lunes, 21 de diciembre de 2015

Dilemas en la protección de la información. Contradicciones, interrogantes y nuevas oportunidades para leer la inseguridad de la información.

Introducción
Los desafíos de las empresas modernas, inmersas en la dinámica de un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), con flujos de información semiautomáticos (y automáticos), instantáneos y constantes, establece una referencia de los retos y exigencias que los ejecutivos de las empresas tienen respecto de la protección del valor de las corporaciones ad portas de concluir la segunda década del nuevo milenio.

La información cada vez más se convierte en la moneda real (no virtual) que representa los intereses de las empresas y sus credenciales para fundar nuevas posibilidades de mercados y oportunidades, que le permitan posicionarse y abrir nuevas fronteras en sus capacidades para crear movimientos disruptivos que afecten la estabilidad de sus sectores de negocio u otros emergentes. En este escenario, las prácticas de seguridad y control de la información no pueden seguir concentradas (exclusivamente) en los controles de acceso y deben evolucionar con la dinámica social propia de las organizaciones de este nuevo milenio.

En este sentido, los programas de seguridad de la información y aquellos relacionados con la privacidad o protección de los datos personales, deben consultar la dinámica social de la empresa, la forma como se entiende la información y los significados que ella tiene para los empleados y colaboradores de la organización. Amén de lo anterior, las iniciativas de protección que se decidan implementar deben estar fundadas en ese tejido de conversaciones identificado para conjugar las prioridades empresariales con estrategias socialmente significativas y válidas, que aumente la efectividad de las propuestas técnicas livianas, sencillas y efectivas.

Frente a esta realidad cambiante de las relaciones sociales y las condiciones del entorno empresarial, se hace necesario conceptualizar algunos dilemas propios de la seguridad de la información (igualmente aplicables a la privacidad de los datos) que procuren fundar una agenda de investigación de mediano y largo plazo, que ofrezca luces sobre la forma como se deben articular los esfuerzos corporativos desde el tenor de los procesos y las lecturas concretas de las personas sobre el aseguramiento de la información, y así complemente los esfuerzos que en el contexto tecnológico y de prácticas técnicas emergentes se vienen efectuando.

Los dilemas son posiciones encontradas, naturales y propias de las relaciones humanas, así como de las situaciones y actuaciones excepcionales que se pueden tener en el contexto de la operación de un proceso organizacional o en la vida en general. De esta forma, se busca ilustrar las posiciones que se advierten en el escenario de la protección de la información y establecer provocaciones académicas y prácticas que abran rutas alternas de discusión y cambien la dinámica de las discusiones actuales alrededor de los temas de seguridad y privacidad de la información.

Así las cosas, este documento establece un conjunto de cinco (5) dilemas de la seguridad y privacidad de la información como una plataforma académica que permita comprender los referentes actuales sobre la protección de la información y promueva una mayor comprensión de la inevitabilidad de la falla desde diferentes tensiones provocadas por la imaginación e imaginarios de los individuos y sus posibilidades.

Figura 1. Dilemas en la protección de la información

Dilema No.1 - Funcionalidad y seguridad, uno implica el compromiso del otro.
Este primer dilema es una discusión que ha acompañado a la seguridad de la información desde sus inicios. Para algunos, esta situación ha sido una realidad donde encontrar el famoso punto medio no ha sido fácil y continúa siendo uno de los retos donde tanto empresarios como especialistas en protección de la información no establecen puntos de encuentro.

Cuando se privilegia la funcionalidad sobre la seguridad en los diferentes ámbitos de la vida empresarial, es claro que habrá mayor movilidad y celeridad para tomar decisiones, sabiendo que habrá riesgos (algunos conocidos y otros no) los cuales serán asumidos por la corporación si se llegan a materializar. En un mundo de cambios constantes, moverse a la velocidad del mercado es una virtud y ventaja, que todos quieren alcanzar, como quiera que quien primero lograr conquistar la dinámica del entorno, es el que tiene el sitio más privilegiado para actuar y tomar posición de las oportunidades.

Cuando es la seguridad es la escogida, la organización entiende que tendrá que establecer protocolos y formalidades que le darán una mayor capacidad y fortaleza en sus actuaciones. Estará menos expuesta a los vaivenes de los escenarios adversos y si algo no esperado ocurre, tendrá la capacidad de responder y sobreponerse, limitando sus posibles pérdidas y movilizando sus estrategias para posicionarse en medio de la crisis, cuando otros sólo pueden estar concentrados en atender la situación no prevista y perder de vista el movimiento del entorno.

Si la respuesta es que se requieren la dos, cada uno deberá ceder parte de su protagonismo y limitar sus posibilidades. Bien dice la sabiduría popular, que “no podemos tener lo mejor de los dos mundos” y, por tanto, habrá concesiones que cada distinción deberá hacer y por tal motivo la propuesta final estará limitada en su ejecución y habrá que mirar, de las alternativas y posibilidades que se han eliminado, cuánto es capaz de aceptar y operar tanto una organización como las personas, sabiendo de antemano el nivel de exposición al riesgo que esta decisión implica.

En esta encrucijada, se advierte un rango de posibilidades y tonos de grises que pueden ser explorados y explotados por las empresas, para privilegiar decisiones que aumenten bien la resiliencia de las empresas y sus procesos, o bien se lancen a conquistar entornos altamente dinámicos e inestables, asumiendo riesgos operativos y estabilidades empresariales, los cuales si salen como lo han planeado, pueden alcanzar importantes posicionamientos estratégicos o por el contrario, aterrizajes forzados que afecten la viabilidad de la empresa en el mediano y largo plazo.

Tomar posiciones extremas en estas temáticas, dejan de lado el buen criterio del “hombre negocios”, el cual debe velar por una visión equilibrada y ajustada a la realidad, que le permita a la empresa, asumir su liderazgo en el contexto de su sector negocio y mantener el debido cuidado que caracteriza a todos aquellos que han entendido el reto de la protección de la información.

Dilema No. 2 - Costos e inversiones en seguridad, una realidad implica la dinámica de la otra.
Bajo este dilema encontramos la tensión propia de las decisiones sobre la protección de la información. Estas decisiones están generalmente fundadas en el imaginario que las juntas directivas tienen de la temática. Mientras el imaginario de la seguridad y el control se encuentre en el campo de la operación, el tema será costo que debe ser optimizado y tener lo estrictamente necesario.

Si la vista de la seguridad es costo, la lectura de la información y su protección no pasará de ser un tema del área de tecnología, donde son ellos los responsables de proteger los flujos de información con la incorporación de soluciones tecnológicas. Si algo se sale de los límites establecidos y los controles fallan en su aplicación, las explicaciones deberán darlas los personajes de tecnología de información. La responsabilidad por la protección de la información está en manos de los “técnicos” y los “juguetes caros” que requieren deben ser bien seleccionados y medidos, para ver con claridad su efectividad. En este sentido la seguridad de la información se vuelve un reto por alcanzar el ciento por ciento, aun cuando en la realidad se tenga claro que no se puede.

