lunes, 20 de marzo de 2017

Riesgos y seguridad de la información. Una lectura desde las ciencias sociales y las reflexiones sistémicas

Introducción
Por más de cincuenta años se han explorado respuestas al reto de la protección de la información desde la perspectiva técnica, técnico-social, matemático formal, entre otras, las cuales han ofrecido vistas particularmente interesantes, motivando reflexiones que han sido capitalizadas en productos o servicios que hoy son parte integral de las prácticas de las organizaciones modernas.

Este ejercicio de la protección de la información, demanda no sólo el conocimiento claro de los comportamientos de los individuos y sus prácticas, sino el reconocimiento de su perfil de riesgos, del entendimiento de los inciertos, ambigüedad, complejidad e historia personal que subyace en la experiencia de las personas, como quiera que es allí donde la acción final de control o aseguramiento tiene el asidero de la práctica que se tiene.

Bajo este entendimiento, se hace necesario recurrir a las ciencias sociales y las reflexiones sistémicas, para abordar la realidad del riesgo, desde un observador externo que reconoce un entorno y la dinámica de las relaciones que las personas establecen frente a la experiencia de lo incierto e inestable, así como desde un observador interno, que asume la complejidad del entorno y las decisiones que debe tomar un individuo en el ejercicio de superar una situación ambigua o contradictoria.

Así las cosas, establecer un marco de protección de la información basado en riesgos, demanda una lectura de doble vía desde el entorno al individuo y viceversa, de tal forma que se pueda balancear las exigencias propias de la dinámica de la persona frente a un entorno inestable, con el fin de que tome las decisiones necesarias y suficientes para estar concentrado en lo que puede ser y no, en lo que no ha sucedido (Carmen, 2015), y así superar el dilema de control (Espejo y Reyes, 2016) que se plantea cuando no tiene la variedad suficiente para dar cuenta de la acción que debe tomar.

Proteger la información en el escenario de un mundo volátil, incierto, complejo y ambiguo, donde cada vez hay menos oportunidad para mantener secretos o información confidencial, implica explorar no solamente las buenas prácticas actuales y estándares de la industria, sino recabar en el imaginario de las personas y sus percepciones particulares de los riesgos frente a la información, como una forma de revelar la esencia de las decisiones que ellas toman para salvaguardarla.

En este contexto, la contraposición entre riesgo y seguridad, establece una vista complementaria que no busca opacar o resaltar alguna de ellas, sino explorar los puntos de conexión existentes en el escenario particular de las decisiones de las personas frente al tratamiento de la información y cómo en este reto de comprensión de relaciones circulares, es posible establecer un marco de acción que oriente a los individuos para superar la esencia misma de la venta de los temas de seguridad basado en el miedo, las dudas y la incertidumbre.

Por tanto, este documento explora un marco conceptual de tratamiento de la información fundamentada en las ciencias sociales y las perspectivas sistémicas, que conecte la realidad del riesgo con los retos de las seguridad y control, de tal forma que ofrezca orientaciones de actuación para los individuos con el fin de habilitar una toma de decisiones situada, aún en escenarios inciertos, complejos y ambiguos.

Recreando el concepto de riesgo. Una revisión desde los estudios sociales
El estudio del riesgo en el escenario de la protección de la información se ha conceptualizado con una vista negativa, como toda situación o acción contraria que puede comprometer alguna de las características claves de la seguridad de la información: confidencialidad, integridad y disponibilidad, generando impacto adverso sobre los intereses personales o empresariales que representa ese particular conjunto de datos procesados.

Basado en este entendimiento, las personas y las organizaciones crearon un imaginario de prevención y advertencia sobre esas situaciones, los cuales hicieron carrera con marcada velocidad en las prácticas de seguridad y control donde el control de acceso, se configura como la práctica de restricción natural para determinar quiénes pueden o no tener conocimiento de una información particular. Estas restricciones responden a declaraciones de los dueños de la información quienes definen como base la tupla: usuario, acción, objeto, que delinea quién puede acceder, bajo que acción: lectura, escritura, modificación y finalmente el componente autorizado a ser afectado: archivo, base de datos, registro, etc.

La violación de las reglas definidas por el control acceso, establecen un atentado directo a la protección de la información, como quiera que cada regla definida corresponde a una forma de disminuir el incierto sobre condiciones claves que se deben cuidar sobre una información específica, lo que en últimas, custodia un interés particular de la organización respecto de los impactos de su revelación o exposición fuera de los límites definidos por la empresa.

Cuando leemos el riesgo desde la orilla de los científicos sociales comprendemos que esta realidad es dependiente del contexto de las personas, cuya valoración positiva o negativa, estará mediada por la experiencia particular de un individuo o conjunto de personas, con el fin de tomar las acciones más adecuadas al medio donde se encuentran (Luhmann, 2006). En este sentido, la historia de la persona, la ambigüedad, la incertidumbre y la complejidad definen el marco general donde el individuo configura su nivel de exposición para establecer que tan tranquilo o inquieto se puede sentir respecto de una situación particular.

