Modelos mentales y seguridad para decisiones buenas e informadas
El proceso de pensamiento de un profesional de seguridad abarca muchos modelos mentales. Estos no se relacionan exclusivamente con la piratería o una tecnología más amplia, sino que cubren principios que tienen aplicaciones más amplias.
Aquí algunos modelos mentales generales que podemos aprender y sus aplicaciones de seguridad:
1. Inversión
Los problemas difíciles se resuelven mejor cuando se trabajan al revés. Los investigadores son excelentes para invertir sistemas y tecnologías para ilustrar lo que el arquitecto del sistema hubiera preferido evitar. En otras palabras, no es suficiente pensar en todas las cosas que se pueden hacer para asegurar un sistema, sino pensar en todas las cosas que dejarían un sistema inseguro.
Desde un punto de vista defensivo, significa no solo pensar en cómo lograr el éxito, sino también en cómo se manejaría el fracaso.
2. Sesgo de confirmación
Lo que alguien desea, también lo cree. Vemos un sesgo de confirmación profundamente arraigado en aplicaciones, sistemas e incluso empresas enteras.
Significa que dos personas con puntos de vista opuestos sobre un tema pueden ver la misma evidencia y sentirse validados por ella. Es por eso que dos auditores pueden evaluar el mismo sistema y llegar a conclusiones muy diferentes en cuanto a su idoneidad.
Sin embargo, el sesgo de confirmación es extremadamente peligroso desde la perspectiva de los defensores y nubla el juicio. Esto es algo de lo que los hackers se aprovechan todo el tiempo.
Las personas a menudo caen en los correos electrónicos de phishing porque creen que son demasiado inteligentes para caer en uno, o demasiado insignificantes para ser atacados. Es solo hasta que es demasiado tarde que la realidad se establece.
3. Círculo de Competencia
La seguridad como disciplina no es algo monolítico. Consta de innumerables áreas de competencia. Un ingeniero social tiene un conjunto de habilidades específico que difiere de un investigador con experiencia en obtener acceso remoto a los sistemas SCADA.
La cantidad de herramientas en un cinturón de herramientas no es importante. Lo que es mucho más importante es conocer los límites del círculo de competencia de uno.
Los gerentes que forman equipos de seguridad deben evaluar a las personas del equipo y crear el círculo de competencia para el departamento. También puede ayudar a identificar dónde hay brechas que deben llenarse.
4. La navaja de Occam
También conocida como la “ley de la parsimonia”, se puede resumir como: “Entre las hipótesis en competencia, se debe seleccionar la que tenga la menor cantidad de suposiciones”.
En otras palabras, es un principio de simplicidad relevante para la seguridad en muchos niveles. A menudo, los piratas informáticos utilizarán métodos simples y probados para comprometer una empresa o sus sistemas.
Los mismos principios se pueden aplicar al asegurar organizaciones. Vale la pena tener en cuenta la cita de Einstein que decía que “una idea debe hacerse lo más simple posible, pero no más simple”.
5. Pensamiento de segundo orden
El pensamiento de segundo orden significa considerar que los efectos tienen efectos. En otras palabras, te obliga a pensar a largo plazo al considerar qué acción tomar.
La pregunta que debe hacerse es: “si hago X, ¿qué pasará después de eso?”
Es fácil en el mundo de la seguridad dar consejos de primer orden. Por ejemplo, mantenerse al día con los parches de seguridad suele ser un buen consejo. Pero sin un pensamiento de segundo orden, puede conducir a malas decisiones con consecuencias en cadena. Por lo tanto, es vital que los profesionales de la seguridad consideren todas las implicaciones antes de ejecutar. Por ejemplo, qué impacto habrá en los sistemas posteriores si parcheamos o actualizamos el sistema operativo en la máquina X.
6. Experimentos mentales
Una técnica popularizada por Einstein, el experimento mental es una forma lógica de llevar a cabo una prueba en la propia cabeza que sería muy difícil o imposible de realizar en la vida real.
El propósito de un experimento mental no es necesariamente llegar a una conclusión definitiva, sino alentar pensamientos desafiantes, especulaciones y empujar a las personas fuera de su zona de confort.
7. Pensamiento probabilístico
Aunque no podemos predecir el futuro con gran certeza, subconscientemente tomamos decisiones basadas en probabilidades todo el tiempo.
Por ejemplo, al cruzar la calle, creemos que el riesgo de ser atropellado por un automóvil es bajo. Aunque el riesgo existe, ha buscado tráfico y está seguro de que puede cruzar con seguridad.
Es un método de pensamiento en el que uno considera todas las probabilidades relevantes anteriores y luego las actualiza gradualmente a medida que llega información más nueva.
Este método es especialmente productivo dado el mundo fundamentalmente no determinista que experimentamos: debemos usar probabilidades anteriores y nueva información en combinación para llegar a nuestras mejores decisiones.
Conclusión
Si bien puede que no haya una respuesta simple a lo que significa “pensar como un hacker”, el uso de modelos mentales para construir marcos de pensamiento puede ayudar a evitar las trampas asociadas con abordar todos los problemas desde el mismo ángulo.
Comparte cualquiera de los modelos mentales de seguridad con herramientas robustas de seguridad activa como redborder y cubrir una protección total para empresas de manera personalizada, llevando la seguridad a primer plano y proporcionando simplicidad y agilidad en la resolución de problemas.