Ciberseguridad para escépticos

812
Imagen de Freepik

A pesar de las advertencias de organizaciones internacionales, las alarmantes estadísticas y las noticias sobre el crecimiento exponencial de los ciberataques, sigue en aumento la vulnerabilidad de las organizaciones a los riesgos cibernéticos. Esto no sorprende, dado el desdén hacia el tema que todavía muestran muchos ejecutivos en todo el mundo.


El número de ciberataques ha crecido de forma exponencial y todo indica que esa tendencia se mantendrá durante los próximos años. También su costo ha aumentado considerablemente, de un promedio de 170.000 dólares en 2020 a 812.360 en 2022.[1] Esas cifras incluyen costos por lucro cesante, servicios de recuperación de tecnología y datos, multas, demandas y costo reputacional. Más allá del costo financiero, un ciberataque ocasiona pérdidas irreparables en la credibilidad, el valor de la firma en el mercado y la moral de sus integrantes.

Se espera un aumento no solo en número y costo, sino también en sofisticación de los ataques. El ciberdelincuente que actuaba en solitario ha sido sustituido por redes de crimen organizado, que pueden alcanzar mil sujetos que trabajan de forma coordinada y, además, usan tecnologías de inteligencia artificial.

El desconocimiento y la desinformación incrementan la vulnerabilidad de las organizaciones ante posibles ciberataques.[2] Sin embargo, no son esos factores los únicos responsables de la imprudencia de la gerencia: la incomodidad que produce admitir desconocimiento o debilidad, además de interpretaciones erróneas de la realidad causadas por sesgos cognitivos, también allanan el camino a los ciberdelincuentes.

La ciberseguridad depende de decisiones tomadas por las personas que operan y administran las tecnologías y las organizaciones. La comprensión de las motivaciones y los comportamientos propios y de terceros en relación con las tecnologías conexas es muy importante para evitar caer en las listas negras del cibercrimen.

 

Un tema del que se evita hablar

Un velo de vergüenza, timidez y desconocimiento rodea la ciberseguridad. Un estudio de ESET Latinoamérica señala que el 48 por ciento de las empresas encuestadas sufrió un ciberataque en 2022,[3] mientras que los estudios del Centro de Recursos sobre el Robo de Identidad —una organización sin fines de lucro con sede en el estado de California, Estados Unidos— muestran que las filtraciones de datos han venido en aumento, pero se evita hablar de ello.[4] Muy pocos admiten abiertamente haber sido atacados, a pesar de que en muchos países hay normativas que obligan a divulgar esas situaciones.

El Departamento de Justicia de Estados Unidos declaró que una parte significativa de los ciberataques no se reportan[5] y el reporte del Consejo de Asesores Económicos de la Casa Blanca sobre el impacto económico de los ciberataques reseña que, en 2010, cuando Google fue hackeado, otras 34 compañías fueron atacadas también, pero solo una reportó el incidente.[6] Temor a las sanciones y al costo reputacional, y la conclusión de que no hubo filtración de datos, entre otras razones, explican las cifras de casos no reportados.

 

Cuando no se ve el mundo como realmente es

A la evasión del tema y el ocultamiento de incidentes sufridos se suma el efecto de los sesgos cognitivos. Un sesgo cognitivo es la interpretación errónea y sistemática de la información disponible que, además, tiene la capacidad de influir en la forma de procesar los pensamientos, tomar decisiones y emitir juicios.[7] Los sesgos cognitivos afectan la forma de interpretar la realidad; en este caso en particular, la manera de apreciar y valorar los riesgos cibernéticos y sus impactos. Por lo tanto, también afectan la forma como las personas y organizaciones se preparan para ellos.

