El contexto de los modelos
organizacionales ha evolucionado y se ha venido adaptando a las condiciones de
un mundo más interconectado, de información instantánea y flujos de información
permanentes y actualizados. En este sentido, los individuos tienen acceso a la
información y uso de la misma de manera privilegiada, toda vez, que es a través
de ésta como construyen y generan una nueva realidad para la organización y
para su propia vida.
Si bien las teoría anteriores
de modelos organizacionales basadas en distribución de tareas, segmentación de
responsabilidades y competencias específicas para el desarrollo de las
actividades asignadas, mantiene su vigencia en el escenario actual, también es
clave entender que estos modelos están cediendo terreno a otros donde la organización
es menos jerárquica, con más trabajo entre áreas y mayor flexibilidad frente a
las tareas y resultados.
Como quiera que la forma de comprender
el trabajo y la cultura de una organización, subyace en la forma en que
desarrolla sus actividades, los investigadores del MIT han planteado una
reflexión donde se advierte a las empresas y organizaciones que existen a la
fecha dos modelos de organización que se contraponen y cuestionan la manera de
organizar el trabajo para alcanzar los objetivos.
Un primer modelo, denominado “enfoque
antiguo”, heredero de los años 1950 y 1960, asociado con la jerarquía formal de
posiciones y cargos, reglas y estándares de operación, entre otros elementos
que detallaremos más tarde y otro, que llamaremos “enfoque moderno”, que se ha
venido consolidando entre 1990 y 2000, que privilegia estructuras planas,
reglas flexibles y equipos especializados, entre otras características.
Estas dos realidades
organizacionales, definen en cada una de ellas la forma como se trata la
información. En este sentido, comprender el enfoque organizacional prevalente
en una empresa, nos permite reflexionar sobre cómo la información se hace parte
de la dinámica de la misma y por ende, el tipo de tratamiento que será
efectuado, considerando la estructura organizacional configurada.
Así las cosas, si se requiere
estudiar una estrategia para desarrollar o consolidar una cultura de seguridad
de la información, recurrir a la estructura organizacional es una buen inicio
para comprender, en el ejercicio diario del hacer empresarial, cómo la
información se hace parte de la manera como opera la misma y cómo cada uno de
sus integrantes revela la forma particular
de su tratamiento.
En consecuencia, vincular los
conceptos propios de la cultura organizacional y la estrategias de diseño
organizacional, establecen referentes básicos que permite comprender en
detalle, qué es aquello que hace la diferencia en el tratamiento de la
información, cuáles son los supuestos básicos que se tienen y los elementos
visibles que materializan el entendimiento corporativo y motivan las acciones
individuales requeridas para asegurar una adecuada protección de la información
ajustada a la realidad de la dinámica empresarial.
Habida cuenta de lo anterior,
este documento presenta una reflexión basada en una revisión conceptual de las
estructuras organizacionales y los fundamentos de la cultura empresarial, como
base para establecer recomendaciones prácticas para motivar y movilizar una
cultura de protección de la información ajustada a la forma en la cual se
desarrolla el trabajo en una empresa.
