domingo, 31 de enero de 2016

La armonía de los contrarios. Una nueva categoría didáctica para educar en seguridad de la información.

Introducción
La inevitabilidad de la falla es un concepto que poco a poco se ha venido difundiendo a nivel internacional, como quiera que todo es susceptible de fallar, bien de manera deliberada o por situaciones no conocidas. En este escenario, pensar y desarrollar una gestión desde la certeza de una operación sin contratiempos, es una vista efímera que, con el primer percance, puede llegar a comprometer no solo la capacidad de aprendizaje de los involucrados, sino la imagen de aquellos que lo administran.

En este sentido, la falla o el error, se ha mirado por lo general como un resultado, el cual es valorado bajo estándares definidos, generando una emocionalidad contraria, que no siempre motiva y moviliza los cambios requeridos. Por tanto, el error conlleva una carga emocional generalmente negativa, que de alguna forma, recrimina y excluye a todo aquel que no se ha ajustado a la norma establecida.

En este escenario, el error no es ocasión de oportunidades y descubrimiento de nuevas ideas, sino un tribunal de sanciones, que no busca motivar una renovación del pensamiento ni provocar nuevas experiencias para explorar. Esto es, una audiencia pública que margina a todos los involucrados a llevar el peso de una marca que los segrega y limita para continuar aprendiendo, que no es otra cosa que cortarle las alas a su creatividad.

Cuando el error no se mira como un resultado, sino como un proceso, se abre la oportunidad para descubrir las relaciones internas de las acciones que han llevado al resultado. Se inscribe la actuación, como un intento por abordar una situación, cuyas consecuencias dan cuenta de una realidad distinta a la esperada, lo cual puede o no ser útil frente al contexto donde ella se desarrolla.

Bajo estos parámetros, el error se constituye como una herramienta pedagógica que interroga a los participantes sobre aquellos aspectos emergentes de la situación, que permiten explorar linderos antes desconocidos y potenciar el entendimiento de los resultados para una siguiente oportunidad. Así las cosas, como afirma De la Torre (2004) “No es posible no equivocarse en el proceso de aprender”.

Si bien buena parte del aprendizaje, se ha adquirido por ensayo y error, por observación, por experiencias previas en contextos particulares, no se quiere indicar que sea forzosa la “equivocación” para poder aprender, sino que se hace necesario descubrir en los detalles del proceso cognitivo, aquellos aspectos que más ayudan a las personas para apropiarse de un saber y mejorar las aptitudes y estrategias que la permitirán mayor seguridad y confianza en su hacer (De la Torre, 2004).

Lo anterior, establece una vista sistémica del aprendizaje, donde el error como proceso, revela relaciones visibles e invisibles de las elaboraciones cognitivas humanas, que permiten identificar aquellas cosas que no funcionan bien en los marcos y estrategias de enseñanza/aprendizaje. Algunos dirán que esto es susceptible de aplicar en escenarios académicos controlados, pero la realidad nos indica, que de no hacerlo en el mundo empresarial, las organizaciones estarán condenadas repetir historias que no quieren oír y a repetir discursos de gestión que se desgastan en su actuar.

Habida cuenta de lo anterior, este documento establece algunas reflexiones particulares sobre la pedagogía del error (De la Torre, 2004), en el contexto de la formación en seguridad de la información, como una forma de controvertir el status quo de la práctica de entrenamientos en protección de la información y abrir una nueva posibilidad de enseñanza y aprendizaje que conecte la realidad de la empresa y la dinámica del pensamiento de sus empleados frente a la seguridad de la información.

El costo de los errores en seguridad de la información. Una lectura desde la pedagogía del error.
Es claro que los errores en seguridad de la información tienen efectos y consecuencias visibles para las organizaciones en general, que pueden llegar a implicar sanciones legales, económicas y pérdidas de reputación. En esta perspectiva, el error en las prácticas de seguridad de la información se juzga como efecto contrario, que desestabilizando la sensación de confort organizacional, configuran un tribunal de acusaciones en contra de aquellos que han cometido las faltas y de los responsables del aseguramiento del tema.