Si la inversión es la lectura que se hace de la seguridad, el imaginario de la junta directiva no está concentrado necesariamente en la eficiencia de la misma, sino en el desarrollo de capacidades de mediano y largo plazo. Una inversión generalmente se hace con margen de riesgo, con una revisión en perspectiva, que le permite tener una vista de lo que puede ocurrir. Ninguna inversión se hace sin riesgo y en seguridad de la información no es la excepción. En esta lectura la seguridad es una apuesta de la organización para aumentar su resistencia a los eventos inesperados y abrir la oportunidad para la preparación para actuar de la mejor forma cuando algo no previsto se manifieste.

Como todo en las organizaciones termina siendo un balance entre inversiones y costos, entre “Capex y Opex”, como afirman los de finanzas, la seguridad de la información tiene una realidad compleja para concertar (Krausz y Walker, 2013), pues entrar a medir su efectividad basada en niveles de protección o efectividad de las plataformas instaladas, no muestra con claridad la disminución de la incertidumbre del entorno, sino la capacidad instalada para contener lo conocido. De igual forma, las inversiones basadas en el nivel de riesgo proyectado, tienen la inestabilidad de situaciones como las vulnerabilidades de “día cero” no advertidas por los mejores pronósticos, que comprometen los mejores análisis que se tengan disponibles.

Así las cosas, la vista de costos e inversiones en seguridad de la información deberá estar asistida por el entendimiento de la inevitabilidad de la falla, por un umbral permitido de riesgo, de falla y de situación incierta, sobre la cual se construya una vista, que no puede ser estática, sino que debe responder a una evaluación periódica de las tendencias estructurales vigentes y emergentes que permitan afinar la brújula de la inversión requerida y así actualizar los retos propios de los costos, muchos de ellos no solamente en artefactos tecnológicos, sino en cambios de comportamientos humanos.

Dilema No.3 - La evolución de las tecnologías de información y el cibercrimen, una bondad que puede ser aprovechada por su contraparte.
Los avances tecnológicos establecen las nuevas fronteras del conocimiento y las novedosas formas alternas de hacer que las cosas pasen. Conforme la tecnología aparece y sus usos convencionales se revelan, existen mentes asistidas por “el lado oscuro de la fuerza” que se preguntan por usos “poco convencionales” de las soluciones tecnológicas, que violentan y quiebran el modelo sobre el cual fueron concebidas para recrear nuevas posibilidades que, cuando son utilizadas para fines positivos en la sociedad establecen puntos disruptivos que cambian la forma de hacer la cosas, o de lo contrario, crean contextos de zozobra e inquietud por los efectos contrarios que pueden darle a su propuesta, afectando los derechos y dignidades de los individuos (Goodman, 2015).

Es claro que el hombre, como naturaleza caída, tiene la tendencia natural hacia aquello que no es lo más generoso y santo, sin embargo en su lucha permanente con el reconocimiento del otro, encuentra momentos que le permiten conectarse con esa realidad y es allí, donde la tecnología puede favorecer los mejores instantes para construir y desarrollar productos y servicios que cambien la forma de hacer las cosas y crear condiciones de comunicación y encuentro superiores a las que se tienen en el momento.

Sin perjuicio de lo anterior, las conductas contrarias a la ley y aquellas que confrontan el orden establecido a través de artimañas informáticas, que terminan afectando a los individuos en sus libertades y derechos, establecen una referencia nueva para la sociedad y el derecho, que implica no solamente comprender los acuerdos sociales de convivencia vigentes, sino las técnicas que son utilizadas por los nuevos delincuentes informáticos para desestabilizar la armonía y la concordia en medio de la sociedad. Sus actuaciones, generalmente focalizadas con fines poco conocidos, dejan en evidencia no sólo las fallas de las tecnologías, sino la debilidad y limitación de los comportamientos humanos frente a los engaños e intimidaciones.

Mucho se podría hablar del cibercrimen, de la forma como actúa, de las técnicas que utiliza para concretar sus acciones, elementos que ofrecería un panorama amplio para conceptuar tendencias en este sentido (Medina y Molist, 2015), sin embargo no se alcanzaría a dimensionar sus posibilidades como quiera que la creatividad e innovación son prácticamente infinitas a la hora conjugar las intenciones del “lado oscuro de la fuerza” como los nuevos desarrollos tecnológicos.

En este entendido, el cibercrimen es una propiedad emergente del sistema social donde habita la humanidad, donde diferentes tipos de relaciones y perfiles dan cuenta de los desarrollos tecnológicos como medios para fundar nuevas oportunidades, muchas de ellas privilegiando el bien particular y no el bien general. No podemos esperar que esta realidad propia de los conglomerados sociales, se pueda eliminar por completo, pues estaríamos ante una contradicción frente a la génesis del origen de la humanidad.

Por tanto, es necesario considerar aquellas acciones contrarias que el cibercrimen pueda plantear, para efectuar una lectura diagnóstica de lo que ocurre y enriquecer los nuevos discursos de “defensa activa” que aumente la fortaleza y efectividad de los patrones de defensa y resiliencia que las organizaciones requieren en un entorno agreste y contradictorio (Goodman, 2015).

Dilema No. 4 - Regulación e innovación en seguridad, un reto de balance entre previsibilidad e incertidumbre.
Ante la divergencia de escenarios y entornos de operación que las empresas tienen a la fecha, y la necesidad de los mercados para tener una vista homogénea de la forma como las organizaciones enfrentan la incertidumbre de sus ambientes empresariales, las regulaciones y normativas aparecen como la estrategia de entes globales o multinacionales para tratar de concretar un conjunto de prácticas que les permitan valorar o medir la forma como una empresa se comporta y maneja sus condiciones corporativas, que den la confianza a sus inversionistas o motiven a otros a hacer nuevas apuestas en dicha empresa.

Las regulaciones imponen una forma particular de hacer las cosas, una práctica estándar que dice a los demás que pertenecen al mismo “club” que se está actuando de la forma adecuada y con un nivel de riesgo calculado. Cuando una empresa, se ajusta a las condiciones de su regulador, establece un régimen de actuación que exige comportamientos propios de las personas y acciones concretas cuando los procederes de los individuos se desvían de lo previsto. Todo ello lo que busca es disminuir la incertidumbre de las operaciones y aumentar la previsibilidad de los resultados, habida cuenta que los inversionistas quieren estar tranquilos con sus inversiones y la protección de sus intereses en la corporación.

Mientras las regulaciones demandan un cumplimiento de estándares de seguridad y control, que muestren el debido cuidado de la empresa respecto de los riesgos conocidos y validados desde la práctica internacional, las tendencias desconocidas o emergentes quedan relegadas a ejercicios posteriores o muchas veces inexistentes de las organizaciones. En este sentido, la innovación propia de la seguridad de la información, fundada en el cuestionamiento de los supuestos de los estándares y el reto de los modelos vigentes, es una práctica que se convierte en una apuesta arriesgada que aumenta la probabilidad de error y el compromiso de los controles actuales.

Mientras la regulación se funda un cumplimiento de una lista de controles y el aseguramiento de su efectividad, es decir en una pedagogía del éxito, donde el error es una situación contraria que compromete la efectividad de la práctica establecida; la innovación se concentra en la sabiduría del error, en la motivación de escenarios límite para probar y experimentar, donde la falla y la vulnerabilidad abre espectros de aprendizaje y renovación antes ignorados que fundan nuevas formas de entender el control y asegurar mejores niveles de protección de la información.

