El efecto Dunning-Kruger se ha convertido en un fenómeno muy citado, pero todavía no se tiene suficientemente en cuenta en lo que respecta a la ciberseguridad, porque en última instancia las empresas no son más que conjuntos de personas falibles.
Sobreestimamos a la gente. Por ejemplo, al conducir un coche. En un estudio reciente, el 88% de los estadounidenses encuestados se consideraba conductores por encima de la media. Que esta valoración es un disparate es evidente desde un punto de vista puramente matemático, porque más del 50% no puede estar «por encima de la media».
En Alemania, el «país del automóvil», no es diferente. En la prueba del ADAC «Autofahrerwissen 2022», por término medio sólo se resolvieron correctamente algo menos de la mitad de las tareas. Lo que resulta alarmante es que precisamente aquellos que calificaron sus conocimientos de tráfico significativamente mejor que los de los demás obtuvieron una puntuación especialmente baja en la prueba.
La ciencia explica el fenómeno: los experimentos realizados por los psicólogos David Dunning y Justin Kruger en 1999 (creadores del efecto Dunning-Kruger) demostraron que nosotros mismos apenas podemos juzgar lo buenos que somos en algo. Somos parciales con respecto a nuestras propias capacidades.
En función de nuestra edad, experiencia, educación y carácter, nos sobrevaloramos y tomamos decisiones que se deben a nuestros propios prejuicios.
Los errores de apreciación son la norma
Sin embargo, sobrestimarse puede tener consecuencias fatales no sólo en el tráfico rodado, sino también cuando se trata de ciberseguridad. El número de amenazas va en aumento, al igual que el número de ataques concretos. Por ello, las empresas deben prestar urgentemente atención a la ciberhigiene y asegurarse siempre de que su entorno de seguridad es lo suficientemente bueno y fuerte como para resistir los ataques y que las operaciones pueden restablecerse rápidamente si algo va mal.
Pero ¿qué son las empresas sino conjuntos de personas falibles? ¿Y cuál es la probabilidad de que aquellos que están convencidos de que son mejores que la media en ciberseguridad se estén engañando a sí mismos?
Para responder a esta pregunta, N-able ha preguntado a las empresas cuál es su nivel de ciberseguridad; y luego les pidió que realizaran una auditoría reducida basada en los principios del NIST.
El NIST es un conjunto de normas reconocido y utilizado en todo el mundo que incluye estándares, directrices y mejores prácticas para hacer frente a los riesgos de ciberseguridad. Abarca las cinco funciones básicas o «pilares» del NIST: Identificación, protección, detección, respuesta y recuperación.
Por tanto, la encuesta no consistía en examinar en detalle todas las facetas de los dispositivos y medidas de seguridad. Más bien se diseñó específicamente para animar a los encuestados a reflexionar sobre si están tan bien posicionados en ciberseguridad como creen.
Las preguntas más importantes
En primer lugar, se pidió a las empresas que calificaran su ciberseguridad en una escala de uno a cinco. Los que respondieron con un 1, es decir, los que declararon no tener ningún programa de ciberseguridad fueron eliminados directamente del resto de la encuesta.
A continuación, se pidió a todos los demás que calificaran individualmente los cinco pilares de la ciberseguridad: identificar, proteger, detectar, responder y recuperar.
Identifíquese: ¿saben las empresas exactamente qué es lo que tienen que proteger y si han identificado y asegurado los datos, la infraestructura y los dispositivos más importantes (es decir, sus joyas de la corona)? Esta categoría fue la que menos varió con respecto a la autoevaluación. En general, las empresas consideran que conocen realmente su inventario informático.
Efecto Dunning-Kruger: bajo
Protección: ¿Cómo están equipadas las redes contra los ataques? ¿Utilizan las empresas la autenticación multinivel? ¿Examinan los riesgos de los empleados?
Aquí se obtuvieron algunos resultados sorprendentes. Las empresas que se habían calificado mejor al principio tenían menos confianza en estas cuestiones. Dado que las vulnerabilidades cambian constantemente, pueden ver esto como un área en la que necesitan mejorar constantemente. También es sorprendente: el grupo que inicialmente se había calificado peor estaba mucho más convencido de sí mismo aquí.
