[30/07/2021] Las decisiones que toman los responsables de la seguridad pueden verse influidas por una serie de prejuicios cognitivos, algunos de los cuales son sutiles y otros fáciles de detectar. Evitar estos sesgos es fundamental para garantizar que los ciberriesgos se interpreten y se actúe de forma adecuada, especialmente cuando se producen interrupciones importantes, como el reciente cambio a un entorno de trabajo más distribuido debido a la pandemia de COVID-19.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"El comportamiento y los procesos de toma de decisiones de los individuos tienen un impacto directo en la seguridad", afirma Sounil Yu, CISO de JupiterOne, un proveedor de tecnologías de gestión de activos y gobernanza. El error humano es la causa de muchas infracciones, por lo que entender cómo piensan, reaccionan y se comportan las personas es esencial para una buena ciberseguridad, afirma. Comprender los sesgos de comportamiento es aún más importante en la era del trabajo a distancia, cuando la higiene de la seguridad personal tiene un mayor impacto en la salud general de la red y las consecuencias de una sola decisión errónea pueden repercutir en toda la empresa.
Aquí, según Yu y otros expertos en seguridad, hay algunos sesgos comunes a los que los líderes de seguridad son propensos y que deben evitar.
1. Sesgo de confirmación
Los CISOs pueden cometer el error de asumir que la narrativa de la amenaza que se inclinan a creer es siempre la correcta. "El sesgo de confirmación es cuando se favorece la información que confirma las opiniones o creencias previamente establecidas", comenta Rick Holland, CISO de Digital Shadows. Un área en la que esto es especialmente problemático es la atribución de ataques, o la atribución de amenazas, en la que los líderes de seguridad pueden caer fácilmente en la trampa de culpar a un estado-nación específico o a un actor de la amenaza simplemente porque asumen que ese es el caso. En su lugar, los CISO deben buscar puntos de datos objetivos para minimizar el sesgo de confirmación, buscar escenarios alternativos y desafiar activamente su sistema de creencias, señala.
Yu señala la tendencia de algunos a asociar automáticamente a los hackers con capucha y pasamontañas con gente mala y malvada, y a los actores profesionales de la ciberdelincuencia y del Estado-nación como trabajadores de cuello blanco. "Sobreestimamos la frecuencia de los hackers con capucha y subestimamos la probabilidad de los profesionales que no parecen hackers".
2. Sesgo del vagón de cola
En una industria en la que se fomenta el intercambio de información y la comparación con los compañeros sobre las prácticas de seguridad, los líderes de seguridad pueden a veces tomar la ruta segura y adoptar ciertos enfoques solo porque todos los demás a su alrededor lo han adoptado. Christopher Pierson, fundador y director general de Blackcloak, lo denomina "efecto vagón" en ciberseguridad. Como ejemplo, señala que un CISO firma controles para abordar un riesgo específico, porque los mismos controles son utilizados por otros o se percibe que son utilizados por otros. En estas situaciones, incluso si un control concreto no funciona o es solo parcialmente eficaz, el hecho de que todos los demás en su círculo lo estén haciendo es justificación suficiente, anota Pierson.
"Los CISOs necesitan minimizar los impactos del pensamiento grupal", sostiene Holland. "El pensamiento de grupo ocurre cuando la gente se esfuerza por el consenso y está de acuerdo con las ideas de todos los demás". Este tipo de pensamiento puede eliminar el pensamiento alternativo y conducir a análisis y conclusiones erróneas. "Los CISOs pueden prevenir el pensamiento grupal construyendo equipos diversos, fomentando el pensamiento crítico y alentando la perspectiva del abogado del diablo".
3. Sesgo retrospectivo
La retrospectiva puede ser 20/20, pero utilizarla para hacer suposiciones sobre futuros riesgos cibernéticos es peligroso. Yu describe el sesgo como la ilusión de entender las cosas cuando realmente no las entiende. "Cuando encontramos un compromiso, pensamos que los errores que la organización cometió eran obvios", señala, "pero es solo la retrospectiva lo que hace que parezca obvio". A menudo no hay mucha posibilidad de que la gente haya descubierto el problema hasta que se ha manifestado.
Como ejemplo, señala las vulnerabilidades que permanecen sin descubrir durante años, a pesar de cuantos numerosos ojos están sobre el código. Solo cuando se descubren las vulnerabilidades parece que deberían haberse descubierto antes. "La ilusión de que entendemos el pasado alimenta la ilusión de que podemos predecir el futuro con precisión", indica Yu. "Porque un proveedor viene y dice que podría haber solucionado un problema en el pasado, nos quedamos con la excesiva confianza de que también puede solucionar futuros problemas nuevos". Eso no suele ser así, añade.
4. El sesgo de "no nos dejan hacer eso"
Los líderes y profesionales de la seguridad tienden a señalar factores que no están bajo su control directo por su incapacidad para hacer algo. Entre las razones que se citan habitualmente para no lanzar una iniciativa de seguridad necesaria se encuentran la falta de apoyo de la cúpula directiva o la resistencia de los usuarios al cambio. El sesgo aquí suele residir en las suposiciones que hacen los responsables de seguridad al llegar a tales conclusiones.
