Cómo el sesgo cognitivo puede generar inconvenientes en la seguridad cibernética

Por  Dra. Margaret Cunningham, de Forcepoint

La Dra. Margaret Cunningham, de Forcepoint, habla sobre la manera en que este efecto psicológico puede influir en la toma de decisiones y en los resultados empresariales.

Los términos de la ciencia cognitiva no son etiquetas arbitrarias que se aplican a la seguridad cibernética. Históricamente, la relación entre el cómputo y el conocimiento surgió a principios de los años cincuenta durante la revolución cognitiva, cuando la ciencia psicológica, basada en el comportamiento, incluyó a la mente y sus procesos. Actualmente, la ciencia cognitiva es un ámbito interdisciplinario que se amplía de manera constante, y que coincide con prácticamente todos los aspectos de la seguridad cibernética.

En este artículo exploraré seis sesgos cognitivos comunes: sesgo agregado, de anclaje, de disponibilidad, de confirmación, el efecto marco y el error fundamental de la atribución; así como el impacto que tienen en la seguridad cibernética y cómo pueden abordarse.

Cómo los sesgos humanos desvían las estrategias de seguridad

Todos estamos expuestos al sesgo cognitivo y a los errores del razonamiento, los cuales pueden influir en las decisiones y en los resultados empresariales en el ámbito de la seguridad cibernética. Observamos con regularidad que los factores externos tienen influencia en los líderes empresariales. Por ejemplo, si los noticieros difunden gran cantidad de información sobre una reciente violación a la privacidad por parte de hackers, y se lanzan serias advertencias respecto a los ataques externos, los encargados de dirigir los programas de seguridad van a tender a desviar la estrategia y la actividad de seguridad cibernética contra las amenazas externas.

Aquí estamos hablando del sesgo de la disponibilidad en acción, donde una brecha de alto perfil individual podría provocar que las empresas ignoren o minimicen las amenazas que trae consigo el malware, los procesos de parcheo deficientes o el comportamiento de los empleados en el momento de manejar datos. Depender de lo que se conoce es una herramienta que utilizan los humanos para tomar decisiones, pero puede también llevar a tomar decisiones equivocadas.

El sesgo de la confirmación también afecta inconscientemente a los profesionales de la seguridad. Cuando los individuos están explorando una teoría para resolver un problema particular, son susceptibles a confirmar sus creencias con sólo buscar y encontrar lo que apoye a su creencia. Por ejemplo, un analista de seguridad experimentado puede “decidir” qué sucedió antes de investigar una violación de datos, asumiendo que fue un empleado malintencionado a partir de eventos anteriores. El conocimiento y la experiencia, si bien son valiosos, pueden ser débiles si la gente investiga los incidentes partiendo de una base que confirme lo que ellos sospechan.

No es mi culpa, es EPETC

Un sesgo social y psicológico que repercute en casi todos los aspectos del comportamiento humano es el error fundamental de la atribución. Los profesionales de la seguridad han utilizado el anacronismo EPETC, que significa “Existe un Problema Entre el Teclado y la Silla”. En otras palabras, culpan al usuario por los incidentes relacionados con la seguridad. Los especialistas en la materia no son los únicos afectados por este sesgo, pues los usuarios finales también culpan a los entornos de seguridad mal diseñados de los incidentes que ocurren, o se niegan a reconocer que sus comportamientos son peligrosos.

Hacer frente a los errores fundamentales de la atribución, y al sesgo propio, no es cosa sencilla y requiere del conocimiento y de la empatía personales. Para los supervisores y líderes, reconocer las imperfecciones y las fallas puede ayudar a crear una cultura más flexible y dinámica. Quienes diseñan arquitecturas de software complejas deben reconocer que no todas las motivaciones de los usuarios estarán totalmente enfocadas en la seguridad como las de los diseñadores de los sistemas. Los usuarios cometen errores no porque sean “estúpidos”, sino porque son humanos.

Sin embargo, una característica humana excepcional es que podemos pensar en pensar, lo que permite reconocer y enfrentar estos sesgos. Al adoptar un enfoque diferente y evitar esas instancias donde el pensamiento automático causa daños, podemos mejorar la toma de decisiones.

Superar el sesgo con conocimiento aplicado

Cuando se comprenden mejor estos sesgos, es más sencillo identificar y reducir el impacto del razonamiento fallido y de las convenciones para tomar decisiones. Los esfuerzos de la industria por crear armonía entre las mejores características de los humanos y las mejores características de la tecnología para enfrentar los desafíos de la seguridad cibernética dependen de entender y superar dichos sesgos.

Conocer a fondo el comportamiento humano dentro de las soluciones de seguridad que se adaptan a los riesgos es vital para el propósito final de mejorar los procesos y resultados de negocio, reducir la fricción y promover el desarrollo y el éxito. Los productos creados de este modo pueden computar y actualizar continuamente una puntuación de riesgo conductual tomando como base el comportamiento “normal” de cada uno de los usuarios, donde sea y como sea que tengan acceso a la red corporativa.

Los sistemas inteligentes, que toman información sobre la evaluación del riesgo individual, pueden aplicar una serie de contramedidas de seguridad para afrontar el riesgo identificado según el apetito de riesgo de una organización, o impedir por completo el acceso a archivos sensibles, dependiendo del contexto de las interacciones individuales con los datos corporativos y de la puntuación de riesgo resultante.

Actúe para abordar el sesgo: preguntas que deben hacerse los profesionales de la seguridad cibernética

¿Por dónde se debe comenzar? Nuestra recomendación para los profesionales de la seguridad y para los líderes empresariales es tomarse algunos momentos para analizar los seis sesgos y hacerse estas preguntas:

• ¿Usted y sus colegas hacen suposiciones sobre los individuos, pero utilizan características grupales para crear sus suposiciones?
• ¿Alguna vez se ha quedado estancado en un detalle forense del que le ha sido difícil salir para identificar una nueva estrategia de exploración?
• ¿Las recientes noticias influyeron en la percepción que tiene su compañía de los riesgos actuales?
• Cuando se enfrenta al mismo problema, una y otra vez, ¿se detiene a pensar en otras posibles soluciones o respuestas?
• Cuando ofrece nuevos productos y servicios, ¿evalúa usted el riesgo (y su tolerancia al riesgo) de una forma equilibrada? ¿Desde múltiples perspectivas?
• Y finalmente, ¿su equipo tiene una metodología para reconocer su responsabilidad de los errores o de comportarse de forma peligrosa, y le da crédito a otros que pudieran haber cometido un error debido a factores ambientales?

La gente comete errores cuando tiene demasiada información, compleja o vinculada a probabilidades. Sin embargo, hay un poderoso paralelismo entre cómo los humanos aprenden a pensar y razonar, y cómo la tecnología de la seguridad puede diseñarse para mejorar la manera en afrontar un “espacio gris”. En el caso de los sesgos, combinar la analítica conductual con las contramedidas de seguridad puede reducir este problema de manera importante y acercarlo a usted a un entorno más seguro.