Modelos organizacionales: Modelo antiguo y moderno
De acuerdo con BYRNE (2000)
existe cambio fundamental en la manera como se organizan y operan las
organizaciones del siglo XX y las del siglo XXI. Dicho cambio se ve reflejado
en las siguientes características que se presentan a continuación: (BYRNE 2000,
referenciado por ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing
for the future. Organizational behavior & processes. Cengage Learning. Pág.M1-40)
Característica
|
Organizaciones
del siglo XX
|
Organizaciones
del siglo XXI
|
Organización
|
Pirámide
|
Red
|
Foco
|
Interno
|
Externo
|
Estilo
|
Estructurado
|
Flexible
|
Fuente de fortaleza
|
Estabilidad
|
Cambio
|
Estructura
|
Autosuficiencia
|
Interdependencia
|
Recursos
|
Activos físicos
|
Información
|
Operaciones
|
Integración vertical
|
Integración virtual
|
Productos
|
Producción en masa/Commodities
|
Personalización masiva/Exclusividad
|
Alcance
|
Local/Doméstico
|
Global/Internacional
|
Financiamiento
|
Trimestral
|
Tiempo real
|
Inventarios
|
Mes
|
Horas
|
Estrategia
|
Top-Down
|
Bottom-up
|
Liderazgo
|
Dogmático
|
Inspiracional
|
Trabajadores
|
Empleados
|
Empleados y agentes libres
|
Expectativas del trabajo
|
Seguridad
|
Crecimiento personal
|
Motivaciones
|
Competir
|
Construir
|
Oportunidades de mejora
|
Incremental
|
Revolucionaria
|
Calidad
|
La mejor asequible
|
Ningún compromiso
|
Tabla No.1 Características de las organizaciones del
siglo XX y del siglo XXI
Como podemos ver, las
empresas actuales cada vez más se parecen a lo que en su momento BYRNE
estableció como las características de las organizaciones del siglo XXI. A la
fecha la realidad de las redes sociales y condiciones de movilidad de los
individuos, muestran el cambio en las motivaciones y en el alcance de las
empresas, las cuales cada vez más piensan en productos personalizados o
novedosos que generen un cambio disruptivo para concretar una nueva tendencia
que lleve a la organización al siguiente nivel de estado competitivo.
Todo este cambio, se debe
claramente a que la lucha que se tiene en los mercados propios de cada
organización, no están fundados en activos físicos o commodities como se venía haciendo, sino que se desarrollan
alrededor de accesos y uso de la información, un activo intangible que
actualmente es parte fundamental de la forma como la organización entiende y
altera su entorno de negocio.
En este sentido, la forma
como se venía haciendo el tratamiento de la información en el contexto de una
organización del siglo XX, cambia radicalmente frente a la forma como se requiere
hacerlo ahora en el siglo XXI. Por tanto, entender la manera estructural de las
organizaciones antes del año 2000, es una fuente fundamental de comprensión,
para revelar las condiciones y problemáticas propias frente a la protección de
la información.
A continuación se presentan
las condiciones y características del modelo antiguo y moderno de las
organizaciones basado en los estudios de los académicos del MIT, con el fin de
contextualizar las prácticas de protección y control de la información, como
base para luego, plantear los retos de la cultura de seguridad de la
información, desde esta perspectiva y quebrar el entendimiento actual sobre la
transformación cultural desde la gestión del cambio.
Característica
|
Modelo
antiguo (1950-1960)
|
Modelo
moderno (1990-2000)
|
Cargos
|
Individuos especializados
|
Equipos especializados
|
Jerarquía
|
Piramidal
|
Plana
|
Reglas
|
Formales y estándares
|
Pocas y flexibles
|
Responsabilidades
|
Concretas y limitadas
|
Matriciales y Cooperativas
|
Entrenamiento
|
Estandarizado y concreto
|
Abierto y variado
|
Foco
|
Comando y control
|
Innovación y respuesta al cambio
|
Tabla No.2 Modelos de estructura de organizaciones
(Adaptado de: ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY 2009)
Las organizaciones propias
del modelo antiguo, buscan que las conductas y procesos que se desarrollan alrededor
de su objeto de negocio sean predecibles, controlables y verificables. Esto es,
que al seguir fielmente los procedimientos, la estructura de mando y con el
entrenamiento adecuado, los resultados son aquellos que se esperan frente a la
planeación estratégica.
Esta forma de organizar el
trabajo en las organizaciones, supone claramente que la empresa se encuentra en
un entorno bastante estático, donde las condiciones de operación no cambian y
que el contar con recursos físicos y capital de trabajo importante, genera
barreras de entrada, que limitan el ingreso de terceros en el mercado que
puedan amenazar la posición dominante de la empresa en su entorno.
