En la mayoría de casos, estos estudios obtienen las mismas conclusiones, y es que los mecanismos de toma de decisiones son los mismos en todos los individuos, sea cual sea la circunstancia sobre la que estén sujetos. Por ello, las personas cometen los mismos errores una y otra vez, repitiendo así sus malas decisiones.
Los beneficios de dichos estudios en los entornos corporativos son evidentes, tanto a nivel operacional como organizativo: Pueden ayudar a conocer qué medidas emplear para reorientar una situación de crisis, a predecir las reacciones del personal ante situaciones concretas, a evitar comportamientos no deseados, etc.
No obstante, en este artículo nos ponemos en la otra cara de la moneda, para intentar comprender el porqué de algunas de las decisiones tomadas por parte de las organizaciones, decisiones no siempre lógicas o racionales, y que no siempre proporcionan un beneficio para esas mismas entidades. Para hacerlo, hablamos sobre uno de estos estudios, la Teoría de la Perspectiva, y de su aplicación en el marco de gestión del riesgo corporativo de una organización.
Actitudes condicionadas ante el riesgo
El ganador del premio Novel de Economía del 2002, Daniel Kahneman, junto con Amos Tversky, formularon una nueva teoría relativa a los procesos de decisión humana el año 1979, la Prospect Theory o Teoría de la Perspectiva [4]. Esta teoría se aleja de las teorías clásicas, y describe como los individuos toman decisiones en situaciones donde deben escoger entre alternativas que involucran riesgo. Por tanto, esta teoría nos es de gran utilidad para comprobar como los individuos evalúan las pérdidas y ganancias poténciales de sus acciones, aunque sea de manera inconsciente, y toman sus decisiones basadas en dichas evaluaciones.
Mientras que la teoría clásica predice que la aversión al riesgo es independiente de un punto de referencia, la teoría de la perspectiva predice que el rechazo del riesgo depende del dominio de las ganancias, y la motivación ante el riesgo se encuentre en el dominio de las posibles pérdidas.
La teoría de la perspectiva se modela a través de la siguiente función [5]:
U(x1,p1;x2,p2;…;xn,pn) = (p1)u(x1)+ (p2)u(x2)+…+ (pn)u(xn)
Donde “x1, x2,…, xn” son resultados potenciales obtenidos de una decisión concreta, “p1, p2,…, pn” son las probabilidades de obtención de dicho resultado, y “u(xi)” es el valor dado por los implicados a ese resultado concreto. La función resultante “U”, es llamada Función de Valor, e indica la motivación de las personas ante esa misma situación. Si el valor de la función “U” en un punto determinado es elevado, indica que la motivación de las personas ante cambios que modifiquen el riesgo será más elevada. Por ejemplo, para el caso concreto de una organización que tiene que tomar una decisión enfrente a las medidas a tomar para mitigar una amenaza que supone un riesgo determinado, si para ese determinado riesgo la función “U” fuera elevada, la importancia de las decisiones sobre ese riesgo tenderán a ser más importantes que si por el contrario, la función “U” tiene un valor reducido. Más adelante veremos el detalle de la aplicación de la teoría en ambientes corporativos.
A parte de la función de modelado, la Teoría de la Perspectiva tiene en cuenta los dos siguientes principios:
- Integración de Activos: (x1,p1; x2,p2;…;xn,pn) es aceptable en la posición del activo “w”, si se cumple:
U(w+x1,p1;w+x2,p2;…;w+xn,pn)>u(w)
- Aversión al Riesgo: u’’<0
Con toda esta información, vemos la representación gráfica de dicha función en la Figura 1, donde se puede observar su asimetría respeto al punto de referencia. Dicha asimetría se traduce a que dada la misma variación absoluta, hay un impacto mayor en ambientes de pérdidas que en ambientes de ganancias.¹
 |
| Figura 1 |
De dicha representación podemos observar cómo las decisiones de las personas están más motivadas (siempre en valor absoluto) en un ambiente de pérdidas, que en uno de ganancias.
No obstante, esta función está basada en un punto de referencia central a partir del cual se distinguen los ambientes de pérdidas de los de ganancias, y es necesario entender cómo se define dicha referencia antes de abordar las aplicaciones de este estudio en los entornos corporativos.
La Teoría de la Perspectiva divide el proceso de decisión de los individuos en dos fases: la edición y la evaluación. Por una parte está la fase de edición, donde los posibles resultados de una acción son ordenados siguiendo un esquema heurístico, y posteriormente, el individuo fija un punto de referencia, y pasa a considerar los resultados más bajos que dicho punto como pérdidas y los más altos como ganancias. Por otra parte, tenemos la fase de evaluación, en la que las personas valoran los riesgos de sus acciones, basados en los resultados potenciales y sus respectivas probabilidades, y escogen la opción con más utilidad para ellos.
 |
| Figura 2 |
Con este ejemplo, podemos observar que por regla general, el valor o motivación que se da a las decisiones ante ambientes de pérdidas o de ganancias es un procedimiento asimétrico, ya que en las dos situaciones, los participantes tienen posibilidades idénticas de ganar o perder las mismas cantidades de dinero de manera proporcional. No obstante, en el primer caso nos encontramos con un ambiente de ganancias, y en el segundo con un ambiente de pérdidas, situación que inevitablemente condiciona las decisiones de los individuos de manera diferente ante los dos casos.
Por tanto, podemos observar que las decisiones de las personas están condicionadas por el ambiente en el que se toma la decisión, como comenta la teoría.
