jueves, 18 de diciembre de 2014

Apuntes sobre la cultura organizacional de seguridad de la información. Reflexiones conceptuales de un ejercicio de construcción colectiva y prácticas individuales

          Introducción

La acelerada evolución de las tecnologías de información y el tratamiento de la información son dos constantes que a la fecha marcan tendencias en la sociedad actual afectando tanto a los individuos como a las organizaciones. Esto supone una serie de exigencias para estas dos categorías, que en términos de competencias, como anota Fidler y Gobis (2012) demanda anticiparse a los cambios; revaluar, desarrollar y actualizar sus habilidades, así como adaptación y aprendizaje continuo durante toda la vida profesional y empresarial.

Lo anterior nos indica que conforme entramos en una espiral de automatización y uso intensivo de información, mayores capacidades de análisis e interpretación se deberán desarrollar, con el fin de potenciar el valor inherente de la información para efectos de concretar nuevas vistas y estrategias de negocio que potencien el modelo de generación de valor de la empresa.

Así las cosas, los individuos de esta sociedad de la información y conocimiento requieren gestionar la información y el conocimiento como competencia genérica, lo que implica una serie de comportamientos, niveles de apropiación y madurez que exige una preparación conceptual y práctica con el fin de hacer parte natural de la dinámica que impone el flujo de información y las necesidades emergentes de una humanidad conectada.

De acuerdo con Tobón (2013) la competencia de gestión de la información y el conocimiento la podríamos definir como: 

“Procesa la información relacionada con un determinado ámbito de la realidad con el fin de generar comprensión y conocimiento, teniendo como referencia los retos del contexto, las herramientas de planificación y gestión, y las tecnologías de la información y la comunicación”. (Tobón 2013, pág.116)

definición que nos anticipa una serie de características que se deben dar en los individuos para argumentar, proponer, interpretar y analizar con el fin de tomar acciones concretas e integrales ante situaciones y problemas en un contexto particular.

Si lo anterior es correcto, los agentes de la estructura social deberán construir en cada una de sus interacciones un cuerpo común de mensajes con sus categorías y clasificaciones, como fundamento de un lenguaje propio de la comunidad, para luego construir representaciones compartidas que se traducen en conocimiento y aprendizaje colectivo que los lleven finalmente a una visión común leída y comprendida por todos. (Amin y Cohendet 2004, p.26)

En este entendido, la información en la sociedad de la información y el conocimiento es un activo estratégico de la empresas del siglo XXI y su inadecuado tratamiento por parte de los individuos ocasiona brechas de seguridad de la información que generan serias implicaciones para las organizaciones expresadas generalmente en pérdidas económicas, sanciones legales y pérdida de reputación.

En este sentido, proteger la información demanda entender la importancia de este activo para la supervivencia de las empresas y una serie de prácticas que permitan a las personas incorporar en su diario hacer los comportamientos deseados y requeridos para su adecuada custodia.

En razón a lo anterior, caracterizar los elementos que construyen y desarrollan una cultura organizacional de seguridad de la información adaptable y sostenible en el tiempo demanda la comprensión de comportamientos específicos, que leídos desde una competencia genérica, permiten comprender mejor los retos prácticos y estructurales de la custodia de la información como activo clave de las organizaciones modernas.

Por tanto, en este documento se hace una introducción al concepto de cultura organizacional de seguridad de la información (COSI), revisando su evolución conceptual, la postura sistémica de su despliegue, una propuesta académica de lo que podría ser su madurez, así como una aproximación básica para fundar una competencia genérica de gestión segura de la información.

 
Evolución del concepto de cultura de seguridad de la información
La seguridad típicamente ha sido necesaria a nivel gubernamental para proteger intereses nacionales, asegurar la salvaguarda de los ciudadanos y preservar el orden. En el contexto organizacional, la protección se ha basado en el resguardo de los secretos industriales, así como de la información clave de sus operaciones y de sus clientes de eventos como pérdida, revelación o usos no autorizados (Hurlburst, Bojanova, Sobel y Crosby, 2014).

Si bien las organizaciones reconocen que la información es un elemento clave en el desarrollo de sus actividades, poca atención o prioridad le dan a su protección por parte de sus ejecutivos (VansonBourne – NTT Com Security 2014). Esta realidad revela la necesidad de resignificar el entendimiento colectivo de las empresas de la seguridad de la información, para sintonizar la protección de la información como una exigencia mínima que todas las personas de una organización deben tener en el tratamiento de la información.