Es tal la sensibilidad de las acciones que se advierten fuera de los límites permitidos, que terceros evaluadores están listos a documentar los efectos de dichas acciones, para contabilizar las fallas y elaborar valoraciones que den cuenta de la falta de gestión y aseguramiento de las prácticas de seguridad y control en la organización. Si bien, una falla revela algo que no está de acuerdo con un lineamiento establecido, también manifiesta una oportunidad para aprender, un momento para profundizar en las actuaciones y sobre manera una forma de sorprendernos para hacer nuevas distinciones.

En este sentido, los responsables de la seguridad de la información, son enmarcados en estándares que buscan inhibir todo el tiempo la aparición de las fallas de seguridad y cuando aparecen, son catalogadas como fallas del sistema de gestión, por lo cual habrá que aplicar el formato de análisis causa-raíz, que permita llegar al fundo de la situación que ha provocado el resultado y luego activar, en el mejor de los casos, el procedimiento de lecciones aprendidas, las cuales guardan la memoria del evento contrario que ha ocurrido.

Frente a esta situación, donde el error como resultado, es hijo de una vista mecanicista del mundo, que debe ser erradicado del ejercicio de perfeccionamiento del funcionamiento de las cosas, la seguridad de la información se ha nutrido ampliamente creando un escenario cada vez más rígido de acción, que busca alcanzar una meta de protección basada en la invulnerabilidad, sabiendo que en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009) no es posible lograr.

Lo anterior genera el stress y angustia natural de los profesionales de la seguridad de la información que, cada vez que adelantan acciones proactivas para evitar situaciones de riesgo, los hechos que acontecen desbordan las predicciones establecidas frente a lo ocurrido. Esto no quiere decir que los ejecutivos de seguridad de la información sean víctimas de las inestabilidades del entorno, sino que su perspectiva del ejercicio de protección debe ajustarse con la dinámica de su contexto, no para encontrar responsables afuera de su práctica, sino para incorporar nuevos procesos de aprendizaje que reivindiquen al error como posibilidad de aseguramiento y control.

Lo anterior supone leer el error como una oportunidad que motive mover el estado de la práctica de seguridad de la información fuera de la zona cómoda y la lance a explorar escenarios contradictorios que generen un entorno psicológicamente seguro, donde fallar es una opción, pues el beneficio que se obtiene, es superior al costo de cometer el mismo (Schoemaker, 2011).

A manera de resumen podríamos decir, en lectura de De la Torre (2004), que debemos recuperar el error como herramienta pedagógica que supere el cumplimiento de objetivos y atienda la riqueza del proceso de aprendizaje. Una vista de lo anterior, se condensa en el cuadro a continuación.

Consideración del Error
Mundo Mecanicista
Mundo de los sistemas
Desviación de la norma
Desajuste en lo esperado y obtenido.
Elemento perjudicial en el aprendizaje.
Elemento que activa y motiva el aprendizaje.
Es una condición que deber ser sancionada.
Es una condición natural del proceso de aprendizaje.
Deber ser evitado.
Deber ser aceptado y diagnosticado.
Es indicador de resultados no alcanzados.
Es síntoma de procesos de aprendizaje
Es ocasión de clasificación y exclusión en el proceso de aprendizaje.
Es ocasión de orientación y guía en el proceso de aprendizaje.
Tabla 1. Consideración del error (Basado en: De la Torre, 2004, p.85)

La formación en seguridad de la información. Un ejercicio de la armonía de los contrarios.
Si la práctica de seguridad de la información se ha nutrido de una vista mecanicista del mundo y el error es considerado una condición contraria y por demás costosa frente a las consecuencias que los mismos tienen, es preciso revisar la manera como se ha venido formando a las personas en las organizaciones respecto del tratamiento adecuado de la información.

