La economía del comportamiento de por qué los ejecutivos invierten menos en ciberseguridad

Determinar el ROI de cualquier inversión en ciberseguridad, desde la formación del personal hasta los gestores de autenticación con IA, puede describirse mejor como un enigma envuelto en un misterio. El panorama de las amenazas digitales cambia constantemente y es muy difícil saber la probabilidad de que un ataque determinado tenga éxito o qué tan grandes podrían ser las posibles pérdidas. Incluso los costes conocidos, como las sanciones por las filtraciones de datos en sectores altamente regulados, como la atención médica, son una pequeña parte del cálculo del ROI. A falta de datos buenos, los responsables de la toma de decisiones deben utilizar algo menos que perfecto para sopesar las opciones: su juicio.

Pero las ideas de la economía del comportamiento y la psicología muestran que el juicio humano suele estar sesgado de formas predeciblemente problemáticas. En el caso de la ciberseguridad, algunos responsables de la toma de decisiones utilizan modelos mentales incorrectos para determinar la cantidad de inversión necesaria y dónde invertir. Por ejemplo, pueden pensar en la ciberdefensa como un proceso de fortificación. Si construye cortafuegos fuertes, con torretas bien tripuladas, podrá ver al atacante desde una milla de distancia. O pueden suponer que cumplir con un marco de seguridad como el NIST o la FISMA es suficiente seguridad. Simplemente marque todas las casillas y podrá mantener a raya a los molestos atacantes. También puede que no tengan en cuenta la idea contrafáctica — No tuvimos ningún incumplimiento este año, así que no necesitamos aumentar la inversión — cuando en realidad es probable que hayan tenido suerte este año o no sepan que un mal actor está al acecho en su sistema, a la espera de atacar.

El problema con estos modelos mentales es que tratan la ciberseguridad como un problema finito que se puede resolver, más que como el proceso continuo que es. No importa lo fortificada que esté una empresa, los hackers, al igual que el agua, encontrarán las grietas en la pared. Por eso los esfuerzos de ciberseguridad tienen que centrarse en el riesgo administración, no riesgo mitigación. Pero esta perspectiva pesimista hace que sea muy difícil de vender. ¿Cómo pueden los ejecutivos de seguridad sortear la idea equivocada que lleva a una inversión insuficiente y garantizar los recursos que necesitan?

Durante el año pasado, mi empresa de investigación y diseño de ciencias del comportamiento, ideas42, entrevistó a expertos en el ámbito de la ciberseguridad y llevó a cabo una amplia investigación para identificar los desafíos del comportamiento humano a nivel de ingenieros, usuarios finales, administradores de TI y ejecutivos. Hemos descubierto información sobre por qué las personas escriben errores en el código, no instalan las actualizaciones de software y gestionan mal los permisos de acceso. (Profundizamos en estos desafíos en Pensamiento profundo: una historia de ciberseguridad, una novela basada en la investigación.) Nuestras conclusiones apuntan a las medidas que los ejecutivos de seguridad y otros profesionales de la ciberseguridad pueden tomar para evitar los prejuicios humanos de los directores ejecutivos y motivar a los responsables de la toma de decisiones a invertir más en ciberinfraestructura.

Apelar a las emociones de los responsables de la toma de decisiones financieras. La forma en que se nos transmite la información tiene un efecto enorme en la forma en que la recibimos y actuamos en consecuencia. Para los profesionales de la ciberseguridad, es intuitivo describir el ciberriesgo en términos de la integridad y la disponibilidad de los datos, o con métricas cuantificables, como la pérdida de paquetes, pero no es probable que estos conceptos repercutan en los responsables de la toma de decisiones que piensan del riesgo de manera muy diferente. En cambio, los profesionales de la ciberseguridad deberían tener en cuenta la tendencia de las personas a sobrepasar la información que describa las consecuencias de forma vívida y estire sus emociones. Para aprovechar esto afectar el sesgo, los profesionales de la seguridad deberían explicar el ciberriesgo utilizando narrativas claras que conecten con las áreas de riesgo con las que los responsables de la toma de decisiones de alto nivel estén familiarizados y que ya les importan profundamente. Por ejemplo, las áreas de riesgo de su empresa pueden incluir la pérdida de datos de los clientes, así como los costes reglamentarios y las consecuencias de RRPP que pueden afectar a la reputación de la empresa. No se trata solo de la corrupción de datos, sino también de cómo los datos incorrectos reducirán la eficiencia operativa y paralizarán las líneas de producción.

