Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que crees

«La seguridad es tanto un sentimiento como una realidad.»

—Bruce
Schneier

Daniel Gardner abre su libro The Science of Fear con la
estremecedora historia de los atentados del 11S en EEUU:

«Y así, en los meses
posteriores a los ataques del 11 de septiembre, mientras los políticos y
periodistas se preocupaban sin cesar por el terrorismo, el ántrax y las bombas
sucias, las personas que huían de los aeropuertos para protegerse del
terrorismo se estrellaron y murieron en las carreteras de Estados Unidos. Y
nadie se dio cuenta. (…) Resultó que el cambio de aviones a automóviles en
Estados Unidos duró un año. Luego los patrones de tráfico volvieron a la
normalidad. Gigerenzer también encontró que, exactamente como se esperaba, las
muertes en las carreteras estadounidenses se dispararon después de septiembre
de 2001 y volvieron a los niveles normales en septiembre de 2002. Con estos datos,
Gigerenzer pudo calcular el número de estadounidenses muertos en accidentes
automovilísticos como resultado directo de cambiar de aviones a coches. Fue de
1.595.»

¿Qué mató a todas estas víctimas? El miedo.

Todos sabemos que volar en avión en más seguro que conducir un coche. De hecho, lo más peligroso de viajar en avión es el trayecto en coche al aeropuerto. Las estadísticas están ahí para demostrarlo. ¿Por qué entonces nos da más miedo volar en avión que montar en coche? Porque la aceptación del riesgo no sólo depende de estimaciones técnicas de riesgo y beneficio sino también de factores subjetivos, como el sentimiento.

NUESTRAS PREFERENCIAS EMOCIONALES DETERMINAN NUESTRAS CREENCIAS SOBRE EL MUNDO

La heurística del afecto
permite a alguien tomar una decisión basada en un afecto, es decir, en un
sentimiento, en lugar de en una deliberación racional. Esta heurística funciona
mediante la siguiente sustitución:

Si tienes un buen
presentimiento acerca de una situación, puedes percibirla como de bajo riesgo; recíprocamente,
un mal presentimiento puede inducirte a una mayor percepción de riesgo.

Estás usando tu respuesta afectiva a un riesgo (por ejemplo,
¿cómo me siento con respecto a los alimentos genéticamente modificados, la
energía nuclear, el cáncer de mama o las armas de fuego?) para inferir cómo de
grave es para ti ese riesgo (por ejemplo, ¿cuál es el número anual de muertes
por cáncer de mama o por armas de fuego?). Y, a menudo, te encontrarás que
existe un importante gap entre el
riesgo real y el riesgo percibido.

En nuestro cerebro, el
riesgo lleva asociado una serie de factores psicológicos que determinan si nos
sentimos más o menos asustados
. ¿Y cómo pueden medirse estos factores?

Uno de los investigadores más destacados sobre análisis de
riesgos, Paul Slovic,
propuso un modelo psicométrico
para medir los niveles percibidos de riesgo en función de la respuesta afectiva
ante distintas amenazas. En un primer trabajo, Slovic planteó 18
características para evaluar cuantitativamente la percepción del riesgo. Para
simplificar, la siguiente tabla sólo recoge los factores de percepción de
riesgo más directamente relacionados con la ciberseguridad:

Las
personas exageran los riesgos que:
Las personas minimizan los riesgos que:
Infunden miedo No infunden miedo
Escapan a su control Permanecen bajo su control
Resultan catastróficos,
afectando a multitudes
Afectan a uno o pocos
individuos
Afectan a otros, no al agente
de la actividad (injustos)
Afectan al agente de la
actividad (justos)
Vienen impuestos externamente Se toman voluntariamente
Son desconocidos Resultan familiares
No se comprenden bien Son bien comprendidos
Aparecen como nuevos,
infrecuentes
Son viejos o comunes
Tienen consecuencias inmediatas Manifiestan sus efectos a largo
plazo

Exploremos de nuevo el ejemplo de volar en avión o viajar en
coche, desde esta nueva perspectiva. Si evalúas cada uno de los factores
anteriores para ambas actividades, llegarás a un resultado similar al del
gráfico siguiente:

Ahora tal vez te parezca más claro por qué nos da más miedo
volar en avión que montar en coche a pesar de lo que digan las estadísticas y
los estudios de accidentes y mortalidad. ¡Somos seres emocionales!