Mientras un analista de seguridad tradicional, establece su paradigma de protección en una vista lineal de riesgo-control, un atacante desafía el escenario conocido y modifica su dinámica para crear un nuevo entorno, que difícilmente podrá ver un analista en su ejercicio. El atacante tiene un pensamiento circular, donde una causa lleva a un efecto y un efecto una nueva causa, en este ejercicio, logra cuestiona su propio pensamiento y sorprenderse de aquello que el mismo ha logrado.

Si entrenamos a las personas sólo en la vista del analista, siguiendo los parámetros normales de la formación, basada en contenidos establecidos y respuestas debidamente calculadas, los individuos podrán alcanzar la calificación requerida, repitiendo aquello que se encontraba en sus cartillas de entrenamiento. Sin embargo, la pregunta que sigue es ¿esto nos hará más resistentes frente a situaciones inciertas? Posiblemente la respuesta no será positiva, pues los empleados estarán preparados para responder a lo conocido y registrado en los estándares, pero no para variables dinámicas que se encuentran en su contexto.

Por el contrario, si se establece un entrenamiento siguiendo la mente del atacante, buscando elementos para superar los patrones y parámetros de seguridad y control establecidos, tendremos un escuadrón posiblemente de atacantes internos formados para dar cuenta de las fallas y la forma de cómo se materializan, creando un entorno insostenible que lleve a los límites del sistema, comprometiendo su funcionalidad y la identidad del mismo por fuera de los estándares de actuación ética y de mejora continua.

Bajo este escenario, se hace necesario integrar la dos vistas previamente presentadas, que permitan construir un marco pedagógico asistido por la armonía de los contrarios, una vista que, sensible al contexto de las personas en la organización, establezca una zona psicológicamente segura donde las decisiones que se toman frente a situaciones inciertas permitan que los individuos “estudien la situación, definan los problemas, lleguen a sus propias conclusiones sobre las acciones a emprender, contrasten ideas, las defiendan y las reelaboren con nuevas aportaciones” (Acosta, 2014, p.47).

Este marco reconoce la circularidad del pensamiento de los atacantes, la complementariedad de las prácticas y estándares con los riesgos de los procesos para explicar lo que ocurre y sobre manera la autoreferencia del sistema analizado, que significa comprender las relaciones entre sus componentes que definen la identidad del mismo. Esto es, saber que existen propiedades emergentes que son fruto de las relaciones entre sus componentes y que no son inherentes a cada uno de ellos.

Así las cosas, las actuaciones derivadas de una formación basada en este marco pedagógico establecido, establecen las bases de la formulación de una competencia de gestión segura de la información (Cano, 2015) que, una vez negocia los cambios de paradigma en su hacer, reconstruye las prácticas desde la sabiduría del error, es decir, que la inestabilidad de los sistemas y sus posibles fallas, son ocasión para que surjan aprendizajes avanzados en las personas que las habiliten para: (Tobón, 2013, p.101)
  • Comprender la situación problemática en un contexto disciplinar, personal, ambiental, social y/o económico.
  • Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo imprevisto y la incertidumbre.
  • Considerar las consecuencias del problema y los efectos de la solución dentro del conjunto del sistema.
  • Aprender del problema para asumir y resolver problemas similares en el futuro.

En consecuencia, la formación en seguridad de la información debe responder a criterios educativos que promuevan quiebre conceptuales respecto de la dinámica de las organizaciones, para que reconociendo el contexto inestable e incierto donde deben actuar los individuos para proteger la información, se puedan tener seres humanos transformados por el entorno y acciones trascendentes de éstos, para potencialmente innovar en sus propios ambientes.

Lo anterior supone, en palabras de Acosta (2014, p.48) “comprender la necesidad de apoyarse en los demás para aprovechar las fortalezas y competencias de todos”, reconocer las limitaciones como oportunidades de desarrollo y “aumentar la sinergia que surge” al participar de un escenario de construcción social de conocimiento, donde las acciones y decisiones que se realicen, benefician necesariamente a los demás.

