Día: 11 junio, 2019

Los errores de razonamiento pueden afectar la eficacia de la ciberseguridad

Los términos de la ciencia cognitiva no son etiquetas arbitrarias que se aplican a la ciberseguridad. Históricamente, la relación entre el cómputo y el conocimiento surgió a principios de los años cincuenta durante la revolución cognitiva, cuando la ciencia psicológica, basada en el comportamiento, incluyó a la mente y sus procesos.  Actualmente, la ciencia cognitiva es un ámbito interdisciplinario que se amplía de manera constante, y que coincide con prácticamente todos los aspectos de la seguridad cibernética.

En este artículo se explorarán seis sesgos cognitivos comunes: sesgo agregado, de anclaje, de disponibilidad, de confirmación, el efecto marco y el error fundamental de la atribución; así como el impacto que tienen en la seguridad cibernética y cómo pueden abordarse.

 

Cómo los sesgos humanos desvían las estrategias de seguridad

Todos estamos expuestos al sesgo cognitivo y a los errores del razonamiento, los cuales pueden influir en las decisiones y en los resultados empresariales en el ámbito de la seguridad cibernética. Observamos con regularidad que los factores externos tienen influencia en los líderes empresariales. Por ejemplo, si los noticieros difunden gran cantidad de información sobre una reciente violación a la privacidad por parte de hackers, y se lanzan serias advertencias respecto a los ataques externos, los encargados de dirigir los programas de seguridad van a tender a desviar la estrategia y la actividad de seguridad cibernética contra las amenazas externas.

Aquí estamos hablando del sesgo de la disponibilidad en acción, donde una brecha de alto perfil individual podría provocar que las empresas ignoren o minimicen las amenazas que trae consigo el malware, los procesos de parcheo deficientes o el comportamiento de los empleados en el momento de manejar datos. Depender de lo que se conoce es una herramienta que utilizan los humanos para tomar decisiones, pero puede también llevar a tomar decisiones equivocadas.

El sesgo de la confirmación también afecta inconscientemente a los profesionales de la seguridad. Cuando los individuos están explorando una teoría para resolver un problema particular, son susceptibles a confirmar sus creencias con sólo buscar y encontrar lo que apoye a su creencia. Por ejemplo, un analista de seguridad experimentado puede “decidir” qué sucedió antes de investigar una violación de datos, asumiendo que fue un empleado malintencionado a partir de eventos anteriores. El conocimiento y la experiencia, si bien son valiosos, pueden ser débiles si la gente investiga los incidentes partiendo de una base que confirme lo que ellos sospechan.

 

No es mi culpa, es EPETC

Un sesgo social y psicológico que repercute en casi todos los aspectos del comportamiento humano es el error fundamental de la atribución. Los profesionales de la seguridad han utilizado el anacronismo EPETC, que significa “Existe un Problema Entre el Teclado y la Silla”. En otras palabras, culpan al usuario por los incidentes relacionados con la seguridad. Los especialistas en la materia no son los únicos afectados por este sesgo, pues los usuarios finales también culpan a los entornos de seguridad mal diseñados de los incidentes que ocurren, o se niegan a reconocer que sus comportamientos son peligrosos.

Hacer frente a los errores fundamentales de la atribución, y al sesgo propio, no es cosa sencilla y requiere del conocimiento y de la empatía personales. Para los supervisores y líderes, reconocer las imperfecciones y las fallas puede ayudar a crear una cultura más flexible y dinámica. Quienes diseñan arquitecturas de software complejas deben reconocer que no todas las motivaciones de los usuarios estarán totalmente enfocadas en la seguridad como las de los diseñadores de los sistemas. Los usuarios cometen errores no porque sean “estúpidos”, sino porque son humanos.

Sin embargo, una característica humana excepcional es que podemos pensar en pensar, lo que permite reconocer y enfrentar estos sesgos. Al adoptar un enfoque diferente y evitar esas instancias donde el pensamiento automático causa daños, podemos mejorar la toma de decisiones.

 

Superar el sesgo con conocimiento aplicado

Cuando se comprenden mejor estos sesgos, es más sencillo identificar y reducir el impacto del razonamiento fallido y de las convenciones para tomar decisiones. Los esfuerzos de la industria por crear armonía entre las mejores características de los humanos y las mejores características de la tecnología para enfrentar los desafíos de la seguridad cibernética dependen de entender y superar dichos sesgos.

Conocer a fondo el comportamiento humano dentro de las soluciones de seguridad que se adaptan a los riesgos es vital para el propósito final de mejorar los procesos y resultados de negocio, reducir la fricción y promover el desarrollo y el éxito. Los productos creados de este modo pueden computar y actualizar continuamente una puntuación de riesgo conductual tomando como base el comportamiento “normal” de cada uno de los usuarios, donde sea y como sea que tengan acceso a la red corporativa.

