Sesgos Cognitivos y Trampas en la Estrategia de Seguridad de la Información

Existe una tendencia en las personas a confiar demasiado en su capacidad para realizar cálculos exactos y en sus propias capacidades. Esto es particularmente problemático para estrategias organizacionales que se basan en evaluaciones de capacidades principales, ya que puede llevar a proyecciones inexactas.

Las personas tienden a ser optimistas en sus pronósticos. Una combinación de exceso de confianza y optimismo puede tener un impacto desastroso en las estrategias que se basan en cálculos de lo que podría suceder, resultando en proyecciones irrealmente precisas y demasiado optimistas.

Una vez que se presenta un número, cualquier cálculo posterior no relacionado que implique números puede quedar "anclado" al primer número. En el desarrollo de estrategias, esto puede llevar a que los resultados futuros se anclen a experiencias pasadas, limitando la consideración de nuevas perspectivas.

La mayoría de las personas muestran una fuerte inclinación a apegarse a enfoques familiares y conocidos, incluso cuando se ha demostrado que son inadecuados o ineficaces. Además, la preocupación por las pérdidas suele ser mayor que la emoción de una posible ganancia, y el "efecto de legado" hace que la gente prefiera conservar lo que ya posee o conoce, lo que dificulta la adopción de nuevas estrategias.

Se refiere a la tendencia a categorizar y tratar el dinero de manera diferente según su origen, dónde se guarda y cómo se gasta. Esto es común incluso en entornos corporativos y puede llevar a decisiones financieras irracionales, lo que podría desviar recursos de la seguridad de la información.

Es una característica humana fundamental la de conformar y buscar la validación de otros. Esto puede manifestarse como una "obsesión" por influir en la seguridad (o en otros aspectos), llevando a que los líderes sigan tendencias populares en lugar de desarrollar soluciones adaptadas.

Existe una tendencia bien documentada a sobrestimar el grado en que los demás comparten los propios puntos de vista, creencias y experiencias. Al desarrollar estrategias, el falso consenso puede llevar a ignorar o minimizar amenazas o debilidades importantes en los planes, persistiendo en estrategias destinadas al fracaso.

• Tendencia a la confirmación: Buscar opiniones o hechos que respalden las propias creencias.
• Recuerdos selectivos: Recordar solo hechos o experiencias que refuercen las suposiciones actuales.
• Tendencia a la asimilación: Aceptar solo hechos que respalden la posición o perspectiva actual.
• Evaluación subjetiva: Fácil aceptación de evidencia que sustenta las propias hipótesis, cuestionando y rechazando la evidencia contradictoria.
• Pensamiento de grupo: La presión para llegar a un acuerdo en culturas orientadas a formar equipos.

Consecuencia general: Estos sesgos y trampas pueden llevar a una evaluación deficiente de los riesgos, una asignación ineficaz de los recursos y la adopción de soluciones genéricas o reactivas en lugar de estrategias holísticas y proactivas.

Es esencial definir objetivos claros y tener un entendimiento preciso de las condiciones actuales para desarrollar un plan. Esto ayuda a contrarrestar el exceso de confianza y el optimismo al basar la estrategia en la realidad.

La seguridad de la información debe respaldar la estrategia y los objetivos del negocio. Esto garantiza la relevancia y ayuda a evitar el "instinto gregario" al enfocar la seguridad en las necesidades específicas de la organización.

Es crucial localizar, identificar, evaluar y clasificar los activos de información basándose en su criticidad y sensibilidad. Asignar valores a la información permite priorizar los esfuerzos de protección limitados por el presupuesto. Esto ayuda a combatir la "contabilidad mental" y el "status quo", asegurando que los recursos se destinen a donde son más valiosos.

Se debe implementar un proceso para garantizar que todos los activos tengan un dueño y una responsabilidad definidos. Esto reduce el "falso consenso" al establecer claramente quién es responsable de qué.

Es importante desarrollar estrategias que integren actividades tácticas a corto plazo en un plan a largo plazo, para contrarrestar la tendencia a implementar soluciones puntuales y no integradas en respuesta a crisis. Los sistemas no integrados son más difíciles y costosos de gestionar y proteger.

La estrategia y los planes de acción deben incluir disposiciones para la monitorización y métricas definidas para determinar el nivel de éxito. Estas métricas deben ser SMART (Específicas, Medibles, Alcanzables, Relevantes y con Plazo Definido). La monitorización continua y las métricas objetivas pueden desafiar suposiciones sesgadas y evitar aferrarse a enfoques ineficaces.

Emplear una combinación de marcos y estándares (como COBIT, CMMI, Cuadro de Mando Integral y modelos arquitectónicos) puede proporcionar una visión multidimensional del estado deseado de la seguridad. Esto ayuda a garantizar que se incluyan todos los elementos pertinentes y a contrarrestar el pensamiento de grupo y la tendencia a la confirmación al incorporar diversas perspectivas.

Las métricas de seguridad deben determinarse conjuntamente con los dueños del proceso de negocio y la gerencia. Esto asegura que las métricas sean relevantes y proporciona diferentes perspectivas, combatiendo la evaluación subjetiva y el falso consenso.

Un programa sólido y recurrente de concienciación y capacitación en seguridad para el personal es fundamental. Esto puede ayudar a que el personal reconozca la importancia de la seguridad y entienda las políticas y estándares, abordando el sesgo de confirmación y los recuerdos selectivos.

Acceder a los resultados de auditorías internas y externas, así como a informes de otros proveedores de aseguramiento (como legal, cumplimiento, RR. HH.), puede proporcionar información valiosa sobre deficiencias y riesgos. Esto ayuda a contrarrestar la tendencia a la asimilación y la evaluación subjetiva al exponer realidades objetivas.