Revisa los artículos anteriores sobre las heurísticas de disponibilidad
y de representatividad
y comprobarás cómo explican la mayoría de los comportamientos listados en la
tabla.

MIEDO Y FAMILIARIDAD CONDICIONAN TU PERCEPCIÓN DEL RIESGO
ANTE LAS AMENAZAS

Posteriormente, al profundizar en el estudio de estos factores, Slovic observó cómo existen dos dimensiones dominantes entre todas ellos: miedo y familiaridad. Ambas dimensiones pueden representarse gráficamente para facilitar la clasificación de los riesgos.

Limitándonos a estos dos factores, la heurística del afecto puede
redefinirse como la siguiente sustitución:

A la hora de evaluar
dos amenazas A y B, cuanto más miedo te infunda y menos familiar te resulte una
de las dos, percibirás su nivel de riesgo como más alto en comparación con la
otra.

Inconscientemente, realizas el juicio: volar en avión
infunde más miedo y resulta menos familiar que montar en coche, luego tiene que
ser más arriesgado. Así que ubicas el avión en el cuadrante inferior derecho
(Alto Riesgo) y el coche, en el superior izquierdo (Bajo Riesgo). Y ni todas
las estadísticas del mundo cambiarán este afecto. Puedes probarlo con tu
cuñado.

Esta heurística se aplica en especial cuando necesitas tomar
decisiones rápidas. Cuanto te encuentras bajo presión y sin tiempo, no puedes evitar sentir reacciones
afectivas o emocionales hacia la mayoría de las opciones
. Por supuesto, además
del afecto, también entran en acción los atajos psicológicos que te ayudan a
determinar si un riesgo parece alto o bajo: son los sesgos cognitivos y
heurísticas que hemos repasado en anteriores artículos.

La familiaridad
constituye un factor realmente determinante en la evaluación de riesgos
.
Cuanto más familiarizado estás con una actividad o suceso, menos atención le
prestas. El cerebro se ve bombardeado por millones de datos de entrada y tiene
que filtrarlos, extrayendo la información importante. Por lo general, importante es todo aquello novedoso, todo lo que supone un cambio. Con el tiempo, sometido una y
otra vez al mismo estímulo, el cerebro se habitúa
y termina ignorándolo.

La habituación es
un fenómeno maravilloso que permite que puedas desenvolverte en la vida
cotidiana sin necesidad de prestar atención absolutamente a todo. El lado malo
es que terminas insensibilizado hacia los estímulos frecuentes. Cuanto más
familiar te resulta una actividad, menor termina pareciéndote su riesgo. De ahí
que tal vez fumes, comas comida ultraprocesada, whatsappees mientras conduces y
cruces la calle leyendo tu Facebook en el móvil ¡todos los días! Son
actividades a las que estás tan habituado (te son tan familiares) que ya no te
parecen arriesgadas.

LA SORPRENDENTE RELACIÓN ENTRE NUESTROS JUICIOS SOBRE RIESGO
Y BENEFICIO

Y no acaba aquí la historia. Paul Slovic no sólo llegó a las
conclusiones descritas anteriormente en su modelo psicométrico del riesgo. Descubrió
además sorprendentes relaciones entre nuestros
juicios sobre riesgo y beneficio
:

«En el mundo, riesgo y
beneficio tienden a estar positivamente correlados, mientras que en la mente (y
en los juicios) de las personas resultan estar negativamente correlados. (…) Las
personas basan sus juicios sobre una actividad o una tecnología no solo en su
conocimiento racional y objetivo sobre ella sino también en los sentimientos
suscitados. (…) Si les gusta una actividad, se sienten movidos a juzgar los
riesgos como bajos y los beneficios como altos; si no les gusta, tienden a
juzgar lo contrario: alto riesgo y bajo beneficio.»

