La
acelerada evolución de las tecnologías de información y el tratamiento de la
información son dos constantes que a la fecha marcan tendencias en la sociedad
actual afectando tanto a los individuos como a las organizaciones. Esto supone una
serie de exigencias para estas dos categorías, que en términos de competencias,
como anota Fidler y Gobis (2012) demanda anticiparse a los cambios; revaluar,
desarrollar y actualizar sus habilidades, así como adaptación y aprendizaje
continuo durante toda la vida profesional y empresarial.
Lo
anterior nos indica que conforme entramos en una espiral de automatización y
uso intensivo de información, mayores capacidades de análisis e interpretación
se deberán desarrollar, con el fin de potenciar el valor inherente de la
información para efectos de concretar nuevas vistas y estrategias de negocio
que potencien el modelo de generación de valor de la empresa.
Así
las cosas, los individuos de esta sociedad de la información y conocimiento
requieren gestionar la información y el conocimiento como competencia genérica,
lo que implica una serie de comportamientos, niveles de apropiación y madurez
que exige una preparación conceptual y práctica con el fin de hacer parte
natural de la dinámica que impone el flujo de información y las necesidades
emergentes de una humanidad conectada.
De
acuerdo con Tobón (2013) la competencia de gestión de la información y el
conocimiento la podríamos definir como:
“Procesa la información relacionada con un determinado
ámbito de la realidad con el fin de generar comprensión y conocimiento,
teniendo como referencia los retos del contexto, las herramientas de
planificación y gestión, y las tecnologías de la información y la
comunicación”. (Tobón 2013, pág.116)
definición
que nos anticipa una serie de características que se deben dar en los individuos
para argumentar, proponer, interpretar y analizar con el fin de tomar acciones
concretas e integrales ante situaciones y problemas en un contexto particular.
Si
lo anterior es correcto, los agentes de la estructura social deberán construir
en cada una de sus interacciones un cuerpo común de mensajes con sus categorías
y clasificaciones, como fundamento de un lenguaje propio de la comunidad, para
luego construir representaciones compartidas que se traducen en conocimiento y
aprendizaje colectivo que los lleven finalmente a una visión común leída y
comprendida por todos. (Amin y Cohendet 2004, p.26)
En
este entendido, la información en la sociedad de la información y el
conocimiento es un activo estratégico de la empresas del siglo XXI y su
inadecuado tratamiento por parte de los individuos ocasiona brechas de
seguridad de la información que generan serias implicaciones para las
organizaciones expresadas generalmente en pérdidas económicas, sanciones
legales y pérdida de reputación.
En
este sentido, proteger la información demanda entender la importancia de este
activo para la supervivencia de las empresas y una serie de prácticas que
permitan a las personas incorporar en su diario hacer los comportamientos
deseados y requeridos para su adecuada custodia.
En
razón a lo anterior, caracterizar los elementos que construyen y desarrollan
una cultura organizacional de seguridad de la información adaptable y
sostenible en el tiempo demanda la comprensión de comportamientos específicos,
que leídos desde una competencia genérica, permiten comprender mejor los retos
prácticos y estructurales de la custodia de la información como activo clave de
las organizaciones modernas.
Por
tanto, en este documento se hace una introducción al concepto de cultura
organizacional de seguridad de la información (COSI), revisando su evolución
conceptual, la postura sistémica de su despliegue, una propuesta académica de
lo que podría ser su madurez, así como una aproximación básica para fundar una
competencia genérica de gestión segura de la información.
Evolución del concepto de cultura de
seguridad de la información
La
seguridad típicamente ha sido necesaria a nivel gubernamental para proteger
intereses nacionales, asegurar la salvaguarda de los ciudadanos y preservar el
orden. En el contexto organizacional, la protección se ha basado en el
resguardo de los secretos industriales, así como de la información clave de sus
operaciones y de sus clientes de eventos como pérdida, revelación o usos no
autorizados (Hurlburst, Bojanova, Sobel y Crosby, 2014).
Si
bien las organizaciones reconocen que la información es un elemento clave en el
desarrollo de sus actividades, poca atención o prioridad le dan a su protección
por parte de sus ejecutivos (VansonBourne – NTT Com Security 2014). Esta
realidad revela la necesidad de resignificar el entendimiento colectivo de las
empresas de la seguridad de la información, para sintonizar la protección de la
información como una exigencia mínima que todas las personas de una
organización deben tener en el tratamiento de la información.