Efecto Dunning-Kruger: Medio
Reconocer: ¿Se dan cuenta las empresas cuando algo va mal? ¿Ven actividades inusuales y puntos débiles? ¿Qué pasa con el personal, las conexiones, los dispositivos y el software no autorizados?
Incluso con estas preguntas, las empresas más seguras de sí mismas se mostraron más bien mansas. Por el contrario, los de bajo rendimiento se calificaron mejor aquí que en cualquier otra categoría.
Protección: ¿Cómo están equipadas las redes contra los ataques? ¿Utilizan las empresas la autenticación multinivel? ¿Examinan los riesgos de los empleados?
Aquí se obtuvieron algunos resultados sorprendentes. Las empresas que se habían calificado mejor al principio tenían menos confianza en estas cuestiones. Dado que las vulnerabilidades cambian constantemente, pueden ver esto como un área en la que necesitan mejorar constantemente. También es sorprendente: el grupo que inicialmente se había calificado peor estaba mucho más convencido de sí mismo aquí.
Efecto Dunning-Kruger: Fuerte
Capacidad de respuesta: ¿Saben los empleados cuáles son sus tareas en una crisis y qué hay que hacer? Si algo va mal, ¿existen procedimientos para calmar la situación? ¿Y la desactivación de nuevas vulnerabilidades?
En general, las empresas confían en que responden adecuadamente a los incidentes de ciberseguridad. Sin embargo, los resultados detallados sugieren que la capacidad de respuesta desempeña un escaso papel en la autoevaluación positiva.
Efecto Dunning-Kruger: Medio
Recuperación: ¿Qué ocurre si se produce el peor de los casos? ¿Existe un plan de recuperación?
En general, las empresas encuestadas confiaban en su capacidad para recuperarse de un incidente de ciberseguridad, restablecer las operaciones rápidamente y comunicarse de forma eficaz tanto externa como internamente.
Efecto Dunning-Kruger: Bajo
La imparcialidad es la carta de triunfo.
Hasta aquí los resultados de la encuesta. Sin embargo, tampoco hemos acertado del todo. Habíamos asumido que las empresas sobrestiman sus capacidades, especialmente en las áreas de ciberseguridad que a menudo están fuera del foco central (por ejemplo, la recuperación).
Sin embargo, resultó que las mayores desviaciones con respecto a la autoevaluación original se produjeron en los valores de la capacidad de protección, detección y respuesta.
¿Qué significa esto? Las empresas deben cuestionar todas las decisiones que toman en materia de ciberseguridad. Las auditorías estandarizadas y recurrentes son una buena manera de echar un vistazo imparcial. Lo importante aquí es que ningún supuesto debe considerarse una vaca sagrada o un tabú incuestionable. Todo debe ser puesto a prueba.
Dada la industrialización de la ciberdelincuencia y un mercado en el que las herramientas para las amenazas persistentes se dan casi por sentado como servicios (como RaaS -Ransomware as a Service- o AaaS -Access as a Service-), pero también por el aumento de las actividades de los ciberdelincuentes «tradicionales», las empresas deben asegurarse de que están haciendo lo correcto.
Deben asegurarse de que disponen de las tecnologías y los procesos adecuados para prevenir los ataques, detectar los incidentes y responder con eficacia.
Deben hacer de la ciberseguridad una prioridad absoluta porque puede marcar la diferencia entre la supervivencia y la desaparición. En otras palabras, las decisiones sobre ciberseguridad no deben basarse en suposiciones y creencias, sino en una comprensión imparcial.
Los proveedores de servicios de TI y los proveedores de servicios gestionados pueden ayudar en este sentido. Porque complementan la autoevaluación con una visión externa.
El mencionado marco de ciberseguridad del NIST también puede ayudarles a preparar las medidas de seguridad y a identificar las áreas insuficientemente cubiertas. La versión completa les permite entonces examinar el nivel de madurez de un programa de ciberseguridad desde todos los ángulos posibles.
Esto hace que el NIST sea una herramienta importante para que los MSP examinen cuidadosamente lo que los clientes suelen ignorar y mejoren sus ofertas de servicios en consecuencia. Sin embargo, antes de hacerlo, el proveedor de servicios debería pasar por el proceso consigo mismo, descubrir sus puntos débiles y actualizar inmediatamente al menos las áreas más débiles.
NotiVeraz