Participamos en el CIBERSEG'15: II Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá

La II Jornada de Ciberseguridad y Ciberdefensa de la Universidad de Alcalá está organizada por el grupo de Ingeniería de Servicios Telemáticos, la cátedra Amaranto de Seguridad Digital e Internet del Futuro y las Delegaciones de Estudiantes de la Escuela Politécnica.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas relacionadas con temas de interés en este ámbito y una sesión especial abierta para que alumnos de la Universidad de Alcalá difundan sus actividades en este ámbito.

A parte de las charlas también se celebraran Talleres más prácticos entre los cuales estará el de “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera el día 30 de Enero, en el que se presentará una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles, y se llevará a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.

http://www3.uah.es/ciberseg13/

Teoría de la Perspectiva aplicada al tratamiento del riesgo corporativo

Entender como los individuos toman decisiones en diferentes contextos, es una temática sobre la cual distintas disciplinas, entre ellas la psicología, trabajan de manera constante. Cuanto más sepamos sobre la toma de decisiones de las personas, más podremos prevenir su respuesta ante determinadas situaciones, y por tanto, obtener ventaja sobre sus razonamientos y actuaciones ante una situación concreta [1] [2] [3].

En la mayoría de casos, estos estudios obtienen las mismas conclusiones, y es que los mecanismos de toma de decisiones son los mismos en todos los individuos, sea cual sea la circunstancia sobre la que estén sujetos. Por ello, las personas cometen los mismos errores una y otra vez, repitiendo así sus malas decisiones.

Los beneficios de dichos estudios en los entornos corporativos son evidentes, tanto a nivel operacional como organizativo: Pueden ayudar a conocer qué medidas emplear para reorientar una situación de crisis, a predecir las reacciones del personal ante situaciones concretas, a evitar comportamientos no deseados, etc.

No obstante, en este artículo nos ponemos en la otra cara de la moneda, para intentar comprender el porqué de algunas de las decisiones tomadas por parte de las organizaciones, decisiones no siempre lógicas o racionales, y que no siempre proporcionan un beneficio para esas mismas entidades. Para hacerlo, hablamos sobre uno de estos estudios, la Teoría de la Perspectiva, y de su aplicación en el marco de gestión del riesgo corporativo de una organización.


Actitudes condicionadas ante el riesgo

El ganador del premio Novel de Economía del 2002, Daniel Kahneman, junto con Amos Tversky, formularon una nueva teoría relativa a los procesos de decisión humana el año 1979, la Prospect Theory o Teoría de la Perspectiva [4]. Esta teoría se aleja de las teorías clásicas, y describe como los individuos toman decisiones en situaciones donde deben escoger entre alternativas que involucran riesgo. Por tanto, esta teoría nos es de gran utilidad para comprobar como los individuos evalúan las pérdidas y ganancias poténciales de sus acciones, aunque sea de manera inconsciente, y toman sus decisiones basadas en dichas evaluaciones.

Mientras que la teoría clásica predice que la aversión al riesgo es independiente de un punto de referencia, la teoría de la perspectiva predice que el rechazo del riesgo depende del dominio de las ganancias, y la motivación ante el riesgo se encuentre en el dominio de las posibles pérdidas.
La teoría de la perspectiva se modela a través de la siguiente función [5]:

U(x1,p1;x2,p2;…;xn,pn) = (p1)u(x1)+ (p2)u(x2)+…+ (pn)u(xn)

 Donde “x1, x2,…, xn” son resultados potenciales obtenidos de una decisión concreta, “p1, p2,…, pn” son las probabilidades de obtención de dicho resultado, y “u(xi)” es el valor dado por los implicados a ese resultado concreto. La función resultante “U”, es llamada Función de Valor, e indica la motivación de las personas ante esa misma situación. Si el valor de la función “U” en un punto determinado es elevado, indica que la motivación de las personas ante cambios que modifiquen el riesgo será más elevada. Por ejemplo, para el caso concreto de una organización que tiene que tomar una decisión enfrente a las medidas a tomar para mitigar una amenaza que supone un riesgo determinado, si para ese determinado riesgo la función “U” fuera elevada, la importancia de las decisiones sobre ese riesgo tenderán a ser más importantes que si por el contrario, la función “U” tiene un valor reducido. Más adelante veremos el detalle de la aplicación de la teoría en ambientes corporativos.
A parte de la función de modelado, la Teoría de la Perspectiva tiene en cuenta los dos siguientes principios:
  • Integración de Activos: (x1,p1; x2,p2;…;xn,pn) es aceptable en la posición del activo “w”, si se cumple:
 U(w+x1,p1;w+x2,p2;…;w+xn,pn)>u(w)
  • Aversión al Riesgo: u’’<0
Principios a partir de los cuales deducimos que la función resultante será cóncava para ganancias y convexa para pérdidas (siempre en relación al punto de referencia), y más pronunciada en entornos de pérdidas que en entornos de ganancias.

