domingo, 12 de junio de 2016

Repensando el entrenamiento en seguridad de la información. La acción educativa como paradigma integración entre teoría y práctica

Introducción
Revisando el reciente informe de Ponemon (2016), patrocinado por Experian, publicado en mayo de 2016, sobre el manejo del riesgo interno a través del entrenamiento y la cultura, queda en evidencia que los programas de entrenamiento en seguridad y privacidad de la información de las empresas requieren una revisión en profundidad.

Las estadísticas indican que las brechas de seguridad se ocasionan por la falta de cuidado o negligencia de los empleados al exponer información sensible o al caer en los engaños de los ataques de phishing. Estas realidades muestran que las estrategias educativas utilizadas no están transformando las prácticas de las personas y sólo les están entregando información base sobre lo que debería ser.

Si la estrategia que se sigue para motivar cambios en las acciones de las personas en la protección de la información están articuladas en un currículo detallado de temas a cubrir, clases magistrales y validación de conocimientos mediante aprobación de exámenes, la seguridad de la información y la privacidad terminan siendo una temática más a cubrir dentro de los entrenamientos que las personas deben tomar para asegurar que, por lo menos, conocen sus responsabilidades frente al tratamiento de la información.

En este sentido, los procesos de entrenamiento o formación en seguridad y privacidad, se desconectan de la práctica real de las personas, privilegiando la repetición de un conjunto de conceptos y conocimientos, los cuales deben ajustarse a los estándares mínimos que la empresa tiene respecto del tema. Por tanto, los contenidos del entrenamiento se convierten en la tabla memorizada de lo que significa proteger la información y la forma como la persona le dice a la empresa que ha cumplido con la exigencia del curso asignado dentro de su plan de formación.  

Con este panorama y entendiendo que cada empleado es un “depósito de conocimiento”, en el cual cada uno debe tomar las acciones más adecuadas, los procesos de capacitación en seguridad y control se convierten en la extensión de una lectura mecánica de la organización, donde en el aula, de manera descontextualizada, se trata de “inyectar” los conceptos propios del aseguramiento de la información, esperando que los comportamientos cambien por el sólo hecho de haber aprobado con una calificación mínima las pruebas que se realizan para validar que sabe del tema.

Adicionalmente, el informe de Ponemon (2016) sugiere estrategias basadas en la cultura que provean incentivos para movilizar comportamientos que protejan la información ajustados a los parámetros esperados por las empresas y de igual forma, sanciones por los comportamientos negligentes que impacten las finanzas de los empleados y restrinjan beneficios alternativos previstos por la organización.

En consecuencia, este documento presenta una reflexión conceptual sobre cómo quebrar el paradigma educativo vigente en seguridad de la información e ilustrar algunas características de la acción educativa que superen la instrucción como paradigma de formación y se habilite una distinción educativa corporativa que medie la relación entre la persona y su entorno.

La formación en seguridad de la información. La vista desde la cultura organizacional basada en la administración científica
Las organizaciones herederas de la vista de la administración científica del trabajo, entienden que las personas son recursos que deben mantener un nivel de productividad asociado con las labores que tienen encomendadas. La planeación, los indicadores y los seguimientos son la realidad natural de cualquier empleado en una organización basada en el paradigma mecanicista de planteado a principios del siglo XX para las empresas.

Bajo estas condiciones, la empresa espera que los individuos conozcan los detalles de sus actividades, para lo cual establecen por lo general procedimientos y normas que definen lo que es adecuado y apropiado según las necesidades de su operación. En ese escenario, los documentos normativos buscan disminuir la incertidumbre de la actuación de las personas y volver predecible el comportamiento de aquellos.

De otra parte, esta estrategia de delimitación de acciones individuales, le indica al sujeto un referente particular de la realidad que está validado por el contenido del documento, limitando su capacidad de crítica o cuestionamiento sobre lo que allí se expone, creando un imaginario que se comparte en el hacer de sus actuaciones corporativas y que, por lo general, viene asistido por sanciones que censuran a todos aquellos que no se ajustan con dicho lineamiento.

