Photo by Charles Deluvio on Unsplash

"¡No, no nos hackearán!"

Y, "por supuesto, siempre podré proteger mi compañía".

By Julian Arango | October 07, 2020 | Category: Philosophy

¿Qué tan probable es que tu organización sufra un hackeo o una violación de datos en los próximos 12 meses? ¿Qué tan seguro estás de contener todos los ataques dirigidos a tu organización? Tus respuestas a estas preguntas probablemente están asociadas al modo en que se realizan las operaciones de ciberseguridad en tu empresa. La investigación psicológica ha demostrado lo compleja que es la "formación de juicios". Principalmente, las creencias sobre eventos futuros que uno puede experimentar y las percepciones sobre cuán hábil se es dependen de muchos factores; no profundizaré en esos detalles. En cambio, me centraré en dos fuertes tendencias relativas a tales juicios: primero, en el sesgo optimista y, segundo, en el de exceso de confianza. Discutiré cuáles son las implicaciones de estos dos conceptos para las operaciones de ciberseguridad.

Sesgo optimista y de exceso de confianza

El sesgo optimista es la tendencia a sobreestimar la probabilidad de acontecimientos positivos en nuestras vidas y, por el contrario, a subestimar la probabilidad de acontecimientos adversos. Tal vez el caso más común de este sesgo en un dominio empresarial es lo que vemos en la gestión de proyectos. Por lo general subestimamos cuánto tiempo tardará un proyecto en completarse; del mismo modo, tendemos a subestimar los recursos requeridos. En otro ámbito, los recién casados dicen casi siempre que su divorcio es casi imposible. Sin embargo, la proporción de divorcios en todo el mundo es de alrededor del 50%. El sesgo optimista no es un fracaso de nuestro cerebro o nuestra fisiología. Todo lo contrario: se ha hipotetizado que este juicio sesgado tiene raíces evolutivas; es decir, jugó un papel fundamental en nuestra supervivencia como especie. El problema es que, hoy en día, esta desviación podría jugar contra nosotros. Puedes leer más en un artículo muy perspicaz que Tali Sharot escribió hace unos años (Sharot, 2011).

Por otro lado, tenemos exceso de confianza, una tendencia relacionada y probablemente más perniciosa. Si trabajas en ciberseguridad, pregúntate: ¿calificarías tus habilidades de ciberseguridad mejor que el promedio? Más aún, si eres un gerente, ¿crees que tus habilidades de gestión están por encima del gerente promedio? Uno de los estudios más famosos en exceso de confianza midió cómo un grupo de conductores de automóviles calificó sus habilidades y seguridad a la hora de conducir (Svenson, 1981). El autor encontró que al menos el 69% de los participantes se clasificaron mejor que el conductor promedio; al menos el 77% se calificó a sí mismo como más seguro que el conductor promedio. Por supuesto, esto es un disparate estadístico. La Asociación Americana del Automóvil (AAA) realizó un estudio en 2017 que incluyó una medida de confianza en la conducción; aquí hay un extracto:

"…​ Los conductores estadounidenses reportan alta confianza en sus propias habilidades de conducción. A pesar del hecho de que más del 90 por ciento de los accidentes son el resultado de un error humano, tres cuartas partes (73 por ciento) de los conductores estadounidenses se consideran mejores que el promedio. Los hombres, en particular, confían en sus habilidades de conducción con 8 de cada 10 teniendo en cuenta sus habilidades de conducción mejor que la media" (AAA, 2018).

¿Eres mejor conductor que el conductor promedio? Apuesto a que no responderás "sí" tan rápido después de leer las líneas anteriores. En otros contextos, esto también se ha estudiado. Algunas piezas de investigación han sugerido al "exceso de confianza como una explicación para guerras, huelgas, litigios, fracasos empresariales y burbujas bursátiles" (véase Moore & Healy, 2008).

Seguridad
Figure 1. Foto de Ben Williams en Unsplash

¿Y las implicaciones para la ciberseguridad?