Reflexiones finales
Si entendemos el aprendizaje como una propiedad emergente del proceso educativo, esto “es una cualidad distinta que el sistema “persona” elabora en un momento dado sin que previamente, como tales, estuviesen contenidas en ninguna de las partes. (…)” (Novo, Marpegán y Mandón, 2011, p.126), estamos ante un cambio de perspectiva en la formación de los individuos, donde “educar” a la persona en seguridad de la información no es enseñarle algo que no sabía, sino convertirlo en un otro distinto que es consciente de los riesgos y asimetrías del entorno donde actúa y está preparado para tomar decisiones que benefician a los demás.

En este sentido, el marco pedagógico propuesto basado en la armonía de los contrarios, lejos del riesgo de la simplificación, permite una aproximación a los escenarios reales de participación de los individuos, creando una vista sistémica de la realidad, que promueve un actuar integrado, innovador y transdisciplinar.

Lo anterior significa, entender e incorporar las diferencias naturales de las personas y las presiones del entorno, teniendo como foco el aprendizaje en los procesos más que sus resultados, motivar momentos de síntesis que consoliden la apropiación del conocimiento y la construcción de una espiral ascendente de comprensión de sus decisiones que lo habiliten para manejar la incertidumbre, producir modelos de actuación y adaptarse a los cambios.

Lograr fundar una educación en seguridad de la información con estas características, implica romper la tradición mecanicista de la formación que se tiene a la fecha, producir escozor y malestar al interior de las prácticas vigentes de protección de la información y sobre manera, quebrar los lentes actuales del entendimiento de la seguridad de la información donde los estándares exigen la repetibilidad del proceso de gestión, para poder establecer una medida del nivel de “protección” disponible y requerido en la organización.

Por tanto, esta reflexión no pretende ser un “elogio de la locura” que exalte lo negativo y reprochable, sino una búsqueda de una comprensión mayor del escenario que se advierte para avanzar en el ejercicio de protección de la información. Esto es, aprendamos a través de las equivocaciones y construyamos desde los estándares probados, para que, como anota De la Torre (2004), “el error sea un incidente esclarecedor del proceso y, no un resultado ni un hecho irremediable de la naturaleza humana”.

Referencias
Acosta, S. (2014) Pedagogía por competencias. Aprender a pensar. México, México: Editorial Trillas.
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5.
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategia de innovación. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.
Novo, M., Marpegán, C. y Mandón, M. (2011) El enfoque sistémico: su dimensión educativa. Madrid, España: Editorial Universitas, S.A.
Schoemaker, P. (2011) Brilliant mistakes. Finding success on the far side of failure. Philadelphia, USA: Wharton Digital Press.

Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Bogotá, Colombia: ECOE Ediciones.

sábado, 2 de enero de 2016

Cinco lecciones por aprender en seguridad y control. Un marco de acción transdisciplinar desde la inevitabilidad de la falla.

Introducción
Generalmente cuando se termina un periodo de labores las personas y/o organizaciones hablan de las lecciones aprendidas, de los aprendizajes y desaprendizajes que se tuvieron, los cuales resultan muy valiosos frente a la práctica que se ha venido desarrollando en las empresas. Este ejercicio permite ver en perspectiva lo que ha ocurrido para reconectar aquello que se viene haciendo con la renovada forma de ver las cosas desde aquello que se ha aprendido.

Las lecciones aprendidas conectan los momentos donde se suspendió la realidad, con los referentes teóricos vigentes hasta ese instante, para repensar lo que se creía que era de esa manera con una forma alterna de ver el mundo. Una lección aprendida es una ventana de oportunidad para desarrollar formas diferentes de hacer las cosas y crear condiciones distintas para aquellos que saben que el mundo cambia y continúa cambiando todos los días.

Las lecciones aprendidas (Ifad, ?) son un insumo para los nuevos proyectos, el espejo retrovisor que permite observar aquello que ha ocurrido, reconocer lo que se hizo bien y lo que no salió tan bien, para establecer referentes concretos que nos ilustren aspectos renovados de la experiencia que promuevan alcances diferentes a los que se tenían en el pasado. Sin perjuicio de lo anterior y de las nuevas posibilidades que se han abierto luego de lo aprendido, es clave comenzar a visualizar lo que se denominan las “lecciones por aprender”.