Un estudio realizado por el Laboratorio de Sistemas Interdisciplinarios de Ciberseguridad de la Escuela Sloan del Instituto de Tecnología de Massachussets pidió a dos grupos —profesionales experimentados y nóveles profesionales de ciberseguridad— que participaran en una simulación para documentar y analizar sus decisiones y actuaciones con respecto a la seguridad de la información. El resultado fue sobrecogedor: la calidad y la oportunidad de las decisiones del grupo de profesionales experimentados no eran mejores que las del grupo novato, y ambas dejaban mucho que desear. Dos factores influyeron en el resultado obtenido:[8]

  • El dilema entre asignar recursos a actividades rentables e invertir en capacidades de ciberseguridad, con un retorno percibido de estas últimas afectado por el «rezago» entre su desarrollo y el logro de la total funcionalidad.
  • La incertidumbre que rodea la ocurrencia de cibereventos…

 

La explicación de este fenómeno tiene que ver con los sesgos cognitivos:

La investigación en economía conductual muestra que los gerentes se basan en un conjunto de heurísticas para tomar decisiones en situaciones de incertidumbre, y que estas heurísticas pueden causar errores sistemáticos. Este fenómeno ha recibido poca atención de la investigación en ciberseguridad, lo que es preocupante, pues una evaluación sesgada de riesgos cibernéticos por parte de un gerente podría obstaculizar la capacidad de una organización para responder a ciberataques.[9]

Son muchos los sesgos cognitivos identificados al presente. En particular, los sesgos de optimismo, confirmación y disponibilidad arrojan luz sobre el escepticismo, que en ocasiones llega a convertirse en negación, de muchos gerentes y directivos frente a los riesgos cibernéticos.

 

Sesgo de optimismo

«Soy optimista, no parece muy útil ser otra cosa». Esta frase, atribuida a Winston Churchill, tiene mucho sentido para quienes piensan que el pesimismo paraliza. Sin embargo, ni el pesimismo paraliza siempre, ni el optimismo es deseable siempre. Esto es particularmente cierto cuando de ciberseguridad se trata. En este caso, si el optimismo se traduce en ceguera ante los riesgos de la ciberdelincuencia e impide adoptar las medidas adecuadas para proteger a la organización de los piratas informáticos, ser un tanto pesimista resulta lo más conveniente.

El sesgo de optimismo (o ilusión de invulnerabilidad, como también se le conoce) describe el sesgo cognitivo que exhiben los individuos cuando sobreestiman la probabilidad de acontecimientos positivos y subestiman la probabilidad de acontecimientos indeseados. En el caso de los riesgos cibernéticos, las personas se comparan con otros y perciben el riesgo de que les sucedan cosas negativas como menor que el riesgo de que les sucedan cosas negativas a otros. En el contexto de la ciberseguridad se habla de ciberoptimismo.[10]

El optimismo como sesgo cognitivo no es un problema exclusivamente personal. Ciertamente, puede tener un efecto negativo en los negocios, porque suele ser responsable de que se ignoren las señales de riesgo. Aunque haya conciencia del riesgo, la sensación de invulnerabilidad que genera el sesgo de ciberoptimismo conduce a desestimar las consecuencias negativas de una verificación del riesgo. Si falla la percepción del riesgo, también fallará su mitigación, porque la primera es requisito de la segunda, particularmente en el caso del riesgo cibernético.

Debido al sesgo de optimismo cibernético, el individuo en ocasiones compartirá contraseñas por considerar que no se utilizarán maliciosamente, se negará a adoptar medidas preventivas, ignorará los incidentes de seguridad, tendrá una percepción errónea de las amenazas y un exceso de confianza en sí mismo en el contexto de la seguridad cibernética.[11]

Estos hallazgos explican por qué, aunque se conozcan los riesgos cibernéticos, con mucha frecuencia se retrasan las decisiones y las inversiones en ciberseguridad o se adoptan medidas a medias; por ejemplo, contar con servicios de ciberprotección en horario de 9 a.m. a 5 p.m. —aun en organizaciones tan atacadas como los bancos— como si los ciberpiratas y el cibercrimen organizado, que además están ubicados en cualquier huso horario, firmaran una tregua fuera de ese horario.

 

Sesgo de confirmación

Creencias y opiniones son los lentes a través de los cuales las personas ven el mundo. El sesgo de confirmación puede hacer que las personas ignoren información importante o tomen malas decisiones, porque prestan atención solamente a los datos que respaldan sus nociones preconcebidas.

La alta dirección de una organización puede pensar que la ciberseguridad es un problema puramente técnico, pero no lo es. Sus creencias sobre la amenaza de los ataques cibernéticos afectan la forma como ven los riesgos y cómo se preparan para ellos.