De otra parte, las empresas
que se ajustan al modelo moderno, comprenden que la empresa está en un entorno
dinámico, donde en cualquier momento puede ocurrir un cambio y por tanto, deben
estar explorando el entorno para prepararse y anticiparse a los nuevas
propuestas que cambien el estado del mercado y poder aprovechar dicho momento
para crear la ventaja competitiva requerida, con un enfoque flexible y creando
nuevas habilidades y conocimientos claves, para aprender rápidamente e
incorporar en el ejercicio de estrategia corporativa esa vista disruptiva (McQUIVEY 2013) que
es generadora de nuevos ingresos y reflexiones empresariales que hablan de
futuro de la empresa en tiempo real.
Tratamiento de la información en los modelos
organizacionales
Como hemos visto la
información representa un elemento fundamental tanto en el modelo antiguo como
en el moderno. Sin embargo, su tratamiento cambia radicalmente respecto de la
dinámica organizacional que se requiere en cada uno de los modelos.
Cuando la organización responde
a las exigencias de comando y control, la información es un activo que requiere
un contexto propio para cada uno de los individuos y por lo tanto, habrá que
utilizarlo y cuidarlo en el desarrollo de sus actividades individuales, con el
fin de cumplir con sus obligaciones. En este sentido, se privilegia que dicha
información sea la que se necesite, se genere con el nivel de confiabilidad
requerido y se entregue con la formalidad que exige y demanda el procedimiento
previsto para tal fin. No hacerlo, implica necesariamente una amonestación o
sanción frente a las reglas establecidas.
De otra parte, cuando la
organización demanda innovación y respuesta al cambio, la información es un
activo y un recurso al mismo tiempo, que requiere un contexto para que equipos
de trabajo lo usen con un fin específico frente a la dinámica del mercado donde
compite la organización. El tratamiento de la información y generación de la
misma debe ser ágil, no necesariamente con alta confiabilidad y su entrega se
hace según se requiera y utilice para crear formas alternas para repensar las condiciones
del mercado. Un uso no autorizado genera contradicciones internas que afectan
la dinámica de los equipos y posibles impactos en sus estrategias de negocio.
Habida cuenta de lo anterior,
mientras el tratamiento de la información en el modelo antiguo privilegia un
control central y manejo estándar de este activo intangible que aseguren el
adecuado funcionamiento empresarial, en el modelo moderno se activa una control
distribuido, basado en reglas de uso que permita desarrollar nuevas fuentes de
conocimiento que permitan repensar la organización e impactar el mercado donde
opera.
Como quiera que comprender el
tratamiento de la información en una empresa del siglo XX responde a una
motivación de competencia y estabilidad, su protección supone la generación de
comportamientos predecibles y prácticas estándares que permitan conocer el
estado de la misma y las restricciones aplicables frente a las condiciones y
amenazas que puedan afectar la posición competitiva de la organización o mejor
aún afectar la estabilidad de su permanencia en el entorno.
De otra parte, cuando
hablamos de una organización con una estructura del siglo XXI la necesidad de
cambio y construcción permanente, demanda que la información fluya dentro de la
organización en los puntos clave que se requiera, para que aquellos a quienes
está autorizado su uso, creen y desarrollen los conceptos y propuesta más
acordes con las condiciones del entorno. La información es un recurso e insumo
clave para anticipar y ver las inestabilidades del entorno y por tanto, si bien
todos pueden conocer de esta, no está habilitado su uso de manera general y
abierta, sino bajo una condiciones y contexto donde la empresa lo requiere para
repensarse y generar sus estrategias más adecuadas.