En consecuencia, si se requiere formar o instruir a una persona en esta lectura empresarial, necesariamente debe atender a los métodos de aprendizaje que aseguren que las personas son capaces de memorizar y repetir los conceptos claves de lo que requieren hacer y que conocen de forma explícita las actividades que deben realizar para asegurar que el proceso se cumple de la forma especificada y los resultados son los esperados.

Habida cuenta de lo anterior, si entendemos que la educación, como dice John Ruskin, no significa enseñarle a una persona algo que no sabía, sino convertir en alguien que no existía, los procesos de formación o instrucción corresponden a prácticas que crean líneas base de conocimientos y referentes de cumplimiento normativo, para disuadir a un individuo que se ajuste a un comportamiento esperado por la empresa y por tanto, concordar con el modelo de actuación que ella quiere.

Las bondades de las estrategias de formación e instrucción previamente comentadas, permiten a los participantes saber qué tanto conocen la forma cómo la empresa quiere asumir la incertidumbre del entorno y la forma como serán evaluados sus comportamientos en desarrollo de las actividades propias de sus cargos. En contraste, las personas no tienen espacio para pensar, ni proponer alternativas de ajuste como quiera que es la empresa la que define lo que es pertinente y relevante para sus empleados.

Educando en seguridad de la información. La acción educativa como fuente de transformación del comportamiento individual
De acuerdo con Castillejo (1987) la acción educativa busca provocar en el individuo “estructuraciones, integraciones u organizaciones” para motivar una reintegración funcional de la teoría con la práctica. Entender esta lectura educativa como una vista integrada, permite al individuo reconocerse como parte de un entorno donde actúa y referenciar sus conocimientos propios sobre su saber particular frente a las decisiones que debe tomar.

En consecuencia, la acción educativa debe atender los siguientes elementos claves: (Colom y Núnez, 2005, p.121-126)
  • Conseguir la finalidad educativa de los procesos concretos que se desarrollan. Esto es, aspirar a una formación coherente e integral que supere la sola adquisición de conocimientos.
  • Generar en el sujeto actividades estructurantes, o conformadoras del modo de ser solicitado en los objetivos o finalidades educativas. Lo anterior, demanda la elaboración de una práctica sistémica de la educación que integre la práctica con la teoría.
  • Motivar una resolución mediadora entre el sujeto y el ambiente. Lo que significa desarrollar una relación permanente con el entorno donde se encuentra que le permita adaptar, modificar, optimizar, etc., sus propias reflexiones, que aumente el repertorio de propuestas disponibles por el individuo.
  • Transferir las lecciones aprendidas a otras situaciones diferenciadas. Esto significa, generar un conjunto de nuevas prácticas generalizadas que pueden ser adaptadas a otros momentos y circunstancias como base de las actuaciones del individuo debe asumir en su devenir.
  • Ajustar de acuerdo con cada individuo, según sus capacidades y exigencias, la propuesta de formación educativa. Esto es, reconocer la individualidad del sujeto, sus singularidades y su realidad social como parte de un todo en el cual actúa y es influenciado.
  • Renovar el cuerpo de conocimientos adquirido cada cierto tiempo, reconociendo que la acción educativa no se limita a la duración de los planes de estudio. Esto demanda explorar posibilidades de formación no formal, en manos de empresas, instituciones públicas y privadas, que busque no solo adaptar a los individuos a las nuevas necesidades, sino que los habiliten para ser sujetos activos de su propio aprendizaje.
  • Desarrollar cada vez más actividades más complejas, fruto de la inestabilidad del entorno y la incertidumbre de los tiempos actuales. Lo anterior, supone que el individuo se reconozca dentro de una situación contingente social y culturalmente, lo cual le permite ser parte de las transformaciones que se producen a nivel global.

Si revisamos cada uno de estos elementos, en el contexto de la educación corporativa en seguridad de la información, estamos reconectando al individuo frente a su práctica de protección de la información, integrando los saberes propios y lecciones aprendidas de tal forma que la formación que se presenta, no es exclusiva de una lectura propuesta por la organización, sino que hace parte de una forma concreta de apropiación del concepto que el individuo asume al reconocerse parte del entorno y que tiene la potencialidad de cambiarlo desde la nueva lectura de significados que este crea frente a los saberes desarrollados.

