lunes, 21 de diciembre de 2015

Dilemas en la protección de la información. Contradicciones, interrogantes y nuevas oportunidades para leer la inseguridad de la información.

Introducción
Los desafíos de las empresas modernas, inmersas en la dinámica de un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), con flujos de información semiautomáticos (y automáticos), instantáneos y constantes, establece una referencia de los retos y exigencias que los ejecutivos de las empresas tienen respecto de la protección del valor de las corporaciones ad portas de concluir la segunda década del nuevo milenio.

La información cada vez más se convierte en la moneda real (no virtual) que representa los intereses de las empresas y sus credenciales para fundar nuevas posibilidades de mercados y oportunidades, que le permitan posicionarse y abrir nuevas fronteras en sus capacidades para crear movimientos disruptivos que afecten la estabilidad de sus sectores de negocio u otros emergentes. En este escenario, las prácticas de seguridad y control de la información no pueden seguir concentradas (exclusivamente) en los controles de acceso y deben evolucionar con la dinámica social propia de las organizaciones de este nuevo milenio.

En este sentido, los programas de seguridad de la información y aquellos relacionados con la privacidad o protección de los datos personales, deben consultar la dinámica social de la empresa, la forma como se entiende la información y los significados que ella tiene para los empleados y colaboradores de la organización. Amén de lo anterior, las iniciativas de protección que se decidan implementar deben estar fundadas en ese tejido de conversaciones identificado para conjugar las prioridades empresariales con estrategias socialmente significativas y válidas, que aumente la efectividad de las propuestas técnicas livianas, sencillas y efectivas.

Frente a esta realidad cambiante de las relaciones sociales y las condiciones del entorno empresarial, se hace necesario conceptualizar algunos dilemas propios de la seguridad de la información (igualmente aplicables a la privacidad de los datos) que procuren fundar una agenda de investigación de mediano y largo plazo, que ofrezca luces sobre la forma como se deben articular los esfuerzos corporativos desde el tenor de los procesos y las lecturas concretas de las personas sobre el aseguramiento de la información, y así complemente los esfuerzos que en el contexto tecnológico y de prácticas técnicas emergentes se vienen efectuando.

Los dilemas son posiciones encontradas, naturales y propias de las relaciones humanas, así como de las situaciones y actuaciones excepcionales que se pueden tener en el contexto de la operación de un proceso organizacional o en la vida en general. De esta forma, se busca ilustrar las posiciones que se advierten en el escenario de la protección de la información y establecer provocaciones académicas y prácticas que abran rutas alternas de discusión y cambien la dinámica de las discusiones actuales alrededor de los temas de seguridad y privacidad de la información.

Así las cosas, este documento establece un conjunto de cinco (5) dilemas de la seguridad y privacidad de la información como una plataforma académica que permita comprender los referentes actuales sobre la protección de la información y promueva una mayor comprensión de la inevitabilidad de la falla desde diferentes tensiones provocadas por la imaginación e imaginarios de los individuos y sus posibilidades.

Figura 1. Dilemas en la protección de la información

Dilema No.1 - Funcionalidad y seguridad, uno implica el compromiso del otro.
Este primer dilema es una discusión que ha acompañado a la seguridad de la información desde sus inicios. Para algunos, esta situación ha sido una realidad donde encontrar el famoso punto medio no ha sido fácil y continúa siendo uno de los retos donde tanto empresarios como especialistas en protección de la información no establecen puntos de encuentro.

Cuando se privilegia la funcionalidad sobre la seguridad en los diferentes ámbitos de la vida empresarial, es claro que habrá mayor movilidad y celeridad para tomar decisiones, sabiendo que habrá riesgos (algunos conocidos y otros no) los cuales serán asumidos por la corporación si se llegan a materializar. En un mundo de cambios constantes, moverse a la velocidad del mercado es una virtud y ventaja, que todos quieren alcanzar, como quiera que quien primero lograr conquistar la dinámica del entorno, es el que tiene el sitio más privilegiado para actuar y tomar posición de las oportunidades.

Cuando es la seguridad es la escogida, la organización entiende que tendrá que establecer protocolos y formalidades que le darán una mayor capacidad y fortaleza en sus actuaciones. Estará menos expuesta a los vaivenes de los escenarios adversos y si algo no esperado ocurre, tendrá la capacidad de responder y sobreponerse, limitando sus posibles pérdidas y movilizando sus estrategias para posicionarse en medio de la crisis, cuando otros sólo pueden estar concentrados en atender la situación no prevista y perder de vista el movimiento del entorno.

