New User Special Price Expires in

Let's log you in.

Sign in with Facebook


Don't have a StudySoup account? Create one here!


Create a StudySoup account

Be part of our community, it's free to join!

Sign up with Facebook


Create your account
By creating an account you agree to StudySoup's terms and conditions and privacy policy

Already have a StudySoup account? Login here


by: Linh Tran

Tester ACCT-GB 6302

Linh Tran

Preview These Notes for FREE

Get a free preview of these Notes, just enter your email below.

Unlock Preview
Unlock Preview

Preview these materials now for free

Why put in your email? Get access to more of this material and other relevant free materials for your school

View Preview

About this Document

Financial Reporting and Analysis
Paul A Zarowin
Class Notes
25 ?




Popular in Financial Reporting and Analysis

Popular in Accounting

This 68 page Class Notes was uploaded by Linh Tran on Wednesday August 10, 2016. The Class Notes belongs to ACCT-GB 6302 at New York University taught by Paul A Zarowin in Fall 2016. Since its upload, it has received 8 views. For similar materials see Financial Reporting and Analysis in Accounting at New York University.

Similar to ACCT-GB 6302 at NYU

Popular in Accounting


Reviews for Tester


Report this Material


What is Karma?


Karma is the currency of StudySoup.

You can buy or earn more Karma at anytime and redeem it for class notes, study guides, flashcards, and more!