Así las cosas, si se ha demostrado que lo que se hace se aprende más fácilmente que aquello que sólo se lee o estudia, es claro que las formaciones en el aula respecto de entrenamientos en seguridad y control no son la forma más adecuada para motivar la transformación de los comportamientos de los individuos. En este sentido, las prácticas dirigidas desde el hacer, que generen controversia y contradicción, permiten revelar las posiciones particulares de los educandos, generando un escenario dinámico donde la teoría y la práctica comparten un mismo escenario.

La acción educativa como propuesta sistémica de la formación en seguridad de la información, cambia el escenario artificial del aula como sitio donde se produce el aprendizaje, libera a los participantes del ejercicio de órdenes, obediencia y autoridad que provoca la relación estudiante-maestro, y habilita al individuo para que asuma su propia lectura de la realidad, reconociendo sus saberes previos, con el fin de provocar en él posiciones más maduras y críticas, fruto del aprendizaje que comparte cuando toma de decisiones con otros.

De modo que, la formación tradicional y escolarizada, ha demostrado generar resultados inestables y poco duraderos, como quiera que se restringe la creación de significados distintos para el conocimiento adquirido y la postura hegemónica que trae inscrita en su estrategia pedagógica, deslinda al individuo y sus saberes, tratando de imponer una realidad bajo parámetros establecidos.

Por tanto, si entendemos que el proceso de toma de decisiones es un aprendizaje en sí mismo (De Geus, 2011) y que la acción educativa se decodifica en este proceso, la formación que se plantee para cambiar los comportamientos de los individuos, particularmente en seguridad de la información, deberá llevar al participante en “la tesitura de la elección, de la decisión, (…) con el fin de que ejercite su capacidad crítica, valore cada una de las alternativas, y elija la que considere más adecuada, fundamentada en criterios de racionalidad y responsabilidad” (Colom y Núñez, 2005, p.135).

De esta manera, la acción educativa aplicada, ya no sobre la instrucción en seguridad de la información, sino desde una educación en seguridad de la información, que propicia escenarios alternativos donde el individuo se enfrenta a situaciones inciertas, inestables y cambiantes, para tomar decisiones adecuadas al contexto donde se encuentra, ajustadas moralmente a sus referentes axiológicos y asistidas por los saberes que ha apropiado en el ejercicio real de la protección de la información.

Construcción de confianza. Un ejercicio de aprendizaje en seguridad de la información
Un buen ejercicio educativo supone autoconstruir y reestructurar lo conocido, es decir, motivar una permanente lectura alterna de la realidad del entorno, para repensar y asumir la incertidumbre como fundamento de las actuaciones actuales y futuras. Un proceso de aprendizaje y desaprendizaje real, que cuestiona lo que hemos aprendido, nutre los saberes propios y reconecta la práctica con la teoría.

En este contexto, la realidad que asume la práctica de seguridad de la información en una empresa, siempre será plural, es decir “nunca tiene una causa única”, lo que significa que puede tener múltiples significados como personas puedan leer la situación y abordar su tratamiento. Así las cosas, al ser la seguridad de la información un ejercicio de reconstrucción social de la manera como cada individuo entiende y actúa frente a la protección de la información, su percepción, no solo es efecto de lo que ocurre, sino causa misma de lo que sucede.

Habida cuenta de lo anterior, no son sólo los cambios del entorno los que determinan la adaptación misma de la empresa frente a sus prácticas de seguridad y control, sino las pruebas no realizadas, las construcciones incompletas de la realidad que se han evitado terminar, las explicaciones que generan restricciones autoimpuestas y la ignorancia compartida de aquellos que se han convencido de porqué ciertas cosas no pueden hacerse o intentarse (Gore, 2012, p.67).

En consecuencia, sólo es posible movilizar cambios en las prácticas de seguridad y control, “si hay quien se atreva a instalar, aunque sea pequeñas modificaciones sostenidas en el tiempo” (Gore, 2012, p.35) de comportamientos distintos, que terminen siendo parte de la cotidianidad de la organización y sus actividades. Por tanto, lograr estos cambios demanda comprender que en cada toma de decisiones ocurre un proceso de aprendizaje, un proceso social que conecta la realidad de los participantes y permite hacer distinciones nuevas que amplíen el espectro conocido de su “saber hacer” y revelar las condiciones más trascendentes, afectadas por la calidad de los vínculos que estas tienen.

