Os termos da ciência cognitiva não são rótulos arbitrários aplicados à cibersegurança. Historicamente, a relação entre a computação e a cognição surgiu há algum tempo, na década de 50, durante a revolução cognitiva, quando a ciência psicológica baseada no comportamento abraçou a mente e seus processos. Hoje, a ciência cognitiva é um domínio interdisciplinar em expansão que se sobrepõe a quase todos os aspectos da cibersegurança.
A Dra. Margaret Cunningham, Cientista Principal de Pesquisas de Comportamento Humano do Forcepoint X-Labs, explora seis preconceitos cognitivos comuns: preconceito agregado, preconceito de ancoragem, preconceito de disponibilidade, preconceito de confirmação, o efeito de enquadramento e o erro de atribuição fundamental – e o impacto que eles têm sobre a cibersegurança e como podem ser tratados.
Como os preconceitos humanos distorcem estratégias de segurança
Estamos todos sujeitos ao preconceito cognitivo e os consequentes erros de raciocínio, que podem impactar em nossas decisões e nossos resultados – vemos isso acontecer regularmente com líderes empresariais influenciados por fatores externos. Vemos regularmente líderes de negócios influenciados por fatores externos. Por exemplo, se as manchetes dos jornais estiverem comentando a mais recente violação de privacidade executada por hackers estrangeiros, com avisos terríveis sobre ataques externos, as pessoas que lideram programas de segurança tendem a voltar suas estratégias e atividades de cibersegurança contra as ameaças externas.
Este é o preconceito de disponibilidade em ação, onde uma violação de alto perfil individual pode fazer com que as empresas ignorem ou substimem as ameaças advindas de malware, processos fracos de patching ou um funcionário manipulando dados corporativos. Confiar no que mais vem à mente no momento é uma ferramenta comum de tomada de decisão humana, mas pode levar a conclusões errôneas.
O preconceito de confirmação também incomoda os profissionais de segurança. Quando os indivíduos estão explorando uma teoria para um problema particular, são altamente suscetíveis a confirmar suas crenças apenas procurando e encontrando aquilo que apoie seu palpite. Por exemplo, um analista de segurança experiente pode “decidir” o que aconteceu antes de investigar uma violação de dados, assumindo que foi um funcionário mal-intencionado devido a eventos anteriores. O conhecimento e a experiência, embora valiosos, podem se tornar uma fraqueza se as pessoas investigarem regularmente incidentes de uma maneira que apoie somente as opiniões existentes.
Não é minha culpa, é da “pecinha”.
Um preconceito social e psicológico que impacta quase todos os aspectos do comportamento humano é o erro fundamentalde atribuição. Os profissionais da segurança costumam usar o termo “pecinha entre o teclado e a cadeira”. Em outras palavras, tendem a culpar o usuário por um incidente de segurança. Os engenheiros de segurança não são afetados unicamente por esse preconceito, já que os usuários finais também culpam ambientes de segurança mal projetados por qualquer incidente ou se recusam a reconhecer seus próprios comportamentos de risco.
Lidar com os erros fundamentais de atribuição e o preconceito egoísta não é fácil e requer discernimento pessoal e empatia. Para supervisores e líderes, reconhecer imperfeições/ falhas pode ajudar a criar uma cultura mais resiliente e dinâmica. Para aqueles que projetam arquiteturas de software complexas, deve-se reconhecer que nem todas as motivações dos usuários serão tão fortemente voltadas para a segurança quanto as dos designers de um sistema. Falhas dos usuários não ocorrem porque eles são “estúpidos”, mas porque eles são humanos.
No entanto, uma característica humana excepcional é que somos capazes de pensar sobre o pensamento, portanto, podemos reconhecer e abordar melhor esses preconceitos. Ao adotar uma abordagem diferente e evitar as ocorrências onde o pensamento automático gera danos, podemos melhorar nossa tomada de decisões.
Superando o preconceito com insights aplicados
Ao melhorar a compreensão dos preconceitos, torna-se mais fácil identificar e mitigar o impacto do raciocínio falho e das convenções durante a tomada de decisões. Os esforços da indústria para construir a harmonia entre as melhores características dos seres humanos e as melhores características da tecnologia para enfrentar os desafios da cibersegurança dependem da compreensão e da superação de preconceitos.
Desenvolver uma compreensão profunda do comportamento humano com soluções de segurança adaptáveis ao risco é fundamental para o objetivo final de melhorar os processos e resultados de negócios, reduzindo o atrito e permitindo que o negócio prospere e seja bem-sucedido. Produtos criados com esta abordagem podem processar e atualizar de forma contínua os níveis de risco em relação a uma linha de base do comportamento “normal” de cada usuário final, permitindo decisões baseadas em onde e como esse usuário está acessando a rede corporativa.
Sistemas inteligentes, informados pela avaliação de risco individual, podem então aplicar uma série de contramedidas de segurança para abordar o risco identificado com base no apetite de uma organização quanto a ameaças. Por exemplo, o acesso a dados pode ser permitido e monitorado, mas os downloads podem ser criptografados ou o acesso totalmente bloqueado para arquivos confidenciais, dependendo do contexto das interações individuais com os dados corporativos e a pontuação de risco resultante.
Tome medidas para lidar com preconceitos: perguntas para profissionais de cibersegurança
Por onde começar? Margareth aconselha aosa profissionais de segurança e líderes de negócios a dedicar alguns minutos em percorrer os seis preconceitos e fazer as seguintes perguntas:
- Você ou seus colegas fazem suposições sobre indivíduos, mas usam características de grupo para formar suas suposições?
- Alguma vez você já ficou preso a um detalhe forense que você lutou para ignorar ao identificar uma nova estratégia de exploração?
- O ciclo de notícias recentes influenciou a percepção de sua empresa quanto aos riscos atuais?
Quando você lida com o mesmo problema, repetidamente, respira um tempo para pensar em outras possíveis soluções ou respostas?
- Quando oferecidos novos serviços e produtos, você avalia o risco (e sua tolerância ao risco) de forma equilibrada? A partir de múltiplas perspectivas?
- E, finalmente, sua equipe toma medidas para reconhecer a própria responsabilidade por erros ou por envolver-se em comportamentos de risco, e dá crédito a outras pessoas que podem ter errado devido a fatores ambientais?
“As pessoas tendem a cometer erros quando há muita informação, ou informações complexas ou ligadas a probabilidades. Entretanto, existe um paralelo poderoso entre como os seres humanos aprendem a pensar e raciocinar, e como a tecnologia de segurança pode ser projetada para melhorar a forma como lidam com o “espaço cinzento”. No caso dos preconceitos, o alinhamento das análises comportamentais com as contramedidas de segurança pode diminuir significativamente o problema e levá-lo um passo mais próximo de um ambiente mais seguro”, conclui Margareth.