áreas de interés, etcetera. ¿Está contratando personas que son similares a las que tiene actualmente en el equipo o está buscando habilidades? e individuos que aporten diversas perspectivas o satisfagan sus necesidades en los próximos 1-2 años?

Aversión a la pérdida Se puede observar un ejemplo de aversión a las pérdidas cuando las empresas ya han invertido en su infraestructura de TI tradicional, entonces, ¿por qué migrar a la nube? Pasar a la nube requiere tiempo y recursos. En lugar de modernizarse, siguen comprando nuevos servidores y almacenamiento para mantener el entorno funcionando como lo había estado durante décadas.

Sesgo de distancia El sesgo de distancia es priorizar lo que está cerca, ya sea en el espacio físico, el tiempo u otros dominios. Antes de la pandemia, cuando estábamos en las salas de conferencias conversando, ¿cuántas veces observó que las personas en la sala de reuniones no recopilaban información de sus colegas remotos por teléfono? ¿O ha decidido basarse en lo que necesitaba hacer antes en lugar de considerar los efectos a largo plazo de lo que era mejor para la empresa?

Cómo abordar los sesgos en la ciberseguridad

Como vio en cada uno de los sesgos que aparecen en nuestros dos artículos, no son mutuamente excluyentes. Hay muchas superposiciones entre los diferentes tipos de sesgos cognitivos. ¿Cómo los abordamos?

  1. Reconocer: la seguridad no es solo un producto, sino una combinación de productos, procesos y tecnología. Todo lo cual depende del comportamiento humano, y el comportamiento humano se presta a sesgos. Reconocer esto nos ayuda a descubrir de qué prejuicios somos víctimas.
  2. Busque y revise los datos de manera objetiva antes de tomar una decisión: no base una decisión en lo que se hizo anteriormente o en la única opinión de un «experto». Revise los datos, notice cómo se enmarcaron las opciones y proporcione comentarios. Esto puede ayudar a abordar el sesgo de disponibilidad, el sesgo de confirmación y el efecto de encuadre.
  3. Incluya a todas las personas que deben participar en la decisión o el incidente (incluidas aquellas con las que no esté de acuerdo). Esto aborda el sesgo de confirmación y el sesgo inconsciente.
  4. Utilice empresas de terceros para ayudar a evaluar de manera imparcial. Las empresas de terceros pueden revisar sus políticas y procedimientos, realizar pruebas de penetración y evaluación de riesgos, solo por nombrar algunas cosas. Esta opinión objetiva puede abordar todos los sesgos que discutimos.
  5. Mire hacia el futuro sin apego al pasado. Asegúrese de estar utilizando herramientas de monitoreo que tengan la capacidad de comprender las debilidades humanas y proporcionar un análisis adecuado basado en el análisis del comportamiento del usuario. Esto puede abordar el sesgo de seguridad, la aversión a las pérdidas, el sesgo de afinidad y el sesgo de similitud.
  6. No agrupe los comportamientos humanos. En su lugar, observe los comportamientos individuales, incluido el suyo. Eduque a sus empleados de que muchos problemas cibernéticos se deben a sesgos cognitivos a los que atacan los atacantes en combinación con fallas técnicas.

A dónde ir desde aquí:

El conocimiento de los sesgos cognitivos en juego para usted y sus equipos es uno de los primeros pasos para garantizar que su empresa no esté en riesgo. Una vez que haya reconocido la posibilidad de sesgos y fallas en su entorno, look at dónde puede haber sesgos que influyan en su postura de seguridad cibernética. Esto requiere comprensión personalized y empatía por parte de todos los involucrados.

Comience a educar a otros sobre dónde y cómo los prejuicios podrían estar afectando su postura de ciberseguridad. Una vez hecho esto, revise a fondo su postura precise de ciberseguridad y realice los ajustes necesarios. Durante los próximos meses, trabaje en la construcción de hábitos en todo el equipo para asegurarse de que está eliminando conscientemente los prejuicios que podrían estar influyendo en su postura de ciberseguridad.

Nuestros adversarios comprenden los prejuicios humanos y tratan de explotarlos activamente. Eliminar estos sesgos tanto como sea posible puede ayudarlo a usted y a su equipo a mejorar su postura de seguridad y defender su organización en todos los niveles.





Enlace a la noticia primary