Date Created: 08/10/16
  Ina’s comment: Nick this is good start! Let’s create a working outline so that we make sure the  arguments we are creating are strong. Example is below. Then we can add comments or  thoughts so that we do not loose site. Working outline: 1. Introduction 2. Cognition 3. Heuristics 4. Survey To add: security theories, human­security, motivational environment and AI theories. See what I created for one of our projects, which can guide you about the many different layers  of this study. Basically we are writing now the theories ­ then we will clean and see which of  them we will leave and then we will intersect them together to see the new cross­over  relationships that can explain the cybersecurity behavior failures.  To prescribe an adequate and unique solution to the cybersecurity behavior problem, the Crime Commission has conducted a thorough literature review related to behavior, communication, human­ security, artificial intelligence tools and social design. The commission’s hypothesis is that structural factors such as motivational design and personal factors (cognition and heuristics) underline cybersecurity behavior. Therefore, motivational environment such as training programs must be enhanced and modified to integrate relevant personal factors in order to change students’ cybersecurity behavior. Results from the literature review show that secure systems are social­technical systems. As such, creators of cybersecurity educational trainings need to understand the behavioral science behind insecure cyber behavior in order to prevent users from being the weakest link when it comes to overall cybersecurity (Sasse & Flechais, 2005). Based on the literature review, the proposal makes the general assumption that there are cybersecurity areas and problems where behavioral science could be applied and could have positive impact on users’ cybersecurity and cyber ethics. Emotions and cognitive functions are integrated in human brains, thus how people feel impacts how people think and vice versa. Emotional skills can be more influential than cognitive abilities. This concept is exemplified by motivation, which is an emotion that is strongly linked to learning and has been defined as the inner drive that causes a person to act with direction and persistence (Burleson & Piccard, 2007). Hence, theories of users­affect (motivation) and cognitive decision­making must be integrated into learning modules. To create a motivational environment that improves cybersecurity and reduces cyber risk, Pfleeger and Caputo (2012) point out that “designers and developers of security technology can leverage what is known about people and their perceptions to provide more effective security.” Because cybersecurity behavior relies on decision­making, for the purpose of this proposal, the commission is examining only the cognitive and heuristic­affect theories that have impact on cybersecurity behavior. Cognition In this respect cognition refers to the way people process and learn information. The Crime Commission has found the following human cognitive theories to be relevant and applicable to the development of cybersecurity educational trainings: ∙    Victim­effect: users may choose stronger security when possible negative outcomes are tangible  and personal, rather than abstract (Jenni & Loewenstein, 1997).   ∙    Elaboration­likehood model: is based on the notion that there are two main routes toward  attitude change: the central route and the peripheral route. Thus, one of the best ways to motivate users to  take the central route when receiving a cybersecurity message is to make the message personally relevant  (Dubuque, Brown, Petty, Cacioppo, 1987).   ∙    Cognitive dissonance: is a very powerful motivator that can lead people to change in one of three ways: change behavior, justify behavior by changing the conflicting attitude, or justify behavior by adding new attitudes. Therefore, to get users to change their cyber behaviors, educational training must first change their attitudes about cybersecurity  (Festinger, 1957; Festinger & Carlsmith, 1959). ∙    Social­cognitive theory: by taking into account gender, age, and ethnicity, a cyber awareness campaign could reduce cyber risk by using social cognitive theory to enable users to identify with a recognizable peer and have a greater sense of self­efficacy (Bandura, 1988; Bandura, 1989). ∙    Optimism bias: users underestimate the cyber risk and think they are immune to cyber­attacks (Dunning & Suls, 2004; Weinstein, 1980;). ∙    Control bias: tendency of people to believe they can control or influence outcomes that they clearly cannot such as not using protective measures when feeling they are in control over the security risks (Langer, 1975). Heuristics Heuristics are simple rules inherent in human nature or learned in order to reduce cognitive load. The affect heuristic enables someone to make a decision based on an affect (i.e., a feeling) rather than on rational deliberation. In summary, the literature review suggests that if users perceive little risk, the system may need a design that creates a more critical affect toward cybersecurity that will encourage them to take protective measures (Finucane, Peters, & MacGregor, 2002). Affect is connected to motivation. According to Kapoor, Piccard and Burleson (2007) motivation is one emotion strongly linked to learning and has been defined as an inner drive that causes a person to act with direction and persistence. The most important and recognizable emotions that can drive behavior are frustration and anxiety (Kapoor, Piccard, & Burleson, 2007). In light of the aforementioned affect­heuristic study, cybersecurity educational trainings can benefit from affect recognition design. Affect recognition can improve planning and answers questions about motivation in cybersecurity. If educational programs gather data on how affect is expresses in students’ cybersecurity behavior, then security designers can apply machine learning and predict affect from participants’ behavior (using Bayesian networks). Cybersecurity training developers can then design an intervention that changes the state of affect (e.g., in ITS instructions feedback, timing to bring back learners). Kapoor, Piccard and Burleson (2007) note that affect modulates how a learner types and clicks, what words are chosen, and how often words are spoken. Therefore, some ITS platforms may be built in a way to detect frustration, anxiety, and other behaviors that impact motivation (such as fatigue) and self­ adjust. However, due to time constraints and budget cost, the current project will not utilize affect­ recognition sensors to evaluate learners’ non­verbal behaviors. Instead, the project will assess students’ heuristics skills using the Heuristic Evaluation Quality Score model (Kirmani & Rajasekaran, 2004). Social Design As Kapoor, Piccard and Burleson (2007) note, adding pedagogical mentors in the intelligent tutoring system provides a controllable level of challenge for users. The goal of CyberSmart is to develop meta­ cognitive and meta­affective skills in students such as cybersecurity self­awareness and self­regulation. Therefore, adding animated pedagogical mentors during interactive challenges could improve the positive learning experience of the users. Moreover, the authors (2007) also affirm that tutors provide two types of help: encouraging users to read the problem and slow down and encouraging users to think about the problem. Additionally, in search of motivational creativity­enhancing activities that can be integrated into the CyberSmart program, the commission found that in the context of cybersecurity, games could improve security self­awareness and control (Naval Post Graduate School, 2007). Creating an intelligent tutoring platform, which will deliver cybersecurity knowledge about protection of IoT devices and related privacy and security considerations, will be most beneficial for improving the cyber behaviors of the students. Intelligent tutoring platforms expand users’ potential to support cognitive activities in complex problem­solving worlds. These platforms assist human performance and provide intelligent human support in the form of computational agents. By creating CyberSmart, the Crime Commission seeks to build an interactive experience that puts emotional intelligence and decision­making to test, to better understand cybersecurity behavior. Therefore, game­challenges, animated pedagogical mentors and interactive social design will help students recognize their cybersecurity weaknesses and manage their emotional state­of­play when they encounter cyber­threats. There are different types of ITS. Generally, ITS allows content to be “generated on the fly” (Murray, 1999). For the purpose of this proposal, expert systems and cognitive tutors are considered to be more adept in addressing cybersecurity behavior issues, because such systems exhibit abilities to observe user behavior and build a fine­grained cognitive