Una lección por aprender es una expectativa para anticipar un escenario, que puede o no ser disruptivo (Johnson, 2011), pues establece un referente de futuro que la persona u empresa debe considerar para avanzar y anticipar acciones que debe asumir para concretar nuevos aprendizajes, los cuales serán relevantes para concretar aquello que quieren alcanzar en un momento próximo. En este sentido, no solamente son importantes las lecciones aprendidas en seguridad de la información, sino aquellas que tenemos por aprender.

Las lecciones por aprender en seguridad de la información nos informan de aquello que se advierte “adelante de la curva”, de las posibilidades que se deben anticipar para concretar acciones antes que la inevitabilidad de la falla haga presencia, y que aún se manifieste, se pueda tener margen de acción y propuestas alternas que confronten la incertidumbre, el miedo y las dudas que la situación pueda generar.

En este contexto, esta breve reflexión plantea cinco (5) lecciones por aprender en seguridad de la información, que consultando las lecciones aprendidas de las vulnerabilidades y fallas más documentadas y frecuentes, establece un referente base de lo que se avizora en los próximos años que puede cambiar las prácticas de seguridad y control, no sólo en el ámbito técnico, sino el escenario organizacional sobre la protección de la información a nivel de las personas, los procesos, las regulaciones y la tecnología.

Caracterizando las lecciones por aprender
Cuando existen lecciones por aprender, se deben revisar algunos aspectos claves que permiten explorar caminos hacia adelante que, pueden o no, estar a la vista, para concretar acciones que anticipan futuros no previstos o situaciones que debe ser resueltas. Una lección por aprender busca concretar y motivar aprendizajes de manera anticipada, con el fin de canalizar esfuerzos con la suficiente valentía y claridad, para abrir posibilidades de renovación en el presente.

Podemos indicar que una lección por aprender tiene al menos tres elementos fundamentales (que son mutuamente excluyentes):
  • Sugiere una propuesta o alternativa a una problemática que se ha creado o ha estado en el entorno de manera permanente sin variaciones o soluciones estructurales.
  • Identifica y transforma la forma como históricamente se han hecho las cosas en un determinado dominio.
  • Revisa y estudia la realidad desde dominios de conocimiento distintos al que contiene la problemática revisada.

Estos tres elementos contextualizan las actuaciones de aquellos que buscan una lectura no solamente interdisciplinar, sino transdisciplinar (Huerta, Zambrano, Pérez, y Matsui, 2014), donde los límites de las propuestas extraídas del mismo dominio de la problemática, carecen de sentido en el otro. Así las cosas, las lecciones aprendidas conjugan, una perspectiva disciplinar que define la necesidad primaria para revisar, con las diferentes perspectivas y ópticas de análisis que se pueden fundar desde otras disciplinas, como fuente de alternativas retadoras que hacen posible una realidad distinta.

Aquellos que exploran lecciones por aprender deben consultar en el espejo retrovisor las lecciones aprendidas, para establecer los nuevos linderos hacia adelante donde se advierte las posibilidades que están disponibles para quienes han sabido desafiar sus propios paradigmas, y explorar las prácticas históricas de su disciplina, y darse la oportunidad para “surfear” (CNIC, 2013) sobre las novedades, que diferentes lecturas de otros dominios, hacen de la misma realidad.

Establecer las lecciones por aprender en una disciplina particular, demanda conocer muy bien la realidad de la situación problemática, haber experimentado la incertidumbre que ocasiona las inestabilidades que registra la misma y sobre manera haber conocido la contradicción que genera el entorno, donde no solo se compromete los saberes propios de las personas, sino las expectativas y emociones de aquellos que están esperando una respuesta a la inquietud que se genera.