Si la respuesta es que se requieren la dos, cada uno deberá ceder parte de su protagonismo y limitar sus posibilidades. Bien dice la sabiduría popular, que “no podemos tener lo mejor de los dos mundos” y, por tanto, habrá concesiones que cada distinción deberá hacer y por tal motivo la propuesta final estará limitada en su ejecución y habrá que mirar, de las alternativas y posibilidades que se han eliminado, cuánto es capaz de aceptar y operar tanto una organización como las personas, sabiendo de antemano el nivel de exposición al riesgo que esta decisión implica.

En esta encrucijada, se advierte un rango de posibilidades y tonos de grises que pueden ser explorados y explotados por las empresas, para privilegiar decisiones que aumenten bien la resiliencia de las empresas y sus procesos, o bien se lancen a conquistar entornos altamente dinámicos e inestables, asumiendo riesgos operativos y estabilidades empresariales, los cuales si salen como lo han planeado, pueden alcanzar importantes posicionamientos estratégicos o por el contrario, aterrizajes forzados que afecten la viabilidad de la empresa en el mediano y largo plazo.

Tomar posiciones extremas en estas temáticas, dejan de lado el buen criterio del “hombre negocios”, el cual debe velar por una visión equilibrada y ajustada a la realidad, que le permita a la empresa, asumir su liderazgo en el contexto de su sector negocio y mantener el debido cuidado que caracteriza a todos aquellos que han entendido el reto de la protección de la información.

Dilema No. 2 - Costos e inversiones en seguridad, una realidad implica la dinámica de la otra.
Bajo este dilema encontramos la tensión propia de las decisiones sobre la protección de la información. Estas decisiones están generalmente fundadas en el imaginario que las juntas directivas tienen de la temática. Mientras el imaginario de la seguridad y el control se encuentre en el campo de la operación, el tema será costo que debe ser optimizado y tener lo estrictamente necesario.

Si la vista de la seguridad es costo, la lectura de la información y su protección no pasará de ser un tema del área de tecnología, donde son ellos los responsables de proteger los flujos de información con la incorporación de soluciones tecnológicas. Si algo se sale de los límites establecidos y los controles fallan en su aplicación, las explicaciones deberán darlas los personajes de tecnología de información. La responsabilidad por la protección de la información está en manos de los “técnicos” y los “juguetes caros” que requieren deben ser bien seleccionados y medidos, para ver con claridad su efectividad. En este sentido la seguridad de la información se vuelve un reto por alcanzar el ciento por ciento, aun cuando en la realidad se tenga claro que no se puede.

Si la inversión es la lectura que se hace de la seguridad, el imaginario de la junta directiva no está concentrado necesariamente en la eficiencia de la misma, sino en el desarrollo de capacidades de mediano y largo plazo. Una inversión generalmente se hace con margen de riesgo, con una revisión en perspectiva, que le permite tener una vista de lo que puede ocurrir. Ninguna inversión se hace sin riesgo y en seguridad de la información no es la excepción. En esta lectura la seguridad es una apuesta de la organización para aumentar su resistencia a los eventos inesperados y abrir la oportunidad para la preparación para actuar de la mejor forma cuando algo no previsto se manifieste.

Como todo en las organizaciones termina siendo un balance entre inversiones y costos, entre “Capex y Opex”, como afirman los de finanzas, la seguridad de la información tiene una realidad compleja para concertar (Krausz y Walker, 2013), pues entrar a medir su efectividad basada en niveles de protección o efectividad de las plataformas instaladas, no muestra con claridad la disminución de la incertidumbre del entorno, sino la capacidad instalada para contener lo conocido. De igual forma, las inversiones basadas en el nivel de riesgo proyectado, tienen la inestabilidad de situaciones como las vulnerabilidades de “día cero” no advertidas por los mejores pronósticos, que comprometen los mejores análisis que se tengan disponibles.

Así las cosas, la vista de costos e inversiones en seguridad de la información deberá estar asistida por el entendimiento de la inevitabilidad de la falla, por un umbral permitido de riesgo, de falla y de situación incierta, sobre la cual se construya una vista, que no puede ser estática, sino que debe responder a una evaluación periódica de las tendencias estructurales vigentes y emergentes que permitan afinar la brújula de la inversión requerida y así actualizar los retos propios de los costos, muchos de ellos no solamente en artefactos tecnológicos, sino en cambios de comportamientos humanos.