Aplicación de la teoría en ambientes corporativos
En el contexto de una organización, la Teoría de la Perspectiva nos puede ayudar a comprender algunos fenómenos asociados con la toma de decisiones en el tratamiento del riesgo corporativo.
Un ejemplo claro de ello, es el hecho de que las nuevas amenazas aparecidas en la industria (nuevas vulnerabilidades, nuevos grupos de interés, etc.), tienen un impacto más alto en la toma de decisiones para mitigar dicho riesgo que amenazas o vulnerabilidades ya presentes en el entorno con un nivel de riesgo similar. En este caso, la organización (o las personas de la misma encargadas de tomar decisiones sobre el tratamiento del riesgo) tomaría como punto de referencia un estado actual de confort, en el que las mitigaciones a realizar a un riesgo ya existente, con las consecuentes inversiones en salvaguardas y recursos que conllevan, serían contempladas en un ambiente de ganancias, con lo que la motivación en la toma de decisiones sería baja. No obstante, con ese mismo punto de referencia, una nueva amenaza o vulnerabilidad sería contemplada en un ambiente de pérdidas, con lo que la motivación en la toma de decisiones para dicho escenario sería mayor. Esto puede conllevar a la priorización en la implementación de salvaguardas para la mitigación del riesgo ante la aparición de una nueva amenaza, antes que para la mitigación de los riesgos ante una amenaza ya existente en el entorno.
Este hecho puede ser paradójico, ya que una amenaza ya presente en el entorno puede suponer un riesgo igual o mayor que el de una nueva amenaza, pero según la naturaleza inherente del ser humano y la asimetría en la toma de decisiones bajo distintos ambientes, vemos que por regla general, una nueva amenaza motivará más la toma de decisiones que una amenaza ya presente.
En este caso, la conducta también puede parecer ilógica, ya que decisiones como implantar un sistema de gobierno de seguridad TI, o considerar el tratamiento de los posibles riesgos de seguridad en una organización, deberían acompañar todo el ciclo de vida de una entidad, desde el primer momento. En caso contrario, un incidente de seguridad en las fases iniciales de una entidad podría conllevar un impacto desastroso en el negocio, e incluso crítico para su supervivencia.
Lógicamente, hay que notar que los mecanismos de decisión humanos no son la única explicación lógica para estos escenarios, ya que cada organización y cada caso concreto es un mundo. No obstante, es importante conocer la naturaleza ligada al comportamiento humano en estos casos, para comprender por qué la tendencia de dichas decisiones en estos escenarios generalistas sigue un patrón concreto, no siempre alineado con los objetivos primarios de una organización.
Conclusiones
Según la naturaleza inherente del ser humano, la toma de decisiones sigue unos patrones o mecanismos idénticos para todos los individuos, que nos pueden ayudar a entender su comportamiento, a corregir decisiones erróneas, y a prevenir situaciones no deseadas antes de que estas ocurran.
Una de estas aproximaciones al comportamiento humano es la Teoría de la Perspectiva, que indica que el valor o motivación de una decisión ante una situación específica es asimétrica entre ambientes de pérdidas o ganancias. Esto, aplicado a ambientes corporativos, y en especial, a entornos de gobierno de seguridad TI, nos puede ayudar a comprender por qué ciertas decisiones de tratamiento de riesgo siguen determinados patrones concretos, a pesar de que esas decisiones puedan parecer ilógicas, y no estén alineadas con los objetivos de la organización.
Conocer estos patrones de decisión humanos puede ayudar a implementar métodos para su mitigación y/o corrección. Por suerte, disponemos de metodologías de tratamiento de riesgo estandarizadas, que nos pueden ayudar en la alineación de esta toma de decisiones con los objetivos de la organización. Algunas de estas metodologías son la ISO27001:2013, la ISO3100:2009, la ISO310010:2009, COBIT, COSO, etc. Ayudándonos de dichas metodologías, se pueden priorizar las amenazas para una organización en base al nivel de riesgo que suponen, y ayudar así a orientar los esfuerzos de mitigación sobre las amenazas más críticas o significativas para la entidad. No obstante, hay que tener en cuenta que estas técnicas se deben aplicar en todo el ciclo de vida de una organización, para conseguir así minimizar el nivel de riesgo en la misma desde las fases iniciales de un negocio.
Por tanto, vemos que el hecho de comprender la psicología sobre la cual se basan las decisiones humanas, nos puede ayudar a remarcar la importancia que tienen las metodologías de tratamiento de riesgos en ambientes corporativos.
Referencias
[1] ¿Por qué más es menos?: La paradoja de la insatisfacción en riesgos, Febrero de 2012
https://www.isecauditors.com/prensa-2012
[2] Perspectivas teóricas aplicables al tema de seguridad, de 2007
http://flacsoandes.org/dspace/bitstream/10469/1978/7/05.%20Cap%C3%ADtulo%202.%20%20Perspectivas%20te%C3%B3ricas%20aplicables%20al%20tema%20de%20seguridad.pdf
[3] Psicología de las finanzas, Diciembre de 2003
http://www.encuentros-multidisciplinares.org/Revistan%C2%BA15/Manuel%20Conthe%20Guti%C3%A9rrez.pdf
[4] Prospect Theory: An Analysis of Decision under Risk, Marzo de 1979
http://www.hss.caltech.edu/~camerer/Ec101/ProspectTheory.pdf
[5] Teoría de las perspectivas
http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_perspectivas
Notas al pie
¹ Imagen obtenida en http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_perspectivas
Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.