En consecuencia, lograr un ambiente confiable para los activos de información empresariales, requiere la aplicación permanente y sostenible de prácticas de seguridad de la información, que se conviertan en parte de la cultura organizacional, es decir en parte de la teoría en uso de la compañía que influencie los comportamientos de los empleados respecto de la protección de la información (AlHogail y Mirza, 2014).

Como quiera que el concepto de cultura de seguridad de la información es relativamente nuevo, se ha tratado de aproximarse al mismo desde una diversidad de teorías y principios de otras áreas del conocimiento las cuales revelan aspectos novedosos del concepto, abriendo nuevas fuentes de entendimiento y comprensión de un fenómeno eminentemente social.

Ngo, Zhou y Warren (referenciado por AlHogail y Mirza, 2014) advierten que la cultura de seguridad de la información hace relación a cómo se hacen las cosas por parte de los empleados y la organización como un todo, para ser naturalmente consistente con los principios de la seguridad de la información.

De otra parte, Martin y Eloff (referenciado por AlHogail y Mirza, 2014) definen la cultura de seguridad de la información como las percepciones, actitudes y supuestos que son aceptados y promovidos por los empleados en una organización respecto de la seguridad de la información. Seguidamente, Schlienger y Teufel (referenciado por AlHogail y Mirza, 2014), indican que la cultura de seguridad de la información incluye todas la medidas socio culturales que soportan los métodos técnicos de la seguridad con el fin de hacer de la seguridad de la información un aspecto natural de las actividades de los empleados.

Ramachandran, Rao y Goles (2008) comentan que la cultura de seguridad de la información implica identificar las ideas que se tengan sobre la seguridad, creencias y valores de un grupo, los cuales le dan forma y guían los comportamientos respecto de la protección de la información. Malcolmson (referenciado por AlHogail y Mirza, 2014), argumenta que la cultura de seguridad de la información está indicada por los supuestos, valores, actitudes y creencias de los empleados, y los comportamientos que ellos ejecutan, los cuales potencialmente pueden impactar la seguridad de esa organización.

Dhillon (referenciado por AlHogail y Mirza, 2014) define la cultura de seguridad de la información como la totalidad de los atributos humanos como son los comportamientos, actitudes y valores que contribuyen a la protección de toda clase de información en una organización específica. AlSabbagh, AlAmeen, Watterstam y Kowalski (referenciado por AlHogail y Mirza, 2014), sugieren que la cultura de seguridad de la información es la manera que nuestras mentes están programadas para crear diferentes patrones de pensamiento, sentimientos y acciones para proporcionar un proceso de seguridad.

Alnatheer (2012) revisando las definiciones previas y de otros autores establece que la cultura de seguridad de la información la definen unos aspectos y otros la influencian. En este sentido, concluye que la cultura de seguridad de la información la definen tres elementos como son la apropiación, la concientización y el cumplimiento, los cuales están constituidos por comportamientos que motivan la protección de la información y la influencian otros como  el soporte de la alta gerencia, el cumplimiento y mantenimiento de políticas, el entrenamiento en seguridad de la información y las políticas respecto de las conductas éticas, que la hacen evolucionar.

Si bien las definiciones expuestas por los diversos autores, recaban sobre los elementos propios de la teoría de Schein (1992) de cultura organizacional, es importante advertir las conclusiones de Alnatheer que revelan aspectos concretos de los fundamentos mismos de la cultura de seguridad de la información, los cuales serán la base para establecer los pilares de una competencia genérica en gestión de la seguridad de la información, como punto clave en la articulación de comportamientos permanentes y sostenibles en el contexto organizacional.


Cultura organizacional de seguridad de la información: Vista sistémica de la cultura de seguridad de la información

Reid, Van Nieker y Renaud (2014) introducen el concepto de cultura de seguridad de la información, entendiendo éste desde la vista de sistemas anidados que revelan propiedades emergentes que le permiten automantenerse y autorepararse. Esta lectura corresponde a una interpretación desde la teoría de los sistemas vivos, los cuales son entes abiertos, complejos, adaptativos y autoorganizados que interactúan con su medio ambiente u otros sistemas.

