sábado, 3 de septiembre de 2016

Protección de la información. Un ejercicio de confianza imperfecta

Introducción
En seguridad de la información un incidente es un como un punto negro sobre un lienzo blanco, una marca visible que motiva un juicio de responsabilidades sobre el ejecutivo de seguridad de la información. Si un incidente se advierte como una falla al sistema de gestión de seguridad de la información exclusivamente, la función de seguridad estará restringida en su capacidad de prevención y anticipación, privilegiando una vista de retrovisor que la puede distraer del camino que tiene por delante.

La función de seguridad de la información es un ejercicio permanente de construcción de confianza (Cano, 2012), a partir de una gestión imperfecta del tratamiento de la información de las personas de la información. En este sentido no es posible hablar de una protección en términos absolutos “blanco o negro”, sino en un rango de posibilidades asistido por circunstancias de operación, que establecen un contexto de actuación específico, para actuar o no de una manera particular.

Así las cosas, se requiere establecer el grado de confianza requerido para tomar acciones en escenarios concretos, lo que supone comprender las situaciones inciertas del momento, las contradicciones de las condiciones en que se presentan y sobre manera los objetivos de negocio que están en juego.

En este sentido, este documento presenta un análisis conceptual de la confianza a partir de los desarrollos académicos del concepto de paz de los profesores Muñoz (s.f.) y Jiménez (2014), como punto de partida para comprender la dinámica de la protección de la información en el contexto de las organizaciones del siglo XXI.

Cuatro definiciones sobre la paz
Siguiendo los análisis efectuados por académicos internacionales (Muñoz, s.f., Jiménez, 2014) en temas de paz, se habla de cuatro tipos de “paces”: Paz regulatoria, paz perfecta, paz imperfecta y paz neutra, las cuales serán el fundamento para repensar la confianza en la práctica de protección de la información en las empresas.

La paz regulatoria es la paz construida sobre las bases y fundamentos de los gobiernos. Es un ejercicio normativo y de estabilidad fundamentada en una declaración de un estado para formalizar un tipo de comportamiento requerido y sancionar aquellos que no se encuentren ajustados con aquellos esperados.

La paz perfecta, de acuerdo con el profesor Muñoz (s.f.), “es el resultado de una construcción consciente de una paz basada en la justicia, generadora de valores positivos y perdurables, capaz de integrar política y socialmente, degenerar expectativas, y de contemplar la satisfacción de las necesidades humanas”, en otras palabras, un estado ideal donde todas las personas cumplen sus expectativas y el estado asegura sus promesas de bienestar y protección.

La paz imperfecta establece reconocernos como seres imperfectos e inacabados que continuamente vivimos en conflicto, dados los contextos históricos, sociales, culturales, biológicos que nos definen y moldean. En este sentido, se hace necesario construir desde la diferencia aspectos relevantes que generen una convivencia autoorganizada que balancee aquellos aspectos positivos y otros limitantes que permitan una construcción más abierta de un entorno “más pacífico” (Muñoz, s.f.).

La paz neutra, anota el académico Jiménez (2014), busca “procurar que la convivencia cotidiana se asiente en valores como la empatía, la tolerancia, la diversidad, la solidaridad, etc.”, es no acelerar o motivar acciones de conflicto, sino identificarlas y actuar de acuerdo con los valores previamente mencionados.

Estas cuatro aproximaciones sobre la paz rompen el paradigma vigente sobre el concepto mismo permitiendo revisiones que superan los ejercicios de posiciones extremas, para habilitar un escenario de conversaciones enriquecidas, donde la construcción y reconocimiento del otro suman para desarrollar contextos más participativos e incluyentes.

Repensando la confianza en la protección de la información
Considerando estas posturas sobre la paz, podemos hacer una lectura isomorfa de lo que significa la confianza en el ejercicio de seguridad de la información, en el entendido que la esencia de la práctica de protección siempre se encuentra en conflicto natural con la dinámica del negocio y los nuevos retos que traen la implementación de tecnologías emergentes.

Por lo anterior, se detallan a continuación cuatro distinciones de confianza: confianza regulatoria, confianza perfecta, confianza imperfecta y confianza neutra.


Figura 1 Cuatro tipos de confianza (Autoría propia)

La confianza regulada, es el resultado de un contexto de cumplimiento regulatorio y normativo que induce un comportamiento específico. Las normas y guías de actuación se convierten en focos de verificación, cuyos resultados pueden tener consecuencias favorables o desfavorables para los individuos, como quiera que el gobierno de la seguridad de la información tiene la capacidad de afectar aspectos personales y variables propias del desempeño de los empleados.