Dilema No.3 - La evolución de las tecnologías de información y el cibercrimen, una bondad que puede ser aprovechada por su contraparte.
Los avances tecnológicos establecen las nuevas fronteras del conocimiento y las novedosas formas alternas de hacer que las cosas pasen. Conforme la tecnología aparece y sus usos convencionales se revelan, existen mentes asistidas por “el lado oscuro de la fuerza” que se preguntan por usos “poco convencionales” de las soluciones tecnológicas, que violentan y quiebran el modelo sobre el cual fueron concebidas para recrear nuevas posibilidades que, cuando son utilizadas para fines positivos en la sociedad establecen puntos disruptivos que cambian la forma de hacer la cosas, o de lo contrario, crean contextos de zozobra e inquietud por los efectos contrarios que pueden darle a su propuesta, afectando los derechos y dignidades de los individuos (Goodman, 2015).

Es claro que el hombre, como naturaleza caída, tiene la tendencia natural hacia aquello que no es lo más generoso y santo, sin embargo en su lucha permanente con el reconocimiento del otro, encuentra momentos que le permiten conectarse con esa realidad y es allí, donde la tecnología puede favorecer los mejores instantes para construir y desarrollar productos y servicios que cambien la forma de hacer las cosas y crear condiciones de comunicación y encuentro superiores a las que se tienen en el momento.

Sin perjuicio de lo anterior, las conductas contrarias a la ley y aquellas que confrontan el orden establecido a través de artimañas informáticas, que terminan afectando a los individuos en sus libertades y derechos, establecen una referencia nueva para la sociedad y el derecho, que implica no solamente comprender los acuerdos sociales de convivencia vigentes, sino las técnicas que son utilizadas por los nuevos delincuentes informáticos para desestabilizar la armonía y la concordia en medio de la sociedad. Sus actuaciones, generalmente focalizadas con fines poco conocidos, dejan en evidencia no sólo las fallas de las tecnologías, sino la debilidad y limitación de los comportamientos humanos frente a los engaños e intimidaciones.

Mucho se podría hablar del cibercrimen, de la forma como actúa, de las técnicas que utiliza para concretar sus acciones, elementos que ofrecería un panorama amplio para conceptuar tendencias en este sentido (Medina y Molist, 2015), sin embargo no se alcanzaría a dimensionar sus posibilidades como quiera que la creatividad e innovación son prácticamente infinitas a la hora conjugar las intenciones del “lado oscuro de la fuerza” como los nuevos desarrollos tecnológicos.

En este entendido, el cibercrimen es una propiedad emergente del sistema social donde habita la humanidad, donde diferentes tipos de relaciones y perfiles dan cuenta de los desarrollos tecnológicos como medios para fundar nuevas oportunidades, muchas de ellas privilegiando el bien particular y no el bien general. No podemos esperar que esta realidad propia de los conglomerados sociales, se pueda eliminar por completo, pues estaríamos ante una contradicción frente a la génesis del origen de la humanidad.

Por tanto, es necesario considerar aquellas acciones contrarias que el cibercrimen pueda plantear, para efectuar una lectura diagnóstica de lo que ocurre y enriquecer los nuevos discursos de “defensa activa” que aumente la fortaleza y efectividad de los patrones de defensa y resiliencia que las organizaciones requieren en un entorno agreste y contradictorio (Goodman, 2015).

Dilema No. 4 - Regulación e innovación en seguridad, un reto de balance entre previsibilidad e incertidumbre.
Ante la divergencia de escenarios y entornos de operación que las empresas tienen a la fecha, y la necesidad de los mercados para tener una vista homogénea de la forma como las organizaciones enfrentan la incertidumbre de sus ambientes empresariales, las regulaciones y normativas aparecen como la estrategia de entes globales o multinacionales para tratar de concretar un conjunto de prácticas que les permitan valorar o medir la forma como una empresa se comporta y maneja sus condiciones corporativas, que den la confianza a sus inversionistas o motiven a otros a hacer nuevas apuestas en dicha empresa.

Las regulaciones imponen una forma particular de hacer las cosas, una práctica estándar que dice a los demás que pertenecen al mismo “club” que se está actuando de la forma adecuada y con un nivel de riesgo calculado. Cuando una empresa, se ajusta a las condiciones de su regulador, establece un régimen de actuación que exige comportamientos propios de las personas y acciones concretas cuando los procederes de los individuos se desvían de lo previsto. Todo ello lo que busca es disminuir la incertidumbre de las operaciones y aumentar la previsibilidad de los resultados, habida cuenta que los inversionistas quieren estar tranquilos con sus inversiones y la protección de sus intereses en la corporación.