Por tanto, conjugar la regulación con la innovación, demanda una vista corporativa que sea flexible a la experimentación y pruebas de situaciones novedosas que aumenten el entendimiento de las prácticas de los atacantes, con una formulación abierta y de permanente actualización de la normativa disponible, que desacople el cumplimiento los requisitos de exigencias externas, como a base para continuar aprendiendo y fortaleciendo las prácticas de seguridad y control internas de la empresa.

Dilema No. 5 - Recolección de datos, control de armas y privacidad, implicaciones de un nuevo orden global.
Bien anotan Hagel, Brown y Wooll (2015) que no es fácil establecer los patrones de las nuevas disrupciones, identificar lo que podría ser un disruptor implica necesariamente explorar más allá de los límites de las tendencias conocidas y asumir la incertidumbre como la maestra de aquellos que quieren crear nuevas propuestas de valor. En este sentido, conquistar o revelar las oportunidades del futuro significa tener claridad de una nueva mentalidad digital (Schmidt y Cohen, 2014), que transforma todo lo que toca y posibilita las caídas de barreras autoimpuestas que dejan al descubierto aquello que era ignorado y ahora es relevante.

La mentalidad digital demanda mirar al mundo conocido desde tres puntos clave: las regulaciones, la cultura y la tecnología (Raskino y Waller, 2015, p.47). Cada uno de ellos permite interconectar las tendencias identificadas para crear un escenario posible, donde se pueda construir distinciones inéditas que establezcan potenciales fuentes de oportunidad para las empresas y movimientos de los mercados hacia zonas de crecimiento inesperado.

Este es el caso de la nueva carrera armamentista que construye “ciber armas” como fundamento de una posición vigilante y garante de las naciones frente a una amenaza informática, que se mantiene latente y activa. De igual forma, la recolección de datos a través de la red en diferentes puntos y países del globo, en donde los temas de privacidad adquieren una relevancia particular, como quiera que los derechos humanos y la protección de sus datos personales, se encuentran enraizados en regulaciones que exigen tratamientos adecuados y formales para sus titulares.

Estas tendencias tecnológicas, políticas y sociales, establecen retos particulares para la seguridad de la información y sus practicantes, como quiera que se advierten implicaciones claves en la regulación, la cultura y la tecnología. Si bien los nuevos estados-nación cuyas fronteras son imperceptibles en el contexto de lo digital, configuran propuestas de seguridad y control en un dominio que aún no se conoce en su totalidad, las regulaciones tratan de hacer lo propio con importantes limitaciones e incertidumbres y la tecnología habilita posibilidades que no pueden ser claramente delineadas y ajustada con los marcos legales existentes, es claro que estamos en terrenos movedizos que requieren una postura flexible que no renuncie a lo establecido, sino que lo potencie para anticipar el futuro.

Pensar en estas nuevas posibilidades y la manera como la información fluye y se concretan nuevas formas de crean valor para las organizaciones y las personas, es habilitar las puertas a un pensamiento relacional, que conecta las expectativas de los clientes con las plataformas tecnológicas de las organizaciones, reimaginando mundos probables que construyen nuevos imaginarios sociales donde los datos articulan e influencian las regulaciones vigentes y futuras, motivan tejidos sociales, ahora digitales, esto es, conectados con las necesidades y expectativas de las personas, que posibilitan la aparición de tecnologías disruptivas, las cuales no atentan contra lo establecido, sino que confirman la expectativa de un conglomerado social.

En este contexto, la seguridad de la información no es una limitación en sí misma, sino una dinámica inmersa en el imaginario social que se construye desde la responsabilidad de uso de los datos, desde el reconocimiento de las expectativas legítimas de los otros sobre el acceso y sobre manera, el respeto sobre el tratamiento digital de la información, como fundamento de la tecnología digital disponible, la cual no ignora los derechos y garantías individuales, sino que habilita las funcionalidades requeridas para conectar los puntos de generación de valor claves para las organizaciones y el mundo digital que acopla las regulaciones que salvaguarda las promesas de cuidado de la identidad digital de cada ciberciudadano.

Reflexiones finales
Los cinco dilemas presentados establecen un referente de las tensiones propias de la seguridad de la información y los retos que deben asumir todos aquellos que trabajan en esta área del conocimiento. Como se puede observar, cada uno de ellos es una lectura contradictoria, donde cada lado del dilema interroga al otro, como fuente de una conversación necesaria para poder motivar lecturas diferentes de la protección que permitan acompañar la evolución natural de la práctica y las posibilidades de aseguramiento que se puedan plantear.

En este escenario, por demás volátil, incierto, complejo y ambiguo (Johansen, 2009), la seguridad de la información debe concretar diálogos extendidos con diferentes disciplinas sociales y políticas habida cuenta que superar sus propios dilemas, implica reconocer que carece de las herramientas necesarias para darles forma. Esto es, habilitar una conexión con otras áreas del conocimiento para complementar el entendimiento que se tiene hasta el momento de la práctica de protección de la información y explorar nuevas opciones que potencien las propuestas actuales.

Cuando la seguridad de la información, consulta sus inicios y encuentra que su asidero conceptual se funda en elaboraciones matemáticas y tecnológicas, sabe que la ruta de evolución le exige transitar por terrenos menos definidos como consecuencia de la presencia de los individuos y sus comportamientos (Roer, 2015)  como elemento conexo de la realidad del proteger, lo cual verifica la tensión fundamental que enfrenta toda sociedad como lo es “proteger o compartir”.

Así las cosas, no es descabellado pensar que en un futuro cercano muchas de las ciencias sociales estarán volcadas al estudio de la seguridad de la información, como objeto de estudio relevante, habida cuenta que la sociedad de la información y el conocimiento, reconoce que la información es un activo y como tal demanda una serie de prácticas y comportamientos que deben estar ajustados con principios éticos y de convivencia, que necesariamente corresponden a bienes superiores de una sociedad ahora en formato digital.

En consecuencia, cada uno de los dilemas planteados establece una ventana de oportunidad para concretar investigaciones que funden nuevas formas de conocer y explorar las fronteras de la protección de la información en un mundo digital. Lo anterior, es un llamado para motivar lecturas transdisciplinares (cruzando disciplinas del conocimiento) (Huerta, Zambrano, Pérez y Matsui, 2014) de los profesionales de la seguridad de la información sobre sus propios estándares y habilitar nuevas posibilidades para repensar la dinámica de sus reflexiones alrededor del aseguramiento de la información.

Referencias
Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
Hagel, J., Brown, J. y Wooll, M. (2015) Patterns of disruption. Anticipating disruptive strategies in a world of unicorns, black swans, and exponentials. Research Report. Deloitte University Press. Recuperado de: http://dupress.com/articles/anticipating-disruptive-strategy-of-market-entrants/
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Krausz, M. y Walker, J. (2013) The true cost of information security breaches and cyber crime. Cambridgeshire, UK: IT Governance publishing.
Medina, M. y Molist, M. (2015) Cibercrimen. Aprende de víctimas, expertos y cibervigilantes. Barcelona, España: Tibidabo Ediciones.
Raskino, M. y Waller, G.  (2015) Digital to the core. Remastering leadership for your industry, your Enterprise, and yourself. Brookline, MA. USA: Bibliomotion Inc.
Roer, K. (2015) Build a security culture. Cambridgeshire, UK: IT Governance publishing.
Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.

domingo, 13 de diciembre de 2015

Cultura organizacional de seguridad de la información. Más allá de las implementaciones tecnológicas.