En ciberseguridad, estos dos rasgos pueden conducir a comportamientos no deseados. "No nos hackearán…​ eso no sucederá aquí" podría ser una vulnerabilidad importante que una empresa debería empeñarse en solucionar. Una persona o empresa nunca debería estar tan segura del alcance que tendrían las amenazas cibernéticas. Dejar de pensar en formas adicionales en las que una amenaza podría materializarse no es una buena estrategia, dadas las sorprendentes maneras en que los ciberdelincuentes logran causar problemas. Por otro lado, pensar que tu equipo interno de ciberseguridad siempre será capaz de repeler cualquier ataque es peligroso. Pregúntate, ¿cuál es tu punto de referencia? ¿Con quién comparas tus habilidades y procesos?

Considera algunas de las cifras presentadas en el Hosting Tribunal (aquí y aquí):

  • 444.259 ataques ransomware tuvieron lugar en todo el mundo en 2018.

  • Más de 6.000 mercados criminales en línea venden productos y servicios ransomware.

  • El 90% de los Directores de Sistemas de Información admiten desperdiciar millones en ciberseguridad inadecuada.

  • El 65% de los 100 principales bancos de EE.UU. no realizaron pruebas de seguridad web.

  • Las violaciones de datos son identificadas en 191 días en promedio.

  • Hubo más de 53.000 incidentes de ciberseguridad en 2018.

Si las personas tienden a mostrar un sesgo optimista, y si la gente piensa que tiene mejores habilidades que otras en promedio, no es difícil empezar a preguntarse si nuestras condiciones sobre ciberseguridad podrían ser un poco defectuosas. ¿Es posible que mi empresa esté más expuesta de lo que se pensaba? ¿Debo revisar la confianza en lo que realmente puedo hacer ahora para proteger mi empresa? Esas son reflexiones saludables que todos deberíamos hacer si somos responsables de la ciberseguridad a cualquier nivel. ¿Por qué? Integrar la información para conocer nuestro nivel de exposición al riesgo y nuestras habilidades es difícil. Tenemos información limitada sobre los riesgos de ciberseguridad, y tendemos a aceptar datos de actores conocidos (por ejemplo, competidores). ¿Pero qué hay de las amenazas más distantes de las que tal vez no sepamos, o de las que creemos conocer, pero que tal vez sean tan sólo una ilusión?

Una de las fuentes del sesgo optimista reside en otro fenómeno psicológico: la heurística de disponibilidad. Piensa en la última vez que supiste acerca de una violación de datos dentro de tu organización. Si es difícil que en tu mente se dé un ejemplo, lo más probable es que pienses que no es muy probable que tu empresa vaya a sufrir un evento de esta naturaleza en el futuro. Aquí, tus experiencias y conocimientos pasados son, en parte, responsables del sesgo.

Ahora, piensa en la confianza que tu equipo tiene en la detección de todas las vulnerabilidades en tus aplicaciones e infraestructura. Puede ser cierto que nunca hayas sido hackeado…​ o que no hayas sido consciente de ello. Muchas empresas no reportan ninguna violación, incluso si se encuentran vulnerabilidades conocidas mucho después de ser inyectadas. Otra cosa que debe ser considerada es: ¿cuántos ataques han tenido éxito en otras organizaciones sin ser revelados al público? Ese es un ejemplo de un problema interesante: saber lo que no sabes. Una vez más, un escepticismo saludable ayuda aquí.

¿Qué puedes hacer?

Puedes adoptar un escepticismo saludable y dejar que los terceros prueben tus sistemas para encontrar debilidades potenciales. Además, sé abierto: como un verdadero científico está dispuesto a encontrar que su teoría es equivocada después de confrontarla con experimentos. Implementa un proceso mediante el cual puedas saber continuamente si tus sistemas son vulnerables. Ve más allá y haz que ese proceso rompa automáticamente la compilación cuando una aplicación no cumpla con los estándares de seguridad definidos. Y cierra ese ciclo desencadenando las correcciones necesarias, tan pronto como sea posible, para mantener el negocio en funcionamiento. Puedes tener todo eso con Hacking Continuo mientras coordinas a tu equipo y partes interesadas con un Attack Surface Manager.

Esperamos que hayas disfrutado de este post, y esperamos saber de ti.
¡Contáctanos!