Como quiera que “cualquier desempeño individual remite a un desempeño colectivo en función del cual las contribuciones singulares cobran sentido” (Gore, 2012, p.43), la transformación de la práctica de la seguridad de la información inicia en la realidad de los individuos, en aquello que logran hacer diferente y descubrir a través de los “quiebres” de la realidad. Lo anterior, supone una incorporación de una competencia, que conecta el hacer, el pensar y el ser, permitiendo ensayos psicológicamente seguros, para cruzar los umbrales conocidos y crear nuevas propuestas para repensar sus propios fundamentos de la protección de la información.

Entendiendo que el aprendizaje es también una construcción social (Gore, 2012, p.142), las decisiones que se toman alrededor de la protección de la información deben traducirse en nuevas prácticas, las cuales deben ser aplicadas y reconocidas por aquellos que participan, así como por sus pares. Esto se convierte en un ejercicio de confianza que conecta actividades específicas del negocio y la misión de la empresa, con la evidencia que es requerida para corresponder con las expectativas que ésta tiene para el cumplimento de sus objetivos (Parenty, 2003).

De acuerdo con Perenty (2003, p.41) cuatro son los objetivos de confianza de las organizaciones:
  • Mantener la confidencialidad corporativa
  • Conocer sus contactos de negocio
  • Controlar la información y las transacciones
  • Validar las actividades realizadas y su información

Estos cuatro objetivos, en una “creciente densidad de conexiones digitales y la datificación de las actividades diarias” (Auricchio y Káganer, 2015) se difuminan de forma acelerada, como quiera que la dinámica de la realidad demanda condiciones flexibles de acceso, las cuales dan paso a una seguridad y control basado en el uso, lo cual comporta la experiencia y sabiduría digital del individuo para actuar en momentos y contextos inciertos, complejos y ambiguos, y así motivar una educación holística que reconozca la red interconectada de intereses corporativos, como el tejido digital y humano que nutre el desarrollo de la persona en lo intelectual, emocional, social, físico, creativo/intuitivo, estético y espiritual (Yus, 2001).

De donde se infiere que, la seguridad de la información no gravita sobre el reconocimiento y efectividad de las tecnologías de protección disponibles, sino en las posibilidades que se presentan cuando el aprendizaje en el tratamiento de la información implica acciones conjuntas de las personas, las cuales cambian el statu quo en contextos específicos. Esto es, configuran un sistema de protección de la información que no reside en los individuos, sino que es el patrón mismo de sus interrelaciones; una propiedad emergente que define una capacidad colectiva para comprender una situación dada y probar o falsear sus supuestos en la acción (Gore y Vázquez, 2010).

Dicho lo anterior, la acción educativa como propuesta de transformación de los comportamientos individuales en la protección de la información, parafraseando a Colom (2002) “debe iniciarse por la construcción del conocimiento de la práctica de la seguridad de la información, que es lo mismo que decir, por la construcción del conocimiento del estudiante”, con el fin de reconocer el proceso fundacional del saber individual, que permite desarrollar una propuesta académica, basada en situaciones contradictorias y abiertamente ambiguas, donde el estudiante tome las decisiones, basado en los significados construidos sobre su base de conocimiento y deconstruidas desde su contexto cultural.

Reflexiones finales
Si bien el resultado del estudio de Ponemon (2016), revela las limitaciones actuales de los programas de entrenamiento en seguridad y privacidad y sus recomendaciones apuntan a una combinación de estos, basados en el juego y la práctica lúdica, con una cultura de “garrote y zanahoria” donde los ejecutivos sean el ejemplo del reconocimiento de los riesgos propios de la inadecuada protección de la información, no orienta sobre prácticas concretas que cambien la lectura mecánica del entrenamiento actual, el cual claramente no conecta el saber y el hacer, creando un imaginario parcial y desarticulado de la forma como un individuo debe proteger la información.

