Contact us
Search
English

'¡No, no nos hackearán!'

Y, "por supuesto, siempre podré proteger mi compañía".

Blog '¡No, no nos hackearán!'
jarango

Julian Arango

| 5 min read

Table of contents

Contact us

¿Qué tan probable es que tu organización sufra un hackeo o una violación de datos en los próximos 12 meses? ¿Qué tan seguro estás de contener todos los ataques dirigidos a tu organización? Tus respuestas a estas preguntas probablemente están asociadas al modo en que se realizan las operaciones de ciberseguridad en tu empresa. La investigación psicológica ha demostrado lo compleja que es la "formación de juicios". Principalmente, las creencias sobre eventos futuros que uno puede experimentar y las percepciones sobre cuán hábil se es dependen de muchos factores; no profundizaré en esos detalles. En cambio, me centraré en dos fuertes tendencias relativas a tales juicios: primero, en el sesgo optimista y, segundo, en el de exceso de confianza. Discutiré cuáles son las implicaciones de estos dos conceptos para las operaciones de ciberseguridad.

Sesgo optimista y de exceso de confianza

El sesgo optimista es la tendencia a sobreestimar la probabilidad de acontecimientos positivos en nuestras vidas y, por el contrario, a subestimar la probabilidad de acontecimientos adversos. Tal vez el caso más común de este sesgo en un dominio empresarial es lo que vemos en la gestión de proyectos. Por lo general subestimamos cuánto tiempo tardará un proyecto en completarse; del mismo modo, tendemos a subestimar los recursos requeridos. En otro ámbito, los recién casados dicen casi siempre que su divorcio es casi imposible. Sin embargo, la proporción de divorcios en todo el mundo es de alrededor del 50%. El sesgo optimista no es un fracaso de nuestro cerebro o nuestra fisiología. Todo lo contrario: se ha hipotetizado que este juicio sesgado tiene raíces evolutivas; es decir, jugó un papel fundamental en nuestra supervivencia como especie. El problema es que, hoy en día, esta desviación podría jugar contra nosotros. Puedes leer más en un artículo muy perspicaz que Tali Sharot escribió hace unos años (Sharot, 2011).

Por otro lado, tenemos exceso de confianza, una tendencia relacionada y probablemente más perniciosa. Si trabajas en ciberseguridad, pregúntate: ¿calificarías tus habilidades de ciberseguridad mejor que el promedio? Más aún, si eres un gerente, ¿crees que tus habilidades de gestión están por encima del gerente promedio? Uno de los estudios más famosos en exceso de confianza midió cómo un grupo de conductores de automóviles calificó sus habilidades y seguridad a la hora de conducir (Svenson, 1981). El autor encontró que al menos el 69% de los participantes se clasificaron mejor que el conductor promedio; al menos el 77% se calificó a sí mismo como más seguro que el conductor promedio. Por supuesto, esto es un disparate estadístico. La Asociación Americana del Automóvil (AAA) realizó un estudio en 2017 que incluyó una medida de confianza en la conducción; aquí hay un extracto:

…​ Los conductores estadounidenses reportan alta confianza en sus propias habilidades de conducción. A pesar del hecho de que más del 90 por ciento de los accidentes son el resultado de un error humano, tres cuartas partes (73 por ciento) de los conductores estadounidenses se consideran mejores que el promedio. Los hombres, en particular, confían en sus habilidades de conducción con 8 de cada 10 teniendo en cuenta sus habilidades de conducción mejor que la media.

¿Eres mejor conductor que el conductor promedio? Apuesto a que no responderás "sí" tan rápido después de leer las líneas anteriores. En otros contextos, esto también se ha estudiado. Algunas piezas de investigación han sugerido al "exceso de confianza como una explicación para guerras, huelgas, litigios, fracasos empresariales y burbujas bursátiles" (véase Moore & Healy, 2008).

Seguridad

Foto de Ben Williams en Unsplash

¿Y las implicaciones para la ciberseguridad?

En ciberseguridad, estos dos rasgos pueden conducir a comportamientos no deseados. "No nos hackearán…​ eso no sucederá aquí" podría ser una vulnerabilidad importante que una empresa debería empeñarse en solucionar. Una persona o empresa nunca debería estar tan segura del alcance que tendrían las amenazas cibernéticas. Dejar de pensar en formas adicionales en las que una amenaza podría materializarse no es una buena estrategia, dadas las sorprendentes maneras en que los ciberdelincuentes logran causar problemas. Por otro lado, pensar que tu equipo interno de ciberseguridad siempre será capaz de repeler cualquier ataque es peligroso. Pregúntate, ¿cuál es tu punto de referencia? ¿Con quién comparas tus habilidades y procesos?

Get started with Fluid Attacks' Security Testing solution right now

Considera algunas de las cifras presentadas en el Hosting Tribunal (aquí y aquí):

  • 444.259 ataques ransomware tuvieron lugar en todo el mundo en 2018.

  • Más de 6.000 mercados criminales en línea venden productos y servicios ransomware.

  • El 90% de los Directores de Sistemas de Información admiten desperdiciar millones en ciberseguridad inadecuada.