Mientras las regulaciones demandan un cumplimiento de estándares de seguridad y control, que muestren el debido cuidado de la empresa respecto de los riesgos conocidos y validados desde la práctica internacional, las tendencias desconocidas o emergentes quedan relegadas a ejercicios posteriores o muchas veces inexistentes de las organizaciones. En este sentido, la innovación propia de la seguridad de la información, fundada en el cuestionamiento de los supuestos de los estándares y el reto de los modelos vigentes, es una práctica que se convierte en una apuesta arriesgada que aumenta la probabilidad de error y el compromiso de los controles actuales.

Mientras la regulación se funda un cumplimiento de una lista de controles y el aseguramiento de su efectividad, es decir en una pedagogía del éxito, donde el error es una situación contraria que compromete la efectividad de la práctica establecida; la innovación se concentra en la sabiduría del error, en la motivación de escenarios límite para probar y experimentar, donde la falla y la vulnerabilidad abre espectros de aprendizaje y renovación antes ignorados que fundan nuevas formas de entender el control y asegurar mejores niveles de protección de la información.

Por tanto, conjugar la regulación con la innovación, demanda una vista corporativa que sea flexible a la experimentación y pruebas de situaciones novedosas que aumenten el entendimiento de las prácticas de los atacantes, con una formulación abierta y de permanente actualización de la normativa disponible, que desacople el cumplimiento los requisitos de exigencias externas, como a base para continuar aprendiendo y fortaleciendo las prácticas de seguridad y control internas de la empresa.

Dilema No. 5 - Recolección de datos, control de armas y privacidad, implicaciones de un nuevo orden global.
Bien anotan Hagel, Brown y Wooll (2015) que no es fácil establecer los patrones de las nuevas disrupciones, identificar lo que podría ser un disruptor implica necesariamente explorar más allá de los límites de las tendencias conocidas y asumir la incertidumbre como la maestra de aquellos que quieren crear nuevas propuestas de valor. En este sentido, conquistar o revelar las oportunidades del futuro significa tener claridad de una nueva mentalidad digital (Schmidt y Cohen, 2014), que transforma todo lo que toca y posibilita las caídas de barreras autoimpuestas que dejan al descubierto aquello que era ignorado y ahora es relevante.

La mentalidad digital demanda mirar al mundo conocido desde tres puntos clave: las regulaciones, la cultura y la tecnología (Raskino y Waller, 2015, p.47). Cada uno de ellos permite interconectar las tendencias identificadas para crear un escenario posible, donde se pueda construir distinciones inéditas que establezcan potenciales fuentes de oportunidad para las empresas y movimientos de los mercados hacia zonas de crecimiento inesperado.

Este es el caso de la nueva carrera armamentista que construye “ciber armas” como fundamento de una posición vigilante y garante de las naciones frente a una amenaza informática, que se mantiene latente y activa. De igual forma, la recolección de datos a través de la red en diferentes puntos y países del globo, en donde los temas de privacidad adquieren una relevancia particular, como quiera que los derechos humanos y la protección de sus datos personales, se encuentran enraizados en regulaciones que exigen tratamientos adecuados y formales para sus titulares.

Estas tendencias tecnológicas, políticas y sociales, establecen retos particulares para la seguridad de la información y sus practicantes, como quiera que se advierten implicaciones claves en la regulación, la cultura y la tecnología. Si bien los nuevos estados-nación cuyas fronteras son imperceptibles en el contexto de lo digital, configuran propuestas de seguridad y control en un dominio que aún no se conoce en su totalidad, las regulaciones tratan de hacer lo propio con importantes limitaciones e incertidumbres y la tecnología habilita posibilidades que no pueden ser claramente delineadas y ajustada con los marcos legales existentes, es claro que estamos en terrenos movedizos que requieren una postura flexible que no renuncie a lo establecido, sino que lo potencie para anticipar el futuro.

Pensar en estas nuevas posibilidades y la manera como la información fluye y se concretan nuevas formas de crean valor para las organizaciones y las personas, es habilitar las puertas a un pensamiento relacional, que conecta las expectativas de los clientes con las plataformas tecnológicas de las organizaciones, reimaginando mundos probables que construyen nuevos imaginarios sociales donde los datos articulan e influencian las regulaciones vigentes y futuras, motivan tejidos sociales, ahora digitales, esto es, conectados con las necesidades y expectativas de las personas, que posibilitan la aparición de tecnologías disruptivas, las cuales no atentan contra lo establecido, sino que confirman la expectativa de un conglomerado social.

En este contexto, la seguridad de la información no es una limitación en sí misma, sino una dinámica inmersa en el imaginario social que se construye desde la responsabilidad de uso de los datos, desde el reconocimiento de las expectativas legítimas de los otros sobre el acceso y sobre manera, el respeto sobre el tratamiento digital de la información, como fundamento de la tecnología digital disponible, la cual no ignora los derechos y garantías individuales, sino que habilita las funcionalidades requeridas para conectar los puntos de generación de valor claves para las organizaciones y el mundo digital que acopla las regulaciones que salvaguarda las promesas de cuidado de la identidad digital de cada ciberciudadano.

