¿Por qué los gobiernos y las corporaciones ignoran continuamente la amenaza de los delincuentes que roban sus datos personales y no actualizan su seguridad cibernética?

Es un sesgo cognitivo, del tipo frecuentemente discutido por Nassim Nicholas Taleb.

Él lo llama “teoría del cisne negro”.

En resumen, él dice

Lo que llamamos aquí Black Swan (y lo capitalizamos) es un evento con los siguientes tres atributos.

Primero, es un caso atípico, ya que se encuentra fuera del ámbito de las expectativas regulares, porque nada en el pasado puede señalar convincentemente su posibilidad.

En segundo lugar, tiene un “impacto” extremo. En tercer lugar, a pesar de su estado atípico, la naturaleza humana nos hace inventar explicaciones para su ocurrencia después del hecho, haciéndola explicable y predecible.

Me detengo y resumo el triplete: rareza, ‘impacto’ extremo y previsibilidad retrospectiva (aunque no prospectiva). Un pequeño número de cisnes negros explica casi todo en nuestro mundo, desde el éxito de las ideas y las religiones, hasta la dinámica de los acontecimientos históricos, hasta elementos de nuestras propias vidas personales.

¿Cómo se aplica esto a la seguridad cibernética?

Los ejecutivos de las grandes empresas ven que estos eventos le suceden a otras compañías, pero “nunca sucedió aquí, por lo que nunca puede suceder aquí” prevalece.

Hasta que (inevitablemente) lo haga.

Luego, el ejecutivo de toma de decisiones, que ahora sabe que PUEDE suceder aquí, es despedido, y el nuevo tipo le asegura al consejo que, de hecho, nunca volverá a suceder.

Excepto que nadie le da el presupuesto ni la autoridad para implementar realmente ninguno de los cambios del sistema y el proceso que tendrán la más mínima posibilidad de evitar otra incursión. ¿Por qué? Es casi imposible obtener fondos para algo que produce RESULTADOS NEGATIVOS .

Es decir, si gasto $ 10ma al año en un departamento que protege al 100% los activos digitales de la empresa, NADIE SABE QUE FUNCIONA .
Claro, podemos mostrar análisis de tráfico e intentos de penetración y ataques de inyección SQL bloqueados y todo eso, pero nadie que no esté en el equipo realmente entiende lo que significa, y por lo tanto, para otras líneas de negocios en la compañía, es un desperdicio colosal de dinero. Solo se dan cuenta cuando te resbalas y alguien atraviesa la puerta mágica hacia la caja de regalos.

Eso, ellos pueden ver y entender.

Stan Hanks tiene un excelente resumen del sesgo cognitivo, pero eso no es todo: en el mundo comercial, la atención se centra en el crecimiento y la rentabilidad. Cada dólar que gasta en seguridad reduce ambos. Por lo tanto, existe el deseo de gastar la menor cantidad posible en este tipo de cosas. Se considera un mal necesario como el cumplimiento normativo que se interpone en el camino del negocio real, algo que debe optimizarse, idealmente a cero. Ofrezca a un CEO de una empresa pública la opción de vencer a EPS por otro centavo o invertir la misma cantidad en más seguridad cibernética y muchos elegirán el ritmo de EPS. Es lo que se les incentiva a hacer.

Trabajé en Symantec durante un tiempo, y el mejor impulsor de ventas fue SQL Slammer: ninguna cantidad de ventas / marketing podría haber generado un aumento de gastos similar. Todos necesitaban comprar algo para detener el dolor y el sangrado, por lo que compraron las mejores medidas de protección que conocían en ese momento (incluidas las cosas de punto final de Symantec), y en ese momento se convirtieron en una partida en el presupuesto.

¿Por qué? Debido a que ahora era obvio lo que un ataque como ese podría hacer al importante negocio de vender cosas, hacer que cerrar la puerta del establo parezca una buena idea. Y podían encogerse de hombros y justificarlo sin una cara roja porque “Oye, nadie sabía que esto iba a suceder, así que todos fuimos golpeados. Compramos cosas para protegernos. Ahora estamos bien”.

Muchas veces lo hacen. Las corporaciones para las que he trabajado han actualizado y tomado medidas para proteger las computadoras y las redes. Tenemos algún software existente que requiere sistemas operativos más antiguos o software de aplicación más antiguo. Estos son de misión crítica. Así que entendemos que hay algunos agujeros o debilidades, pero tratamos de aliviar las debilidades y hemos segmentado muchos sistemas del acceso a Internet. Pero si un pirata informático lograra establecerse en nuestra red, podría atacar a otras computadoras que ejecutan software heredado y dañarnos gravemente. Cuanto más grande sea el negocio, más sistemas serán accesibles a Internet y más vulnerabilidades potenciales. Mi negocio se ocupa de los registros de atención médica, por lo que todos los empleados tuvieron que aprender a manejar los registros de HIPPA. También tenemos un centro de datos completamente separado de la red corporativa y esos empleados tuvieron que familiarizarse con Sarbanes Oxley. Esos son requisitos antiguos, pero creo que nos los impuso el gobierno alrededor de 2005 y requieren que tomemos ciertas precauciones.

Cuando se trata de justificar un gasto de seguridad …

Claro que hay prejuicios y falsas concepciones sobre la realidad cuando se trata de seguridad. En mi propio trabajo, escucho a personas de TI de alto nivel decir que estamos cubiertos por algún proveedor: complete en blanco con una importante empresa de seguridad. Por supuesto, no hay una solución única. Pero desafortunadamente después de que se han gastado muchos $ s, los gerentes de TI tienen que informar a sus jefes y decir que el problema está resuelto. Y no es necesariamente culpa de los vendedores. La seguridad es un proceso y siempre debe realizar evaluaciones y monitoreo de riesgos. Con demasiada frecuencia, las empresas estudian para el examen, pasan una auditoría o evaluación anual, y luego piensan que son seguras

La respuesta está en lo que también se refiere mucha gente aquí, y que en términos comerciales se llama

GESTIÓN DE RIESGOS

Además, el riesgo se define tanto en términos de probabilidad como de impacto, o como la fórmula se escribe comúnmente:

Riesgo = Probabilidad * Impacto

Un ataque cibernético puede parecer que tiene pocas posibilidades de ocurrir, pero el impacto puede ser enorme.

La gestión de riesgos es la clave para una buena gestión de proyectos y gestión en general. Esas corporaciones y gobiernos que están (casi inevitablemente) en la web y no toman medidas para la seguridad cibernética simplemente hacen una terrible gestión de riesgos.

Es por eso que.

Porque la seguridad cibernética se considera un simple costo contable, ya que no produce ningún retorno de la inversión inmediato.

No tienen idea de lo que están hablando y no confían en los chicos de TI (no ven ninguna diferencia entre TI en general y la seguridad cibernética).

No obtienen que $ 1 invertido en seguridad cibernética se traduzca potencialmente en una gran cantidad de dinero ahorrado al evitar la pérdida de datos y el robo de identidad, demandas por falta de políticas adecuadas de cumplimiento de seguridad, etc.

Necesitan aprenderlo de la manera difícil.