En
consecuencia, lograr un ambiente confiable para los activos de información
empresariales, requiere la aplicación permanente y sostenible de prácticas de
seguridad de la información, que se conviertan en parte de la cultura
organizacional, es decir en parte de la teoría en uso de la compañía que
influencie los comportamientos de los empleados respecto de la protección de la
información (AlHogail y Mirza, 2014).
Como
quiera que el concepto de cultura de seguridad de la información es
relativamente nuevo, se ha tratado de aproximarse al mismo desde una diversidad
de teorías y principios de otras áreas del conocimiento las cuales revelan
aspectos novedosos del concepto, abriendo nuevas fuentes de entendimiento y
comprensión de un fenómeno eminentemente social.
Ngo,
Zhou y Warren (referenciado por AlHogail y Mirza, 2014) advierten que la
cultura de seguridad de la información hace relación a cómo se hacen las cosas
por parte de los empleados y la organización como un todo, para ser
naturalmente consistente con los principios de la seguridad de la información.
De
otra parte, Martin y Eloff (referenciado por AlHogail y Mirza, 2014) definen la
cultura de seguridad de la información como las percepciones, actitudes y
supuestos que son aceptados y promovidos por los empleados en una organización
respecto de la seguridad de la información. Seguidamente, Schlienger y Teufel
(referenciado por AlHogail y Mirza, 2014), indican que la cultura de seguridad
de la información incluye todas la medidas socio culturales que soportan los
métodos técnicos de la seguridad con el fin de hacer de la seguridad de la
información un aspecto natural de las actividades de los empleados.
Ramachandran,
Rao y Goles (2008) comentan que la cultura de seguridad de la información
implica identificar las ideas que se tengan sobre la seguridad, creencias y
valores de un grupo, los cuales le dan forma y guían los comportamientos
respecto de la protección de la información. Malcolmson (referenciado por
AlHogail y Mirza, 2014), argumenta que la cultura de seguridad de la
información está indicada por los supuestos, valores, actitudes y creencias de los
empleados, y los comportamientos que ellos ejecutan, los cuales potencialmente
pueden impactar la seguridad de esa organización.
Dhillon
(referenciado por AlHogail y Mirza, 2014) define la cultura de seguridad de la
información como la totalidad de los atributos humanos como son los
comportamientos, actitudes y valores que contribuyen a la protección de toda
clase de información en una organización específica. AlSabbagh, AlAmeen,
Watterstam y Kowalski (referenciado por AlHogail y Mirza, 2014), sugieren que
la cultura de seguridad de la información es la manera que nuestras mentes
están programadas para crear diferentes patrones de pensamiento, sentimientos y
acciones para proporcionar un proceso de seguridad.
Alnatheer
(2012) revisando las definiciones previas y de otros autores establece que la
cultura de seguridad de la información la definen unos aspectos y otros la
influencian. En este sentido, concluye que la cultura de seguridad de la
información la definen tres elementos como son la apropiación, la
concientización y el cumplimiento, los cuales están constituidos por comportamientos
que motivan la protección de la información y la influencian otros como el soporte de la alta gerencia, el cumplimiento
y mantenimiento de políticas, el entrenamiento en seguridad de la información y
las políticas respecto de las conductas éticas, que la hacen evolucionar.
Si
bien las definiciones expuestas por los diversos autores, recaban sobre los
elementos propios de la teoría de Schein (1992) de cultura organizacional, es
importante advertir las conclusiones de Alnatheer que revelan aspectos
concretos de los fundamentos mismos de la cultura de seguridad de la
información, los cuales serán la base para establecer los pilares de una
competencia genérica en gestión de la seguridad de la información, como punto
clave en la articulación de comportamientos permanentes y sostenibles en el
contexto organizacional.
Cultura organizacional de seguridad de
la información: Vista sistémica de la cultura de seguridad de la información
Reid,
Van Nieker y Renaud (2014) introducen el concepto de cultura de seguridad de la
información, entendiendo éste desde la vista de sistemas anidados que revelan
propiedades emergentes que le permiten automantenerse y autorepararse. Esta lectura
corresponde a una interpretación desde la teoría de los sistemas vivos, los
cuales son entes abiertos, complejos, adaptativos y autoorganizados que
interactúan con su medio ambiente u otros sistemas.