Con toda esta información, vemos la representación gráfica de dicha función en la Figura 1, donde se puede observar su asimetría respeto al punto de referencia. Dicha asimetría se traduce a que dada la misma variación absoluta, hay un impacto mayor en ambientes de pérdidas que en ambientes de ganancias.¹
Figura 1
 De dicha representación podemos observar cómo las decisiones de las personas están más motivadas (siempre en valor absoluto) en un ambiente de pérdidas, que en uno de ganancias.  No obstante, esta función está basada en un punto de referencia central a partir del cual se distinguen los ambientes de pérdidas de los de ganancias, y es necesario entender cómo se define dicha referencia antes de abordar las aplicaciones de este estudio en los entornos corporativos.

La Teoría de la Perspectiva divide el proceso de decisión de los individuos en dos fases: la edición y la evaluación. Por una parte está la fase de edición, donde los posibles resultados de una acción son ordenados siguiendo un esquema heurístico, y posteriormente, el individuo fija un punto de referencia, y pasa a considerar los resultados más bajos que dicho punto como pérdidas y los más altos como ganancias. Por otra parte, tenemos la fase de evaluación, en la que las personas valoran los riesgos de sus acciones, basados en los resultados potenciales y sus respectivas probabilidades, y escogen la opción con más utilidad para ellos.
Figura 2
Por tanto, ante una situación que implique un riesgo, y según esta teoría, vemos que las personas fijan su propio punto de referencia en base a los posibles resultados de su decisión, y a partir de ahí, toman la decisión de manera condicionada, dando más valor a una decisión tomada en ambientes de pérdidas que a una tomada en ambientes de ganancias. Para comprobar un ejemplo simple de dicha teoría, y siguiendo el esquema de la Figura 2, imaginemos que se propone a un grupo de personas elegir entre dos escenarios: el escenario 1, con ganancia segura de 20$ (probabilidad del 100%), contra el escenario 2, con la mitad de opciones de obtener 50$ (probabilidad del 50%) y la mitad de opciones de quedarse igual (ni ganar ni perder nada, con una probabilidad del 50%). En este caso, la decisión se realiza en un ambiente de ganancias, y la mayoría de personas tendería a escoger el primer escenario, la opción más conservadora. No obstante, si se propone al mismo grupo de personas escoger entre otros dos escenarios: el escenario 3, en el que no asumen ninguna ganancia o pérdida (probabilidad del 100%), contra el escenario 4, en el que tengan la mitad de opciones de conseguir 30$ (probabilidad del 50%) y la mitad de opciones de perder 20$ (probabilidad del 50%), la decisión se realizaría en un ambiente de pérdidas, y la mayoría de personas tendería a estar más motivada por escoger el escenario 4, la opción más arriesgada.

Con este ejemplo, podemos observar que por regla general, el valor o motivación que se da a las decisiones ante ambientes de pérdidas o de ganancias es un procedimiento asimétrico, ya que en las dos situaciones, los participantes tienen posibilidades idénticas de ganar o perder las mismas cantidades de dinero de manera proporcional. No obstante, en el primer caso nos encontramos con un ambiente de ganancias, y en el segundo con un ambiente de pérdidas, situación que inevitablemente condiciona las decisiones de los individuos de manera diferente ante los dos casos.

Por tanto, podemos observar que las decisiones de las personas están condicionadas por el ambiente en el que se toma la decisión, como comenta la teoría.

Aplicación de la teoría en ambientes corporativos
En el contexto de una organización, la Teoría de la Perspectiva nos puede ayudar a comprender algunos fenómenos asociados con la toma de decisiones en el tratamiento del riesgo corporativo.

Un ejemplo claro de ello, es el hecho de que las nuevas amenazas aparecidas en la industria (nuevas vulnerabilidades, nuevos grupos de interés, etc.), tienen un impacto más alto en la toma de decisiones para mitigar dicho riesgo que amenazas o vulnerabilidades ya presentes en el entorno con un nivel de riesgo similar. En este caso, la organización (o las personas de la misma encargadas de tomar decisiones sobre el tratamiento del riesgo) tomaría como punto de referencia un estado actual de confort, en el que las mitigaciones a realizar a un riesgo ya existente, con las consecuentes inversiones en salvaguardas y recursos que conllevan, serían contempladas en un ambiente de ganancias, con lo que la motivación en la toma de decisiones sería baja. No obstante, con ese mismo punto de referencia, una nueva amenaza o vulnerabilidad sería contemplada en un ambiente de pérdidas, con lo que la motivación en la toma de decisiones para dicho escenario sería mayor. Esto puede conllevar a la priorización en la implementación de salvaguardas para la mitigación del riesgo ante la aparición de una nueva amenaza, antes que para la mitigación de los riesgos ante una amenaza ya existente en el entorno.

Este hecho puede ser paradójico, ya que una amenaza ya presente en el entorno puede suponer un riesgo igual o mayor que el de una nueva amenaza, pero según la naturaleza inherente del ser humano y la asimetría en la toma de decisiones bajo distintos ambientes, vemos que por regla general, una nueva amenaza motivará más la toma de decisiones que una amenaza ya presente.