model of the user’s knowledge. The understanding of human psychology, human security, cybersecurity and artificial intelligence as well as their intersection creates opportunity for the development of an educational platform that will improve users’ meta­cognitive and meta­affective awareness about cybersecurity. The Crime Commission believes that if technology plays a role in the commission of cybercrime, then technology can be used to influence individual’s behavior or modify environmental circumstances to improve poor cyber habits. Cognitive Unconscious Please continue below Working outline: 5. Introduction 6. Cognition 7. Heuristics 8. Survey To add: security theories, human­security, motivational environment and AI theories. Outline: Introduction ­ The Role of Behavior in Cybersecurity (intro) ­ Issues: Weaknesses in Cyberbehavior ­ Solutions: prevention through learning and behavior change. To motivate  users to change behavior and enhance learning, we look into theories of UDL,  affect learning companions in ITS, game theory, and social design ­ Recommendation: identify behavior weakness through behavior  recognition tool, treat the weakness by fostering learning through available AI  applications Background Literature Cognition and Cyber Security ­ Explain heuristics ­ Cognitive theories behind why people are not so secure online  ­ heuristics / biases ­ Cognitive ­ Availability ­ Overconfidence ­ Optimism ­ Gambler  ­ Risk Compensation ­ Illusion of Control ­ Hyperbolic Discounting ­ Status Quo ­ Anchoring ­ “Your Brain on Porn” (­structure­and­ functional­connectivity­associated­pornography­consumption­2014) Social Psychology and Cyber Security ­ Transition from Bandwagon Effect / Availability Bias to Conformity ­ Social­Cognitive Theory ­ Language Barriers ­ Media Distortion ­ Kid Safety (­time/200910/kid­ safety­what­lurks­online) ­ Risk­Loss Aversion (in clicking a risky ad) Evolutionary Psychology ­ Transition from Conformity to Evolutionary ­ Physical vs. Cyber harm Not Psychological ­ Lack of Knowledge\ ­ Lack of Effort to Learn ­ Children too Young to Understand ­ World is Becoming More and More Technological ­ Errors are Bound to Happen Sometimes ­ Lack of funds to keep updates  Cybercrime, Malware and Victimization Theories Motivational Learning / Social Design AI and Behavior Recognition Mapping Theories Solutions: ITS and AI ­ Survey / Matrix Chapter I ­ Prologue 1. Trend: Why behavior is important in cybersecurity? Why did we choose cognition and heuristics Results from the literature review show that secure systems are social­technical systems (CITE) As such, creators of cybersecurity educational trainings need to understand the behavioral science behind insecure cyber behavior in order to prevent users from being the weakest link when it comes to overall cybersecurity (Sasse & Flechais, 2005). Based on the literature review, the proposal makes the general assumption that there are cybersecurity areas and problems where behavioral science could be applied and could have positive impact on users’ cybersecurity resilience. 2. Issues: We will first list the weaknesses related to cybersecurity behavior ­­security­blog/you­wont­believe­the­20­most­ popular­cloud­service­passwords/ (passwords) Poor cybersecurity behavior is responsible for an estimated 80 to 94 percent of recent cyber­attacks (Dillow, 2014). This staggering number suggests that Internet users need to improve their security and privacy behaviors. People are the first line of defense and the weakest link in cybersecurity, so targeted training programs are needed to improve cyber awareness, promote responsible and ethical digital behavior, and increase cybercrime reporting. Cyber­attacks against academic, private and public enterprises have been linked to poor cybersecurity behavior: ● In [date] 40 million credit and debit cards were stolen during the Target data breach. customers, Personal identifiable information such as email addresses as well as personal of 70 million people were exposed to compromised.  ● The computer networks of JPMorgan Chase were infiltrated in a series of coordinated, sophisticated attacks that siphoned off gigabytes of data, including checking and savings account information. Add some numbers here, check press releases and please add dates of the attack. ● U.S. Investigations Services,a subcontractor for federal employee background checks, suffered a data breach in August, which led to the theft of employee personnel information. ● 1,400 University of Virginia employees has been compromised by attackers in a breach that dates back to early November 2014   As a result of the evolving and continuous data breach threats, the authors investigated whether current training programs are effective and engage the employees during the learning process. The research team reviewed current literature and spoke with employees from 50 different companies. The result of our survey   showed   that   cCurrent   cCybersecurity   trainingseducational   programs   lack   interactive   and motivational designs affecting employees’ intentions.  Therefore, iIn response to the emerging privacy and security challenges posed by the growing number of mobile and Internet of Things (IoT) devices and to address the gaps in cybersecurity training programs, the researchers   crafted solutions and recommendations to enhance cybercrime prevention trainings through intelligent tutoring system “CyberSmart.” TACTICS EXPLOITED WEAKNESSES ● use of malware (phishing, spyware) ● social engineering and deception 3. Solutions: ( OUR PREVENTION MODEL INCLUDES: IDENTIFICATION OF  BEHAVIOR WEAKNESSES THROUGH BEHAVIOR RECOGNITION TOOLS AND  TREATMENT OF BEHAVIOR WEAKNESSES THROUGH LEARNING PRODUCTS)  THIS MODEL relies on the following theories: cognition and heuristics, UDL,  human­machine interaction, affect learning companions in ITS, game theory, and  social design. EXPLANATION ● Our approach is prevention through learning and behavior change. Our  prevention model follows the model of Epidemiology where you need to Identify  the cause problems of epidemics. Following the principles of the epidemiology,  we identify behavior weaknesses that lead to cyber victimization. Our model focus on finding these weaknesses with behavior recognition tools (some of them use  AI) and then treating them by building knowledge. To build knowledge, we use  learning techniques (most of them use AI) TO ADD GRAPH ● Goals of prevention.  Identify behavior problems when users engage in  online activities. We do this through behavior tools. Then, we cure the unhealthy  behavior, motivate users and change their behavior. To this we need to enhance  their learning.  ● To enhance their learning, we look into theories of UDL, human­machine  interaction, affect learning companions in ITS, game theory, and social design. ● We adopted our own learning philosophy Immediate Product: ITS which uses gamification, survey, and behavior recognition tools A. Identification of behavior through behavior recognition tools (this section goals  after cognition and heuristics)   Our platform aims to use behavior theories to effectively understand where cybersecurity habits fail. CyberSmart will use a human­centered approach and social design to motivate users to develop and sustain secure online behavior recognition.   We found the literature on human­machine interaction to predict the human behavior. There are number of studies and recent tools that recognize state of behavior:   1.  Recognizing affective state in postural movements while seated There’s a popular belief that leaning forward is an indication of interest, while slumping lower and lower into one’s chair may indicate otherwise. However, we all know that the distinction is not that simple, and there are counter­examples, such as how a student may keep leaning forward toward her computer, nudging closer and closer to the monitor, to the extreme where falls asleep with her head on the keyboard. Nonetheless, we thought that there might be some information about affective state in the posture as a function of time, so we conducted experiments to quantify any changes that might be affectively, developed a new tool to automate recognition of affective information from postural changes, and conducted evaluations of the tool.   However, this behavior recognition tool is not useful for our platform.     2.  