La divisione di ricerca Forcepoint X-Labs, che si focalizza sul modo in cui la sicurezza si combina con le scienze comportamentali, ha pubblicato un nuovo white paper: Thinking about Thinking – Exploring Bias in Cybersecurity with Insights from Cognitive Science (Pensare al pensiero – Esplorare i pregiudizi nella sicurezza informatica con intuizioni dalla scienza cognitiva). Scritto dalla psicologa Margaret Cunningham, il whitepaper esamina sei pregiudizi umani universali inconsci ed esplora come una più profonda comprensione della scienza cognitiva e l’applicazione dell’analisi avanzata possano migliorare il processo decisionale in materia di sicurezza informatica, sia per l’utente finale che per l’industria.
Sei pregiudizi umani in grado di distorcere le strategie di sicurezza – Il white paper, parte di una collana di Forcepoint dedicata alle scienze cognitive in materia di sicurezza informatica, studia in modo approfondito sei pregiudizi analitici, esplorando distorsioni aggregate, bias di ancoraggio, bias di disponibilità, bias di conferma, l’effetto di framing e l’errore di attribuzione fondamentale.
“Siamo tutti soggetti a pregiudizi cognitivi e errori di ragionamento, che potrebbero avere un impatto sulle decisioni e sui risultati di business nella sicurezza informatica, afferma Margaret Cunningham, Principal Research Scientist di Forcepoint. Tuttavia, un tratto umano eccezionale è la capacità di pensare al pensiero; siamo quindi in grado di riconoscere e affrontare questi pregiudizi. Adottando un approccio diverso possiamo migliorare il processo decisionale.”
“Vediamo regolarmente leader aziendali influenzati da fattori esterni, aggiunge Nicolas Fischbach, CTO globale di Forcepoint. Ad esempio, se i titoli delle notizie sono pieni dell’ultima violazione della privacy eseguita da hacker stranieri, con terribili avvertimenti sugli attacchi esterni, le persone che guidano i programmi di sicurezza tenderanno a orientare la strategia e l’attività di cybersicurezza contro le minacce esterne.”
Decidere sulla base di ciò che più ci occupa la mente – magari perché se ne parla molto – può portare a conclusioni errate.
Anche il pregiudizio della conferma può essere una minaccia inconscia per i professionisti della sicurezza. Quando gli individui stanno esplorando una teoria per un particolare problema, sono molto sensibili alle informazioni che confermano le proprie convinzioni, alla ricerca di un sostegno per le loro intuizioni.
Ad esempio, un esperto analista della sicurezza può “decidere” cosa è successo prima di indagare su una violazione dei dati, assumendo che si trattasse di un dipendente malintenzionato a causa di eventi precedenti. La competenza e l’esperienza, seppur preziose, possono essere un punto debole se le persone indagano regolarmente sugli incidenti in un modo che supporta solo le loro convinzioni.
Non è colpa mia, è PEBKAC – Un pregiudizio sociale e psicologico che influisce su quasi ogni aspetto del comportamento umano è il cosiddetto errore di attribuzione fondamentale. È noto che i professionisti della sicurezza utilizzano l’acronimo PEBKAC, che sta per “Problem Exists Between Keyboard and Chair” (Problema che esiste tra tastiera e sedia). In altre parole, incolpano l’utente per l’incidente di sicurezza. Gli esperti della sicurezza non sono solo influenzati da questo pregiudizio; gli utenti finali ad esempio sono soliti indicare ambienti di sicurezza mal progettati come responsabili di qualsiasi incidente o rifiutano di riconoscere i propri comportamenti a rischio.
Affrontare l’errore di attribuzione fondamentale non è facile e richiede comprensione personale ed empatia. Ma riconoscere imperfezioni / fallimenti può aiutare a creare una cultura più resiliente e dinamica. Per coloro che progettano architetture software complesse, si dovrebbe partire dalla consapevolezza che gli utilizzatori sono umani, soggetti ad errore.
Superare pregiudizi e distorsioni con Applied Insight
Il whitepaper di Forcepoint X-Labs ha lo scopo di aiutare i leader aziendali e i professionisti della cybersecurity migliorando la loro comprensione dei pregiudizi.
L’obiettivo è mitigare gli effetti di ragionamenti imperfetti e trovare il perfetto mix tra caratteristiche umane e potenzialità tecnologiche.
Le sfide della sicurezza informatica dipendono dalla comprensione e dal superamento dei pregiudizi.
In Forcepoint, il team di X-Labs sta sviluppando una profonda comprensione del comportamento umano per progettare soluzioni di sicurezza adattive al rischio.
La soluzione Forcepoint Dynamic Data Protection include la capacità di analizzare i comportamenti umani e aiuta i professionisti della sicurezza a gestire i pregiudizi cognitivi. Grazie a una costante elaborazione del rischio comportamentale – rispetto a un comportamento base “normale” di ciascun utente finale – i sistemi intelligenti di Forcepoint, applicano una serie di contromisure di sicurezza per affrontare il rischio anche in considerazione della propensione al rischio di un’organizzazione. Ad esempio, Forcepoint Dynamic Data Protection può consentire e monitorare l’accesso ai dati, consentire l’accesso ma crittografare i download o bloccare completamente l’accesso ai file sensibili a seconda del contesto delle singole interazioni con i dati aziendali e del conseguente punteggio di rischio.
“Le persone tendono a commettere errori quando hanno troppe informazioni, informazioni complesse o informazioni legate alle probabilità. Associando l’analisi comportamentale alle contromisure di sicurezza, possiamo ridurre i pregiudizi, conclude Cunningham.
Come affrontare pregiudizi: le domande per i professionisti della sicurezza informatica
Forcepoint offre ai responsabili della sicurezza un elenco di domande per individuare al meglio i pregiudizi descritti nel WhitePaper
- Tu o i tuoi colleghi fate supposizioni sulle persone, ma usate le caratteristiche di gruppo per formulare le vostre ipotesi?
- Sei mai stato ossessionato da un particolare e hai faticato ad allontanarti da esso per identificare una nuova strategia di esplorazione?
- Le ultime notizie influenzano la percezione dell’azienda dei rischi attuali?
- Quando ti imbatti nello stesso problema, più e più volte, rallenti per pensare ad altre possibili soluzioni o risposte?
- Quando offri nuovi servizi e prodotti, valuti il rischio (e la tua tolleranza al rischio) in modo equilibrato? Da più prospettive?
- E infine, il tuo team prende provvedimenti per riconoscere la propria responsabilità per errori o per intraprendere comportamenti rischiosi e dare credito ad altri che potrebbero aver commesso un errore a causa di fattori ambientali?