Con frecuencia se atribuye la ausencia de una filtración de datos u otro tipo de ciberataques al gasto actual en seguridad, lo que perpetúa una inversión insuficiente, en lugar de evaluar la infraestructura y las prácticas de ciberseguridad para identificar vulnerabilidades y mantenerse al día con respecto a los avances y nuevas prácticas de los ciberpiratas. En otras palabras, si no se cree en la posibilidad de un ciberataque, es posible que no se tomen las precauciones necesarias para protegerse.

 

Heurística de disponibilidad

De acuerdo con este atajo mental, lo que se recuerda es más importante que lo que no se recuerda tan fácilmente. Tras esta suposición está la creencia de que si algo se puede recordar más probable parece y cuanto más viva la información más convincente resulta. Entonces, sobre la base de las experiencias pasadas, si un gerente no ha vivido un ciberataque, tenderá a restar seriedad al riesgo que representa y retrasará la inversión y las decisiones para prevenir, detectar y responder ante un ciberataque.

Si la organización no ha sufrido un ciberataque en el último año, la gerencia puede concluir que no necesita invertir en ciberseguridad, como si lo sucedido fuese garantía de lo que sucederá. Otras personas creen que basta con un chequeo ocasional, porque este permitiría detectar las vulnerabilidades y corregirlas, o que pagar un rescate protegerá de futuras extorsiones.

Creer que se pueden cumplir los estándares de seguridad cibernética durante un lapso, y luego detener las mejoras, muestra que los ejecutivos pueden ver la seguridad cibernética como un problema temporal en lugar de un peligro continuo. Un chequeo pierde vigencia casi inmediatamente y pagar un rescate no garantiza, en modo alguno, la recuperación de los datos: solo el cuatro por ciento de quienes pagaron rescate recuperaron toda su información.[12] La ciberseguridad es una tarea continua, multifactorial y en permanente evolución.

 

La ciberseguridad requiere una visión objetiva

La ciberseguridad es un problema complejo y requiere una visión basada en datos. No se deje llevar por su primera intuición: infórmese con fuentes confiables, evalúe sus riesgos y diagnostique la robustez de su plataforma y la madurez de sus procesos y políticas. Para comprender los riesgos y las amenazas es preciso comprender las vulnerabilidades. Si no las conoce, ¿cómo puede protegerse?

De acuerdo con una investigación acerca de los efectos de los sesgos cognitivos en las decisiones de inversión en ciberseguridad:

La toma de decisiones en seguridad cibernética no solo es antinatural para la forma en que funciona el cerebro humano, sino que, además, la falta de actividad negativa de seguridad cibernética nubla el juicio mediante las diferentes falacias cognitivas implantadas en el pensamiento humano… [además,] los profesionales de la ciberseguridad tienden a centrarse en la mitigación de riesgos cuando la gestión de riesgos mediante la respuesta es igualmente importante.[13]

Comience por un diagnóstico. Hay cuestionarios basados sobre ISO 27.001 —ISO/IEC 27001 es el estándar más conocido del mundo para sistemas de gestión de seguridad de la información (SGSI) y sus requisitos— que son gratuitos y le darán una primera aproximación al problema. Luego puede contratar un diagnóstico técnico, que no es costoso y que le brindará tanto un panorama de la situación de su organización como un plan de trabajo inicial que puede ejecutarse internamente.

Saber evaluar amenazas requiere comprender los riesgos; si no se conocen las consecuencias de un ciberataque sobre ciertos sistemas o activos, ¿por qué molestarse? No olvide los planes de respuesta. Ninguna solución es invulnerable. Prepárese para un ataque: que esta situación no lo tome por sorpresa.

Los sesgos cognitivos forman parte de la manera como los humanos se aproximan al mundo y no es posible prescindir de ellos. Lo importante es tener conciencia de su existencia y aprender a contrastar creencias y suposiciones, para evitar que obstaculicen un proceso de decisión eficaz.