Recognizing facial expressions The most widely addressed area of research in automated emotion recognition, and the one where there has been the most progress, is the recognition of facial expressions. Dozens of researchers have developed methods of trying to recognize complete facial expressions such as “angry” or “sad” or to recognize individual “facial action units” that can be used to make any expression such as “inner eyebrow raise” and “eye widening” for a nice overview of this area of research.) Crime Commission’s approach has been to focus on a mixture of these, recognizing individual action units around the eyes, and coarser movements around the mouth, and to also use a special kind of camera, the IBM Blueeyes camera. The Blueeyes camera simplifies the problem of finding the facial movements when the head is moving, by tracking the eyes. The principle used is the “red­eye effect,” which takes advantage of the fact that the pupils are very good infrared mirrors, and that the pupils will thus “light up” in the image when the camera is surrounded by a ring of infrared LED’s. These LED’s blink on and off at the same time that two adjacent strips of LED’s blink off and on, with the latter strips lighting up the face but not causing the red­eye effect. Subtracting the images where the pupils are “red” from the ones where they are not gives a quick pupil detector, which works robustly even with frequent movement in front of the camera. While the tracking fails when one blinks or when both eyes are obstructed from the view of the camera, the system recovers them very quickly as soon as they are visible again. Thus, the system is useful as the first step of a real­ time facial expression recognition system. Once the eyes are found, we apply various algorithms from computer vision and pattern recognition, which were developed in our lab by Ashish Kapoor, to try to recognize other facial movements relative to the eyes, cheeks, and mouth. While we have emphasized real­time tracking and recognition of only a subset of expressions, others have restricted head movements and allowed for some manual marking of facial features, and have attained high recognition accuracy – in the 90% range – for many facial expression components. The main problem with the methods, however, is that large and/or rapid head movements and lighting changes can ruin the ability for the system to find facial features, and thus the accuracy can drop dramatically. Our fully automatic system’s accuracy, when tested on recognition of upper facial action units in the presence of a lot of natural head movements, is just under 70% accurate (Kapoor, Qi et al. 2003).   Is this useful for our platform?     3.  Researchers at Samsung have developed a smart phone that can detect people’s emotions. Rather than relying on specialized sensors or cameras, the phone infers a user’s emotional state based on how he’s using the phone. [1] It monitors certain inputs, such as the speed at which a user types, how often the “backspace” or “special symbol” buttons are pressed, and how much the device shakes. These measures let the phone postulate whether the user is happy, sad, surprised, fearful, angry, or disgusted. Hosub Lee, a researcher with Samsung Electronics and the Samsung Advanced Institute of Technology’s Intelligence Group, in South Korea. Lee led the work on the new system. He says that such inputs may seem to have little to do with emotions, but there are subtle correlations between these behaviors and one’s mental state, which the software’s machine­learning algorithms can detect with an accuracy of 67.5 percent.   We can use this software to detect people’s emotion that are enrolled in our CyberSmart program and we can use the data to look for patterns to find the reason for where the human mind lacks in understanding the cybersecurity threats.   Reading emotion indirectly through normal cell phone use and context is a novel approach, and, despite the low accuracy, one worth pursuing, says Rosalind Picard, founder and director of MIT’s Affective Computing Research Group, and cofounder of Affectiva, which last year launched a commercial product to detect human emotions. “There is a huge growing market for technology that can help businesses show higher respect for customer feelings,” she says. “Recognizing when the customer is interested or bored, stressed, confused, or delighted is a vital first step for treating customers with respect,” she says.   4.  Microsoft Project Oxford team have released a new tool that analyzes eight emotional states including anger, contempt, fear, disgust, happiness, neutral, sadness, and surprise. Each emotion is identified through something Microsoft engineers call "universal facial expressions." The tool was trained on a set of facial images portraying different human emotions. The tool can categorize the emotions of anyone visible in an image. [2] This is a very impressive tool which can provide us with each and every detail about the people, that how they feel and what is going in their mind during the program. We can track the behavioral differences from human to human. Is this useful?[ We can ask the user to take his picture at the start of the program, then in the middle and finally in the end. This way we will be able to track how user’s behavior changes throughout the program.   5.  MIT Media Laboratory has built the first physiology­based emotion recognition system for recognizing an individual’s emotions over time. In some contexts, e.g. medical monitoring or use of other wearable systems, it can be natural and comfortable to work with physiological sensors, sensing information such as changes in heart rate, muscle tension, temperature, skin conductance, and more. [3] Affect can be expressed in many ways—not just through voice, facial expressions and gestures, but also through the adverbs of many aspects of the interaction. Affect modulates how a learner types and clicks, what words are chosen and how often they are spoken. It also impacts how a learner fidgets in the chair and moves head and facial muscles. In the development of an affective Intelligent Tutoring System, a promising approach is to integrate many channels of information in order to better understand how affect is communicated. Physiological and affective sensors (including sensors that measure heart rate, skin conductance, elements of respiration, blood oxygen levels, pressure exerted on a mouse, posture in a chair, gait analysis, brain oxygen levels, etc.) are emerging as new technologies for human agent interactions. This can be very helpful in the long run for determining if the user is interested in the program, is he understanding the content, or he understands the importance of this program. Add more wearable devices examples here   Embrace Watch developed by Empatica   Embrace is a medical quality device to monitor and better understand your behavior. The watch measures its wearer’s stress levels by tracking something called electrodermal activity (EDA). EDA is essentially a measurement of the skin’s conductance; as humans get excited or stressed, the amount of sweat on their skin fluctuates. The Embrace’s sensors are able to track little changes in skin conductance and communicate via vibrations when the wearer is experiencing higher than normal levels of stress. [We can use this idea and customize the watch to sense the wearer’s emotions like happy, sad, stress, annoyed, etc. The results could be seen on a device connected to internet and then the data could be used to understand the user behavior.]   Pressure Sensors   It is a human behavior recognition system using a set of pressure sensors based on the variation of resistance. For this kind of sensor, the conversion of pressure into an electrical signal is achieved by the physical deformation of strain gages which are bonded into the diaphragm of the pressure transducer and wired into a Wheatstone bridge configuration. Pressure applied to the pressure transducer produces a deflection of the diaphragm which introduces strain to the gages. The strain will produce an electrical resistance change proportional to the pressure. According to the authors, it is possible to classify fifteen different behaviors: walking (slow, normal, fast), running (slow, normal, fast) standing (leaning forward, load on tiptoe, upright), leaning standing to one foot (leaning forward, normal), sitting (bending forward, normal), floating, and no wearing. The parameters used to classify the various actions are pressure values and length of time where a given pressure is measured. These parameters are compared to a fixed set of thresholds to identify the various actions. [This type of approach can be used inside the mouse, user will be using the mouse through out the program to interact with the system and by measuring the strain user is putting to click the mouse button could tell us about his emotional state.] Add affective companions’ theory and pedagogical mentors from Will Burleson and Picard Learning relationships have been shown to be effective in many situations: they help learners to develop   responsibility,   and   increase   the   belief   in   children’s   ability   for   mastery;   caring relationships   and   volunteering   have   also   been   shown   to  be   predictors   of   performance. Embodied Relational Agents are capable of: developing trusting and beneficial relationships with humans; sharing combined physical and virtual space with children; and helping children develop   literacy  skills.   