La estabilidad de esta confianza está basada en el ejercicio de control y verificación que establece la organización, que generalmente es una indicación de mando, donde el error es causal de posturas restrictivas y acciones que imponen una sanción. La confianza se asume como predictibilidad de comportamientos, los cuales están asistidos por la adhesión a la norma, que es lo que normalmente se espera de un empleado dentro de una organización.

La confianza perfecta es el ejercicio de consciente y concreto que las personas efectúan para proteger la información. Una declaración de apropiación real y clara del entendimiento de la información como activo, situación que hace que los comportamientos esperados sobre la protección de las personas se dan de manera natural y cualquier falla o falta se reporta como parte esencial de la práctica de seguridad, la cual reconoce el error como una oportunidad de aprendizaje, que potencia y nutre el imaginario de seguridad de la información propio de la empresa.

La estabilidad de esa confianza se da en el ejercicio de la pedagogía del error, donde la fuerza de la práctica se encuentra en los aprendizajes y desaprendizajes que las personas tienen en situaciones y contextos distintos, lo que permite un proceso de enriquecimiento de saberes previos de los individuos sobre la seguridad, que finalmente se ve reflejado en un fortalecimiento del cortafuego humano.

La confianza imperfecta es el reconocimiento que los comportamientos de las personas son inestables. Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y cerrar cada vez más los umbrales de falla, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.

Finalmente, la confianza neutra es una postura preventiva que advierte la condición insegura de forma anticipada y toma las acciones necesarias para evitar o distanciar la materialización de los eventos no deseados que se provocarán por actuar de forma insegura. Esta confianza, define un comportamiento natural de monitoreo y valoración de riesgos, que mantiene un mínimo de paranoia bien administrada en la persona, que pueden inhibir actuaciones de las personas ante situaciones inestables o dinámicas.

La estabilidad de la confianza neutra es el nivel tolerancia que tienen los participantes de la comunidad frente al tratamiento de la información. Una apuesta por conectar y sintonizar expectativas de los participantes sobre las brechas de seguridad de la información posibles, las cuales son conversadas y compartidas para construir saberes enriquecidos que son leídos y ajustados desde las posturas particulares, haciendo una red de conocimiento que se fortalece con las lecciones aprendidas, más que con las sanciones aplicadas.

Estos cuatro tipos de confianza establecen un marco de análisis de las apuestas que las organizaciones hacen respecto de la protección de la información. Por un lado, cada una de ellas tiene como centro los comportamientos de los individuos y la forma como los resultados de los mismos afectan la esencia misma de la protección. Es posible asumir una postura de la pedagogía del éxito donde el error es un resultado que deben ser evaluado o juzgado según el impacto que se ha ocasionados o tomar la falla como parte del proceso que permite sintonizar una práctica respecto de lo que la organización espera.

Los cuatro tipos de confianza revelan la tolerancia que las empresas deben construir para mantener o elevar la apropiación de las prácticas como quiera las personas tendrán una tendencia natural al error. En este sentido, las organizaciones definen y aceptan un nivel de riesgo concreto, para el cual preparan su estrategia de respuesta ante la materialización del mismo. Lo anterior supone una postura de aprendizaje que no solo sabe y conoce sus propias limitaciones, sino que se enriquece los saberes de los individuos para que, ante situaciones inciertas, puedan tomar decisiones ajustadas con los fundamentos de la protección y las expectativas de la corporación.

Implicaciones para la función de seguridad de la información
Si la función de seguridad de la información se debe a la construcción de confianza, las empresas y sus definiciones de seguridad deben establecer qué tipo de confianza quieren construir, para poder afinar la estrategia de seguridad y control que responda con esa condición particular esperada de los comportamientos de las personas.

Ignorar la naturaleza normal del error, creer que es posible un aseguramiento ciento por ciento, aceptar que la respuesta a la seguridad es eminentemente tecnológica y aceptar que en seguridad las cosas son blanco o negro, es condenar las organizaciones a una vista estática, predecible y estable, la cual dista de la realidad vigente, creando crisis internas innecesarias cuya respuesta natural es la sanción y el castigo ejemplarizante como estrategia para modificar comportamientos de las personas.

Como se puede observar el concepto de confianza no es único como el de la paz, se tienen matices que procuran un entendimiento diferenciado. Así como la paz no es necesariamente ausencia de conflicto o confrontación, la confianza no es ausencia de error o inestabilidad, todo lo contrario, es un ejercicio que se construye a partir de la falla y del reconocimiento de la capacidad de mejora continua y discontinua de las personas, para hacerse más resistente a la inevitabilidad de la falla.