  • El 65% de los 100 principales bancos de EE.UU. no realizaron pruebas de seguridad web.

  • Las violaciones de datos son identificadas en 191 días en promedio.

  • Hubo más de 53.000 incidentes de ciberseguridad en 2018.

Si las personas tienden a mostrar un sesgo optimista, y si la gente piensa que tiene mejores habilidades que otras en promedio, no es difícil empezar a preguntarse si nuestras condiciones sobre ciberseguridad podrían ser un poco defectuosas. ¿Es posible que mi empresa esté más expuesta de lo que se pensaba? ¿Debo revisar la confianza en lo que realmente puedo hacer ahora para proteger mi empresa? Esas son reflexiones saludables que todos deberíamos hacer si somos responsables de la ciberseguridad a cualquier nivel. ¿Por qué? Integrar la información para conocer nuestro nivel de exposición al riesgo y nuestras habilidades es difícil. Tenemos información limitada sobre los riesgos de ciberseguridad, y tendemos a aceptar datos de actores conocidos (por ejemplo, competidores). ¿Pero qué hay de las amenazas más distantes de las que tal vez no sepamos, o de las que creemos conocer, pero que tal vez sean tan sólo una ilusión?

Una de las fuentes del sesgo optimista reside en otro fenómeno psicológico: la heurística de disponibilidad. Piensa en la última vez que supiste acerca de una violación de datos dentro de tu organización. Si es difícil que en tu mente se dé un ejemplo, lo más probable es que pienses que no es muy probable que tu empresa vaya a sufrir un evento de esta naturaleza en el futuro. Aquí, tus experiencias y conocimientos pasados son, en parte, responsables del sesgo.

Ahora, piensa en la confianza que tu equipo tiene en la detección de todas las vulnerabilidades en tus aplicaciones e infraestructura. Puede ser cierto que nunca hayas sido hackeado…​ o que no hayas sido consciente de ello. Muchas empresas no reportan ninguna violación, incluso si se encuentran vulnerabilidades conocidas mucho después de ser inyectadas. Otra cosa que debe ser considerada es: ¿cuántos ataques han tenido éxito en otras organizaciones sin ser revelados al público? Ese es un ejemplo de un problema interesante: saber lo que no sabes. Una vez más, un escepticismo saludable ayuda aquí.

¿Qué puedes hacer?

Puedes adoptar un escepticismo saludable y dejar que los terceros realicen pruebas de seguridad en tus sistemas para encontrar debilidades potenciales. Además, sé abierto: como un verdadero científico está dispuesto a encontrar que su teoría es equivocada después de confrontarla con experimentos. Implementa un proceso mediante el cual puedas saber continuamente si tus sistemas son vulnerables. Ve más allá y haz que ese proceso rompa automáticamente la compilación cuando una aplicación no cumpla con los estándares de seguridad definidos. Y cierra ese ciclo desencadenando las correcciones necesarias, tan pronto como sea posible, para mantener el negocio en funcionamiento. Puedes tener todo eso con Hacking Continuo mientras coordinas a tu equipo y partes interesadas con una única plataforma.

Esperamos que hayas disfrutado de este post, y esperamos saber de ti. ¡Contáctanos!

Tags:

Subscribe to our blog

Sign up for Fluid Attacks' weekly newsletter.

Recommended blog posts

You might be interested in the following related posts.

Photo by James Lee on Unsplash

On the CrowdStrike Incident

A lesson of this global IT crash is to shift left

Photo by CardMapr on Unsplash

Securing Online Payment Systems

Users put their trust in you; they must be protected

Photo by Wilhelm Gunkel on Unsplash

Commitment Should Show

Transparency for fewer supply chain attacks

Photo by Sarah Kilian on Unsplash

Site Crashed? Not Your Bank's!

Develop bank applications that resist DDoS attacks

Photo by Towfiqu barbhuiya on Unsplash

The Complex Path to Bank Compliance

Ensuring compliance and security in the banking sector

Photo by Andre Taissin on Unsplash

Cybersecurity in Banking

With great convenience comes increased risk

Photo by FlyD on Unsplash

Safe Supply Chain in Financial Orgs

Software supply chain management in financial services

Start your 21-day free trial

Discover the benefits of our Continuous Hacking solution, which hundreds of organizations are already enjoying.

Start your 21-day free trial
Fluid Logo Footer

Hacking software for over 20 years

Fluid Attacks tests applications and other systems, covering all software development stages. Our team assists clients in quickly identifying and managing vulnerabilities to reduce the risk of incidents and deploy secure technology.

Service

Continuous Hacking

Platform overview

Solutions

Application security

Compliance

Systems

Testing Techniques

ASPM

SAST

DAST

MPT

MAST

SCA

CSPM

PTaaS

RE

SCR

Plans

Essential

Advanced

Resources

Blog

Learn

Advisories

Clients

Downloadables

Documentation

Company

About us

Certifications

Partners

Careers

Contact us

Ethics Hotline

Copyright © 0 Fluid Attacks. We hack your software. All rights reserved.

Service status

Terms of use

Privacy policy

Cookie policy