Esta definición introduce la noción de anidamiento, que leído en términos cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se repite al interior de la estructura estudiada, en donde el nivel superior depende de los comportamientos propios de los niveles inferiores. Esto supone comprender que cada interacción entre los participantes de un grupo particular y contexto específico, logra construir una vista propia de actuación que marca una forma y proceso que la distingue, sin perjuicio que comparta la generalidad presente en el nivel estudiado.

Así las cosas, cada individuo en un área particular cuenta con una cultura de seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida por tres elementos como son apropiación, concientización y cumplimiento. Revisados estos considerandos en las reflexiones de este investigador, podemos detallar los comportamientos que caracterizan cada uno ellos, para entender en contexto lo que significa en concreto esa cultura inherente a cada persona.

Ahora bien, al estudiar un equipo o grupo particular, las interacciones de cada persona alrededor de la protección de la información van demarcando el comportamiento propio de esa comunidad, para lo cual la lectura de los tres componentes ahora en la vista colectiva, nos permite ir descubriendo la secuencia de comportamientos que caracterizan dicha colectividad.

Cuando empezamos la revisión desde el nivel general y vamos a niveles particulares, el ejercicio que se realiza es de análisis, lo cual permite conocer y descubrir la estructura en la cual nos movemos para advertir los componentes de la cultura organizacional de seguridad de la información (COSI). Mientras al regresarnos del nivel inferior al superior, adelantamos diagnóstico del nivel superior, basado en las reflexiones y revisiones efectuadas en el nivel inferior. De esta forma confirmamos la vista sistémica de la estrategia para conocer la COSI.
 



Vista anidada de la construcción y diagnóstico de una cultura organizacional de seguridad de la información

 
Así las cosas, en este ejercicio sistémico cibernético, la complejidad inherente de la cultura organizacional de seguridad de la información, se va asumiendo de manera paulatina por la revelación y análisis de los patrones identificados, basados en los tres elementos claves enunciados, los cuales le dan forma y respuesta a la pregunta: ¿cómo se construye y diagnostica una cultura organizacional de seguridad de la información?

 
Fundamentos de la madurez de la cultura organizacional de seguridad de la información
De acuerdo con los investigadores y académicos de Carnegie Mellon, los modelos de madurez son una forma de establecer la evolución de una práctica o concepto respecto de un referente planteado. Particularmente el modelo planteado por este claustro académico mencionado busca mejorar los procesos de desarrollo y de mantenimiento, tanto para los productos como para los servicios, que inicialmente fueron orientados hacia los temas de la ingeniería de software. (Beth, Konrad y Shrum, 2009)

El fundamento de esta propuesta está en los conceptos de mejora continua de procesos, donde “la calidad de un sistema o de un producto está muy influenciada por la calidad del proceso empleado para desarrollarlo y para mantenerlo”, afirmación que recaba en las reflexiones propias de los teóricos de la calidad como W. Edwards Deming (Deming, 1986), Phillip Crosby (Crosby, 1979) y Joseph Juran (Juran, 1988).

Si bien este concepto ha sido determinante y generoso en logros para las organizaciones, su asidero conceptual dista de ser sistémico, como quiera que su génesis responde al análisis y control estadístico de objetos particulares, al análisis de las partes como tal y sus características, lo cual focaliza los esfuerzos y concreta la métrica requerida para la toma de decisiones. En este entendido, la madurez se relaciona con la calidad dado que describe un camino evolutivo que permite pasar de procesos sin orden y ad hoc (no generalizables ni aplicable a otros procesos) a procesos disciplinados, de mejor calidad y eficientes, con vocación de estandarización o generalización. (Beth, Konrad y Shrum, 2009)

De otra parte, estudios recientes retan estas consideraciones vigentes sobre la madurez, fundamentando que este concepto no representa necesariamente un estado al que se llega de acuerdo con unas características (algunas veces caprichosas) definidas por un tercero, sino como una propiedad emergente del sistema que analiza las interacciones y relaciones entre los diferentes componentes, definiendo una tendencia en los comportamientos y prácticas que indican cómo se comporta en un momento específico una organización respecto de un tema. (Pernet, 2013)

Si lo anterior es correcto y considerando los resultados recientes de las investigaciones sobre este tema, se tiene que la madurez, al ser una propiedad que no es propia a los componentes del objeto evaluado, sino a sus interacciones, establece que la lectura de la tendencia puede variar de manera positiva o menos positiva, según los componentes se desempeñen y convivan en un contexto particular, generalmente conocido por la organización. En contraste, los modelos de madurez basados en los lineamientos de Carnegie Mellon, definen un estado que alcanzar, que supone que, una vez se llega allí no es viable retroceder.