Bajo estos parámetros básicos, se plantean a continuación algunas lecciones por aprender en seguridad de la información que retan o interrogan las prácticas actuales, no para generar cambios inmediatos en la manera de hacer las cosas, sino para establecer horizontes de transformaciones que las personas y organizaciones deben emprender para no ser víctimas de situaciones adversas que se puedan presentar en el futuro, sino actores proactivos que han comprendido con anticipación las inestabilidades que se advierten en un futuro cercano.

Cinco lecciones por aprender en seguridad y control
Estas cinco lecciones establecen un plan referente para desaprender de forma anticipada y crear el entorno necesario para que la realidad se transforme en un proceso de conquista de los paradigmas vigentes en seguridad y control.

Lección No.1 Se debe complementar el control de acceso con el control de uso
La historia de la seguridad de la información se ha fundado sobre el ejercicio de los controles, donde las medidas tecnológicas tienen el protagonismo sobre las prácticas de las personas, delegando la protección de la información en la efectividad de dichas medidas. Esta delegación ha influenciado la práctica de seguridad de la información, dejando por fuera las decisiones que las personas deben tomar y el criterio que deben desarrollar frente al tratamiento de la información.

Así las cosas, el ejercicio que se requiere es articular las técnicas de control de acceso basadas en permisos, perfiles y roles, con el desarrollo de capacidades y criterios para decidir ante situaciones inciertas por parte de las personas. Donde la combinación del control de las tecnologías de control, sean una parte de la dinámica y respuesta ante el contexto donde la persona debe decidir.

Mientras el control de acceso se programa y la lógica de protección es parte inherente de un programa organizacional que exige un cumplimiento de prácticas de control estándar; el control de uso, está asociado con el desarrollo de una competencia de gestión segura de la información (Cano, 2015) que conjuga la apropiación, la concientización y el cumplimiento como fuente misma de las acciones o actividades que las personas deben desarrollar para proteger la información aun cuando no existan un escenario propicio para hacerlo.

Lección No. 2 Se debe complementar el control de acceso: quién, a qué recurso y qué permisos, con la ubicación de quien solicita.
La dinámica del internet de las cosas y la movilidad hacen que el control de acceso tecnológico, aquel que se programa desde las prácticas de la industria se deba renovar. Esta renovación exige que no solamente se requiere conocer el quién, el recurso y sus permisos, sino la ubicación de la persona, ahora en un contexto de movilidad y de ecosistema digital (Harkins, 2013).

Mientras en el pasado el control de acceso estaba asociado con lugares conocidos y dinámicas particulares en sistemas de información, asociado con rutinas de las personas que hacían el tratamiento de la información, ahora en un ecosistema digital donde la movilidad de los actores establece un reto adicional, se hace necesario incluir una nueva variable que compute la ecuación de acceso tradicional y se alinee con la realidad que demanda la dinámica de los negocios actuales.

El nuevo paradigma de control de acceso debe incluir los conceptos tradicionales y extenderlos sobre características de la infraestructura que protege y desde donde se requiere hacer el acceso, como quiera que no hacerlo significa estar aplicando prácticas válidas y probadas, en entornos dinámicos y asimétricos, donde se advierten revisiones distintas, que no solo son propias de los estándares conocidos, sino las requeridas por la dinámica actual.

Lección No. 3 Se debe complementar el retorno de la inversión, con el retorno por inclusión.
Un reto permanente en seguridad de la información es cómo cuantificar la inversión y calcular su retorno. Un diálogo siempre abierto e inconcluso que se tiene con las personas de finanzas. Mientras el de seguridad habla en términos de riesgos y pérdidas, el de finanzas exige propuesta de valor y utilidades. Una conversación en estos dos idiomas irremediablemente no tiene posibilidades de conexión ni apertura en ninguno de los dos lados (Kark, Whiteley III y Viglianti, 2009).

