78% af svenskerne mener, at de kører bil bedre end gennemsnittet. 94% af amerikanske lektorer mener, at de underviser bedre end gennemsnittet og 82% af franske mænd mener, at de er bedre elskere end den gennemsnittelige franskmand.
Videnskaben har flere gange vist, at vi gennemsnitlige mennesker ikke ser os selv som gennemsnittelige, men konstant overvurderer os selv og egne evner i forhold til andre.
Vi mennesker er i besiddelse af en meget stærk bias, der kaldes for overconfidence bias. Vi tror simpelthen, at vi er bedre og mere rationelle end andre. Derfor har vi også en tendens til at overvurdere vores egne evner, tidsforbrug og handlemuligheder og det kan være farligt.
Det siger nærmest sig selv at overmod og fejlbedømmelser kan være ualmindeligt kritisk i relation til Informationssikkerhed og derfor er det her blogindlæg muligvis et af de vigtigste for dig, der arbejder med hardcore informationssikkerhed.
Hvis du for eksempel sidder med ved bordet, når der bliver lavet risikovurderinger, så er det her, du kan have en fordel ved at kende til overconfidence bias. For jo, det er lige så sandsynligt, at lige præcis din organisation bliver ramt af et hackerangreb, som dine peers og nej, I er ikke nødvendigvis bedre til at håndtere situationen end alle andre ville være!
Overconfidence er også en faktor, du skal tænke ind i dine beredskabsplaner. Tænk over, hvordan du i din plan kan korrigere for din umiddelbare tanke om, at i er Åh så rationelle og velovervejede, når I står i den situation.
Denne overconfidence bias er rigtig vigtig for dig, der arbejder med security awareness, Det er nemlig en farlig fætter både for dig selv, dine målgrupper og din organisation.
Den er nemlig medvirkende til, at du overvurderer dine egne evner til at kommunikere, dine workshopdeltager overvurderer egne evner til at undgå phishingmails og din organisation overvurderer måske jeres felt, som værende ikke interessant for hackere.
Det kan også være farligt fordi I måske misser et vigtig trusselscenarie, fordi ”det sker ikke for os!” sætter ind, når I skal vurdere sandsynlighed og konsekvens.
Og hvad gør det så ved modtagernes evne til at tage imod dit budskab? De har jo også den der ”Det sker ikke for mig” holdning. Lige indtil det gør.
Kunne man forestille sig, at de overvurderer deres egen evne til at genkende en phishingmail, holde øje med udefrakommende og finde på gode komplekse passwords?
Hvis alle overvurderer egen evne til at arbejde sikkert og tænker ”Jeg har jo alligevel ikke adgang til noget kritisk”, så er der måske slet ingen, der ser sig selv som målgruppen? Så taler du for døve ører.
Hvordan kæmper du så med denne skjulte modstander?
Overconfidence bias er en af de sværeste biases at imødegå hos dine målgrupper, når du arbejder med security awareness.
Et eksempel på noget, der ofte er brugt, er at lave interne phishingkampagner.
Når folk hopper på den og kommer til at klikke på et link, så dukker der en læring op.
Denne løsning spiller på også på en anden bias ud over overconfidence bias, da den jo også giver feedback på det helt rigtige tidspunkt. Læringen, der kommer kunne være et ganske simpelt ”Ooops, du kom vist til at klikke?” eller en lærringsslide, der afbilleder phishingmailen med pile, der påpeger det, man skulle have været opmærksom på.
Alt i alt en meget brugt og nogenlunde effektiv måde at gøre opmærksom på phishingtruslen og et udmærket forsøg på at hjælpe målgruppen med at se deres egen fejlbarlighed
Den vej vil jeg dog stærkt advare mod at bruge.
Du kan læse mere om, hvorfor i indlægget om spejlneuroner, men ganske kort så er følelsen af at begå fejl og dumme sig nok ikke lige det aftryk, du har lyst til at give din målgruppe?
Vi har desværre ikke fundet den gyldne løsning til at arbejde med overconfidence bias i forhold til security awareness, men når det kommer til risikovurderinger og beredskabsplaner er tjeklister og et kig på de tidligere hændelser et rigtigt godt bud på en start. Giv et praj, hvis du synes, det er noget, vi skal kloge os på i et andet blogindlæg?
Overconfidence bias’ modpart hedder imposter syndrome. Det vil vi komme ind i et senere blogindlæg, men du har nok allerede en ide, om hvad det handler om?