Introducción
La evolución de las amenazas a la seguridad de la información establece un reto permanente para sus ejecutivos. Mientras aparecen nuevas “startups” con novedosas propuestas para anticipar nuevos vectores de ataque e instituir prácticas proactivas frente a situaciones novedosas de la inseguridad de la información poco se revela al público sobre los avances en la cultura organizacional de seguridad de la información.

La Cultura Organizacional de Seguridad de la Información (COSI), es un elemento que los estudios internacionales mencionan como relevante para aumentar la resistencia de las empresas frente a los ataques, pero son limitadas las reflexiones que sobre ella se hacen, como quiera que es un tema que demanda habilidades en el contexto social y reflexiones desde la perspectiva humana, conocimiento que no es natural en los equipos de seguridad y control a nivel internacional.

Pareciera que la COSI es un tema que todos saben se debe estudiar y desarrollar, pero una limitada población de especialistas se arriesga a revisarlo en profundidad, habida cuenta que sus resultados no generan noticias con impactos mediáticos, sino propuestas y estrategias que exigen cambios de actitud y lecturas renovadas de la información, lo cual no resulta atractivo para aquellos que requieren motivar fondos para las iniciativas de aseguramiento de la información.

La cultura organizacional de seguridad de la información se configura, de esta forma, como la fuente base de la transformación de las prácticas de protección de la información que trabaja “detrás de cámaras” produciendo imaginarios sociales que provocan comportamientos que son el reflejo de la forma como la información pasa de ser un recurso más de la empresa, a configurarse como un activo estratégico y determinante para la estrategia de la compañía.

Mientras el discurso del “miedo, incertidumbre y dudas”, sigue haciendo carrera en las presentaciones ejecutivas, ahora mediado con un mensaje certidumbre de los resultados que se pueden obtener de las tecnologías de nueva generación, con el fin de darle tranquilidad a los ejecutivos de primer nivel y ver cómo se justifican las inversiones que se hacen para aumentar la resistencia a los ataques de las empresas; la argumentación basada en “hechos, observaciones, anécdotas y metáforas” (Rose, 2013) establece una referencia más situada en la realidad de la empresa, que permite recabar en las representaciones compartidas que ésta tiene respecto de sus esfuerzos en seguridad de la información.

Así las cosas, la COSI es una realidad compartida en cada individuo de una empresa, que representa la forma como se entiende y maneja el aseguramiento de la información en el desarrollo de sus procesos, lo cual determina el escenario de acción y la superficie de expansión de las brechas de seguridad y control que la compañía puede tener y los impactos que se pueden ocasionar.

Por tanto, este documento buscar recabar en aspectos inherentes de la cultura organizacional de seguridad de la información, no para sentar una posición sobre el entendimiento de la misma, sino como una exploración de posibilidades de comprensión y análisis que den cuenta de las preocupaciones de las empresas frente al tratamiento de la información, más allá de las implementaciones tecnológicas (requeridas y necesaria) para mantener una postura de seguridad y control acorde con el nivel de riesgo de la empresa.

Cultura Organizacional de Seguridad de la Información. La otra desconocida.
Cuando las personas hablan de la COSI, hablan de su experiencia particular en el tratamiento de la información, hablan de la forma como su práctica se hace realidad en cada uno de los contextos organizacionales. Sin perjuicio de lo anterior, la COSI sigue siendo la gran desconocida habida cuenta que pasa desapercibida en medio de la dinámica empresarial y los componentes tecnológicos de la seguridad informática.

Si bien existen muchas teorías alrededor de la cultura organizacional y estrategias para su desarrollo, pocos estudios se han concentrado en estudiar la que es propia de la seguridad de la información. El profesor Schein (2004) del MIT, uno de los estudiosos más relevantes en temas de cultura establece un modelo base para comprender la cultura de una organización. El académico anota que una cultura organizacional se construye a partir de aquello que la gente cree, lo que las personas hacen y lo que los individuos ven, elementos que han sido de interés por muchos investigadores, algunos de ellos en el tema de la protección de la información.

Cada vez que los individuos actúan, revelan la forma como la información se asume dentro de los procesos de la empresa, manifiestan sus actitudes alrededor de la protección de los datos, exponen sus creencias sobre la seguridad y el control, manifiestan los valores que representan al efectuar su tratamiento y confirman la responsabilidad que tienen frente a ella. En este sentido, explorar los fundamentos de la COSI implica revisar los comportamientos de las personas, lo cual necesariamente nos interroga sobre la forma como ellos adquieren y desarrollan una competencia en la gestión segura de la información.

Esta competencia denominada “gestión segura de la información” (Cano, 2015) se entiende como una competencia genérica, es decir “aquellas que permiten a los individuos desarrollarse como personas, y desenvolverse exitosamente en la sociedad y el mundo que les tocará vivir (…)” (Lozoya, 2012, p.36). En la sociedad de la información y el conocimiento, la dinámica digital exige que la información, como activo relevante para los conglomerados sociales modernos, tenga un tratamiento adecuado, no solamente cuando de datos personales se trate, sino en cualquier situación que demande un manejo de información, como quiera que ella es la nueva moneda “glocal” (global y local) (Roberson, 2005) que desencadena acciones que pueden terminar en grandes logros o impactos contrarios importantes.

Cuando planteamos la COSI desde la realidad local, es decir, desde la construcción diaria de significados alrededor de la protección de la información, estamos reconceptualizando la vista de la información en las empresas. Esto es, se conectan los imaginarios de las personas en el escenario y contexto de la organización, con las declaraciones corporativas que soportan el gobierno corporativo, para motivar la transformación de entendimientos individuales que afectan la forma como la información se usa y moviliza las decisiones de las compañías.

Por tanto, la COSI como realidad latente y emergente propia del flujo de la información en las empresas, establece el referente de control suave que articula las relaciones de las personas, no solamente desde el cumplimiento normativo y el entendimiento de su responsabilidad, sino en la comprensión y apropiación de los riesgos, los cuales determinan la forma en que un individuo aprende a conocer, a hacer, a participar y a elegir sobre la protección de la información, aún en situaciones inciertas que confronten su referente conceptual de seguridad de la información.

La pedagogía del error como base de la COSI
Lo más natural en el desarrollo de la vida académica y profesional es la tendencia hacia el error, hacia aspectos que dejan en evidencia las limitaciones de aquello que se conoce y que manifiesta aspectos desconocidos de la realidad antes inexplorados. Sin el error, no es posible ver el otro lado de la distinción de lo que se denomina “realidad”, pues todo aquello que funciona como se espera y se ajusta a la experiencia previa, no tiene oportunidad de revisión hasta algo no opere de la forma prevista.

Anticipar el error, motivar la falla y el comportamiento inesperado en los estándares de seguridad y control, es una práctica que supone poner a prueba la “realidad” de los controles establecidos y llevar al límite los supuestos sobre los cuales funcionan las cosas. En este escenario, el error se convierte en una virtud que motiva una vista diferente que saca fuera de la zona cómoda a la empresa y confirma la teoría de la inevitabilidad de la falla.

Una COSI que se funda en la pedagogía del error y no en la pedagogía del éxito (cumplimiento de objetivos y resultados) (De la Torre, 2004), está llamada a mantener un nivel de confrontación permanente de la realidad en cada uno de sus integrantes y como una forma de aumentar el nivel de sensibilidad de sus actuaciones, sabiendo que cada vez que se rompe un supuesto de aseguramiento, existe una oportunidad para construir y repensar “el uso adecuado de la información”.