This   thesis  will  advance   Relational  Agents  research  through   the development of affective virtual friends, peers, or Learning Companions. It will focus on developing a system coupling knowledge of the task a child is facing with awareness of his or her affective state and interacting beneficially. It has been argued that being attuned to the child’s emotional state through affective sensing will be important to the development of Intelligent Tutoring Systems and Learning Companions.   Add neuro­linguistic recognition Neural networks It is a data clustering method based on distance measurement; also this method is model­ irrespective.   The   neural   approach   applies  biological   concepts  to  machines   to  recognize patterns. The outcome of this effort is the invention of artificial neural networks which is set up by the elicitation of the physiology knowledge of human brain. Neural networks are composed of a series of different, associate unit. In addition, genetic algorithms applied in neural networks is a   statistical   optimized   algorithms   are   very   attractive   since   it   requires   minimum   a   priori knowledge, and with enough layers and neurons, an ANN can create any complex decision region.  [This can be used to study the data collected and identify the patterns based on which decisions can be made.]   However, we will not be implementing these methods in our CyberSmart program right now due to less resources. Instead, we will be creating a survey and will use the employees’ responses to the program in the form of quiz and survey to cross­connect with psychology and determine the behavior. It will be helpful for us to create suitable content for all the category of employees based upon their current knowledge on cybersecurity issue.                                                     [1] A Smart Phone that Knows You're Angry by Duncan Graham­Rowe on January 9, 2012 [2]­recognizes­behavior­in­ images.html [3] Toward Machines with Emotional Intelligence by Rosalind W. Picard [4] survey­online­surveys­survey­software/ [5] snapsurvey­software/online­surveys/­training­must­be­a­ cybersecurity­focus/ content­recognition­cybersecurity­tool­shashidhar­cn­cisa­ crisc­mba­Behavior­Recognition­the­Next­Step­in­Cyber­Security­ Evolution B. Treatment of Weaknesses by social design and UDL, SOCIAL DESIGN, ITS  AND ALC, GAMES UDL ­ EXPLAIN  SOCIAL DESIGN  Emotions and cognitive functions are integrated in human brains, thus how people feel impacts how people think and vice versa. Emotional skills can be more influential than cognitive abilities. This concept is exemplified by motivation, which is an emotion that is strongly linked to learning and has been defined as the inner drive that causes a person to act with direction and persistence (Burleson & Piccard, 2007). Hence, theories of users­affect (motivation) and cognitive decision­making must be integrated into learning modules. To create a motivational environment that improves cybersecurity and reduces cyber risk, Pfleeger and Caputo (2012) point out that “designers and developers of security technology can leverage what is known about people and their perceptions to provide more effective security.”  Therefore,   the   authors   decides   to   develop   an   intelligent   tutoring   platform,   which   will   deliver cybersecurity knowledge about protection of IoT devices and related privacy and security considerations.  Intelligent Tutoring Systems  Intelligent tutoring platforms expand users’ potential to support cognitive activities in complex problem­ solving worlds. These platforms assist human performance and provide intelligent human support in the form of computational agents. By creating CyberSmart, the authors seek to build an interactive experience that puts emotional intelligence and decision­making to test, to better understand cybersecurity behavior. The primary goal of the ITS is to motivate users to learn and change their poor cyber behavior. As Kapoor, Piccard and Burleson (2007) note, adding pedagogical mentors in the intelligent tutoring system provides a controllable level of challenge for users. The goal of CyberSmart is to develop meta­ cognitive and meta­affective skills in employees such as cybersecurity self­awareness and self­regulation. Therefore, adding animated pedagogical mentors during interactive challenges could improve the positive learning experience of the users. Moreover, the authors (2007) also affirm that tutors provide two types of help: encouraging users to read the problem and slow down and encouraging users to think about the problem. Additionally, in search of motivational creativity­enhancing activities that can be integrated into the CyberSmart program, the commission found that in the context of cybersecurity, games could improve security self­awareness and control (Naval Post Graduate School, 2007). There are different types of ITS. Generally, ITS allows content to be “generated on the fly” (Murray, 1999). For the purpose of this proposal, expert systems and cognitive tutors are considered to be more adept in addressing cybersecurity behavior issues, because such systems exhibit abilities to observe user behavior and build a fine­grained cognitive model of the user’s knowledge. The   understanding   of   human   behavior,   cybersecurity   and  artificial   intelligence  as   well   as   their intersection creates opportunity for the development of an educational platform that will improve users’ meta­cognitive and meta­affective awareness about cybersecurity. The authors believes that if technology plays a role in the commission of cybercrime, then technology can be used to influence individual’s behavior or modify environmental circumstances to improve poor cyber habits. ALC ­ ADD BURLESON Gamification ­­improve computational thinking ­­part of the user­centered approach ADD GAME­BASED LEARNING THEORY Therefore, game­challenges, animated pedagogical mentors and interactive social design will help employees recognize their cybersecurity weaknesses and manage their emotional state­of­play when they encounter cyber­threats. ADD AI in GAMES 5. Matrix 6. Survey ­ example of a tradition tool “If you’re on the Internet, you’re at risk. Period. No matter what brand you use, what site you’re  on, or even if you already have AV.” ­ Kirkham Systems Cite this information in cyber behavior introduction. 1. Prologue: The Role of Behavior in  Cybersecurity.  2. Cyberpsychology: Cognition and Heuristics One’s cognitive processes play a vital role in the ways they interpret and interact with the world  around them.  The earliest definition of “cognition” dates back to 1967 in a textbook on the  subject written by Ulric Neisser.  Neisser describes “cognition” to be “those processes by which  the sensory input is transformed, reduced, elaborated, stored, recovered, and used” (Cognitive  Psychology by Ulric Neisser).  The Oxford Dictionary of Psychology describes cognition as “the  mental activities involved in acquiring and processing information” (Oxford).  Cognition involves  the automatic and intentional mental processing of information in order to produce brain activity. Thus, it should be noted that cognition is the basis for the way humans analyze and understand  their environments, perceive any potential threats or signs of safety, recall events or ideas,  perform motor actions, solve problems, make decisions, communicate, and so on.  Cognitive  ability is the ability to perform cognitive functions.   The majority of psychological fields of study stem from cognition: social psychology is the study  of cognition in social contexts; developmental psychology is the study of development of  cognitive functions; personality is the study of individual differences in cognitive processes;  evolutionary psychology is the study of the evolution of cognition; forensic psychology is the  study of cognitive functions of criminals; cyberpsychology is the study of the integration of  technology and human cognition; and the list continues.  This paper will focus on the threats  posed to individuals on a cyber scale, and the cognitive and social factors responsible for  allowing people to fall victim to cyber­threats and cybercrime.  Keep in mind that this paper is  not entirely comprehensive and not every criterion stated will affect everyone equally.  We are  all different people with different attitudes, personalities, pasts, and exposures to certain things.  The world contains so much information that there is no possible way our brains can collect and  interpret all of it. Therefore, people’s cognitions and interpretations of the world rely heavily on  heuristics.  In psychology, heuristics are mental shortcuts or readily accessible rules that are  used to make quick decisions without taking too much time to process all given information.  For example, one of the most apparent heuristics is the concept of classification.  Classification is  an immensely energy­conserving process as it allows us to quickly group members of a  category without devoting too much thought to the topic.  