Sustituya el modelo mental de su CEO por nuevas métricas de éxito. Todo el mundo usa modelos mentales para convertir la complejidad en algo manejable. Tener el mal El modelo mental sobre lo que debe hacer un programa de ciberseguridad puede marcar la diferencia entre un ataque frustrado y una infracción importante. Algunos directores ejecutivos pueden pensar que las inversiones en seguridad son para construir una infraestructura, que crear un castillo fortificado es todo lo que se necesita para mantener una empresa segura. Con este panorama mental, los objetivos de la toma de decisiones financieras siempre se orientarán a la mitigación del riesgo más que a la gestión del riesgo.

Este artículo aparece también en:

• 

  Ciberseguridad: la información que necesita de Harvard Business Review

  Tecnología y operaciones Libro

  22.95

  View Details

Para evitarlo, los CISO deberían trabajar con los consejos de administración y los responsables de la toma de decisiones financieras para reformular las métricas del éxito en términos del número de vulnerabilidades que se encuentran y se corrigen. Ningún sistema de ciberseguridad será nunca impenetrable, por lo que trabajar para encontrar las grietas hará que los líderes pasen de centrarse en construir la derecha sistema a construir la derecha proceso. Contrariamente a la intuición, el equipo de seguridad de una empresa que descubra más vulnerabilidades debería considerarse una señal positiva. Todos los sistemas tienen errores y se puede hackear a todos los humanos, por lo que tratar las vulnerabilidades como defectos creará un incentivo no deseado para que el equipo de seguridad interna las oculte. Reconozca que cuanto más sólidos sean los procesos de seguridad y las capacidades del equipo, más vulnerabilidades descubrirán (y podrán corregir).

Haga una encuesta a sus compañeros para ayudar a frenar el exceso de confianza. El exceso de confianza es un sesgo generalizado y puede ser un gran problema si nubla el juicio de los líderes sobre la inversión en ciberseguridad. Nuestra investigación descubrió que muchos ejecutivos de alto nivel creen que sus propias inversiones en ciberseguridad son suficientes, pero que pocos de sus pares invierten lo suficiente (una creencia que, dado lo generalizada que está, no puede ser cierta). Una forma en que los CISO pueden superar el exceso de confianza de un CEO es comparar el desempeño de la empresa con una base de referencia de firmas similares; en otras palabras, enfrentarse al problema de frente. Puede lograrlo encuestando regularmente a los CISO y a los ejecutivos sobre qué tan bien las organizaciones de su sector gestionan la infraestructura de ciberseguridad, pidiéndoles que sean lo más específicos posible sobre lo que hacen bien y lo que no, y pidiendo a esos mismos CISO que le ayuden a determinar qué tan bien le va a su empresa. De esta forma, los CISO pueden proporcionar información más clara a los directores ejecutivos sobre su desempeño real en comparación con sus pares del sector.

«Usted es el eslabón más débil». En su ensayo «Sobre el dolor de los demás», Susan Sontag escribió: «Fotografiar es enmarcar y enmarcar es excluir». La atención humana funciona de manera bastante similar. Las personas se concentran en ciertos aspectos de la información de su entorno e ignoran otros; lo que un CEO decide invertir puede pensarse de manera similar. Por ejemplo, tras un hackeo de interés periodístico, los directores ejecutivos pueden presionar a sus equipos para que aumenten la inversión en ciberinfraestructura a fin de protegerse de las amenazas externas. Pero al hacerlo, es posible que no presten atención a las amenazas internas involuntarias que pueden resultar igual de costosas: los empleados hacen clic en enlaces incorrectos o caen en ataques de suplantación de identidad.

¿Cómo puede un CISO evitar la falta de atención de un responsable de la toma de decisiones? A nadie le gusta sentirse avergonzado, pero los comentarios negativos a veces pueden ser un remedio eficaz para la falta de atención. Los equipos de seguridad deberían intentar romper sus propios sistemas con regularidad mediante pruebas de penetración, y el CEO debería ser el principal objetivo. Al fin y al cabo, así es como lo verían los hackers externos. Al convertir al CEO en víctima de un ataque iniciado internamente (y seguro), podría ser posible llamar su atención sobre los posibles riesgos que ya existen y motivar a los líderes a aumentar su inversión en ciberinfraestructura.

Si los programas de ciberseguridad siguen centrándose en diseñar mejores tecnologías para combatir la creciente amenaza de los ciberataques, seguiremos descuidando el aspecto más importante de la seguridad: la persona en el medio. Al centrar la atención de la ciencia del comportamiento en los desafíos de la ciberseguridad, los CISO pueden identificar nuevas formas de abordar los problemas antiguos y, tal vez, mejorar sus presupuestos al mismo tiempo.