Quando le situazioni sono poco chiare e non delineate a sufficienza, le reazioni che abbiamo nell’immediato e che poi determinano decisioni affrettate, possono essere guidate da pregiudizi inconsci, ovvero “giudizi prematuri” basati su argomenti insufficienti o su una non completa o indiretta conoscenza. Che si tratti di notizie, di cosa ci aspettiamo che i dati ci rivelino o di ciò che pensiamo di sapere di gruppi di persone, quando usiamo la nostra intuizione o il pensiero automatico per prendere decisioni rapide, i pregiudizi possono portarci ad una mancanza di oggettività e ad un errore di valutazione.
Coltivare una certa consapevolezza riguardo i pregiudizi cognitivi può aiutarci a prendere decisioni più intelligenti e accurate e aiutarci a evitare la progettazione di sistemi e processi che perpetuano i nostri pregiudizi nella tecnologia. Per raggiungere questo tipo di consapevolezza, è necessario riflettere e analizzare il processo e gli automatismi di pensiero che ci caratterizzano.
Forcepoint X-Labs, divisione di ricerca creata a marzo 2019 dalla società omonima specializzata in cybersecurity, ha pubblicato un nuovo white paper dal titolo “Thinking about Thinking – Exploring Bias in Cybersecurity with Insights from Cognitive Science” che testimonia come una profonda comprensione del comportamento umano sia utile per progettare soluzioni di sicurezza adattive al rischio. Scritto dalla psicologa Margaret Cunningham, Principal Research Scientist di Forcepoint, il whitepaper esamina sei pregiudizi umani universali inconsci che possono distorcere le strategie di cybersecurity. Pregiudizi percettivi e decisionali che è fondamentale comprendere e superare, poiché hanno un impatto sull’allocazione delle risorse e sull’analisi delle minacce.
Per migliorare il il processo decisionale e implementare soluzioni flessibili ed efficaci, oltre alla comprensione della scienza cognitiva serve l’applicazione dell’analisi comportamentale avanzata. In materia di sicurezza informatica, la soluzione Forcepoint Dynamic Data Protection offre la capacità di analizzare i comportamenti umani e aiuta i professionisti della sicurezza a gestire i pregiudizi. Grazie a una costante elaborazione del rischio comportamentale – rispetto a un comportamento base “normale” di ciascun utente finale – i sistemi intelligenti di Forcepoint, applicano una serie di contromisure di sicurezza per affrontare il rischio anche in considerazione della propensione al rischio di un’organizzazione.
Per scaricare il white paper, potete accedere a questo sito.
Euristiche e bias alla base del pensiero umano
In psicologia, si usa il termine bias per indicare la predisposizione della mente umana a commettere errori di tipo cognitivo perché si affida ad un numero limitato di regole, chiamate euristiche, per acquisire ed elaborare il maggior numero di informazioni nel minor tempo possibile tramite il ragionamento. Nello specifico, le euristiche cognitive sono delle approssimazioni che la mente automaticamente produce per ridurre la complessità dei problemi e quindi minimizzare lo spreco di energia e lo sforzo cognitivo. Si tratta di scorciatoie di pensiero che semplificano la realtà e allo stesso tempo ne traggono una rappresentazione che sia nel complesso coerente per noi.
Il whitepaper studia in modo approfondito sei pregiudizi analitici che possono rappresentare una minaccia inconscia per i professionisti della sicurezza, esplorando distorsioni aggregate, bias di ancoraggio, bias di disponibilità, bias di conferma, l’effetto di framing e l’errore di attribuzione.
- L’ancoraggio descrive la propensione a prendere decisioni affidandosi in modo eccessivo ad un valore iniziale. Gli individui cominciano da un punto di riferimento implicito (l’àncora) e vi fanno aggiustamenti per raggiungere la propria valutazione. Per esempio, il primo prezzo offerto per un’automobile di seconda mano imposta lo standard per il resto della negoziazione, nel senso che un prezzo inferiore sembra ragionevole anche se è comunque superiore al valore dell’automobile.
- La disponibilità ricorre quando un giudizio circa la probabilità di un evento è influenzato dalla facilità con cui possono essere richiamati alla mente casi analoghi. Più la mente è in grado di recuperare dalla memoria casi analoghi a quello che stiamo valutando, più giudicheremo alta la probabilità che ha quell’evento di verificarsi.
“Vediamo regolarmente leader aziendali influenzati da fattori esterni”, aggiunge Nicolas Fischbach, CTO globale di Forcepoint “Ad esempio, se i titoli delle notizie sono pieni dell’ultima violazione della privacy eseguita da hacker stranieri, con terribili avvertimenti sugli attacchi esterni, le persone che guidano i programmi di sicurezza tenderanno a orientare la strategia e l’attività di cybersicurezza contro le minacce esterne”. - Il pregiudizio della conferma si riferisce alla propensione che gli individui hanno di sopravvalutare il peso delle evidenze che confermano le proprie convinzioni, alla ricerca di un sostegno per la bontà delle loro scelte e quindi ignorare o sottovalutare l’importanza delle prove che le smentiscono. Ad esempio, un esperto analista della sicurezza può “decidere” cosa è successo prima di indagare su una violazione dei dati, assumendo che si trattasse di un dipendente malintenzionato a causa di eventi precedenti. La competenza e l’esperienza, seppur preziose, possono essere un punto debole se le persone indagano regolarmente sugli incidenti in un modo che supporta solo le loro convinzioni.