This is why we can quickly label a  poodle, a corgi, and a great dane as “dogs” rather than observing them on a case­by­case basis and learning the properties of each.   However, while heuristics are immensely helpful in gaining a general concept of the world, they  can cause many problems on a more detail­oriented level.  Classification of objects and living  things is useful in understanding the world, until categorization turns into stereotype, which then  leads to division.  Unfortunately, classification is not the only heuristic humans utilize that can  lead to awry results.  Because our minds are such powerful machines, they are prone to these  errors on a daily basis and in a multitude of situations.  Thus, it is crucial for people to take  caution when interacting with a computer, as these cognitive heuristics can lead to cyber attacks and a false sense of online safety.   The Availability Heuristic  One heuristic that humans fall prey to often is the availability heuristic.  Psychologists David  Kahneman and Amos Tversky researched this heuristic in the 1960s and 1970s.  They found  the availability heuristic to be a shortcut in which humans rely on previously known cases when  reflecting on or evaluating a specific topic.  It revolves around the idea that if an example of  something can be remembered, then the probability of that situation is higher.  It also follows the notion that important events are remembered first, and thus things that cannot be remembered  are deemed not as important.  In one of their most famous studies, Kahneman and Tversky asked participants the following  question: “Consider the letter K. Is K more likely to appear in the first position [of a word]? [Or]  the third position [of a word]?” (Kahneman & Tversky, 167).  Of the 152 participants asked, over  100 of them claimed that K is more likely to appear as the first letter of a word, although in  actuality a standard text contains twice as many words with K in the third position as words with  K in the first.  Why did participants make this mistake so often?  According to the definition of  the availability heuristic, this mistake was common because people can remember more words  that begin with the letter K than have K in the third position.  Thus, because they recalled more  words that begin with K, they were falsely led to believe that this concept was generalizable.  One factor that greatly affects our availability of a certain event or statistic is the media.  News  stations, magazines, and online articles all influence our perception of the world, as well as our  memories and subjective availability of events.  For example, many people will prefer driving  over flying, citing past news stories regarding plane accidents and the possibility of dying in a  crash.  In reality, according to a 2008 study, the odds of dying in a plane crash are 1 in 7,178,  while the odds of dying in a car accident are 1 in 98 (Locsin).  However, people find planes to be more dangerous because there is more media coverage regarding plane accidents than motor  vehicle accidents.  This uneven distribution of media coverage creates the false perception in  people that planes crash more often than they actually do.  Another example of the availability  bias can be found in answering the following questions.  Which value is greater: the total  number of Americans who have died from the recent Ebola virus outbreak, or the number of  Americans who have married Kim Kardashian?  The correct answer is that “more Americans  have been married to Kim Kardashian than have died from Ebola” (The Journal of Advanced  Practice Nursing).  While Kim Kardashian is a very popular social figure, news of deaths caused by Ebola and two American nurses being diagnosed with the virus (Hennessy­Fiske, Mohan, &  Susman) were constantly covered by news station all over the country.  Because of this  constant coverage, it becomes more easily accessible in our memory storage, and thus we think that it is the higher value.   What does this heuristic have to do with cybersecurity and cyber behavior?  According to a  2012 survey by the National Cyber Security Alliance (NCSA), 64% of participants have never  installed security software or apps on their smartphones in order to protect them from malware  or viruses, and a separate survey revealed that “one­quarter of all U.S. computer users were  notified ... that their credit card numbers, passwords and other personal information was  compromised” (MJ/NCSA).  Victims may report that they have never had experience with  cybercrime or that they may not know anyone who has been victimized by scammers.  If they  do, in fact, have no personal history with cybercrime to any degree, then they will consider it to  be a very minimal threat; “If users cannot see a direct and significant impact on themselves from a cybersecurity problem, their awareness and concern about cybersecurity will be relatively low” (Committee on Improving Cybersecurity Research in the United States, National Research  Council).  The availability heuristic “may lead people to decide that security is not a problem  because they haven’t had a problem with it in the recent past. On the other hand, if recent news  stories have focused on on security risks then people may be disproportionately focused on  protecting their security, e.g. recent stories about firesheep, cloud computing and unsecured  information sharing might encourage more people to be careful about how they use privacy  settings on facebook and twitter” (Baddeley, 9).  Another area in which the availability heuristic may affect our perception of cyber attacks is the  style and extent of a cyber attack against us.  Many recall the 2014 cyber attack on Sony  following production of the film The Interview, the plot of which was for two journalists to  assassinate North Korean leader Kim Jong­Un.  North Korean hackers stole over 100 terabytes  of information from Sony (Cook), while installing a malware program to erase documents and  other important information from Sony (Pagliery).  While this certainly is a frightening attack, it is not the sort of attack that the common user should expect; the common user is more likely to  have an account hacked or credit card information stolen.  In 2014, it was found that 47% of  U.S. adults had their personal information stolen by hackers (Pagliery).  However, because the  media displayed and followed the attack on Sony (and not much else regarding cyber security  or attacks), our availability turns towards this major event, and those who find themselves  reflecting on cybersecurity will have this event in their memory rather than having password  stolen or a similar small­scale crime.   Gambler’s Fallacy and the Illusion of Control Another heuristic is the false belief that the frequency of isolated past events will influence the  frequency of the same isolated events in the future, known as the gambler’s fallacy.  In other  words, people will expect a sense of balance or fairness in a truly random sequence of events,  when in fact there is no real reason for such thoughts.  The most famous example of this fallacy was observed on August 18, 1913, during a game of  roulette in the Monte Carlo Casino, where the ball fell on evens “26 times in a row.  The  probability of this occurring is 1 in 136,832,184” (Darling).  After observing the frequency with  which the ball fell on evens, gamblers started betting against evens under the impression that  there was an imbalance in the randomness of the game.  There are a number of different theories that try to decipher why people fall victim to the  gambler’s fallacy.  Kahneman and Tversky theorized that the gambler’s fallacy stems from a  separate cognitive heuristic, called the representative heuristic.  The representative heuristic  claims that people estimate the probability of a certain event based on how similar it is to past  events.  Because events such as the Monte Carlo example are highly unlikely and past  experiences have resulted in more “fair” outcomes, gamblers bet against the streak in hopes  that the game would balance itself out (Kahneman & Tversky, Judgment Under Uncertainty:  Heuristics and Biases, 7).  The gambler’s fallacy also follows the notion that a game with more  trials will result in more “fair” results.  For example, a coin toss with 50 trials will typically yield a  more balanced result than a coin toss game with 5 trials.  Another theory used to decode the  gambler’s fallacy concerns the cognitive assumption that the world is just and fair with  appropriate consequences for people’s actions, known as the just­world hypothesis.  This theory claims that “people generally get what they deserve” (Lerner & Miller, 1978).  In other words, the just­world hypothesis erroneously states that the world consists of a series of fair processes that consistently balance themselves out.  