Así las cosas y considerando la vista sistémica de la cultura organizacional de la seguridad de la información, se introduce el concepto de madurez como el diagnóstico propio de cada nivel basado en las interacciones del nivel inferior, leídos inicialmente en los tres componentes de Alnatheer (2012) (apropiación, concientización y cumplimiento) para estudiar de manera transitoria y en un periodo de tiempo, cómo estos elementos se comportan y definen una forma particular de entender y practicar la protección de la información.
 

Una propuesta académica para explorar la madurez de una cultura organizacional de seguridad de la información
Teniendo esto claro y con fundamento en la observación de las organizaciones actuales, sus diseños organizacionales y formas de proteger la información, se plantea una propuesta base de un modelo de madurez de cultura organizacional de seguridad de la información que demanda revisar no solamente los aspectos o comportamientos que definen la cultura de seguridad de la información, sino aquellos que la influencian y puede facilitar o inhibir su madurez.

 
Reactiva
Inestable
Proactiva
Sostenible
Fundamento de la cultura
Castigo
Incentivos
Bien común
Bien trascendente
Fundamento del acceso
Restricción
Restricción
Compartir
Uso responsable
Entendimiento de la información
Recurso
Recurso valioso
Activo
Activo estratégico
Instrumento base de la cultura
Marco normativo
Controles de INFOSEC
Amenazas y riesgos
Modelo de generación de valor
Nivel de compromiso de la Gerencia
Bajo
Medio
Alto
Muy Alto
             Modelo básico de Madurez de la Cultura Organizacional de Seguridad de la Información

En esta revisión académica se plantean cuatro tendencias de madurez de la cultura organizacional de seguridad de la información (COSI), leídas desde cinco elementos que pueden afectar la evolución de la COSI. Cada uno de ellos, revisa aspectos claves que movilizan o no los entendimientos colectivos de los participantes, respecto de la protección de la información, para advertir la forma como las prácticas de seguridad y control se pueden potencializar.

Lo anterior podríamos definirlo como la capa envolvente del proceso de construcción de cultura organizacional de seguridad de la información, previamente indicado de manera sistémica, donde se manifiestan y confirman unos comportamientos frente a tres elementos claves (apropiación, concientización y cumplimiento), y que son afectados o inflenciados por cinco fuerzas cuyas tensiones dan forma y definen una tendencia particular para la COSI. (Thomson, 2007)

En la cultura reactiva, el miedo, la incertidumbre y las dudas establecen los móviles que crean la sensación de inestabilidad y vulnerabilidad que hace que las acciones de control se tomen en las organizaciones. La sanción es la norma base sobre la cual el marco normativo se desarrolla y cumple, lo que permite modelar el comportamiento de las personas. Los sancionados se convierten en casos ejemplarizantes para persuadir a otros de buenos comportamientos sobre un recurso que se tiene como lo es la información.

Las empresas que superar el nivel reactivo y llegan al inestable, logran entender que la información es un recurso valioso que hace la diferencia para la organización. Se entienden en cierta medida los impactos de su inadecuado tratamiento y los comportamientos requeridos para su protección, los cuales son incentivados con recompensas o reconocimientos por cumplimiento de los controles definidos. La gerencia reconoce la importancia de los controles para asegurar la operación, pero no como elementos claves para su estrategia.

La tendencia nombrada como proactiva le da a la información el calificativo de activo, es decir, un elemento que se debe cuidar y asegurar, como quiera que representa un bien y valor común que se reconoce por todos en la empresa. En este punto, no es la restricción lo que hace la diferencia en la custodia de la información, sino la forma como se comparte, toda vez que se entienden los impactos de su tratamiento inadecuado, basado en una vista de riesgos y amenazas. La gerencia entiende con claridad la relevancia de valor de información y la necesidad de su protección.

