‘¡No, no nos hackearán!’
¿Qué tan probable es que tu organización sufra un hackeo o una
violación de datos en los próximos 12 meses? ¿Qué tan seguro estás de
contener todos los ataques dirigidos a tu organización? Tus respuestas
a estas preguntas probablemente están asociadas al modo en que se
realizan las operaciones de ciberseguridad en tu empresa. La
investigación psicológica ha demostrado lo compleja que es la
“formación de juicios”. Principalmente, las creencias sobre eventos
futuros que uno puede experimentar y las percepciones sobre cuán
hábil se es dependen de muchos factores; no profundizaré en esos
detalles. En cambio, me centraré en dos fuertes tendencias relativas a
tales juicios: primero, en el sesgo optimista y, segundo, en el de
exceso de confianza. Discutiré cuáles son las implicaciones de estos dos
conceptos para las operaciones de ciberseguridad.
Sesgo optimista y de exceso de confianza
El sesgo optimista es la tendencia a sobreestimar la probabilidad de
acontecimientos positivos en nuestras vidas y, por el contrario, a
subestimar la probabilidad de acontecimientos adversos. Tal vez el caso
más común de este sesgo en un dominio empresarial es lo que vemos en la
gestión de proyectos. Por lo general subestimamos cuánto tiempo
tardará un proyecto en completarse; del mismo modo, tendemos a
subestimar los recursos requeridos. En otro ámbito, los recién casados
dicen casi siempre que su divorcio es casi imposible. Sin embargo, la
proporción de divorcios en todo el mundo es de alrededor del 50%. El
sesgo optimista no es un fracaso de nuestro cerebro o nuestra
fisiología. Todo lo contrario: se ha hipotetizado que este juicio
sesgado tiene raíces evolutivas; es decir, jugó un papel fundamental en
nuestra supervivencia como especie. El problema es que, hoy en día, esta
desviación podría jugar contra nosotros. Puedes leer más en un artículo
muy perspicaz que Tali Sharot escribió hace unos años
(Sharot, 2011).
Por otro lado, tenemos exceso de confianza, una tendencia relacionada
y probablemente más perniciosa. Si trabajas en ciberseguridad,
pregúntate: ¿calificarías tus habilidades de ciberseguridad mejor que
el promedio? Más aún, si eres un gerente, ¿crees que tus habilidades de
gestión están por encima del gerente promedio? Uno de los estudios más
famosos en exceso de confianza midió cómo un grupo de conductores de
automóviles calificó sus habilidades y seguridad a la hora de conducir
(Svenson, 1981).
El autor encontró que al menos el 69% de los participantes se
clasificaron mejor que el conductor promedio; al menos el 77% se
calificó a sí mismo como más seguro que el conductor promedio. Por
supuesto, esto es un disparate estadístico. La Asociación Americana del
Automóvil (AAA) realizó un estudio en 2017 que incluyó una medida de
confianza en la conducción; aquí hay un extracto:
“… Los conductores estadounidenses reportan alta confianza en sus
propias habilidades de conducción. A pesar del hecho de que más del 90
por ciento de los accidentes son el resultado de un error humano, tres
cuartas partes (73 por ciento) de los conductores estadounidenses se
consideran mejores que el promedio. Los hombres, en particular,
confían en sus habilidades de conducción con 8 de cada 10 teniendo en
cuenta sus habilidades de conducción mejor que la media”
(AAA, 2018).
¿Eres mejor conductor que el conductor promedio? Apuesto a que no
responderás “sí” tan rápido después de leer las líneas anteriores. En
otros contextos, esto también se ha estudiado. Algunas piezas de
investigación han sugerido al “exceso de confianza como una explicación
para guerras, huelgas, litigios, fracasos empresariales y burbujas
bursátiles” (véase Moore &
Healy, 2008).
¿Y las implicaciones para la ciberseguridad?