En este entendido, la falla en un comportamiento, la debilidad identificada en algún mecanismo técnico o la falta en un procedimiento, se convierte en ocasión de aprendizaje, es decir, un quiebre que suspende la realidad e interroga tanto a la persona como la organización para revisar los fundamentos del modelo de protección. Lograr este nivel de conceptualización del error, demanda una madurez en la COSI, una lectura de la información como bien trascendente, donde las actuaciones individuales afectan no solo a la organización sino a otros.

Así las cosas, la sabiduría del error se contrapone con la lectura de aquellos que cumplen sin mediar palabra los procedimientos y reglas impuestas. Mientras existen personas que actúan con arreglo a los referentes normativos y mantienen el orden propio de la empresa, habrá otras que con seguridad buscarán formas alternas de hacer las cosas “más rápido” y menos complicadas. Esto es, estarán concentradas en el producto, generando la menor incertidumbre y procurando que el usuario final sea más independiente.

Cuando la pedagogía del error, es el eje de construcción de la COSI, entendemos siguiendo a De la Torre (2004), que “el error es un desajuste entre lo esperado y lo obtenido. (…) una referencia a un criterio, norma o valor; pero no comporta actitud sancionadora ni punitiva (…)”, lo que denota una lectura alterna que procura un entendimiento diferente de lo que ha ocurrido, una posibilidad de un conocimiento más profundo de la práctica de seguridad y no sólo una falla del sistema de gestión que debe ser subsanada.

Conectando la COSI con el gobierno de la seguridad de la información
La evolución de las amenazas informáticas y los novedosos vectores de ataque, terminan afectando las responsabilidades de los cuadros directivos de las organizaciones. Mientras las inversiones en tecnologías de seguridad informática de nueva generación son implementadas, poca atención recibe la Cultura Organizacional de Seguridad de la Información, dado que ésta se asume dada por cada una de las personas en las empresas y las prácticas deberían ser parte natural de las actuaciones de cada uno de los colaboradores.

Recientes investigaciones nos indican que al menos existen cuatro imaginarios (Cano, 2015b) en las organizaciones que revelan la postura de las personas frente al tratamiento de la información. Esta construcción social establece un modelo de actuación latente y propio del contexto de las empresas, que debe ser examinado para fundar las bases de un gobierno de la seguridad de la información ajustado a la realidad de la compañía y su escenario de negocio.

Dos de los imaginarios entienden que la responsabilidad por la protección de la información es personal y dos que está en manos de la empresa. Mientras los dos últimos, denominados “los complacientes y los temerarios”, son la típica postura negativa y arrogante de la práctica de seguridad de la información donde expresiones como “si usted quiere que proteja esto, deme los mecanismos necesarios” o “aquí no ha pasado nada en 20 años y ahora viene usted con prácticas de seguridad y control” son parte de la vista confiada y delegada en un tercero que apuesta por una seguridad en manos de otro, donde la participación de la persona es solamente una casualidad.

Así como existen los “complacientes y temerarios”, se encuentran los “bien intencionados y conscientes”, los cuales, al contrario de los primeros, entienden que tienen una responsabilidad personal con la protección de la información, aunque para los “bien intencionados” no se tenga claridad sobre los impactos que se generan cuando no actúan de forma adecuada. En este sentido, las brechas de seguridad de la información no solo consultan las posibilidades técnicas de éxito, sino la fuente misma de la debilidad de la cadena que es el ser humano.

Si lo anterior es correcto, los principios de gobierno corporativo de las empresas deben indagar sobre la dinámica de las estructuras organizacionales actuales (Wharton, 2015) e interpretar las prácticas sociales vigentes alrededor de la protección de la información, que habilite una postura de falla segura en los procesos de la empresa. Esto es, conectar la cultura empresarial con los riesgos claves de los procesos y motivar una práctica de “pruebas de mal uso” que aumente la capacidad organizacional para actuar frente a situaciones inesperadas e inciertas.

El gobierno de la seguridad de la información por tanto debe crear una vista enriquecida que promueva el diagnóstico, habilitando la confianza para construir sobre aquello que no está bien, es decir comprender la falla que se identifique como “un incidente esclarecedor del proceso” (De la Torre, 2004). De esta forma, las posibles limitaciones de los procesos empresariales se convierten, como lo aborda De la Torre (2004) en categorías de información en un campo de significaciones compartidas que motivan posturas creativas para repensar el proceso mismo.

Reflexiones finales
La cultura organizacional de seguridad de la información, no puede seguir siendo el tema que todos los consultores, practicantes de la seguridad, académicos y ejecutivos empresariales saben que deben abordar, pero que no se toman el tiempo para establecer acciones concretas que la impacten y motiven su madurez.

Mientras mayor sea la distancia entre lo que la organización “hace y práctica” alrededor de la protección de la información y lo que realmente ocurre a nivel del proceso y la dinámica del negocio mismo, mayor será el espacio para que la inevitabilidad de la falla construya vectores de inestabilidad y vulnerabilidades que se integren al imaginario social y comprometan la práctica misma de la seguridad de la información de la empresa.

Si entendemos que toda acción humana está centrada en una construcción cognitiva y social y que, com anota Luhmann (2006, p.77) “toda evaluación de riesgo es y se mantiene como algo sujeto al contexto. No existe ni psicológicamente ni bajo las condiciones sociales dominantes una preferencia positiva o negativa del riesgo (…)”, se hace necesario establecer una vista extendida de lo que se entiende por seguridad de la información y concentrarse en el asidero fundamental de la protección de la información como lo es el ser humano y su contexto.

En consecuencia, las preocupaciones actuales de las empresas sobre los ataques exitosos que generan brechas de seguridad y afectan su imagen corporativa, no solo debe estar asistida por inversiones claves en tecnologías modernas de protección de corte proactivo, sino también de un conocimiento detallado de la cultura organizacional de seguridad de la información, donde se encuentra el tejido social relevante de la protección de la información, que debe ser cultivado y fortalecido desde los referentes de responsabilidad personal y construidos sobre la pedagogía del error, es decir, aquella que orienta y guía los aprendizajes.

Referencias
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5
Cano, J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología. Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558 (Formato web). Recuperado de: http://bit.ly/1OjMBh6
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.
Lozoya, E. (2012) ¿Cómo implementar y evaluar las competencias genéricas? México, México: Editorial Limusa. Noriega editores.
Luhmann, N. (2006) La sociología del riesgo. México, México: Universidad Iberoamericana e Instituto Tecnológico y de Estudios Superiores de Occidente.
Roberson, R. (2005) The conceptual promise of glocalization: commonality and diversity. Revista ART-e-FACT. Strategies of resistance. 4. Recuperado de: http://artefact.mi2.hr/_a04/lang_en/theory_robertson_en.htm
Schein, E. (2004). Organizational culture and leadership. Third Edition. San Francisco, CA: Jossey-Bass.
Wharton (2015) Corporate governance in the age of cyber risk. Recuperado de: http://knowledge.wharton.upenn.edu/article/corporate-governance-in-the-age-of-cyber-risks/

lunes, 23 de noviembre de 2015

La postura del atacante. Una reflexión sistémico-cibernética de la inevitabilidad de la falla

Introducción
Conforme se avanza en la conexión entre las fuerzas descritas por Gartner: información, computación móvil, redes sociales y computación en la nube (Howard, Plummer, Genovese, Mann, Willis y Smith, 2012), el internet de la cosas hace su aparición para integrar y desarrollar una nueva forma de entender el mundo, ahora digitalmente modificado (Porter y Heppelmann, 2015). En este escenario, la postura del atacante resulta particularmente útil como quiera que la realidad modificada con tecnología aumenta su nivel de exposición, creando un escenario relativamente sencillo y de amplio impacto, si de conseguir un evento adverso significativo para las empresas y personas se trata.