En este sentido, mientras el retorno de la inversión (roi) busca justificar un valor de inversión para registrar y presentar ante la agenda ejecutiva de la organización, el retorno por inclusión (rxin), revela los beneficios alcanzados que se han presentado en la empresa por el desarrollo de prácticas de seguridad y control. Esto es, las historias contadas por los mismos protagonistas, que dan cuenta de una transformación silenciosa que se incluye y conecta con el imaginario de la cultura, donde la junta hace parte de la lectura extendida de la seguridad de la información en su capital político y corporativo.

El retorno por inclusión (rxin) es una apuesta de construcción social que se transmite de manera lateral en la organización y que se conecta con los imaginarios de la cultura (Cano, 2015b), haciendo sentido en las expectativas del primer nivel ejecutivo, no solo con las noticias que se cuentan desde la experiencia de las áreas, sino con la lectura que tercero influyentes pueden hacer sobre los planes del gobierno corporativo. La inclusión no es llevar el tema al cuerpo de gobierno, sino conectarlo con el tono del imaginario de protección del cual ellos hacen parte.

Lección No. 4 Se debe balancear el miedo, la incertidumbre y las dudas, con los hechos, las observaciones, las anécdotas y las metáforas.
La seguridad, no sólo de la información, sino en diferentes dominios se ha vendido desde la antigüedad basado en el miedo, la incertidumbre y las dudas. Los oficiales de seguridad han sido catalogados como “aves del mal agüero” los cuales cuando aparecen no sólo llevan malas noticias, sino panoramas siempre inestables que generan temores y dudas (Rose, 2013).

Algunos ejecutivos de tecnología de información argumentan que esta técnica sigue estando vigente y que ejercicios que motiven este tipo de situaciones permiten que el flujo de inversión sobre la seguridad tecnológica se mantenga. Otros, por tu parte, indican que se debe seguir usando el recurso de las “dudas” en dosis cada vez más pequeñas, para mantener una tensión y expectativas permanente que no agote el tema con los miembros del primer nivel ejecutivo.

Lo que es claro es que se debe lidiar con el “síndrome de la falsa sensación de seguridad”, una enfermedad corporativa que se confía de las pruebas y prácticas que se generan en el contexto de lo tecnológico, para dar un parte de tranquilidad a los ejecutivos de primer nivel. Hacer esto y tener éxito, es abrirle la puerta a una “confianza ilusa” que no pretende indagar sobre lo que realmente ocurre y se queda con una fotografía estática, que no corresponde con la dinámica inherente a la inevitabilidad de la falla.

Lo anterior significa que mientras haya mayores elementos asociados con los hechos, las observaciones, las anécdotas y las metáforas que se puedan articular con los logros en seguridad de la información, se irá creando un imaginario de “paranoia bien administrada” que consultando la dinámica de los riesgos latentes y emergentes, es capaz de hablar de una seguridad y control basada en la gestión, esto es, que sabe que se articula en buenas prácticas y logros concretos, pero que requiere siempre un permanente desaprendizaje.

Lección No. 5 Se debe complementar la visión de riesgos conocidos (feedback) por una visión de riesgos latentes y emergentes (feedforward)
Los psicólogos hablan que no solamente debemos tener el feedback o retroalimentación de lo que hacemos, sino tratar de darle sentido a las indicaciones que dicha información propone. Sin embargo, si nos quedamos allí, estaremos siempre detrás de las noticias y nunca anticipando cambios o transformaciones que se requieren.

En razón con lo anterior, se habla del feedforward, algo como pensar hacia adelante, que nos moviliza y motiva a concretar nuevas prácticas y estrategias para hacer cosas que no se habían hecho antes (Cano, 2014). En seguridad de la información se tiene con frecuencia mucho feedback, de los informes de auditoría, de los logs, de las correlaciones de eventos y de las evaluaciones de terceros que son contratadas dentro del esquema de seguimiento y control de las empresas, pero poco se habla de feedforward.