El ejemplo paradigmático aquí es la energía nuclear. Como
todo el mundo sabe, la energía nuclear es una Cosa Mala, por lo tanto, tiene
que plantear un Alto Riesgo. ¿Y cómo de beneficiosa es la energía nuclear? Pues
como es una Cosa Mala, tiene que suponer un bajo beneficio. Sin embargo, los rayos
X de las radiografías son una Cosa Buena, ya que las usan los médicos para salvar
vidas, luego tienen que plantear Bajo Riesgo y Alto Beneficio. Así funciona
nuestro cerebro. ¿Y los datos? Pues no hacen falta, la decisión ya está tomada.
Solo servirían para confirmar
la postura de partida
. El resultado final es que sobreestimamos los
riesgos de la energía nuclear y subestimamos los riesgos de los rayos X.

Bajo este modelo, el
afecto viene antes y dirige nuestros juicios de riesgo y beneficio
. Si una
visión general afectiva guía las percepciones de riesgo y beneficio,
proporcionar información sobre el beneficio debería cambiar la percepción del
riesgo y viceversa.

REUBICA EL RIESGO EN EL LUGAR QUE LE CORRESPONDE EN EL AFECTO
DE TUS EMPLEADOS

Todos los estudios sobre la percepción del riesgo confirman
que los expertos en la materia evaluada
sucumben en menor medida a la heurística del afecto
. Después de todo,
tienen un mayor conocimiento del campo, adquirido a través de la experiencia y
del estudio. Es decir, conocen con mayor precisión las probabilidades, la
naturaleza de las amenazas y el impacto de los incidentes. En definitiva, están
mejor equipados para evaluar el riesgo real: su gap entre riesgo real y riesgo
percibido es menor que entre los legos en la materia.

La conclusión es clara: si
quieres ayudar a tus empleados a tomar mejores decisiones de seguridad,
necesitarás aumentar su conciencia en seguridad de la información
(Information Security Awareness, ISA). Esta
conclusión es tan obvia que da vergüenza ponerla por escrito. Otra cosa es que
se haga. Y entre los mayores retos de esta concienciación se encuentra el
reeducar al usuario sobre las tecnologías que le son muy familiares y
beneficiosas, porque termina perdiendo de vista su riesgo real.

Por lo tanto, uno de los puntos clave de todo programa será
la deshabituación. Cuanto más
familiarizados están los empleados con una tecnología y más beneficiosa la
perciben, menos riesgo ven en ella
. Los cibercriminales explotan precisamente
esta alta familiaridad, bajo miedo y alto beneficio de ciertas tecnologías para
transformarlas en vectores de entrada de ataques. Algunos ejemplos de este tipo
de tecnologías familiares, agradables y beneficiosas son:

  • El correo electrónico, tecnología con la que
    trabajamos todos los días a todas horas.
  • Las memorias USB, esos pequeños dispositivos de
    aspecto inocente con tanta información útil.
  • Los archivos ofimáticos de Word, Excel,
    PowerPoint, PDF, en los que pasamos horas diariamente y que tan alegremente
    compartimos.
  • Anuncios en páginas web legítimas, que estamos
    hartos de ver por todas partes y son molestos, sí, pero a veces también
    anuncian algo valioso.
  • Juegos y apps descargados en el smartphone, tan
    divertidos, tan útiles, tan monos.
  • Fotos y vídeos intercambiados en las redes
    sociales.
  • Los propios empleados de la compañía, con
    quienes tomamos café todas las mañanas y cuyos hijos conocemos.

No viene mal de vez en cuando realizar campañas de seguridad
con los empleados para recordarles que el correo electrónico, los USBs, los
archivos ofimáticos, la navegación, los juegos, los materiales multimedia, los propios
compañeros, etc., por muy familiares y amigables que parezcan, son la principal
vía de entrada de ciberataques.

Al final, tu
percepción de la seguridad no solo es cuestión racional sino también emocional
.
No puedes combatir directamente la heurística del afecto, porque así funciona
nuestro cerebro. En cambio, puedes guiar el afecto de tus empleados hacia las
distintas tecnologías, elevando su nivel de conciencia.

The post Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que crees appeared first on Think Big.

Visto en: http://bit.ly/2I2HwLf

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

WhatsApp chat