En consecuencia, podríamos
resumir el tratamiento de la información según el esquema organizacional de la
siguiente forma:
Modelo
antiguo – Siglo XX
|
Modelo
moderno – Siglo XXI
|
Activo
|
Activo e insumo
|
Control de acceso (susceptible a la revelación)
|
Control de uso (susceptible al contexto)
|
Uso restringido
|
Acceso compartido
|
Orientado al individuo
|
Orientado a los equipos
|
Control y responsabilidad centralizada
|
Control y responsabilidad distribuida
|
Tabla No.3 Tratamiento de la información en los
modelos antiguo y moderno
Cultura organizacional frente al tratamiento de la
información
Si bien existen múltiples
definiciones de cultura organizacional para efectos de este documento tomaremos
los estudios e investigaciones realizadas por SCHEIN (1985) donde se establece
que una cultura se conforma de un patrón de supuestos básicos, inventados,
descubiertos o desarrollados por un grupo particular, que aprende a lidiar con
sus problemas a través de adaptaciones externas e integraciones internas, que
funcionan lo suficientemente bien para ser consideradas válidas y por tanto,
son enseñadas a los nuevos miembros como la forma correcta de percibir, pensar
y sentir en relación con esos problemas.
En este sentido, el académico
establece tres niveles en los cuales se manifiesta la cultura por sí misma: los
artefactos observables, los valores expuestos y los supuestos básicos
subyacentes.
Los artefactos observables, “(…) incluye todo lo que puede ser apreciado por
los cinco sentidos del observador, desde las instalaciones y productos, pasando
por la forma de vestirse, hasta los logotipos o el organigrama. (…)”. Los
valores expuestos, representan las estrategias y preferencias declaradas de una
organización. (…) Reflejan cómo quiere ser (y ser vista) una organización, y no
necesariamente cómo se comporta realmente. (…)”. Los supuestos básicos
subyacentes, “(…) se trata de aspectos que el observador externo no
necesariamente percibe, porque están profundamente anclados en la organización
y se dan por supuestos. (…) Se viven como reglas no escritas. (…)” (MOSCOSO,
LAGO y RODRIGUEZ 2013)
En consecuencia, si queremos
desarrollar un cultura de seguridad de la información debemos explorar los
detalles propios de estos tres niveles, frente al tratamiento de la
información, como base para identificar y revelar los fundamentos que rigen una
cultura de protección de información, bien en el modelo de las empresas del
siglo XX y del siglo XXI.
Objeto de
análisis - Información
|
Cultura de
seguridad de la información – Siglo XX
|
Cultura de
seguridad de la información – Siglo XXI
|
Artefactos observables
|
Reglas formales
|
Reglas flexibles
|
Valores expuestos
|
Control de acceso
|
Control de uso
|
Supuestos subyacentes
|
Proteger
|
Compartir
|
Consecuencias de
violaciones
|
Impactos y sanciones individuales
|
Impactos y sanciones empresariales
|
Tabla No.4 Caracterización base de la cultura de
seguridad de la información en el siglo XX y siglo XXI
Revisando lo que se detalla
en la Tabla No.4 encontramos que las rutinas asociadas con la protección de la
información que se tienen en las empresas actuales, se relacionan con una
cultura de seguridad de la información focalizada en el siglo XX, donde las
reglas y supuestos se focalizan en las acciones del individuo; donde la
protección es la base general del modelo de seguridad y control, lo cual
necesariamente orienta a los ejecutivos de seguridad de la información a
focalizarse en los comportamientos y prácticas, que disminuyan la probabilidad
de accesos no autorizados que puedan comprometer o motivar flujos de
información desde o hacia personas no identificadas.
La cultura de seguridad de la
información en el contexto de las empresas del siglo XX privilegia el
desarrollo de competencias relacionadas con el saber hacer (en el ámbito de la
aplicación), por lo tanto procura insistir en la aplicación de cursos de
entrenamiento orientado a la protección de la información, por lo cual enfatiza
en la validación de las acciones concretas de salvaguarda de la información,
que hagan repetible y confiables los procedimientos establecidos y por tanto,
las sanciones para aquellos, que aún conociendo los mismos, no se ajusten a las
competencias declaradas por la empresa frente al tratamiento de la información.
Ahora bien, una cultura de
seguridad de la información fundada en las consideraciones de una organización
del siglo XXI, requiere del conocimiento del contexto, de las condiciones
vigentes de la empresa, para definir no solamente las estrategias de acceso,
sino los lineamientos de su uso, con el fin de establecer el escenario donde se
desplegará y los impactos que un posible inadecuado uso puede materializar.