En ciberseguridad, estos dos rasgos pueden conducir a comportamientos no
deseados. “No nos hackearán… eso no sucederá aquí” podría ser una
vulnerabilidad importante que una empresa debería empeñarse en
solucionar. Una persona o empresa nunca debería estar tan segura del
alcance que tendrían las amenazas cibernéticas. Dejar de pensar en
formas adicionales en las que una amenaza podría materializarse no es
una buena estrategia, dadas las sorprendentes maneras en que los
ciberdelincuentes logran causar problemas. Por otro lado, pensar que tu
equipo interno de ciberseguridad siempre será capaz de repeler
cualquier ataque es peligroso. Pregúntate, ¿cuál es tu punto de
referencia? ¿Con quién comparas tus habilidades y procesos?
Considera algunas de las cifras presentadas en el Hosting Tribunal
(aquí y
aquí):
444.259 ataques ransomware tuvieron lugar en todo el mundo en 2018.
Más de 6.000 mercados criminales en línea venden productos y
servicios ransomware.El 90% de los Directores de Sistemas de Información admiten
desperdiciar millones en ciberseguridad inadecuada.El 65% de los 100 principales bancos de EE.UU. no realizaron pruebas
de seguridad web.Las violaciones de datos son identificadas en 191 días en promedio.
Hubo más de 53.000 incidentes de ciberseguridad en 2018.
Si las personas tienden a mostrar un sesgo optimista, y si la gente
piensa que tiene mejores habilidades que otras en promedio, no es
difícil empezar a preguntarse si nuestras condiciones sobre
ciberseguridad podrían ser un poco defectuosas. ¿Es posible que mi
empresa esté más expuesta de lo que se pensaba? ¿Debo revisar la
confianza en lo que realmente puedo hacer ahora para proteger mi
empresa? Esas son reflexiones saludables que todos deberíamos hacer si
somos responsables de la ciberseguridad a cualquier nivel. ¿Por qué?
Integrar la información para conocer nuestro nivel de exposición al
riesgo y nuestras habilidades es difícil. Tenemos información limitada
sobre los riesgos de ciberseguridad, y tendemos a aceptar datos de
actores conocidos (por ejemplo, competidores). ¿Pero qué hay de las
amenazas más distantes de las que tal vez no sepamos, o de las que
creemos conocer, pero que tal vez sean tan sólo una ilusión?
Una de las fuentes del sesgo optimista reside en otro fenómeno
psicológico: la heurística de disponibilidad. Piensa en la última vez
que supiste acerca de una violación de datos dentro de tu organización.
Si es difícil que en tu mente se dé un ejemplo, lo más probable es que
pienses que no es muy probable que tu empresa vaya a sufrir un evento de
esta naturaleza en el futuro. Aquí, tus experiencias y conocimientos
pasados son, en parte, responsables del sesgo.
Ahora, piensa en la confianza que tu equipo tiene en la detección de
todas las vulnerabilidades en tus aplicaciones e infraestructura. Puede
ser cierto que nunca hayas sido hackeado… o que no hayas sido
consciente de ello. Muchas empresas no reportan ninguna violación,
incluso si se encuentran vulnerabilidades conocidas mucho después de ser
inyectadas. Otra cosa que debe ser considerada es: ¿cuántos ataques han
tenido éxito en otras organizaciones sin ser revelados al público? Ese
es un ejemplo de un problema interesante: saber lo que no sabes. Una
vez más, un escepticismo saludable ayuda aquí.
¿Qué puedes hacer?
Puedes adoptar un escepticismo saludable y dejar que los terceros
realicen pruebas de seguridad en
tus sistemas para encontrar debilidades potenciales. Además, sé
abierto: como un verdadero científico está dispuesto a encontrar que su
teoría es equivocada después de confrontarla con experimentos.
Implementa un proceso mediante el cual puedas saber continuamente si tus
sistemas son vulnerables. Ve más allá y haz que ese proceso rompa
automáticamente la compilación cuando una aplicación no cumpla con los
estándares de seguridad definidos. Y cierra ese ciclo desencadenando las
correcciones necesarias, tan pronto como sea posible, para mantener el
negocio en funcionamiento. Puedes tener todo eso con Hacking
Continuo mientras coordinas a tu
equipo y partes interesadas con una Attack Resistance Management platform.
Esperamos que hayas disfrutado de este post, y esperamos saber de ti.
¡Contáctanos!
*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Julian Arango. Read the original post at: https://fluidattacks.com/blog/optimismo-sesgo/