Under this assumption, in a just and fair world, the Monte  Carlo example would have balanced itself out, which is why people voted against evens. Related to the gambler’s fallacy is the cognitive misconception known as the illusion of control.   The illusion of control, named by psychologist Ellen Langer, is the tendency for people to  overestimate how much power they have over certain, uncontrollable situations (Thompson).   This concept directly relates people’s desires to causes and effects.  One of the most popular  instances of the illusion of control occurs in elevators: “In most elevators, at least in any built or  installed since the early nineties, the door­close button doesn’t work.  It is there mainly to make  you think it works ... Once you know this, it can be illuminating to watch people compulsively  press the door­close button. That the door eventually closes reinforces their belief in the  button’s power” (Paumgarten).  Another area of life where the illusion of control makes us feel  as if we truly do possess power we objectively do not have is through the picking of lottery ticket numbers.  Ellen Langer ran an experiment in which she created a lottery and allowed people to  pick their tickets.  She discovered that “subjects valued their tickets much more when they were  allowed to choose them, even though that did nothing to increase their chances of winning”  (Bennett).  The illusion of control is activated in various aspects or decisions in one’s life, such  as the aforementioned elevator example as well as gambling and other events that one  objectively has no control over. Yet, the illusion of control consistently makes us feel as if we do  have influence over these occurrences.  Fig 1: In a study of football fans watching a televised football game 50 miles away, experimenters found that those who spent more time focusing on the game felt as though they had more control over it.  Image and article can be found at:  There are multiple theories as to why humans are prone to believing in this nonexistent  influence.  Some psychologists believe that the illusion of control occurs “because people place  more weight on outcomes that are consistent with their desires” (Foulke).  In other words,  people are affected by the illusion when their desires coincide with what happens in reality.   There is a misconception that their desires somehow influence the course of events.  For  example, when a person presses the door­close button in an elevator and the door closes  immediately after, their desire (that is, closing the door) coincides with the reality, and the feel  as if they caused the door to close. Another theory as to why people fall victim to the illusion of  control was devised by Suzanne Thompson, which states that the illusion is dependent on two  conditions, intentionality and connection (Thompson): More specifically, the two conditions are  (1) an intention to create an outcome, and (2) a relationship between the action and outcome.  Following this theory, when an action is followed by a consequence, it creates an illusion that  the performer has some sort of control over the consequence. One more rationale as to why the illusion of control is so prominent in people is that there is an innate need for a sense of control  embedded in all people, as “belief in one’s ability to exert control over the environment and to  produce desired results is essential for an individual’s well being” (Leotti, Iyengar, &Ochsner).  Leotti, Iyengary, & Ochsner argue that the need for control is a necessity for people from both a  psychological and biological necessity.  They claim that “it is possible that organisms have  adapted to find control rewarding ­ and its absence aversive ­ since the perception of control  seems to play an important role in buffering an individual’s response to environmental stress ...  If the desire for control is imperative for survival, it makes sense that the neural bases of these  adaptive behaviors would be in phylogenetically older regions of the brain that are involved in  affective and motivational processes” (Leotti, Iyenger, & Ochsner).  Their argument states that  the need for control is innate in humans and even in animals, as neurological base for this  desire involves the frontal cortex (responsible for decision making and higher level cognition)  and the striatum which is an evolutionarily older area of the brain responsible for the reward  system.  The gambler’s fallacy and the illusion of control pose very large threats to those surfing the  Internet, as every new link represents a potential threat, and almost every click is a gamble for  online security.  The gambler’s fallacy affects how we visit websites and fall for advertisements,  based on what we’ve experienced in the past.  For example, many of the sweepstakes  experienced online or heard over the radio may influence the future actions of online users.   Recollection of someone winning money or a concert ticket may affect how certain  advertisements with similar rewards tempt us.  Seeing a false advertisement or a scam may  tempt us to follow that link, as the illusion of control may make us believe we caused the  “winning” advertisement to appear, or that we truly are the one thousandth viewer on a site.   A potential solution to the gambler’s fallacy was discovered by psychologists Christopher Roney and Lana Trick.  They performed an experiment where they had participants guess probabilities  during a certain amount of coin toss trials.  When a certain trial was revealed to contain a streak of either heads or tails, participants guessed that the next flip would fall on the opposite side in  accordance with the gambler’s fallacy.  The experimenters told participants in a separate group  to guess heads or tails under the assumption that the current flip is the first of a new trial.  That  is, the experimenters told the participants that a particular flip of a coin was to begin a new trial.  Participants in this condition showed less of a tendency to rely on the gambler’s fallacy (Roney  & Trick).  While this pattern was only observed in a coin toss game, and in fact yielded no  positive results when tested in a psychophysical task (Colle et al., 1974), it is still a start to  understanding how humans can overcome this bias and in a broader sense, take less risks  when accessing or using a computer.  The Optimism Bias Another cognitive bias, the optimism bias, may also be responsible for careless online behavior. Tali Sharot, author of The Optimism Bias, is a famous cognitive neuroscientist who has devoted  much of her time studying this bias.  She describes it in her TED Talk as the “tendency to  overestimate our likelihood of experiencing good events in our lives and underestimate our  likelihood of experiencing bad events” (YouTube ­ Sharot). According to her, 80% of us fall  victim to it (YouTube ­ Sharot); “it’s a global phenomenon.  Fig. 2: The chart displayed shows the optimism bias in the corporate world.  The yellow line shows analysts’ 5­year prediction for the growth rate of earnings­per­share of S&P 500 companies, while the blue line represents the actual earnings­per­share of these companies.  Image can be found at­bullish­too­bearish­whatever/  The optimism bias has been observed in many different countries ­ in Western cultures, in non­ Western cultures, in females and males, in kids, in the elderly” (YouTube ­ Sharot).  While the  optimism bias does not directly reflect how optimistic we feel about situations or people from a  third­person perspective, it is particularly prominent when taking a first­person perspective.   Thus, private optimism “about our personal future, remains incredibly resilient” (Sharot ­ article).  “This is why in spite of knowing that 40% of marriages in the western world end in divorce,  newlyweds almost always say their chance of divorce is 0%” (Shah).   The optimism bias can become increasingly dangerous when a group of people are wrongfully  optimistic about the same thing.  BitSight Technologies is an agency that rates the cybersecurity protocols and effectiveness of safety measures of numerous companies on a daily basis.  In a  recently published report, they described how IT professionals responsible for the cybersecurity  of their companies fell victim to the bias. 4,157 companies were asked to complete a survey  regarding their cybersecurity and risk management systems, labeling themselves as Advanced,  Intermediate, or Basic according to a letter­grade system.  According to the rubric, companies  that gave themselves an A grade had Advanced systems, companies with B and C grades had  Intermediate systems, and companies with D and F grades had Basic systems.  BitSight then  performed evaluations of the companies using the same rubric.  “While only 6% of survey  respondents said their organization fell into the lowest performance tier of Basic, BitSight data  indicated that close to a quarter of companies fell into this Basic category” (BitSight).  This  means that roughly 250 companies rated themselves as Basic, when in reality?