Es por esto, que se introduce la acción educativa, como una propuesta sistémica de formación, que reconecta las parcelas del saber y el hacer en un mismo escenario, donde el individuo se hace uno con el entorno, y es capaz de reconocerse como parte del todo. Esta perspectiva, aplicada el mundo de la seguridad de la información, releva a la instrucción plana que se ha acuñado en las organizaciones, para crear escenarios de quiebre y cambio conceptual en las personas, para que tomen decisiones en entornos tanto conocidos como volátiles, inciertos, complejos y ambiguos.

Si aceptamos que “educar es una actividad destinada a que un hombre pueda realizarse, y que se puede entender como un sistema, pero un sistema dinámico, interactuante, que afecte incluso su propio devenir” (Colom, 1987) la formación en la empresa sobre la seguridad de la información, desde la acción educativa, debe llevar a la organización a ser un ámbito de aprendizaje. Esto es, enseña a sus colaboradores a trabajar en equipo, comparte y se nutre de los significados de sus lecciones aprendidas, motiva el pensamiento innovador frente a las exigencias del entorno y asume el error como parte del proceso de construcción de conocimiento (Gore, 2015).

Luego, el entrenamiento en seguridad de la información deja de ser una tarea más que se debe cumplir en el plan de desarrollo individual y se convierte en una oportunidad para aprender en la práctica, donde la teoría se hace realidad, desde el ejercicio real de confrontación de las situaciones particulares.

Lo anterior supone permitir a los participantes darse una idea de cuál es el imaginario de su práctica, sorprenderse respecto de la realidad que debe asumir, construir nuevas posturas que privilegien el bien general sobre el particular y finalmente apropiar distinciones inexistentes que superan el desafío inicial y ahora se vuelve parte del conjunto de saberes del individuo.

En definitiva, la acción educativa debe motivar la reflexión en la acción, que no es otra cosa que la síntesis del conocimiento en la acción, un movimiento teórico-práctico que ofrece pautas de transformación del comportamiento en el hacer, a través de un diálogo con la realidad, que exige simbolizar y socializar los significados que se construyen sobre los conocimientos adquiridos.

Por consiguiente, para la seguridad de la información, la acción educativa constituye un reto de construcción colectiva, que asume el aprendizaje como una ruta de construcción de confianza, la cual se alcanza no sólo en el cumplimiento perfecto de los procedimientos y normas de seguridad y control, sino en el ejercicio imperfecto de la toma de decisiones frente escenarios adversos, complejos y ambiguos.

Referencias
Auricchio, G. y Káganer, E. (2015) Cómo la digitalización está cambiando la formación directiva. IESE Insight. Tercer trimestre. 26
Castillejo, J. L. (1987) Pedagogía tecnológica. Barcelona, España: Ediciones CEAC.
Colom, A. (1987) La metodología cibernética. En Colom, A. y Castillejo, J. L. (1987) Pedagogía sistémica. Barcelona, España: Ediciones CEAC. 65-80.
Colom, A. (2002) La (de)construcción del conocimiento pedagógico. Nuevas perspectivas en teoría de la educación. Barcelona, España: Paidos.
Colom, A. y Núñez, L. (2005) *Teoría de la educación. Madrid, España: Editorial Síntesis.
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina:Gránica.
Gore, E. (2012) El próximo management. Acción, práctica y aprendizaje. Buenos Aires, Argentina: Gránica.
Gore, E. (2015) La educación en la empresa. Aprendiendo en contextos organizativos. Tercera Edición. Buenos Aires, Argentina: Gránica.
Gore, E. y Vázquez, M. (2010) Hacer visible lo invisible. Una introducción a la formación en el trabajo. Buenos Aires, Argentina: Gránica.
Perenty, T. (2003) Digital defense. What you should know about protecting yur company’s assets. Boston, Massachussets. USA: Harvard Busines School Press.
Ponenom (2016) Managing insider risk through training and culture. Recuperado de: http://www.experian.com/assets/data-breach/white-papers/experian-2016-ponemon-insider-risk-report.pdf
Yus, R. (2001) Educación integral. Una educación holística para el siglo XXI. Bilbao, España: Desclée de Brouwer S.A.