A lo largo de los años, las empresas han invertido millones de dólares en la implementación de controles técnicos, pero han economizado en entrenamiento para sus empleados, debido a que no han comprendido que estos son susceptibles a manipulación y a errores (mismos que pueden causar hasta el 90% de todos los ciberincidentes ). Es decir, no han creado una cultura de ciberseguridad.
Las empresas y los encargados de gestionar la seguridad de la información deben comprender que el factor humano y el aprovechamiento de la psicología, son tan importantes, o más, que la tecnología y los procesos mismos.
El ser humano en su vida cotidiana tiene que tomar decisiones continuamente; sin embargo, durante ese proceso existe un porcentaje de error inevitable. En el ámbito tecnológico, esto se traduce en hacer clic a un enlace desconocido o enviando información a un correo sin verificar su procedencia.
Cuando los seres humanos toman decisiones, deben procesar bastante información en medio de factores que influencian este proceso. Es aquí cuando, de forma subconsciente, procesan parte de la misma y toman una decisión más rápida. Estos atajos mentales ayudan a los seres humanos a resolver problemas y aprender conceptos nuevos. Esto hace los problemas menos complejos al costo de ignorar información que se está comunicando al cerebro, lo cual se puede transformar en sesgos cognitivos al no prestar atención a toda la información disponible.
En seguridad de la información, un sesgo cognitivo que conduzca a un error en la toma de decisiones, podría causar un daño significativo a una organización. Es por esto que, si no se comprenden los sesgos cognitivos y su gestión no se integra en los procesos de capacitación y concientización, el error humano seguirá representando un riesgo significativo para la seguridad de la información en las organizaciones.
Algunos de los sesgos cognitivos más relevantes para la seguridad de la información son:
- Afecto heurístico: tomar decisiones basándose rápidamente en una respuesta emocional.
- Anclaje: basarse en la primera información que se recibe.
- Disponibilidad heurística: emitir juicios sobre la probabilidad de un evento basándose en el primer hecho que le viene a la mente.
- Racionalidad limitada: tomar decisiones «buenas» basadas en el tiempo que tiene para tomar la decisión.
- Sobrecarga de elección: retraso en la toma de decisiones o evitar tomarlas, al tener demasiadas opciones.
- Fatiga de decisión: tomar decisiones más fáciles cuando se realiza toma de decisiones en tareas repetitivas, pero que no son necesariamente las mejores.
- Agotamiento del ego: las personas tienen un suministro limitado de fuerza de voluntad y disminuye con el uso.
- Comportamiento de manada: imitar las acciones de un grupo más grande.
- Efecto de licenciamiento: darse un gusto después de hacer algo positivo.
- Sesgo de optimismo: creer que se tiene menos riesgo de experimentar un evento negativo en comparación con otros.
- Efecto de sobre justificación: pérdida de motivación e interés como resultado de recibir recompensas externas excesivas.
- Polarización: el pensamiento polarizado coloca a las personas o situaciones en categorías de «una u otra», lo que las llevará a ver las cosas solo en los extremos.
Es importante conocer estos sesgos y entender cómo son aprovechados por los atacantes, con el fin de establecer una cultura de ciberseguridad que permita mejorar nuestra estrategia de seguridad y así mitigar los riesgos cibernéticos a los que están expuestas las organizaciones.
No olvidemos que las vulnerabilidades psicológicas se transforman en riesgos para la organización, y surgen muchas veces de las situaciones que esté enfrentando el empleado, lo cual puede derivar en hacer uso incorrecto de los activos de información con los que trabaja diariamente.