Llegar al nivel sostenible implica que la información es un activo estratégico, que hace parte de la agenda propia del direccionamiento empresarial, donde se hace un uso responsable del mismo de acuerdo al contexto donde opera. Se supera la lectura del bien común dentro de la organización y se evidencia que las acciones de las personas en el tratamiento de la información benefician a otras (trascienden en el otro) y muestran con el ejemplo la continuidad de las prácticas enfocadas desde el modelo de generación de valor de la empresa. La gerencia no concibe el direccionamiento estratégico sin el acompañamiento de la lectura la seguridad de la información.
 

El concepto de competencias en la cultura de seguridad de la información
Si bien la propuesta anterior delinea elementos que sugieren lecturas de la evolución de la COSI, éstos deben estar conectados con los comportamientos propios de los colectivos que la componen, definiendo una competencia genérica en gestión de segura de la información, que en términos de Tobón (2013, pág.113) son competencias fundamentales para actuar en cualquier ocupación, puesto de trabajo y/o profesión y que tienen como base la actuación ética así como los derechos humanos.

Para ello, el concepto de competencias (particularmente genérica) se introduce como un forma conceptual y práctica de valorar los tres componentes base de la cultura de seguridad de la información: apropiación, concientización y cumplimiento (Alnatheer, 2012), para traducirlos en comportamientos y contextos específicos que permitan ver cómo se da forma a una cultura organizacional de seguridad de la información, construida desde la práctica de las competencias, como concepto integral y no sólo como cumplimiento de procedimientos a seguir.

De acuerdo con literatura revisada a la fecha se enumeran cinco enfoques clave para comprender las competencias: el enfoque ocupacional, el funcional, el constructivista, el integrado u holístico y el socioformativo, los cuales se compendian brevemente a continuación.

El enfoque ocupacional, tiene como principal interés el desempeño efectivo, en el cual se define cómo alcanzar resultados específicos con acciones específicas, en un contexto dado de políticas, procedimientos y condiciones de la organización (Mertens, 1996). En este sentido, las competencias son aquellas características que diferencian un desempeño superior de un desempeño promedio pobre (Mertens 1996, pág.70).

En el enfoque funcional, las competencias se entienden referidas a desempeños o resultados concretos y predefinidos que la persona debe demostrar en un proceso productivo determinado. Este enfoque tiene su base en la escuela de pensamiento funcionalista en sociología, aplicada como filosofía básica del sistema de competencia laboral en Inglaterra (Martens, 1996., referenciado por Pavié Nova 2011)

En el enfoque constructivista las competencias incluyen la totalidad de los recursos mentales que los individuos emplean para realizar las tareas importantes, para adquirir conocimientos y para conseguir un buen desempeño (Mulder, Weigel y Collins, 2008). 

En el enfoque integrado u holístico, desarrollado en Australia, la competencia se entiende como resultado de una compleja relación de atributos (conocimientos, actitudes, valores y habilidades) necesarios para el desempeño en situaciones específicas. En palabras de Navío (2004, pág.46, referenciado por Pavié Nova 2011) “el enfoque integrado intenta vincular las características individuales generales, con el contexto en que éstas se ponen en juego”.

Finalmente y no menos importante, el enfoque socioformativo, en el cual se “promueve abordar la formación humana integral como un sistema, y en esa medida busca identificar los ejes esenciales o nodos de la formación, los cuales orientan su estructuración y dinámica” (Tobón 2013, pág.25). Este enfoque le da importancia decisiva al hecho de que la formación es un proceso sistémico de corresponsabilidad entre la persona y el entorno social, cultural, económico y ambiental. En razón a lo anterior, se conceptualiza una competencia en este enfoque como:

Actuaciones integrales para identificar, interpretar, argumentar y resolver problemas del contexto, desarrollando y aplicando de manera articulada diferentes saberes (saber ser, saber convivir, saber hacer y saber conocer), con idoneidad, mejoramiento continuo y ética” (Tobón 2013, pág. 93). 

Entendiendo que una organización o comunidad es una reconstrucción permanente de conversaciones para la acción, donde se construyen y comparten significados, donde existe una determinación estructural que define tal colectivo, se requiere un enfoque de competencias que se alinee con esta propuesta, en la cual la epistemología subyacente se encuentra en el pensamiento de sistemas y los sistemas biológicos (Ballester y Colom, 2012).