En tanto, se continúe esta ruta de digitalización de la realidad, mayor serán las oportunidades para crear propuestas disruptivas de alto valor y de igual forma, vistas alternas para crear condiciones contrarias que puedan ser explotadas por terceros con intereses no identificados. En este escenario, se requiere cambiar la forma de comprender y analizar estrategias de protección y control, más allá de las prácticas tradicionales, esto es, transformar la forma como descubrimos y anticipamos lo que se mimetiza en medio del mundo donde estamos.

La postura del atacante se debe convertir en el nuevo estándar de aquellos que quieren movilizarse en medio de la inestabilidad global y la inevitabilidad de la falla, pues sólo así es posible revelar las tensiones que se esconden en la multiplicidad de variantes que la lectura del ecosistema digital tiene para sus participantes. En razón con lo anterior, se hace necesario tomar distancia de la dinámica actual de la práctica actual de la protección de la información y observar al observador que somos (Von Foerster, 2006), y así repensar la visión de seguridad y control desde la vista de nuestro adversario.

La postura del atacante, implica reconocer aquello que parece incuestionable y descubrir la red de relaciones que posibilita la operación del objeto de estudio. Es una exploración de las relaciones, muchas de ellas desconocidas, para revelar la fortaleza o intensidad de las mismas, como quiera que no hacerlo puede motivar una inclinación natural de la incertidumbre hacia ese lugar, donde tarde o temprano terminará de incubar una nueva posibilidad, un nuevo vector de ataque o vulnerabilidad.

En este contexto el atacante, al observar esta postura de reconocimiento de la realidad de forma integrada y relacional, es capaz de identificar y modelar las diferentes aproximaciones que el sistema ofrece, sabiendo cuál de ellas mover o impactar, para que a pesar de su manipulación o desconexión, el sistema como un todo no deje de funcionar y sus acciones pasen de forma desapercibida. De esta forma, puede motivar comportamientos no conocidos del sistema, creando patrones inestables que desorienten a sus administradores, dispersando la atención de éstos, de las actividades del atacante en el sistema.

En consecuencia, revisar la postura del atacante establece una nueva frontera de retos y prácticas para los profesionales de la seguridad de la información, habida cuenta que, para superar las prácticas actuales basadas en buenas prácticas y estándares, muchos de ellos certificables, deben quebrar los “marcos de pensamiento vigentes” para lanzarse a ver la intradependencia de los objetivos y los sistemas, y cuyas manifestaciones pueden estar más allá de la esencia de sus partes (Novo, Marpegán y Mandón, 2011).

Este documento presenta una revisión básica de la postura del atacante, como una excusa académica para ver de forma alterna una manera de advertir la inevitabilidad de la falla y la actitud retadora y desafiante que demanda ponerse en los zapatos del adversario, esto es, penetrar de forma discreta en la mente de aquellos que traspasan los límites de la autoridad y confrontan los modelos de seguridad y control.

Tres prácticas de los atacantes. Desaprender de lo conocido, modificar lo conocido y apertura frente lo inesperado.

Cuando el adversario plantea un ataque, previamente ha ocurrido todo un proceso de deconstrucción de la realidad; ha pasado un momento con la incertidumbre y la falta de claridad sobre aquello que quiere lograr. Muchas veces la desesperación lo aborda y lo confunde, pero luego con la insistencia sobre lo que persigue y la motivación por encontrarse con algo novedoso, es capaz de observar e indicar aquello que escapa a lo que de forma general se puede identificar.

Lo conocido para la mente del atacante es un insumo, es una forma de ver el mundo de forma diferente. Por tanto, el proceso de desaprender se activa desde el mismo momento que sabe qué forma tiene, pues implica generar mayores interrogantes que retan al objeto en sí mismo para que se revelen formas alternas de volverlo a recomponer. Lo anterior es un proceso donde se desconectan las partes del objeto mismo y se recombinan con la realidad vigente, creando un espacio de modificación antes inexistente que plantea una vista distinta de acción, muchas veces oculta para los cánones y estándares vigentes.

Surtido el proceso anterior, se inicia el proceso de modificación de la realidad conocida, teniendo el cuidado de mantener su dinámica actual, de tal forma, que sea posible una nueva propuesta de operación, que no interfiera con su funcionamiento actual. Lo anterior, significa poder quebrar y ajustar la identidad del objeto que se modifica, manteniendo sus características más relevantes y de esta forma decirle a los otros observadores que pueden regular el comportamiento del objeto, cuando de plano es una modificación imperceptible la que ahora tiene el control del mismo.

Cuando la operación anterior ocurre, el mismo atacante se va a sorprender de las nuevas posibilidades que el nuevo componente incorporado puede hacer sobre el objeto. Su capacidad de asombro y lucha por el reconocimiento de la nueva realidad de su modificación, le generará igualmente expectativas y contradicciones que deberá asumir en su proceso de reconstrucción de la realidad. Así las cosas, la mente del atacante se somete a los embates de lo incierto, los cuales no son preocupación para él, dado que su vista de la realidad, no está atada a formas preconcebidas del entorno, sino a la experiencia permanente de la ambigüedad y la volatilidad donde éste opera.

En razón con lo anterior, el adversario concibe al objeto y su realidad como isomorfismos de la representación del mundo que éste tiene, desarrollando pautas de comprensión desarticuladas de los modelos estructurales vigentes, aumentando la variedad de comportamientos que éstos pueden exhibir (García, 2008). Esto significa que, la totalidad de su visión sobre el objeto que se de-construye en su mente, es una entidad diferente a la suma de las partes que lo compone, un ejercicio que explica las reflexiones inesperadas que se pueden dar, cuando el razonamiento de un atacante se hace “por fuera de la caja”.

Para el atacante el objeto de ataque no es el objetivo, pues entiende que su visión de aquel, es sólo una posibilidad borrosa e incompleta, lo cual lo habilita para plantear una cartografía alterna a la oficial de forma permanente con el fin de encontrar nuevas aproximaciones que den cuenta de una novedosa forma de hacer realidad al objeto en diferentes contextos.

Observar al observador que es. Descubrir la inestabilidad de sus propias observaciones
Un atacante que se limita sólo a realizar sus actividades de afectación de la seguridad de otros, es sólo una propuesta modificada de la realidad y una fuente de inestabilidad temporal. Mientras que un adversario que observa la dinámica del sistema que compromete y las diferentes variables que se activan o modifican con cualquier desbalance del equilibrio del sistema, es un enemigo aventajado, interesante, inteligente y audaz.