- L’errore di attribuzione fondamentale indica quando ci si rende conto di aver compiuto una scelta rivelatasi sbagliata e si cerca di trovare delle cause esterne a cui attribuire la responsabilità di tale scelta. È noto che i professionisti della sicurezza utilizzano l’acronimo PEBKAC, che sta per “Problem Exists Between Keyboard and Chair”, incolpando l’utente per l’incidente di sicurezza. Gli utenti finali sono soliti indicare ambienti di sicurezza mal progettati come responsabili di qualsiasi incidente o rifiutano di riconoscere i propri comportamenti a rischio.
- Il framing effect riguarda la variazione delle preferenze degli individui in un problema di scelta a seconda di come questo viene presentato (linguaggio, modalità di presentazione, enfasi su alcuni aspetti, contesto ecc.).
Un’approccio pro-attivo alla gestione della sicurezza
Lo scopo del white paper è di aiutare i leader aziendali e i professionisti della cybersecurity migliorando la loro comprensione dei pregiudizi. L’obiettivo è mitigare gli effetti di ragionamenti imperfetti e trovare il perfetto mix tra caratteristiche umane e potenzialità tecnologiche. Le sfide della sicurezza informatica dipendono dalla comprensione e dal superamento dei pregiudizi.
In Forcepoint, il team di X-Labs sta sviluppando una profonda comprensione del comportamento umano per progettare soluzioni di sicurezza adattive al rischio. La Risk Adaptive Protection si basa su una valutazione continua del rischio e fornisce il giusto livello di protezione, che può essere alzato o abbassato in base alla necessità reale, grazie a potenti analisi del comportamento human-centric che comprendono le interazioni con i dati per utenti, macchine e account. Ciò accelera i processi decisionali e di sicurezza per modificare il livello di rischio nelle reti aziendali: gli analisti della sicurezza sono liberi di concentrarsi su attività ad alto valore ed eliminare l’arretrato di alert che derivano dai tradizionali strumenti di sicurezza.
La prima soluzione di questo tipo è Forcepoint Dynamic Data Protection che è in grado di analizzare i comportamenti umani e aiuta i professionisti della sicurezza a gestire i pregiudizi cognitivi. Grazie a una costante elaborazione del rischio comportamentale – rispetto a un comportamento base “normale” di ciascun utente finale – i sistemi intelligenti di Forcepoint, applicano una serie di contromisure di sicurezza per affrontare il rischio anche in considerazione della propensione al rischio di un’organizzazione.
Ad esempio, Forcepoint Dynamic Data Protection può consentire e monitorare l’accesso ai dati, consentire l’accesso ma crittografare i download o bloccare completamente l’accesso ai file sensibili a seconda del contesto delle singole interazioni con i dati aziendali e del conseguente punteggio di rischio. “Le persone tendono a commettere errori quando hanno troppe informazioni, informazioni complesse o informazioni legate alle probabilità. Associando l’analisi comportamentale alle contromisure di sicurezza, possiamo ridurre i pregiudizi ” afferma la dott.ssa Cunningham.
Qualche domanda per scovare pregiudizi
“Siamo tutti soggetti a pregiudizi cognitivi ed errori di ragionamento, che potrebbero avere un impatto sulle decisioni e sui risultati di business nella sicurezza informatica. Tuttavia, un tratto umano eccezionale è la capacità di pensare al pensiero: siamo quindi in grado di riconoscere e affrontare questi pregiudizi. Adottando un approccio diverso possiamo migliorare il processo decisionale” conclude Cunningham.
Forcepoint offre ai responsabili della sicurezza un elenco di domande per individuare al meglio i pregiudizi descritti nel WhitePaper:
- Tu o i tuoi colleghi fate supposizioni sulle persone, ma usate le caratteristiche di gruppo per formulare le vostre ipotesi?
- Sei mai stato ossessionato da un particolare e hai faticato ad allontanarti da esso per identificare una nuova strategia di esplorazione?
- Le ultime notizie influenzano la percezione dell’azienda dei rischi attuali?
- Quando ti imbatti nello stesso problema, più e più volte, rallenti per pensare ad altre possibili soluzioni o risposte?
- Quando offri nuovi servizi e prodotti, valuti il rischio (e la tua tolleranza al rischio) in modo equilibrato? Da più prospettive?
- E infine, il tuo team prende provvedimenti per riconoscere la propria responsabilità per errori o per intraprendere comportamenti rischiosi e dare credito ad altri che potrebbero aver commesso un errore a causa di fattori ambientali?