Reflexiones finales
Los cinco dilemas presentados establecen un referente de las tensiones propias de la seguridad de la información y los retos que deben asumir todos aquellos que trabajan en esta área del conocimiento. Como se puede observar, cada uno de ellos es una lectura contradictoria, donde cada lado del dilema interroga al otro, como fuente de una conversación necesaria para poder motivar lecturas diferentes de la protección que permitan acompañar la evolución natural de la práctica y las posibilidades de aseguramiento que se puedan plantear.

En este escenario, por demás volátil, incierto, complejo y ambiguo (Johansen, 2009), la seguridad de la información debe concretar diálogos extendidos con diferentes disciplinas sociales y políticas habida cuenta que superar sus propios dilemas, implica reconocer que carece de las herramientas necesarias para darles forma. Esto es, habilitar una conexión con otras áreas del conocimiento para complementar el entendimiento que se tiene hasta el momento de la práctica de protección de la información y explorar nuevas opciones que potencien las propuestas actuales.

Cuando la seguridad de la información, consulta sus inicios y encuentra que su asidero conceptual se funda en elaboraciones matemáticas y tecnológicas, sabe que la ruta de evolución le exige transitar por terrenos menos definidos como consecuencia de la presencia de los individuos y sus comportamientos (Roer, 2015)  como elemento conexo de la realidad del proteger, lo cual verifica la tensión fundamental que enfrenta toda sociedad como lo es “proteger o compartir”.

Así las cosas, no es descabellado pensar que en un futuro cercano muchas de las ciencias sociales estarán volcadas al estudio de la seguridad de la información, como objeto de estudio relevante, habida cuenta que la sociedad de la información y el conocimiento, reconoce que la información es un activo y como tal demanda una serie de prácticas y comportamientos que deben estar ajustados con principios éticos y de convivencia, que necesariamente corresponden a bienes superiores de una sociedad ahora en formato digital.

En consecuencia, cada uno de los dilemas planteados establece una ventana de oportunidad para concretar investigaciones que funden nuevas formas de conocer y explorar las fronteras de la protección de la información en un mundo digital. Lo anterior, es un llamado para motivar lecturas transdisciplinares (cruzando disciplinas del conocimiento) (Huerta, Zambrano, Pérez y Matsui, 2014) de los profesionales de la seguridad de la información sobre sus propios estándares y habilitar nuevas posibilidades para repensar la dinámica de sus reflexiones alrededor del aseguramiento de la información.

Referencias
Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
Hagel, J., Brown, J. y Wooll, M. (2015) Patterns of disruption. Anticipating disruptive strategies in a world of unicorns, black swans, and exponentials. Research Report. Deloitte University Press. Recuperado de: http://dupress.com/articles/anticipating-disruptive-strategy-of-market-entrants/
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Krausz, M. y Walker, J. (2013) The true cost of information security breaches and cyber crime. Cambridgeshire, UK: IT Governance publishing.
Medina, M. y Molist, M. (2015) Cibercrimen. Aprende de víctimas, expertos y cibervigilantes. Barcelona, España: Tibidabo Ediciones.
Raskino, M. y Waller, G.  (2015) Digital to the core. Remastering leadership for your industry, your Enterprise, and yourself. Brookline, MA. USA: Bibliomotion Inc.
Roer, K. (2015) Build a security culture. Cambridgeshire, UK: IT Governance publishing.
Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.

domingo, 13 de diciembre de 2015

Cultura organizacional de seguridad de la información. Más allá de las implementaciones tecnológicas.

Introducción
La evolución de las amenazas a la seguridad de la información establece un reto permanente para sus ejecutivos. Mientras aparecen nuevas “startups” con novedosas propuestas para anticipar nuevos vectores de ataque e instituir prácticas proactivas frente a situaciones novedosas de la inseguridad de la información poco se revela al público sobre los avances en la cultura organizacional de seguridad de la información.

La Cultura Organizacional de Seguridad de la Información (COSI), es un elemento que los estudios internacionales mencionan como relevante para aumentar la resistencia de las empresas frente a los ataques, pero son limitadas las reflexiones que sobre ella se hacen, como quiera que es un tema que demanda habilidades en el contexto social y reflexiones desde la perspectiva humana, conocimiento que no es natural en los equipos de seguridad y control a nivel internacional.