Su capacidad de observar el observador que es, le permite no solamente cuestionar el sistema y su forma de funcionar, sino revelar aspectos de sus propias observaciones, lo cual lo vuelve mucho más activo y desafiante, pues es capaz de establecer nuevos patrones de compromiso y ataque que pueden estar más allá de lo que se nota a simple vista. Es importante advertir, que alcanzar la inteligibilidad de los sistemas que observa el atacante, exige un estudio detallado y profundo del objeto que se reconoce, una búsqueda del fin de las certidumbres y elaborar sobre posibilidades y no sobre probabilidades, para crear influencias inesperadas e imperceptibles sobre los sistemas que compromete (Luhmann, 1998).

Así las cosas, el atacante descubre que sus propias cegueras conceptuales, generan opacidades en sus reflexiones, las cuales no le permiten ver posibilidades que pueden alterar la forma como se percibe el objeto. Al comprender estas limitaciones, sabe que algo que no puede ser explicado no puede ser visto y por lo tanto, el ejercicio de experimentación e incertidumbre le permite abrir y expandir la forma como puede superar sus propias restricciones. En consecuencia, establecer nuevas distinciones sobre el objeto, es decir nuevos comportamientos de éstos, es una manera de cambiar el paradigma dominante de la realidad y comprometer los lentes de los observadores tradicionales, invisibilizando sus propios conceptos, haciendo inexplicables reacciones del objeto modificado (Von Foerster, 2006).

Concentrarse en el tipo de observación y patrón de ataque que desarrolla, le permite establecer el propósito del sistema y tomar ventaja de sus capacidades y limitaciones. No obstante, sabe que sus análisis estarán sesgados por su propio paradigma y por tanto, no podrá aventajar tanto como quisiese a su contraparte. Esto es, quedará atrapado en su propio lenguaje y percepción, la cual muchas veces la va a generar la comodidad y por tanto, reducirá su capacidad disruptiva frente a los retos que puede enfrentar cuando de comprometer el sistema se trate.

Cuando el atacante se incluye a sí mismo en el ejercicio de comprometer un sistema objetivo, descubre su propia historia y genera un contexto diferente que lo lleva a llamar a la atención sobre sus propios pasos. La sensación de orden y desorden presente en su práctica de quiebre de la seguridad, le advierte la necesidad de mirar más allá y revelar aquellas transformaciones que pueden ser realizadas desde la comprensión de sus retos y la aplicación de sus propuestas. Por tanto, el atacante ya no ocupa un lugar en la escena de la práctica de vulneración, sino una posición desde el escenario donde ocurre la falla, haciéndose transparente a los ojos de aquellos que analizan lo que está ocurriendo o ha ocurrido.

Cuando el atacante descubre la inestabilidad de sus propias observaciones, puede habilitar su capacidad para sorprenderse y motivar aprendizajes que no estaban disponibles. Lo anterior supone como anota Von Foerster (2006), abandonar la preocupación por las explicaciones, para poder aumentar la posibilidad de ver aquello que se esconde a los ojos de sus propios lentes. Una oportunidad para hacer consciente su lenguaje y sus prácticas y movilizarse para crear escenarios inesperados.

Reflexiones finales
Toda la revisión anterior establece una reflexión conceptual y epistemológica, parcial e incompleta de la compleja mente del atacante, que lo que busca es caminar cerca de sus pensamientos y análisis, para tratar de anticipar sus movimientos y motivar prácticas semejantes en los analistas de seguridad de la información.

Mientras el analista de seguridad de la información busca certezas y acreditaciones de los sistemas que protege, el atacantes busca inciertos e inestabilidades que le dan la ventaja y una posición privilegiada para observar y concebir la inevitabilidad de la falla. Su visión del todo, en función de sus relaciones potencia su capacidad de acción para modificar e introducir cambios que alteren de forma emergente el sistema, pero que no lo perturben en esencia básica.

Lo anterior supone desarrollar la facultad para efectuar nuevas indicaciones de la realidad, desde la emergencia de las relaciones de los sistemas, las cuales advierten patrones de funcionamiento que pueden ser cambiados y modificados cuando se reconstruyen sus propias relaciones o se introducen nuevas que se nutren de las existentes.

En este escenario, el error es quien protagoniza la escena de las propuestas de los atacantes, pues allí encuentran nuevas oportunidades para ver comportamientos inéditos del sistema atacado que le pueden dar una lectura aumentada de las posibilidades que pueden desarrollar con sistemas equivalentes. Cuando el atacante concreta sus actuaciones en el presente, cambia las percepciones de las personas en el futuro, situación que confirma que tiene un margen de libertad de acción, para crear la percepción deseada (Luhmann, 2006).

En conclusión, esta breve reflexión de sobre la mente del atacante y sus posibilidades, nos ilustra el campo de aprendizaje que tenemos abierto para continuar aprendiendo y la necesidad de hacer más y mejores preguntas para rastrear las implicaciones e impactos de la inevitabilidad de la falla.

Referencias
Von Foerster, H. (2006) Las semillas de la cibernética. Obras escogidas. Barcelona, España: Editorial Gedisa.
Novo, M., Marpegán, C. y Mandón, M. J. (2011) El enfoque sistémico: su dimensión educativa. Madrid, España: Editorial Universitas S.A
Luhmann, N. (2006) Sociología del riesgo. Tercera Edición, México, D.F. México: Universidad Iberoamericana – ITESO.
Luhmann, N. (1998) Complejidad y modernidad: De la unidad a la diferencia. Madrid, España: Editorial Trotta.
García, R. (2008) Sistemas complejos. Conceptos, método y fundamentación epistemológica de la investigación interdisciplinaria. Barcelona, España: Gedisa
Howard, C., Plummer, D., Genovese, Y., Mann, J., Willis, D. y Smith, D. (2012) The Nexus of Forces: Social, Mobile, Cloud and Information. Gartner Research. Recuperado de: https://www.gartner.com/doc/2049315/nexus-forces-social-mobile-cloud
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.

domingo, 25 de octubre de 2015

La privacidad en las conversaciones electrónicas. Cuatro perfiles para analizar

Introducción
Vivimos en un mundo en constante movimiento, en un escenario donde confluyen tres generaciones: los herederos de los años 60s, los hijos de los 70s y los nuevos actores de los 80s. Tres vistas diferentes de la vida, del trabajo y del mundo, y con algunas similitudes que pueden resultar contradictorias frente a algunas situaciones.

En el contexto de una sociedad informatizada, donde la información se convierte en el nuevo “petróleo” que alimenta el motor empresarial, se hace necesario establecer acciones que custodien y orienten a todos aquellos que quieran tener acceso a los datos personales, como quiera que ellos definen un sello y marca distintiva que cada individuo es responsable por administrar y asegurar.

Así las cosas, el flujo de la información entre individuos, es una constante que está marcada por el tipo de información que se trata, el tono que se maneja en la conversación, las necesidades que se comparten, el deseo de conocer más al otro y en general, una ventana de oportunidad que se abre para descubrir los gustos, deseos y expectativas de las personas frente a tendencias, cambios o formas que ellas desarrollan a lo largo de la vida.

En este sentido, la privacidad de la información juega un papel definitivo, como quiera que el compartir información a través de medios electrónicos establece un paradigma distinto para cada generación y abre diferentes escenarios de análisis que ilustran las diferentes posturas que pueden aparecer. 