Confiar en que otra persona va asegurar un adecuado tratamiento de la información, no supone una confianza perfecta, sino una práctica imperfecta o perfectible, en la medida que es posible prevenir o actuar con un margen de error conocido y unos impactos delineados, como pilares de la formulación de umbrales de riesgo para los cuales tanto individuos como empresa deben estar preparados para continuar su espiral ascendente de aprendizaje o desaprendizaje.

Si lo anterior es correcto, la confianza es una propiedad emergente de la ejecución de las prácticas de seguridad y control de las personas en la organización, es decir un tejido de expectativas conocidas y renovadas, desde las conversaciones para la acción de los grupos de interés, que  entiende que la protección de la información es un ejercicio de confianza imperfecto, que no busca la invulnerabilidad, sino el aprendizaje permanente de los involucrados para alcanzar en cada momento un nivel de cumplimiento de acuerdo con el mandato de los cuerpos colegiados.

Así las cosas, en todo aquello que se confía, tendrá de forma inherente la semilla de la vulnerabilidad, como quiera que si dejamos de sospechar o preguntarnos sobre eso en lo que confiamos, se creará el entorno natural para que crezca la inevitabilidad de la falla y cambie la lectura del entorno. 

Por tanto, las prácticas de seguridad y control deben leer y afinar los tipos de confianza que se quieren desarrollar, habida cuenta que de no hacerlo se podría comprometer la imagen de la empresa, generar comportamientos ocultos, lectura no apropiadas de la normatividad y sobre manera un ambiente de inestabilidad jurídica y práctica que no comunica a los grupos de interés un mensaje homogéneo y sincero.

Reflexiones finales
Hablar de la confianza en un escenario empresarial, es una condición básica para la actuación de los empleados y los ejecutivos en el desarrollo de su modelo de generación de valor. No es un concepto utópico, es decir, irrealizable o inalcanzable, sino eutópico, que es posible y que puede ser realizable (Calvo, 2016), una apuesta no por el proceso, sino por la capacidad de las personas para aprender y desaprender ante situaciones inciertas e inestables, como fundamento de una práctica imperfecta en su hacer, pero perfectible en su diseño.

Hablar de la protección de la información es concretar una distinción de confianza imperfecta, donde las personas habilitan su capacidad creativa en un contexto definido, para actuar de acuerdo con las expectativas de aseguramiento que la empresa espera. Es claro que no siempre se tendrán las mejores decisiones, pero lo que sí es posible lograr, es superar la ilusión de la certeza, motivando novedosas aproximaciones de protección de los datos que estén fuera de los referentes conocidos.

De otro lado, una confianza regulada, basada en la repetición no razonada de reglas, resultará estéril. Este tipo de confianza entiende a las personas como un repositorio de información, que deben utilizar actuar ante ambientes ciertos donde la respuesta está dada; una apuesta que no contempla umbrales de error para los empleados, creando ambientes donde aprender no es una opción. En este escenario, no es posible pensar de forma diferente dada la necesidad de asegurar un comportamiento esperado, que permita a la empresa una posibilidad cierta de control sobre las acciones de sus procesos y resultados.

En consecuencia, proteger la información en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), consiste en “respetar y promover el derecho a equivocarse”, una alternativa novedosa y discontinua que implica crear un tejido fino de “relaciones holísticas y sinérgicas” (Calvo, 2016) para armonizar los estándares conocidos de aseguramiento, con la necesidad de aprender y desaprender propia de las organizaciones y los seres humanos.

Así las cosas, la protección de la información demanda un ejercicio de balance entre “contrarios”: “saber-ignorancia”, “orden-caos”, “confusión- comprensión”, “inseguridad-seguridad”, para definir una vista que privilegie un flujo de reflexiones del uno al otro, donde, como afirma el profesor Calvo (2016, p.54) “lo distinto es acogido en su diferencia, antes que excluido por su oposición”.

Referencias
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Jiménez, F. (2014) Paz neutra: Una ilustración del concepto. Revista de Paz y Conflictos. Instituto de la Paz y los Conflictos. Universidad de Granada. 7. 19-52. Recuperado de: http://revistaseug.ugr.es/index.php/revpaz/article/view/1806/2627
Muñoz, F. (s.f.) La paz imperfecta ante un universo en conflicto. Instituto de la Paz y los Conflictos. Universidad de Granada. Recuperado de: http://www.ugr.es/~eirene/publicaciones/Imperfecta.pdf
Cano, J. (2012) El negocio de la seguridad de la información. Revelando la potencialidad de un concepto. ISACA Journal. Vol. 4. Recuperado de: http://www.isaca.org/Journal/archives/2012/Volume-4/Pages/JOnline-El-Negocio-de-la-Seguridad-de-la-Informacion-Revelando-la-Potencialidad-de-un-Concepto.aspx
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.