Buy Material

Are you sure you want to buy this material for

25 Karma

Buy Material

BOOM! Enjoy Your Free Notes!

We've added these Notes to your profile, click here to view them now.


You're already Subscribed!

Looks like you've already subscribed to StudySoup, you won't need to purchase another subscription to get this material. To access this material simply click 'View Full Document'

Why people love StudySoup

Bentley McCaw University of Florida

"I was shooting for a perfect 4.0 GPA this semester. Having StudySoup as a study aid was critical to helping me achieve my goal...and I nailed it!"

Janice Dongeun University of Washington

"I used the money I made selling my notes & study guides to pay for spring break in Olympia, Washington...which was Sweet!"

Steve Martinelli UC Los Angeles

"There's no way I would have passed my Organic Chemistry class this semester without the notes and study guides I got from StudySoup."


"Their 'Elite Notetakers' are making over $1,200/month in sales by creating high quality content that helps their classmates in a time of need."

Become an Elite Notetaker and start selling your notes online!

Refund Policy


All subscriptions to StudySoup are paid in full at the time of subscribing. To change your credit card information or to cancel your subscription, go to "Edit Settings". All credit card information will be available there. If you should decide to cancel your subscription, it will continue to be valid until the next payment period, as all payments for the current period were made in advance. For special circumstances, please email


StudySoup has more than 1 million course-specific study resources to help students study smarter. If you’re having trouble finding what you’re looking for, our customer support team can help you find what you need! Feel free to contact them here:

Recurring Subscriptions: If you have canceled your recurring subscription on the day of renewal and have not downloaded any documents, you may request a refund by submitting an email to

Satisfaction Guarantee: If you’re not satisfied with your subscription, you can contact us for further help. Contact must be made within 3 business days of your subscription purchase and your refund request will be subject for review.

Please Note: Refunds can never be provided more than 30 days after the initial purchase date regardless of your activity on the site.