La postura de feedforward en las prácticas de seguridad y control, demanda una vista renovada de la planeación por escenarios, de los juegos de guerra y sobre manera de la exploración de posibilidades, más que de probabilidades. El feedforward, le indica a las prácticas de protección actuales la necesidad de abordar el nuevo escenario digital que se tiene y lanzarse a construir alternativas diferentes que anticipen problemáticas estructurales que se pueden presentar en los nuevos escenarios.

Construir contexto de feedforward en seguridad de la información es incluir una vista de riesgo extendida (latentes, focales y emergentes) con una propuesta de análisis de escenarios que vincule la reflexión colectiva de los diferentes participantes organizacionales, donde se revelen puntos de inflexión antes ignorados y concretados desde el entendimiento de los procesos por sus propios protagonistas. Los ejercicios de riesgo control de temas conocidos (propios del feedback) deben ser complementados una vista hacia adelante (feedforward) que anticipe y genere escenarios que procuren reflexiones enriquecidas con todos los interesados.

Reflexiones finales
Las lecciones aprendidas que las diferentes publicaciones nos pueden revelar, deben ser parte del insumo de las reflexiones que se deben articular para construir y desarrollar las lecciones por aprender que se han planteado en este documento. Lecciones que, si bien no son definitivas, son propuestas que se construyen desde la lectura de cambios sobresalientes y problemáticas aún sin resolver que permiten abrir espacios de discusión práctica y académica.

Las lecciones por aprender planteadas en este texto, corresponden a una revisión conceptual y ejecutiva que pretende motivar reflexiones distintas que liberen a las organizaciones de su visión de retrovisor en seguridad de la información y promuevan espacios de análisis diferentes que conjuguen una vista posible del tratamiento de la información, con una práctica de probabilidades que actualmente se mantienen en los diferentes escenarios corporativos.

Ganarse un lugar en las ligas de los ejecutivos de primer nivel no es solamente mostrar que el responsable de seguridad es capaz de presentar indicadores y resultados de su gestión, sino que tiene la capacidad de confrontar un imaginario de inversiones y costos, con hechos, metáforas y propuestas que den cuenta de una realidad que afecta los intereses políticos y estratégicos de cada uno de los miembros de la junta.

Así las cosas, las lecciones por aprender consignadas en esta reflexión, deben ser una excusa académica y práctica para promover una vista transdisciplinar (Huerta, Zambrano, Pérez y Matsui, 2014) del tratamiento de la información, para lograr quebrar el imaginario técnico que la seguridad de la información carga desde sus inicios y establecer saberes conjugados desde diferentes miradas administrativas para construir un escenario de discusión donde el único referente sea la información como activo estratégico clave y distintivo de las organizaciones.

Referencias
Cano, J. (2014) Feedback y Feedforward. Blog Frase de la Semana. Recuperdo de: http://frasedelaseman.blogspot.com.co/2014/12/feedback-y-feedforward.html
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5
Cano, J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología. Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558 (Formato web). Recuperado de: http://bit.ly/1OjMBh6
Consejo Nacional de Innovación para la Competitividad - CNIC (2013) Orientaciones estratégicas. Surfeando hacia el futuro. Chile en el horizonte 2025. Recuperado de: http://www.cnic.cl/images/comunicacionescnic/Orientaciones_Estrategicas/orientaciones_estrategicas.pdf 
Harkins, M. (2013) Managing risk and information security. Protect to enable. Apress Open.
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
Ifad (?) What is a lessons learned. Recuperado de: http://www.ifad.org/evaluation/public_html/eksyst/doc/lle/lle.htm
Johnson, W. (2011) Disrupt yourself. Harvard Business Review. Recuperdo de: https://hbr.org/2011/08/disrupt-yourself/
Kark, K., Whiteley III, R. y Viglianti, A. (2009) Articulating The Business Value of Information Security. Forrester Research.
Rose, A. (2013) The CISO’s Handbook - Presenting to the board. Forrester Research. Forrester Research. Recuperado de: https://www.veracode.com/sites/default/files/Resources/AnalystReports/forrester-ciso-handbook-presenting-to-the-board-compliments-of-veracode-analyst-report.pdf