Los sistemas inteligentes, que toman información sobre la evaluación del riesgo individual, pueden aplicar una serie de contramedidas de seguridad para afrontar el riesgo identificado según el apetito de riesgo de una organización, o impedir por completo el acceso a archivos sensibles, dependiendo del contexto de las interacciones individuales con los datos corporativos y de la puntuación de riesgo resultante.

 

Actúe para abordar el sesgo: preguntas que deben hacerse los profesionales de la seguridad cibernética

¿Por dónde se debe comenzar? Nuestra recomendación para los profesionales de la seguridad y para los líderes empresariales es tomarse algunos momentos para analizar los seis sesgos y hacerse estas preguntas:

  • ¿Usted y sus colegas hacen suposiciones sobre los individuos, pero utilizan características grupales para crear sus suposiciones?
  • ¿Alguna vez se ha quedado estancado en un detalle forense del que le ha sido difícil salir para identificar una nueva estrategia de exploración?
  • ¿Las recientes noticias influyeron en la percepción que tiene su compañía de los riesgos actuales?
  • Cuando se enfrenta al mismo problema, una y otra vez, ¿se detiene a pensar en otras posibles soluciones o respuestas?
  • Cuando ofrece nuevos productos y servicios, ¿evalúa usted el riesgo (y su tolerancia al riesgo) de una forma equilibrada? ¿Desde múltiples perspectivas?
  • Y finalmente, ¿su equipo tiene una metodología para reconocer su responsabilidad de los errores o de comportarse de forma peligrosa, y le da crédito a otros que pudieran haber cometido un error debido a factores ambientales?

La gente comete errores cuando tiene demasiada información, compleja o vinculada a probabilidades. Sin embargo, hay un poderoso paralelismo entre cómo los humanos aprenden a pensar y razonar, y cómo la tecnología de la seguridad puede diseñarse para mejorar la manera en afrontar un “espacio gris”. En el caso de los sesgos, combinar la analítica conductual con las contramedidas de seguridad puede reducir este problema de manera importante y acercarlo a usted a un entorno más seguro.

 

Por: Margaret Cunningham, Forcepoint.

CenturyLink lanza las soluciones SD-WAN con capacidad de crear redes privadas seguras

CenturyLink dio a conocer la disponibilidad para América Latina de su solución SD-WAN con capacidad de crear redes privadas seguras sobre una combinación de infraestructura pública y privada, con encriptación de sitio a sitio, independientemente del acceso o de la tecnología de transporte utilizada. La solución también provee gestión y control centralizados para que las empresas direccionen el tráfico aplicación por aplicación, o por tipo de acceso, posibilitando la conexión de sitios dispares a través de una variedad de conexiones de backbone.

Con la expansión de la solución a América Latina, los clientes tienen la flexibilidad de aprovechar los diversos recursos de red y la capacidad de soportar múltiples tipos de acceso, incluyendo DSL, cable, Internet y MPLS.

“Si bien el mercado de SD-WAN gerenciada sigue en una etapa incipiente en América Latina, se está desarrollando más rápidamente de lo esperado”, comentó Gina Sánchez, consultora senior de Frost & Sullivan en América Latina. “La red de área amplia definida por software está acaparando la atención de empresas ansiosas por aprovechar los beneficios comerciales ofrecidos por la tecnología; por ejemplo, implementación más rápida de las sucursales, ahorro de costos al utilizar las redes púbicas y privadas, conectividad optimizada con la nube, y enrutamiento con conocimiento de las aplicaciones”, comentó Sánchez.

Frost & Sullivan prevé que la demanda por SD-WAN gerenciada tendrá un crecimiento acelerado en la región de América Latina durante los próximos cinco años.

“Proveemos conexiones de redes públicas y privadas seguras, escalables y rentables a través de una amplia gama de tipos de conectividad, que les permiten a las empresas ser más ágiles y disminuir los riesgos”, comentó Pablo Yañez, vicepresidente de conectividad, medios e IP en CenturyLink América Latina. “La solución SD-WAN de CenturyLink ofrece un mejor desempeño de red, simplificar las operaciones de red y promover el crecimiento del negocio con mayor visibilidad y control”.

El servicio de CenturyLink incluye no solo la capa de la SD-WAN sino también la operación y diseño de la capa de operación subyacente.

Las empresas pueden optimizar el desempeño de la aplicación y la utilización del ancho de banda con enrutamiento basado en el desempeño y direccionamiento del tráfico por aplicación.

La gestión de política centralizada provista por SD-WAN ofrece mayor gobernanza y control para las operaciones de red de las empresas, además de proveer conectividad directa a internet para acceso a las nubes públicas y aplicaciones de SaaS para mejorar la experiencia del usuario local.