Así las cosas, el enfoque socioformativo comparte dichas orientaciones, que si bien es similar a los otros enfoques en aspectos como: estudio del contexto, diseño curriculares más integrados, estrategias didácticas que consideran los diferentes saberes de las competencias y cuya valoración se basa en criterios y evidencias, difiere en que se enfoca al desarrollo de habilidades de pensamiento complejo, talleres reflexivos, emprendimiento creativo, orientación hacia los problemas del contexto y su estudio prospectivo. (Tobón 2013, pág.129)

Por tanto, en un mundo interconectado y altamente inestable, la formación de competencias implica reunir conocimientos para tener diferentes puntos de vista frente las situaciones problemáticas, dando cuenta de sus puntos en común, considerando la tendencia de la mente humana hacia el error y la ilusión. Esto supone desarrollar una educación para la incertidumbre, donde con el paso del tiempo se creen “quiebres” conceptuales (Reyes y Zarama, 1998), que generen inseguridad en el saber hacer, saber conocer, saber convivir y saber ser, para repensar nuevamente la forma como nos enfrentamos a los retos que el mundo nos impone.

La seguridad de la información no es ajena a ésta escenario y requiere asistir al entendimiento de esta realidad, sujeta al contexto donde se manifiestan dichos comportamientos, para encontrar formas que permitan entender las conductas contrarias a la protección de la información y fortalecer aquellas que se ajustan a los lineamientos e indicaciones de las organizaciones, vistas no solamente como una forma de cumplir un procedimiento, sino como un ejercicio de reflexión integral y sistémico, que permita madurar en un colectivo una cultura organizacional de seguridad de la información que sea sostenible en el tiempo.

Por tanto, diseñar y desarrollar una competencia genérica de gestión de segura de la información, conformada por tres competencias claves relacionadas con la cultura de seguridad de la información del individuo como es la apropiación, la concientización y el cumplimiento, a través de la cual mirar la evolución de los comportamientos y actuaciones de los individuos,  permite entender la problemática de la protección de la información en el contexto donde opera y, plantear acciones tanto en el presente como en el futuro frente los retos e incertidumbre que imponen las amenazas del entorno.


Reflexiones finales
La cultura de seguridad de la información y la cultura organizacional de seguridad de la información son dos vistas complementarias del reto que supone proteger la información en las organizaciones del nuevo milenio. Mientras la primera habla del entendimiento y vivencia de la persona respecto del tratamiento que ésta le da a la información (comportamientos que manifiestan apropiación, conciencia y cumplimiento (Alnatheer, 2012), la segunda nos convoca a explorar el proceso mediante el cual la interacción de “culturas de seguridad de la información” (individuales) establece un patrón estructural que define la forma como trata la información en un colectivo particular. Esto es, cómo se establecen y crean significados propios de cada comunidad para el tratamiento de la información que definen la forma como se apropian, se hacen conscientes y cumplen las prácticas de seguridad y control de la información.

En este escenario, no solo de complejidad organizacional y de cambios permanentes, proteger uno los activos intangibles más importantes de las organizaciones hoy, demanda no solamente conocer y entender la relevancia de este activo, sino contar con una vista integral que permita un adecuado tratamiento tanto dentro como fuera de las empresas (Cano, 2014). Por tanto, recabar en el entendimiento de las tendencias de la madurez de la cultura organizacional de seguridad de la información, nos permite comprender mejor los comportamientos de las personas frente al tratamiento de la información y advertir el nivel de dominio que se tiene de la competencia genérica de gestión segura de la información.

Así las cosas, introducir el concepto de competencia genérica en este análisis, propone una vista novedosa de la lectura de la COSI como quiera que su definición pone de manifiesto la necesidad de adquirir una maestría en el tratamiento de la información (White, 1979) como fundamento de la manera de cómo evoluciona la cultura de seguridad de la información tanto de forma individual como colectiva.

Por tanto, si queremos comprender mejor la exigencia que implica revelar la forma como se construye y diagnostica una cultura organizacional de seguridad de la información debemos estar abiertos a experimentar nuevas experiencias de aprendizaje que permitan incomodar y cuestionar los paradigmas vigentes y advertir un nivel de incompetencia, con el fin de movilizar nuestras reflexiones para crear vistas alternativas que tomen riesgos calculados sobre la realidad y lleven la comprensión actual de la problemática a un nuevo nivel o nueva dirección. (Delong y Delong, 2011)

Si entendemos que todas las cosas están conectadas (Hoque y Baer, 2014), que las interacciones de las personas definen y construyen significados que transforman y afectan su entorno, podemos comenzar a comprender la cultura organizacional de seguridad de la información como una propiedad emergente de una empresa, que se reconstruye desde los comportamientos de las personas, las estructuras que las contienen y definen; como una característica propia de las organizaciones que la distingue de otras, y que, cuando la inseguridad de la información aparece, es capaz de reconfigurar y repensar sus prácticas de seguridad y control existentes.