Esto supone, no solo comportamientos individuales y prácticas, sino comprensión
del negocio en sí mismo y la forma como el tratamiento de la misma puede
afectar los intereses de la compañía.
En este sentido, la cultura
de seguridad de la información en el contexto de las empresas del siglo XXI no
solo procura las competencias relacionadas con el saber hacer, sino con el
saber construir (ámbito cognitivo) y saber ser (ámbito de las emociones), las
cuales claramente trascienden la sola operación: “Dígame ¿qué tengo que hacer?”,
para revelar e interiorizar la relevancia de la información frente a la vista
estratégica y táctica de una organización global y sensible a los cambios en el
entorno: “¿cómo afecta mi comportamiento y tratamiento de la información a la
empresa?”
Reflexiones finales
Los esfuerzos que actualmente
se desarrollan en las organizaciones frente al reto de promover y fortalecer
una cultura de seguridad de la información, deben consultar los aspectos
propios de la estructura de las organizaciones y los elementos de la cultura organizacional
mencionados previamente, para establecer un marco base de estrategias que
permitan una alineación general de dichos esfuerzos con la dinámica de la
empresa.
Desconocer esta realidad operacional
de la empresa, este orden manifiesto en sus estructuras, es entrar en conflicto
o acciones que vayan en contraposición de la forma como la cultura moldea el
comportamiento de las personas en la compañía. En consecuencia, iniciativas
estándares relacionadas con talleres entrenamiento e interiorización deberán
ajustarse al contexto de la empresa, su modelo de negocio y necesidades
actuales, manifiestas en sus exigencias de mercado y transición hacia una
organización más flexible, matricial y cooperativa.
Por lo tanto, la tensión
inherente entre el proteger y compartir demanda a los ejecutivos de la
seguridad de la información hacer evidente esta situación, para construir y
desarrollar modelos de seguridad y control que balanceen las motivaciones y
necesidades de los actores involucrados, buscando que sus acciones privilegien
una experiencia de confianza entre los participantes y movilicen las
estrategias requeridas por el negocio de manera oportuna y ágil.
La cultura de seguridad de la información no puede ser entonces un patrón autosuficiente de supuestos que se comparten, inventan y se descubren por una sola vez, sino que debe ser interdependiente para movilizar y aterrizar en cada momento de la empresa, iniciativas a nivel de personas, procesos, tecnología y flujos de información (entre sus elementos) que permitan superar el hacer de la protección de la información, integrándolo a la cognición y emocionalidad de las personas frente a los impactos derivados de su uso.
En consecuencia, explicar la
cultura de seguridad de la información no es una tarea fácil, ni un ejercicio
de corto plazo, sino la comprensión de una tendencia empresarial integrada en
los patrones de comportamiento, supuestos subyacentes y artefactos visibles,
que cambia conforme la organización se repiensa en el escenario de su contexto
de negocio. Esto es, comprender con claridad cómo la cultura de seguridad de la
información se integra al modelo de generación de valor de la empresa, cómo
entiende el contexto del acceso y uso de la información y se anticipa a las
amenazas y riesgos emergentes que le plantea la inseguridad de la información.
Referencias
ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing for the future. Organizational behavior & processes. Cengage Learning.
MOSCOSO, P., LAGO, A. y
RODRIGUEZ, C. (2013) El factor humano y organizativo en la dirección de operaciones. Nota técnica. IESE Business School.
Universidad de Navarra
SCHEIN, E. (1985) Organizational culture
and leadership. Jossey Bass, San Francisco.
BYRNEY, J. (2000) The 21st century corporation. Management by web. Business Week. August 28. pp. 84-96.
McQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Amazon publishing.
BYRNEY, J. (2000) The 21st century corporation. Management by web. Business Week. August 28. pp. 84-96.
McQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Amazon publishing.
No hay comentarios:
Publicar un comentario