Para ello este documento consulta los resultados de las investigaciones realizadas por Patil y Kobsa (2005) como excusa para efectuar un análisis empírico de perfiles frente a la privacidad, que ilustra cómo pueden actuar diferentes actores según los factores expuestos por los investigadores mencionados.

Cuatro factores claves que afectan la privacidad
De acuerdo con Patil y Kobsa (2005) cuatro son los factores que contribuyen para motivar la privacidad en las conversaciones electrónicas: sensibilidad del contenido, disposición personal hacia la privacidad, entendimiento de la tecnología y el potencial persistente de las conversaciones.

Figura 1. Factores que afectan la privacidad en las conversaciones electrónicas (Elaboración propia basada en Patil y Kobsa (2005)

La sensibilidad del contenido nos habla del acuerdo efectuado entre los participantes de la conversión sobre qué tan sensitivo es o no la información que fluye en el diálogo. A mayor nivel de conversaciones clasificadas como sensibles, mayor exigencia de privacidad se demanda de sus participantes. En este contexto, el tenor de los contenidos que se intercambien generará condiciones para que la protección de la información se demande como algo requerido y cuyos contenidos deben ser reservados y respetados por todos aquellos que lo conocen.

Complementario con lo anterior, se genera una disposición inherente en cada persona hacia la privacidad de lo conversado. Esto es, un “silencio de oficio” que surge de los diálogos y que ha sido acordado entre los que usan el medio de comunicación y participan con sus comentarios. Esta moción interior de los participantes, está conectada con los compromisos y expectativas de reserva de la información, como quiera que se ha sellado entre ellos un acuerdo explícito y tácito al mismo tiempo con los otros: explícito, en cuanto las información compartida y tácito en la relación y vínculos que se crean.  

Un elemento más que influye en la privacidad es el conocimiento tecnológico, bien si se es ignorante frente a la temática, no comprende correctamente su funcionamiento o sabe y la utiliza de forma adecuada. Los que son ignorantes de la tecnología son proclives a compartir sin conocer los impactos, los que no comprenden correctamente su forma de operar, pueden ser víctimas de la falsa sensación de seguridad, mientras los que saben y la usan de manera correcta, son más precavidos frente a sus actividades y conscientes de las posibilidades y limitaciones de las tecnologías.

El potencial persistente de las conversaciones, es decir la permanencia de los diálogos realizados o su almacenamiento para posterior consulta, es otro elemento clave al revisar la temática de la privacidad en conversaciones electrónicas. Cuanto mayor sea la persistencia de la conversación mayor será la necesidad de protección de las reflexiones realizadas, siempre y cuando la sensibilidad acordada demando adecuados mecanismos de acceso y uso.

Estos cuatro factores, responden a una convergencia de comportamientos que se sintonizan y solidarizan en una red de conversaciones y acuerdos, que al final custodian la información compartida, las expectativas reveladas y los datos comentados. La percepción de control se vuelve tan fuerte como la exigencia de privacidad, así como la motivación para mantener fuera del dominio público la información que con generosidad se ha compartido para fortalecer o desarrollar conversaciones explícitas o vínculos tácitos.

Cuatro perfiles frente a la privacidad
El siguiente cuadro sugiere cuatro perfiles de personas sobre la gestión de la privacidad de la información que comparten a través de medios electrónicos, basado en los factores del estudio previamente comentado.

Tabla 1 – Perfiles de las personas frente a la privacidad (Elaboración propia)

Las personas cuyos cuatro factores están calificados como bajo, serán afectados por terceros inescrupulosos que afecten y violen sus expectativas de privacidad, como quiera que sus conocimientos y sensibilidad no le permiten maniobrar frente a situaciones adversas, dejando expuestos sus datos y conversaciones afectando su reputación o creando escenarios contrarios que envuelvan la realidad de la persona con impactos contrarios en el corto y mediano plazo.

Los factores con calificación media, activan en la persona una sospecha base sobre la necesidad de proteger sus conversaciones. Si bien conocen y declaran la reserva sobre los contenidos compartidos, intuyen que deben conocer más del medio donde conversan y dejan registro de dichas intervenciones. No están convencidos del todo de la forma como se custodiarán los diálogos generados, manifestando con regularidad la necesidad de mantener las restricciones de acceso a los datos.

Cuando los cuatro factores se valoran como altos sabe que su privacidad es fundamental y demanda que los participantes asuman la responsabilidad de aquello que dicen y comparten. Si advierten que no se tienen condiciones claras de acuerdos y respeto por lo reservado, prefieren retirarse de la conversación, dejando la salvedad de su retiro, lo que necesariamente debilita la condición de privacidad de las conversaciones realizadas. Conocen las tecnologías utilizadas de manera general y sus características de seguridad, por lo cual hacen indicaciones que aseguren una aplicación homogénea de las mismas para todos los participantes.

Si tenemos una valoración de muy altos en los cuatro factores, las exigencias de privacidad no son negociables, se hace evidente que cada participante reconoce las bondades del cuidado de lo que se dice y la forma como se consulta. Existe un imaginario compartido de protección que establece las reglas que todos están dispuestos a seguir y que se ajustan a unos acuerdos y expectativas que previamente se han socializado dentro de la comunidad que conversa.

Reflexiones finales
El mundo digital e hiperconectado motiva constantemente al flujo de información, como una forma natural para configurar sus propias necesidades y dar cuenta de las exigencias de los mercados actuales y emergentes. En este escenario, la privacidad de las conversaciones electrónicas cobra una importancia real, habida cuenta que cada persona establece referentes de protección, que de acuerdo con Patil y Kobsa (2005), son afectados al menos por cuatro factores.

Tener en cuenta estos factores nos permite ilustrar de manera intuitiva y empírica algunos perfiles que se pueden generar en las comunidades digitales que comparten información, como referentes básicos de comportamientos de los participantes, para comprender mejor las interacciones que se plantean y los términos que se pueden identificar en las mismas.

La privacidad como derecho fundamental, tanto en la vista europea como latinoamericana, frente a la postura anglosajona leída como un servicio, esto es, como algo que el interesado paga por tener, contrapone dos mundos y percepciones que dejan en claro que las personas son las más interesadas para asumir el reto de la privacidad.

No es una postura proteccionista ni otra mercantilista la que va a motivar la implementación o no de la privacidad, sino los acuerdos de las comunidades digitales en internet, como quiera que son ellas, bajo el influjo de las posiciones de los individuos las que establecen las condiciones y consecuencias de un uso apropiado de la información. Entendiendo como apropiado lo que la red de conversaciones haya pactado sobre al menos los cuatro factores previamente analizados.

Así las cosas, las prácticas de privacidad a través de los medios informáticos serán siempre afectadas por las tendencias tecnológicas y presiones de mercado presentes en cada momento, por lo cual identificar un perfil particular de privacidad será cada vez más difuso. Al final, parafraseando a Cala (2015, p.114), lo más interesante de la privacidad a través de los medios digitales radica en que, a pesar de la ausencia de uno de sus participantes, el resto la defiende y lucha por ella, haciendo que ésta (la privacidad) nunca pierda el sentido.

Referencias
Patil, S. y Kobsa, A. (2005) Unconvering privacy attitudes and practices in instant messaging. GROUPS’ 05. Noviembre 6-9. Sanibel Island. Florida, USA. 109-112.
Cala, I. (2015) El secreto del Bambú. Una fábula. Nashville, Tennessee, USA: Harper Collins Español.