La certeza es un estado mental subjetivo (López-Barajas, 2009), que está cimentado sobre conocimientos y experiencias previas, que fundan la forma como una persona entiende una situación particular con el fin de adjudicarle un calificativo de exposición o no, el cual por lo general se encuentra asociado con una brecha de información y saber. Mientras esta brecha sea mayor, mayor será su percepción de incierto e incapacidad de manejar con lo que conoce, creando un dilema de control respecto de su flexibilidad para enfrentar la situación bajo evaluación.

En este escenario, la protección de la información no sólo deberá estar asociado con un mecanismo de control de acceso, que busca disminuir o superar el dilema de control (Espejo y Reyes, 2016), sino con el contexto donde opera la persona, comprendiendo la situación que supera sus saberes y las variables del entorno que generan ambigüedad e incertidumbre para tomar la decisión que se requiere.

Alineando el contexto con las prácticas de seguridad y control
Si bien es claro que por lo general las personas son responsables por el manejo de tareas que son inherentemente más complejas que su propia capacidad para distinguir y actuar, esto es lo que hace retador cada momento de ellas en las organizaciones. En este sentido, muchas de las actividades requieren el apoyo de otros individuos para que se hagan realidad, lo que necesariamente implica un aumento de la variedad y del espectro de posibilidades que le permitan decidir sobre una situación en particular.

Cuando en el ejercicio de protección de la información, las buenas prácticas y estándares no son suficientes para actuar en consecuencia, se entra en el escenario de la incertidumbre, donde se experimenta el estado de indeterminación frente a una causa y sus efectos, que lleva a interpretaciones legítimas de las personas frente significados socialmente aceptados, los cuales son conceptualizados en la historia personal particular basada en momentos e impactos semejantes (Rosa, Renn y McCright, 2014).

Para lograr una alineación respecto de las prácticas y las inestabilidades del contexto en el ejercicio de asegurar la información, es necesario revelar los supuestos e imaginarios de la seguridad de la información en los individuos, para luego efectuar las interpretaciones ajustadas con las expectativas requeridas por la organización. En este sentido, si no posible determinar un estado futuro de una acción, habrá que focalizar la acción más en aquello que puede ser y no en algo que no ha pasado, con el fin de procurar un cierre de la brecha informacional y de saberes que está en juego y motivar una acción informada y ajustada a aquellos estados relevantes que la empresa ha fijado como válidos.

Lo anterior supone el desarrollo de unas capacidades dinámicas (Teece, Peteraf y Leih, 2016) en los individuos, que les permita entre otros aspectos, detección proactiva para crear hipótesis sobre las implicaciones futuras de los eventos y tendencias observadas; acción informada, que entiende la brecha de saber e información para movilizar su actuación y desaprendizaje permanente, que considerando los saberes previos, es capaz de conectar con las inestabilidades del entorno.

En esta línea, la seguridad de la información no se asume con una declaración cierta y estática, sino como un cuerpo de conocimiento que evoluciona con el entorno, el cual se reconfigura en cada instante en la dinámica de la protección de la información, mediada por las capacidades dinámicas que deben ser desarrolladas en los individuos, habida cuenta que cada nueva situación incierta revela nuevas oportunidades para concretar nuevos espacios de conocimiento que permitan una protección ajustada a los escenarios inciertos de las empresas.

El ejercicio de alineación del contexto con las prácticas, no supone acciones exclusivamente de restricción para aumentar las certezas, sino un ejercicio de amplificación de la variedad existente, como quiera que se requiere alcanzar una estabilidad dinámica en un entorno particular y relevante que permite colaborar con otros, para asumir las diferentes expresiones de la complejidad que supone proteger la información en un entorno cambiante y con discontinuidades tecnológicas permanentes (Espejo y Reyes, 2016).

Esto es, desarrollar una postura sistémica de la realidad, que reconoce que el mapa que se ha construido desde los supuestos y creencias, donde se validan las decisiones humanas, es una imagen borrosa e incompleta del territorio. Lo anterior supone descubrir en cada momento, aspectos complementarios de las interpretaciones efectuadas, reconociendo que no se tiene la variedad requerida o conocimientos necesarios para abordar una situación particular y por tanto, reconocer que no se sabe, es la experiencia más valiosa que se puede experimentar para poder “desaprender” y descubrir oportunidades inexploradas.

Un marco conceptual para el tratamiento de la información. Aportes desde las ciencias sociales y las reflexiones sistémicas
Para plantea un marco de acción para el tratamiento de la información, en un escenario volátil e incierto, es necesario comprender que las partes interesadas en proteger la información no son perfectas y que harán su mejor esfuerzo para concretar un nivel de exposición acordado, sin perjuicio de los posibles eventos adversos que se pueden presentar por efectos de la inevitabilidad de la falla.