John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS, lo llama el sesgo de "la dirección/los usuarios nunca nos dejarán hacer eso". El mejor ejemplo es la autenticación fuerte, comenta. "Fácilmente el 70% de los CXOs y los miembros de la junta directiva están usando mensajes SMS para 2FA en sus cuentas financieras personales en línea, y usando biometría de huellas dactilares o reconocimientos faciales en sus dispositivos móviles", anota, "pero los equipos de seguridad todavía piensan que van a luchar contra el 2FA".
5. Sesgo de anclaje
Los líderes de seguridad que tienden a dejarse influenciar por la primera pieza de información nueva que aprenden son susceptibles al sesgo de anclaje, sostiene Holland. Minimizar el sesgo de anclaje es importante especialmente para las actividades de respuesta a incidentes, anota.
Las primeras etapas de las investigaciones suelen revelar imágenes incompletas, y la historia de lo sucedido suele hacerse más evidente a medida que se desarrolla la investigación. Los CISOs no deberían anclarse en las primeras evaluaciones durante una intrusión y continuar abiertos a otras posibilidades a medida que la respuesta continúa, agrega Holland.
Cuando una organización no tiene medidas formales para determinar el riesgo inherente o el riesgo residual, los responsables de seguridad pueden confiar demasiado en otras fuentes de información -como los medios de comunicación- para hacer suposiciones sobre su propia postura de riesgo, indica Pierson de Blackcloak. En estas situaciones, incluso los riesgos con baja probabilidad o bajo impacto tienden a ser vistos como más probables. Normalmente, este tipo de sesgo existe en los niveles más altos, como el consejo de administración. "Debido a que los equipos están más alejados en la pandemia y no pueden pasar por la oficina del CISO o reunirse de manera ad hoc, algunos de estos sesgos pueden haber estado más presentes en el último año", indica.
6. Sesgo del lenguaje empresarial
En los últimos años se ha prestado mucha atención a que los CISO y otros líderes de seguridad sean capaces de articular la postura de riesgo cibernético de su organización en un lenguaje que la C-suite y la junta directiva puedan entender. Se ha animado a los ejecutivos de seguridad a pensar en la alineación con el negocio, en los objetivos empresariales y en el posicionamiento de la función de seguridad como un elemento de apoyo al negocio, en lugar de como un mero centro de costos. Si bien esta reflexión es esencial, los responsables de la seguridad deben tener cuidado de no exagerar.
Exagerar al hablar el "lenguaje de los negocios" en lugar de exponerlo en términos de seguridad es un sesgo que los líderes deben evitar, señala Richard Stiennon, director de IT-Harvest. A menudo se anima a los CISO a hablar como un director financiero, pero eso no significa que deban redactar todo lo relacionado con la ciberseguridad en términos de gestión de riesgos todo el tiempo. "Eso solo conduce a que la junta directiva tome una decisión equivocada basada en una falsa percepción de que el ciberriesgo es manejable".
7. Sesgo de "los desarrolladores no se preocupan por la seguridad"
El impulso hacia DevSecOps ha cambiado la dinámica entre los equipos de seguridad de la información, operaciones y desarrollo de software en muchas organizaciones. Cada vez más, los desarrolladores han empezado a asumir más responsabilidad en la integración de la seguridad en una fase más temprana del ciclo de construcción del software. Una encuesta realizada por GitLab a principios de este año mostraba que el 39% de los desarrolladores -frente al 28% del año pasado- decían sentirse totalmente responsables de la seguridad, mientras que el 32% afirmaba compartir la responsabilidad con otros. Sin embargo, los grupos de seguridad tienden a pensar que los desarrolladores siguen dando largas a la seguridad. Más de tres cuartas partes de los encuestados sobre seguridad en la encuesta de GitLab pensaban que los desarrolladores detectan muy pocas fallas y demasiado tarde en el proceso.
Existe el prejuicio entre los responsables de seguridad de que los desarrolladores no se preocupan por la seguridad, afirma Pescatore. "Esto era cierto hace años, pero en los últimos años muchos arquitectos de software ven la seguridad como un requisito funcional". Trabajar con los desarrolladores en herramientas, procesos y preocupaciones de privacidad compartidas puede ayudarles a construir una mejor seguridad en el código, señala.
8. Sesgo de punto ciego
Pierson describe el sesgo de punto ciego como cuando un CISO se percibe a sí mismo como menos sesgado que todos los demás a su alrededor. Esto no solo puede llevar a un control o solución mal identificada, sino que también puede conducir a problemas culturales, sostiene.
Este tipo de sesgo suele manifestarse en situaciones en las que las cosas son más fáciles de medir, señala Pierson. "Un ejemplo aquí podría ser con las simulaciones de phishing, donde un CISO esencialmente concluye que la gente está bastante bien entrenada, basándose en los números o conociendo a los jugadores involucrados".
Los CISO que dirigen equipos globales deben ser particularmente conscientes de juzgar las situaciones en términos de sus propios valores y creencias, anota Holland de Digital Shadows. Cuando trabajan con personal de otros países y lo entrenan, los líderes de seguridad deben prestar atención a las creencias y al sistema de valores de esa región. "No vea la situación a través de su visión del mundo; intente entenderla a través de la suya", aconseja.
Basado en el artículo de Jaikumar Vijayan (CSO) y editado por CIO Perú