Comment soutenir l'heuristique humaine peut entraîner un risque - comportement conscient

L'heuristique et les préjugés humains ont toujours une presse négative en matière de cybersécurité, mais les cybercriminels comptent sur eux pour cibler leurs victimes.

L'heuristique humaine et les préjugés obtiennent toujours une presse négative en matière de cybersécurité, mais comment ces vulnérabilités mêmes sur lesquelles les cybercriminels peuvent-elles compter pour cibler leurs victimes ... peuvent-elles également être utilisées pour renforcer la défense contre eux?

Pourquoi la formation de sensibilisation conventionnelle n'est-elle pas suffisante?

Alors que les employés peuvent souvent recevoir une forme de formation à la conformité à la cybersécurité de leur organisation, lorsqu'ils travaillent intuitivement, ils ne sont pas en mesure d'accéder cognitivement à cette éducation pour bénéficier de ses apprentissages. Au lieu de cela, ils utilisent des stratégies ou des habitudes prédéterminées, par exemple en suivant les opinions des experts ou de la majorité pour prendre une décision rapide. Les cybercriminels sont conscients de cette heuristique et d'autres et se positionneront à leur tour en tant qu'experts ou suggéreront qu'un grand nombre d'autres ont mené une action pour influencer davantage une approche rapide et moins optimale décision. Alors, que peuvent faire les organisations pour mieux aider leurs employés à prendre des décisions sûres lorsqu'ils sont en mode intuitif? Nous pouvons les soutenir en enseignant de nouvelles stratégies cognitives qui peuvent être intégrées dans les habitudes actuelles, augmentant la sécurité sans réduire la productivité.

Qu'est-ce que le débiasing et comment ça marche?

Le mot deciasing peut sembler technique et quelque peu inquiétant, mais bien qu'il y ait un processus à suivre, les concepts impliqués peuvent souvent être simples à appliquer. En fait, vous pouvez commencer à reconnaître certaines des techniques de débit que vous avez appris à appliquer dans votre propre vie sans vous en rendre compte, par exemple, toujours placer vos clés au même endroit chaque jour pour éviter leur perte.

Le débiasage est une intervention dans laquelle les humains reçoivent les informations nécessaires pour améliorer leur décision actuelle - établissant des règles. Il ne s'agit pas seulement d'éduquer les employés sur des stratégies plus avancées, mais aussi de leur apprendre à reconnaître quand la stratégie doit être appliquée et à permettre aux employés de les pratiquer jusqu'à ce qu'ils deviennent habituels. Le débiasage est donc une approche en plusieurs étapes - impliquant environ des étapes :

1. Faire prendre la décision - fabricant conscient du biais existe

2. Les informer sur la façon de le détecter

3. Les motiver à vouloir le changer

4. Leur apprendre à appliquer la stratégie la plus optimale

5. Leur montrer comment pratiquer et le maintenir

La recherche sur l'utilisation des techniques de débiasing en cybersécurité en est encore à ses balbutiements mais a montré une grande promesse en dehors du domaine de la cybersécurité dans des domaines tels que les soins de santé, santé mentale médico-légale et éducation. Ma propre recherche impliquant des techniques de débiasing a trouvé prometteur pour leur utilisation dans la détection des e-mails de phishing. Le débiasage offre plus que le coup de coude seul car les humains peuvent s'habituer à une pop continue - ups, cependant, les pousses peuvent être utilisées comme un moyen de fournir des techniques de débiasing encourageant les employés à pratiquer de nouvelles stratégies et à les habituder.

Quels sont quelques exemples de débiasing?

Il existe un certain nombre de stratégies de débiasing qui peuvent aider à soutenir vos employés en mode de prise de décision intuitive -, en mettant l'accent sur la fourniture de techniques qui peuvent être facilement mémorisées et mises en œuvre pour un certain nombre de comportements de sécurité cyber. Deux exemples simples de telles stratégies sont une «considérer - l'intervention - opposée» et une liste de contrôle / intervention maximale ( par exemple l'utilisation de l'âge - adage ancien «mesure deux fois, couper un ”utilisé dans le monde de la menuiserie pour réduire les déchets résultant d'une erreur ).

Considérez - le - opposé est une stratégie par laquelle les employés seraient tenus de considérer les preuves disponibles pour un autre résultat, par exemple en supposant que toutes les personnes dans votre immeuble n'ont pas accès autorisé à moins qu'un badge d'identification ne soit produit. Cette technique interrompt l'automaticité, encourageant une pensée plus consciente . Dans le cas des e-mails de phishing, cette stratégie suggère que les employés supposent que tous les e-mails sont phishing et recherchent des indices qui détectent la communication comme authentique. Si ce scénario de confiance zéro - peut sembler favorable, il entraînera des réductions significatives de la productivité.

Une autre intervention de débit potentielle est la mise en œuvre d'une maxime ou d'une liste de contrôle mental répétant des informations ou un comportement jusqu'à ce qu'il devienne une habitude. Aider le cerveau à s'habituer naturellement aux compétences ou comportements répétés jusqu'à ce qu'il soit ancré dans l'action . Les heuristiques sont simplement des listes de contrôle mental intégrées et, par conséquent, le remplacement de certains éléments par de nouvelles formes peut aider à réduire la sensibilité au génie social sans entraîner de réduction de la productivité. Des deux techniques de débiasage, ce dernier semble jusqu'à présent tenir le plus prometteur, mais les comportements de cybersécurité sont si divers qu'il est important que la recherche continue de trouver une technique qui puisse soutenir chacun des employés clés des compétences sont tenus d'utiliser pendant qu'ils sont occupés à jouer leur rôle principal.