Esto supone entender que riesgo y seguridad son un continuo de experiencias de confianza imperfecta, una confianza que se funda en los comportamientos y decisiones inestables de las personas. En palabras de Cano (2016):

Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y afinar dichos umbrales, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.”

Bajo estos fundamentos, sólo cuando entiendo con claridad el resultado incierto de lo que está en juego, puedo comprender el nivel confiabilidad que se puede tener frente a la decisión de protección y de igual forma, sólo retando el nivel de confiabilidad actual disponible para los propósitos e intereses de las personas y de la empresa, puedo conocer el resultado de incierto que puede generarse con la decisión que se toma.

Lo anterior, supone que el ejercicio de comprensión de doble vía (riesgo-seguridad) (Ver figura 1), habilita a las personas para desarrollar las capacidades dinámicas (detección proactiva, acción informada y desaprendizaje permanente) con el fin de encontrar el rango de exposición que se acuerda frente al resultado de la acción que se ejecuta. Es decir, la confiabilidad no está en el riesgo cero o la protección ciento por ciento, sino en el cumplimiento de los umbrales definidos por las partes y las acciones resilientes establecidas para enfrentar los inciertos y la materialización de vulnerabilidades latentes o emergentes.


Figura 1. Riesgo y seguridad: una relación de doble vía (Autoría propia)

De esta forma, el riesgo no se configura como un elemento negativo per se, ni la seguridad como una función estática que busca el 100% de efectividad de sus acciones, sino como un continuo inestable que negocia rangos de tolerancia a la falla, donde los individuos y las empresas construyen distinciones y prácticas de forma permanente para reconstruir las prácticas conocidas y renovar los entendimientos de la protección más allá de la reducción de la incertidumbre reflejada en los controles tradicionales expuestos en los estándares ISO.

Reflexiones finales
La práctica de seguridad y control que se tiene en la actualidad responde a una lectura de la protección como restricción de eventos o inestabilidades, en procura de alcanzar confiabilidad y estabilidad que satisface el imaginario de cero incidentes requerido por las organizaciones.

Lamentablemente este imaginario se debilita en el escenario de volatilidades e inestabilidades que se presentan actualmente, como quiera que la inevitabilidad de la falla es la constante que la inseguridad de la información utiliza para materializarla de forma inesperada, ocasionando percances a nivel personal y organizacional que sacan de la zona cómoda tanto a ejecutivos como a los profesionales de la seguridad de la información.

En consecuencia y dado que se hace necesario avanzar en medio de un entorno incierto y vulnerable, tanto las personas como las organizaciones debe tomar riesgos de forma inteligente esto es, en un continuo de confianza imperfecta, que leído en términos prácticos supone ver los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados” para formular “escenarios, prototipos, simulaciones y pruebas que permitan desconectar los supuestos de los conceptos actuales para reconectarlos y crear nuevas ganancias teóricas y prácticas antes inexistentes.” (Cano, 2017).

En este sentido, si bien las normas, buenas prácticas y estándares permiten un cuerpo de conocimiento base, se hace necesario dominar las capacidades dinámicas presentadas previamente, en el contexto de los riesgos que se deben tomar de manera inteligente, habida cuenta que no es la reducción de la incertidumbre lo que cuenta, sino el entendimiento del flujo continuo de certezas e inciertos que supone el riesgo y la seguridad para una persona y una organización.

Por tanto, el imaginario actual de seguridad y control deberá evolucionar de la invulnerabilidad como fuente de confianza perfecta, a la vulnerabilidad y los umbrales de falla, como nuevo referente que se construye sobre la base de la confianza imperfecta, la cual hace parte natural de los comportamientos y decisiones inestables que las personas toman frente a contextos y situaciones distintas.

Referencias
Cano, J. (2016) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Cano, J. (2017) Riesgos inteligentes. Blog Frase de la Semana. Recuperado de: http://frasedelaseman.blogspot.com.co/2017/03/riesgos-inteligentes.html
Carmen, A. (2015) La ley del quizás. Cómo transformar la incertidumbre en posibilidad. Barcelona, España: Editorial Urano.
Espejo, R. y Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes, Universidad de Ibagué.
López-Barajas, E. (2009) Antropología, epistemología e innovación en educación permanente. En López-Barajas, E. (Coord.) (2009) El paradigma de la educación continua. Reto del siglo XXI. Madrid, España: Narcea, S.A. 15-56
Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.
Teece, D., Peteraf, M. y Leih, S. (2016) Dynamic Capabilities and Organizational Agility: risk, uncertainty, and strategy in the innovation economy. California Management Review. Summer. 58, 4. 13-35
Luhmann, N. (2006) Sociología del riesgo. México, México: Universidad Iberoamericana - Instituto Tecnológico y de Estudios Superiores de Occidente, A.C (ITESO).