No es posible eliminar los sesgos cognitivos, pero es importante estar consciente de ellos. Lo más importante es darse cuenta de que todo el mundo los tiene. Desempeñan un papel primordial cuando el cerebro intenta darle sentido al mundo. Sin embargo, no siempre funcionan. Cobrar conciencia de esto mejora la capacidad para tomar decisiones informadas que toman en cuenta los hechos, en lugar de reducirlas a suposiciones o corazonadas que no se han validado.

Es difícil evaluar atinadamente los riesgos cuando los sesgos cognitivos toman el control, porque dejan por fuera información relevante que afecta la apreciación de los riesgos y, en consecuencia, la preparación para mitigarlos o enfrentarlos. Un tratamiento adecuado de la ciberseguridad requiere superar la tendencia a evitar o evadir situaciones desagradables.

No existe una solución única para superar sesgos cognitivos; sin embargo, la capacitación ha mostrado eficacia. Los miembros de cualquier organización pueden aprender a dar y recibir realimentación y a evaluar la información sobre la base de los hechos. También es importante promover una mayor conciencia y educación sobre la seguridad cibernética, y crear una cultura en la que discutir y abordar los riesgos cibernéticos sea una práctica cotidiana. Esto implica concienciación y capacitación continuas y generalizadas, adopción de medidas de seguridad, evaluaciones periódicas de riesgos y adopción de mejores prácticas en ciberseguridad.


Olga Bravo, country manager Venezuela de Synapsys Global y profesora invitada del IESA.

 

Notas

[1] Sophos. (2022). The state of ransomware 2022. https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf

[2] Bravo, O. (2022, 29 de agosto). Siete mitos que allanan el camino a los ciberpiratas. Debates IESA. http://www.debatesiesa.com/siete-mitos-que-allanan-el-camino-a-los-ciberpiratas/

[3] ESET Latinoamérica. (2022). (In)seguridad digital en Latinoamérica. ESET Security Report. https://www.eset.com/ve/security-report/

[4] Identity Theft Resource Center. (2023, 25 de enero). Identity Theft Resource Center’s 2022 Annual data breach report. https://www.idtheftcenter.org/post/2022-annual-data-breach-report-reveals-near-record-number-compromises/

Identity Theft Resource Center. (2022, 24 de enero). Identity Theft Resource Center’s 2021 annual data breach report. https://www.idtheftcenter.org/post/identity-theft-resource-center-2021-annual-data-breach-report-sets-new-record-for-number-of-compromises/

[5] Department of Justice. (2018). Report of the attorney general’s cyber digital task force. https://www.justice.gov/archives/ag/page/file/1076696/download

[6] The Council of Economic Advisers. (2018). The cost of malicious cyber activity to the U.S. economy. https://trumpwhitehouse.archives.gov/wp-content/uploads/2018/02/The-Cost-of-Malicious-Cyber-Activity-to-the-U.S.-Economy.pdf

[7] Korteling, J. E. y Toet, A. (2021). Cognitive biases. En S. Della Sala (ed.), Encyclopedia of behavioral neuroscience (Vol. 3, pp. 610-619). Elsevier. https://dx.doi.org/10.1016/B978-0-12-809324-5.24105-9

[8] Jalali, M. S., Siegel, M. y Madnick, S. (2019). Decision-making and biases in cybersecurity capability development: evidence from a simulation game experiment. The Journal of Strategic Information Systems, 28(1), 66-82. https://doi.org/10.1016/j.jsis.2018.09.003, p. 80.

[9] Jalali, Siegel y Madnick (2019: 79).

[10] Alnifie, K. M. y Kim, C. (2023). Appraising the manifestation of optimism bias and its impact on human perception of cyber security: a meta analysis. Journal of Information Security, 14(2), 93-110. https://doi.org/10.4236/jis.2023.142007

[11] Alnifie y Kim (2023: 93).

[12] Sophos (2022).

[13] Ting, D. (2019). Why cognitive biases and heuristics lead to an under‐investment in cybersecurity. Tufts University, Department of Computer Science. Introduction to Computer Security. COMP 116. Final Project Archive. Fall 2019. Final Projects. https://www.cs.tufts.edu/comp/116/archive/fall2019/dting.pdf, pág. 3-4.