Pareciera que la COSI es un tema que todos saben se debe estudiar y desarrollar, pero una limitada población de especialistas se arriesga a revisarlo en profundidad, habida cuenta que sus resultados no generan noticias con impactos mediáticos, sino propuestas y estrategias que exigen cambios de actitud y lecturas renovadas de la información, lo cual no resulta atractivo para aquellos que requieren motivar fondos para las iniciativas de aseguramiento de la información.

La cultura organizacional de seguridad de la información se configura, de esta forma, como la fuente base de la transformación de las prácticas de protección de la información que trabaja “detrás de cámaras” produciendo imaginarios sociales que provocan comportamientos que son el reflejo de la forma como la información pasa de ser un recurso más de la empresa, a configurarse como un activo estratégico y determinante para la estrategia de la compañía.

Mientras el discurso del “miedo, incertidumbre y dudas”, sigue haciendo carrera en las presentaciones ejecutivas, ahora mediado con un mensaje certidumbre de los resultados que se pueden obtener de las tecnologías de nueva generación, con el fin de darle tranquilidad a los ejecutivos de primer nivel y ver cómo se justifican las inversiones que se hacen para aumentar la resistencia a los ataques de las empresas; la argumentación basada en “hechos, observaciones, anécdotas y metáforas” (Rose, 2013) establece una referencia más situada en la realidad de la empresa, que permite recabar en las representaciones compartidas que ésta tiene respecto de sus esfuerzos en seguridad de la información.

Así las cosas, la COSI es una realidad compartida en cada individuo de una empresa, que representa la forma como se entiende y maneja el aseguramiento de la información en el desarrollo de sus procesos, lo cual determina el escenario de acción y la superficie de expansión de las brechas de seguridad y control que la compañía puede tener y los impactos que se pueden ocasionar.

Por tanto, este documento buscar recabar en aspectos inherentes de la cultura organizacional de seguridad de la información, no para sentar una posición sobre el entendimiento de la misma, sino como una exploración de posibilidades de comprensión y análisis que den cuenta de las preocupaciones de las empresas frente al tratamiento de la información, más allá de las implementaciones tecnológicas (requeridas y necesaria) para mantener una postura de seguridad y control acorde con el nivel de riesgo de la empresa.

Cultura Organizacional de Seguridad de la Información. La otra desconocida.
Cuando las personas hablan de la COSI, hablan de su experiencia particular en el tratamiento de la información, hablan de la forma como su práctica se hace realidad en cada uno de los contextos organizacionales. Sin perjuicio de lo anterior, la COSI sigue siendo la gran desconocida habida cuenta que pasa desapercibida en medio de la dinámica empresarial y los componentes tecnológicos de la seguridad informática.

Si bien existen muchas teorías alrededor de la cultura organizacional y estrategias para su desarrollo, pocos estudios se han concentrado en estudiar la que es propia de la seguridad de la información. El profesor Schein (2004) del MIT, uno de los estudiosos más relevantes en temas de cultura establece un modelo base para comprender la cultura de una organización. El académico anota que una cultura organizacional se construye a partir de aquello que la gente cree, lo que las personas hacen y lo que los individuos ven, elementos que han sido de interés por muchos investigadores, algunos de ellos en el tema de la protección de la información.

Cada vez que los individuos actúan, revelan la forma como la información se asume dentro de los procesos de la empresa, manifiestan sus actitudes alrededor de la protección de los datos, exponen sus creencias sobre la seguridad y el control, manifiestan los valores que representan al efectuar su tratamiento y confirman la responsabilidad que tienen frente a ella. En este sentido, explorar los fundamentos de la COSI implica revisar los comportamientos de las personas, lo cual necesariamente nos interroga sobre la forma como ellos adquieren y desarrollan una competencia en la gestión segura de la información.

Esta competencia denominada “gestión segura de la información” (Cano, 2015) se entiende como una competencia genérica, es decir “aquellas que permiten a los individuos desarrollarse como personas, y desenvolverse exitosamente en la sociedad y el mundo que les tocará vivir (…)” (Lozoya, 2012, p.36). En la sociedad de la información y el conocimiento, la dinámica digital exige que la información, como activo relevante para los conglomerados sociales modernos, tenga un tratamiento adecuado, no solamente cuando de datos personales se trate, sino en cualquier situación que demande un manejo de información, como quiera que ella es la nueva moneda “glocal” (global y local) (Roberson, 2005) que desencadena acciones que pueden terminar en grandes logros o impactos contrarios importantes.