Referencias
AlHogail, A. y Mirza, A. (2014) Information security culture: a definition and a literatura review. World Congress on Computer Applications and Information Systems (WCCAIS), 17-19 January. pp.1-7. Doi: 10.1109/WCCAIS.2014.6916579
Alnatheer, M. (2012) Understanding and measuring information security culture in developing countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland University of Technology. Disponible en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf
Amin, A. y Cohendet, P. (2004) Architectures of knowledge. Firms, capabilities, and communities. Oxford University Press.
Ballester, L. y Colom, A. (2012) Epistemología de las ciencias sociales y la educación. Ed. Tirant.
Beth, M., Konrad, M. y Shrum, S. (2009) CMMI. Guía para la integración de procesos y la mejora de productos. Ed. Pearson. Segunda Edición.
Cano, J. (2014) La función de seguridad de la información. Presiones actuales y emergentes desde la inseguridad de la información. ISACA Journal. Vol.6. Recuperado de: http://www.isaca.org/Journal/Past-Issues/2014/Volume-6/Pages/default.aspx (Requiere suscripción)
Crosby, P. (1979) Quality Is Free. The Art of Making Quality Certain. New York: McGraw-Hill.
Delong, T. y Delong, S. (2011) The paradox of excellence. Harvard Business Review. June.
Deming, W. (1986) Out of the Crisis. Cambridge, MA. MIT Center for Advanced Engineering.
Fidler, D. y Gorbis, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer Trimestre.
Hoque, F. y Baer, D. (2014) Everythings connects. How to transform and lead in the age of creativity, innovation, and sustainability. McGraw Hill.
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations with viable system model. John Wiley & Sons. Chichester, West Susex. UK.
Hurlburst, G., Bojanova, I., Sobel, A. y Crosby, K. (2014) Security or privacy? A matter of perspective. IEEE Computer. Noviembre. pp.94-98.
Juran, J. (1988) Juran on Planning for Quality. New York: Macmillan.
Mertens, L. (1996). Competencia laboral: sistemas, surgimientos y modelos. CINTERFOR/OIT. Montevideo, Uruguay. Recuperado de: http://cinterfor.org.uy
Mulder, M., Wiegel, T. y Collings, K. (2008). El concepto de competencia en el desarrollo de la educación y formación profesional en algunos Estados miembros de la UE: un análisis crítico. Profesorado. Revista de currículum y formación del profesorado. Vol. 12, No.3. Recuperado de: http://www.ugr.es/~recfpro/Rev123.html.
Pavié Nova, A. (2012) Las competencias profesionales del profesorado de lengua castellana y comunicaciones en Chile: aportaciones a la formación inicial. Tesis doctoral. Universidad de Valladolid. Facultad de Educación y Trabajo Social.
Pernet, E. (2013) Un modelo sistémico para el diagnóstico del estado de madurez del Gobierno, Riesgo y Cumplimiento en las organizaciones. Tesis doctoral. Newport University. School of Business.
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general living systems theory perspective. Information Security for South Africa (ISSA), 13-14 August. pp 1-8. Doi: 10.1109/ISSA.2014.6950493
Reyes, A. y Zarama, R. (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. Vol.5, No.3. pp 19-33.
Schein, E. (1992). Organizational culture and leadership. San Francisco, CA: Jossey-Bass.
Thomson K. L. (2007) MISSTEV: Model for Information Security Shared Tacit Espoused Values. Doctoral Thesis. Nelson Mandela Metropolitan University. Faculty of Engineering. South Africa.
Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Ecoe Ediciones.
VansonBourne – NTT Com Security (2014) Risk: Value report. Do the senior executives understand their role in data security? Recuperado de:  http://www.nttcomsecurity.com/en/uploads/files/UK_White%20Paper_Risk%20Value_Public%20Approved_%20V3.pdf
White, R. (1979) Achievement, mastery, proficiency, competence. Studies in Science Education. Vol.6. pp 1-22