Otro ejemplo de ello son las inversiones en seguridad TI, y el momento en que estas se producen. Siguiendo las consideraciones de la Teoría de la Perspectiva, se explica por qué estas inversiones se producen cuando la empresa ya está asentada en el mercado. Cuando una empresa está empezando, el punto de referencia o de confort es bajo, y por lo tanto, los riesgos o amenazas de seguridad existentes en el entorno son tratados en un ambiente de ganancias. Por eso, la motivación en la toma de decisiones sobre las inversiones en seguridad TI es reducida. No obstante, cuando esa misma empresa ya se encuentra asentada en el mercado, su punto de referencia ha aumentado, lo que se traduce en que los riesgos ante amenazas de seguridad existentes son contemplados ahora en un ambiente de pérdidas, y la motivación de toma de decisiones sobre inversiones en seguridad TI en dicho escenario será por regla general mayor. Eso se traduce en que de manera generalista, se tenderá a invertir más en seguridad TI cuando una empresa ya se encuentre asentada en el mercado, que cuando una empresa esté empezando su negocio.

En este caso, la conducta también puede parecer ilógica, ya que decisiones como implantar un sistema de gobierno de seguridad TI, o considerar el tratamiento de los posibles riesgos de seguridad en una organización, deberían acompañar todo el ciclo de vida de una entidad, desde el primer momento. En caso contrario, un incidente de seguridad en las fases iniciales de una entidad podría conllevar un impacto desastroso en el negocio, e incluso crítico para su supervivencia.

Lógicamente, hay que notar que los mecanismos de decisión humanos no son la única explicación lógica para estos escenarios, ya que cada organización y cada caso concreto es un mundo. No obstante, es importante conocer la naturaleza ligada al comportamiento humano en estos casos, para comprender por qué la tendencia de dichas decisiones en estos escenarios generalistas sigue un patrón concreto, no siempre alineado con los objetivos primarios de una organización.

Conclusiones
Según la naturaleza inherente del ser humano, la toma de decisiones sigue unos patrones o mecanismos idénticos para todos los individuos, que nos pueden ayudar a entender su comportamiento, a corregir decisiones erróneas, y a prevenir situaciones no deseadas antes de que estas ocurran.

Una de estas aproximaciones al comportamiento humano es la Teoría de la Perspectiva, que indica que el valor o motivación de una decisión ante una situación específica es asimétrica entre ambientes de pérdidas o ganancias. Esto, aplicado a ambientes corporativos, y en especial, a entornos de gobierno de seguridad TI, nos puede ayudar a comprender por qué ciertas decisiones de tratamiento de riesgo siguen determinados patrones concretos, a pesar de que esas decisiones puedan parecer ilógicas, y no estén alineadas con los objetivos de la organización.

Conocer estos patrones de decisión humanos puede ayudar a implementar métodos para su mitigación y/o corrección. Por suerte, disponemos de metodologías de tratamiento de riesgo estandarizadas, que nos pueden ayudar en la alineación de esta toma de decisiones con los objetivos de la organización. Algunas de estas metodologías son la ISO27001:2013, la ISO3100:2009, la ISO310010:2009, COBIT, COSO, etc. Ayudándonos de dichas metodologías, se pueden priorizar las amenazas para una organización en base al nivel de riesgo que suponen, y ayudar así a orientar los esfuerzos de mitigación sobre las amenazas más críticas o significativas para la entidad. No obstante, hay que tener en cuenta que estas técnicas se deben aplicar en todo el ciclo de vida de una organización, para conseguir así minimizar el nivel de riesgo en la misma desde las fases iniciales de un negocio.

Por tanto, vemos que el hecho de comprender la psicología sobre la cual se basan las decisiones humanas, nos puede ayudar a remarcar la importancia que tienen las metodologías de tratamiento de riesgos en ambientes corporativos.

Referencias
[1] ¿Por qué más es menos?: La paradoja de la insatisfacción en riesgos, Febrero de 2012
https://www.isecauditors.com/prensa-2012

[2] Perspectivas teóricas aplicables al tema de seguridad, de 2007
http://flacsoandes.org/dspace/bitstream/10469/1978/7/05.%20Cap%C3%ADtulo%202.%20%20Perspectivas%20te%C3%B3ricas%20aplicables%20al%20tema%20de%20seguridad.pdf

[3] Psicología de las finanzas, Diciembre de 2003
http://www.encuentros-multidisciplinares.org/Revistan%C2%BA15/Manuel%20Conthe%20Guti%C3%A9rrez.pdf
[4] Prospect Theory: An Analysis of Decision under Risk, Marzo de 1979
http://www.hss.caltech.edu/~camerer/Ec101/ProspectTheory.pdf

[5] Teoría de las perspectivas
http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_perspectivas

Notas al pie
¹ Imagen obtenida en http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_perspectivas

Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.