Cuando planteamos la COSI desde la realidad local, es decir, desde la construcción diaria de significados alrededor de la protección de la información, estamos reconceptualizando la vista de la información en las empresas. Esto es, se conectan los imaginarios de las personas en el escenario y contexto de la organización, con las declaraciones corporativas que soportan el gobierno corporativo, para motivar la transformación de entendimientos individuales que afectan la forma como la información se usa y moviliza las decisiones de las compañías.

Por tanto, la COSI como realidad latente y emergente propia del flujo de la información en las empresas, establece el referente de control suave que articula las relaciones de las personas, no solamente desde el cumplimiento normativo y el entendimiento de su responsabilidad, sino en la comprensión y apropiación de los riesgos, los cuales determinan la forma en que un individuo aprende a conocer, a hacer, a participar y a elegir sobre la protección de la información, aún en situaciones inciertas que confronten su referente conceptual de seguridad de la información.

La pedagogía del error como base de la COSI
Lo más natural en el desarrollo de la vida académica y profesional es la tendencia hacia el error, hacia aspectos que dejan en evidencia las limitaciones de aquello que se conoce y que manifiesta aspectos desconocidos de la realidad antes inexplorados. Sin el error, no es posible ver el otro lado de la distinción de lo que se denomina “realidad”, pues todo aquello que funciona como se espera y se ajusta a la experiencia previa, no tiene oportunidad de revisión hasta algo no opere de la forma prevista.

Anticipar el error, motivar la falla y el comportamiento inesperado en los estándares de seguridad y control, es una práctica que supone poner a prueba la “realidad” de los controles establecidos y llevar al límite los supuestos sobre los cuales funcionan las cosas. En este escenario, el error se convierte en una virtud que motiva una vista diferente que saca fuera de la zona cómoda a la empresa y confirma la teoría de la inevitabilidad de la falla.

Una COSI que se funda en la pedagogía del error y no en la pedagogía del éxito (cumplimiento de objetivos y resultados) (De la Torre, 2004), está llamada a mantener un nivel de confrontación permanente de la realidad en cada uno de sus integrantes y como una forma de aumentar el nivel de sensibilidad de sus actuaciones, sabiendo que cada vez que se rompe un supuesto de aseguramiento, existe una oportunidad para construir y repensar “el uso adecuado de la información”.

En este entendido, la falla en un comportamiento, la debilidad identificada en algún mecanismo técnico o la falta en un procedimiento, se convierte en ocasión de aprendizaje, es decir, un quiebre que suspende la realidad e interroga tanto a la persona como la organización para revisar los fundamentos del modelo de protección. Lograr este nivel de conceptualización del error, demanda una madurez en la COSI, una lectura de la información como bien trascendente, donde las actuaciones individuales afectan no solo a la organización sino a otros.

Así las cosas, la sabiduría del error se contrapone con la lectura de aquellos que cumplen sin mediar palabra los procedimientos y reglas impuestas. Mientras existen personas que actúan con arreglo a los referentes normativos y mantienen el orden propio de la empresa, habrá otras que con seguridad buscarán formas alternas de hacer las cosas “más rápido” y menos complicadas. Esto es, estarán concentradas en el producto, generando la menor incertidumbre y procurando que el usuario final sea más independiente.

Cuando la pedagogía del error, es el eje de construcción de la COSI, entendemos siguiendo a De la Torre (2004), que “el error es un desajuste entre lo esperado y lo obtenido. (…) una referencia a un criterio, norma o valor; pero no comporta actitud sancionadora ni punitiva (…)”, lo que denota una lectura alterna que procura un entendimiento diferente de lo que ha ocurrido, una posibilidad de un conocimiento más profundo de la práctica de seguridad y no sólo una falla del sistema de gestión que debe ser subsanada.

Conectando la COSI con el gobierno de la seguridad de la información
La evolución de las amenazas informáticas y los novedosos vectores de ataque, terminan afectando las responsabilidades de los cuadros directivos de las organizaciones. Mientras las inversiones en tecnologías de seguridad informática de nueva generación son implementadas, poca atención recibe la Cultura Organizacional de Seguridad de la Información, dado que ésta se asume dada por cada una de las personas en las empresas y las prácticas deberían ser parte natural de las actuaciones de cada uno de los colaboradores.

Recientes investigaciones nos indican que al menos existen cuatro imaginarios (Cano, 2015b) en las organizaciones que revelan la postura de las personas frente al tratamiento de la información. Esta construcción social establece un modelo de actuación latente y propio del contexto de las empresas, que debe ser examinado para fundar las bases de un gobierno de la seguridad de la información ajustado a la realidad de la compañía y su escenario de negocio.