Los clientes pueden beneficiarse de servicios integrales, llave en mano que incluyen la simplificación de las operaciones de red y la reducción de gastos generales administrativos con un solo punto de contacto para la agregación de ancho de banda y la facturación.

Las visualizaciones del tablero de comando a través del portal autoservicio 24×7 de CenturyLink les provee a las empresas mayor visibilidad y control con monitoreo y analítica de la aplicación.

La red de CenturyLink posibilita que los clientes se conecten a más de 2,200 data centers propios y de terceros, como así también a más de 150,000 edificios on-net de fibra.

CenturyLink ofrece una amplia gama de opciones de conectividad para safisfacer las necesidades de desempeño y de eficiencia de los clientes, incluyendo MPLS, internet dedicada, agregación de banda ancha, 4G/LTE y/o Bring Your Own Network (Traiga su Propia Red), que queda sujeta a la factibilidad y disponibilidad técnicas.

Hackers usan Google Calendar para promover ofertas fraudulentas

El spam y el phishing que explotan vectores de ataque no tradicionales pueden ser lucrativos para los ciberdelincuentes, pues tienen la posibilidad de engañar a usuarios experimentados que tal vez no caigan con amenazas comunes. Este es precisamente el caso cuando se trata de servicios legítimos de confianza, como las funciones predeterminadas del calendario de correo electrónico, que son aprovechadas para el llamado ‘phishing de calendario’.

La detección de numerosas notificaciones emergentes no solicitadas en el calendario durante el mes de mayo fue resultado de una explosión de spam en mensajes de correo electrónico bien elaborados y enviados por los estafadores. Esos correos electrónicos aprovechaban una característica predeterminada que es común para las personas que usan Gmail en su teléfono inteligente: la opción y notificación automática de invitaciones en el calendario.

El fraude se produce cuando el estafador envía una invitación no solicitada al calendario que contiene un enlace URL de phishing. Aparece entonces una notificación de la invitación en la pantalla de inicio del teléfono y recomienda al destinatario hacer clic en el enlace.

En la mayoría de los casos, se redirigía al usuario a un sitio web con un cuestionario simple que ofrecía premios en efectivo. Para recibir la recompensa, se le solicita al usuario un pago “de trámite” para el cual debe ingresar los detalles de su tarjeta de crédito y agregar cierta información personal, como nombre, número de teléfono y dirección. Esta información va directamente a los estafadores que la utilizan para robar dinero o la identidad.

“La ‘estafa del calendario’ es una estratagema muy eficaz, pues la gente está más o menos acostumbrada a recibir mensajes de spam en correos electrónicos o a través de mensajes instantáneos y no confían de inmediato en ellos. Pero puede que este no sea el caso cuando se trata de la aplicación de calendario, cuyo propósito es organizar la información, más que transferirla. Hasta ahora, el ejemplo que hemos visto contiene texto que muestra una oferta obviamente extraña, pero, como suele ocurrir, todas las estratagemas simples se vuelven más elaboradas y engañosas con el tiempo. La buena noticia es que no es necesario tomar medidas complejas para evitar este tipo de estafa, pues la función que la hace posible se puede desactivar fácilmente en la configuración del calendario”, dijo Maria Vergelis, investigadora de seguridad en Kaspersky.

Salesforce adquiere a Tableau, reforzando su área de analítica de datos

Salesforce acaba de ejecutar la que es la mayor compra realizada por la compañía hasta la fecha: la de Tableau, empresa especializada en analítica de datos, por una cifra de 15,700 millones de dólares. Con esta operación, en palabras de Marc Benioff, presidente y codirector general de Salesforce, “estamos uniendo el CRM número uno del mundo con la plataforma de analítica número uno. Tableau ayuda a las personas a ver y comprender los datos y Salesforce ayuda a las personas a captar y comprender a los clientes. Realmente es lo mejor de ambos mundos para nuestros clientes: reunir dos plataformas críticas que cada cliente necesita para entender su mundo”, afirmó.

Por su parte, Adam Selipsky, presidente y CEO de Tableau, comentó: “La unión de fuerzas con Salesforce mejorará nuestra capacidad para ayudar a las personas de todo el mundo a ver y comprender los datos”.

Los datos son la base de toda transformación digital y la incorporación de Tableau acelerará la capacidad de ofrecer el éxito del cliente al permitir una visión unificada de todos los datos de un cliente.

La compra se produce apenas unos días después de que Google anunciara la compra de Looker por 2,600 millones de dólares. Un movimiento también muy orientado a sumar capacidades en el ámbito de la analítica de datos. Y pocos días después de que dos grandes del mundo de cloud, como Microsoft y Oracle, anunciaran la compartición de sus nubes.

Entre los clientes de Tableau se encuentran Verizon, Schneider Electric, Southwest y Netflix.

 

IDG.es