Dos de los imaginarios entienden que la responsabilidad por la protección de la información es personal y dos que está en manos de la empresa. Mientras los dos últimos, denominados “los complacientes y los temerarios”, son la típica postura negativa y arrogante de la práctica de seguridad de la información donde expresiones como “si usted quiere que proteja esto, deme los mecanismos necesarios” o “aquí no ha pasado nada en 20 años y ahora viene usted con prácticas de seguridad y control” son parte de la vista confiada y delegada en un tercero que apuesta por una seguridad en manos de otro, donde la participación de la persona es solamente una casualidad.

Así como existen los “complacientes y temerarios”, se encuentran los “bien intencionados y conscientes”, los cuales, al contrario de los primeros, entienden que tienen una responsabilidad personal con la protección de la información, aunque para los “bien intencionados” no se tenga claridad sobre los impactos que se generan cuando no actúan de forma adecuada. En este sentido, las brechas de seguridad de la información no solo consultan las posibilidades técnicas de éxito, sino la fuente misma de la debilidad de la cadena que es el ser humano.

Si lo anterior es correcto, los principios de gobierno corporativo de las empresas deben indagar sobre la dinámica de las estructuras organizacionales actuales (Wharton, 2015) e interpretar las prácticas sociales vigentes alrededor de la protección de la información, que habilite una postura de falla segura en los procesos de la empresa. Esto es, conectar la cultura empresarial con los riesgos claves de los procesos y motivar una práctica de “pruebas de mal uso” que aumente la capacidad organizacional para actuar frente a situaciones inesperadas e inciertas.

El gobierno de la seguridad de la información por tanto debe crear una vista enriquecida que promueva el diagnóstico, habilitando la confianza para construir sobre aquello que no está bien, es decir comprender la falla que se identifique como “un incidente esclarecedor del proceso” (De la Torre, 2004). De esta forma, las posibles limitaciones de los procesos empresariales se convierten, como lo aborda De la Torre (2004) en categorías de información en un campo de significaciones compartidas que motivan posturas creativas para repensar el proceso mismo.

Reflexiones finales
La cultura organizacional de seguridad de la información, no puede seguir siendo el tema que todos los consultores, practicantes de la seguridad, académicos y ejecutivos empresariales saben que deben abordar, pero que no se toman el tiempo para establecer acciones concretas que la impacten y motiven su madurez.

Mientras mayor sea la distancia entre lo que la organización “hace y práctica” alrededor de la protección de la información y lo que realmente ocurre a nivel del proceso y la dinámica del negocio mismo, mayor será el espacio para que la inevitabilidad de la falla construya vectores de inestabilidad y vulnerabilidades que se integren al imaginario social y comprometan la práctica misma de la seguridad de la información de la empresa.

Si entendemos que toda acción humana está centrada en una construcción cognitiva y social y que, com anota Luhmann (2006, p.77) “toda evaluación de riesgo es y se mantiene como algo sujeto al contexto. No existe ni psicológicamente ni bajo las condiciones sociales dominantes una preferencia positiva o negativa del riesgo (…)”, se hace necesario establecer una vista extendida de lo que se entiende por seguridad de la información y concentrarse en el asidero fundamental de la protección de la información como lo es el ser humano y su contexto.

En consecuencia, las preocupaciones actuales de las empresas sobre los ataques exitosos que generan brechas de seguridad y afectan su imagen corporativa, no solo debe estar asistida por inversiones claves en tecnologías modernas de protección de corte proactivo, sino también de un conocimiento detallado de la cultura organizacional de seguridad de la información, donde se encuentra el tejido social relevante de la protección de la información, que debe ser cultivado y fortalecido desde los referentes de responsabilidad personal y construidos sobre la pedagogía del error, es decir, aquella que orienta y guía los aprendizajes.

Referencias
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5
Cano, J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología. Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558 (Formato web). Recuperado de: http://bit.ly/1OjMBh6
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.
Lozoya, E. (2012) ¿Cómo implementar y evaluar las competencias genéricas? México, México: Editorial Limusa. Noriega editores.
Luhmann, N. (2006) La sociología del riesgo. México, México: Universidad Iberoamericana e Instituto Tecnológico y de Estudios Superiores de Occidente.
Roberson, R. (2005) The conceptual promise of glocalization: commonality and diversity. Revista ART-e-FACT. Strategies of resistance. 4. Recuperado de: http://artefact.mi2.hr/_a04/lang_en/theory_robertson_en.htm
Schein, E. (2004). Organizational culture and leadership. Third Edition. San Francisco, CA: Jossey-Bass.
Wharton (2015) Corporate governance in the age of cyber risk. Recuperado de: http://knowledge.wharton.upenn.edu/article/corporate-governance-in-the-age-of-cyber-risks/