Esta
definición introduce la noción de anidamiento, que leído en términos
cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se
repite al interior de la estructura estudiada, en donde el nivel superior
depende de los comportamientos propios de los niveles inferiores. Esto supone
comprender que cada interacción entre los participantes de un grupo particular
y contexto específico, logra construir una vista propia de actuación que marca
una forma y proceso que la distingue, sin perjuicio que comparta la generalidad
presente en el nivel estudiado.
Así
las cosas, cada individuo en un área particular cuenta con una cultura de
seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra
definida por tres elementos como son apropiación, concientización y cumplimiento.
Revisados estos considerandos en las reflexiones de este investigador, podemos
detallar los comportamientos que caracterizan cada uno ellos, para entender en
contexto lo que significa en concreto esa cultura inherente a cada persona.
Ahora
bien, al estudiar un equipo o grupo particular, las interacciones de cada
persona alrededor de la protección de la información van demarcando el
comportamiento propio de esa comunidad, para lo cual la lectura de los tres
componentes ahora en la vista colectiva, nos permite ir descubriendo la
secuencia de comportamientos que caracterizan dicha colectividad.
Cuando
empezamos la revisión desde el nivel general y vamos a niveles particulares, el
ejercicio que se realiza es de análisis, lo cual permite conocer y descubrir la
estructura en la cual nos movemos para advertir los componentes de la cultura
organizacional de seguridad de la información (COSI). Mientras al regresarnos
del nivel inferior al superior, adelantamos diagnóstico del nivel superior,
basado en las reflexiones y revisiones efectuadas en el nivel inferior. De esta
forma confirmamos la vista sistémica de la estrategia para conocer la COSI.
Vista anidada de la construcción y diagnóstico de una cultura organizacional
de seguridad de la información
Así
las cosas, en este ejercicio sistémico cibernético, la complejidad inherente de
la cultura organizacional de seguridad de la información, se va asumiendo de
manera paulatina por la revelación y análisis de los patrones identificados,
basados en los tres elementos claves enunciados, los cuales le dan forma y
respuesta a la pregunta: ¿cómo se construye y diagnostica una cultura
organizacional de seguridad de la información?
Fundamentos de la madurez de la cultura
organizacional de seguridad de la información
De
acuerdo con los investigadores y académicos de Carnegie Mellon, los modelos de
madurez son una forma de establecer la evolución de una práctica o concepto
respecto de un referente planteado. Particularmente el modelo planteado por
este claustro académico mencionado busca mejorar los procesos de desarrollo y de
mantenimiento, tanto para los productos como para los servicios, que
inicialmente fueron orientados hacia los temas de la ingeniería de software. (Beth, Konrad y
Shrum, 2009)
El
fundamento de esta propuesta está en los conceptos de mejora continua de
procesos, donde “la calidad de un sistema o de un producto está muy
influenciada por la calidad del proceso empleado para desarrollarlo y para
mantenerlo”, afirmación que recaba en las reflexiones propias de los teóricos
de la calidad como W. Edwards Deming (Deming, 1986), Phillip Crosby (Crosby, 1979)
y Joseph Juran (Juran, 1988).
Si
bien este concepto ha sido determinante y generoso en logros para las
organizaciones, su asidero conceptual dista de ser sistémico, como quiera que
su génesis responde al análisis y control estadístico de objetos particulares,
al análisis de las partes como tal y sus características, lo cual focaliza los
esfuerzos y concreta la métrica requerida para la toma de decisiones. En este
entendido, la madurez se relaciona con la calidad dado que describe un camino
evolutivo que permite pasar de procesos sin orden y ad hoc (no generalizables
ni aplicable a otros procesos) a procesos disciplinados, de mejor calidad y
eficientes, con vocación de estandarización o generalización. (Beth, Konrad y
Shrum, 2009)
De
otra parte, estudios recientes retan estas consideraciones vigentes sobre la madurez,
fundamentando que este concepto no representa necesariamente un estado al que
se llega de acuerdo con unas características (algunas veces caprichosas)
definidas por un tercero, sino como una propiedad emergente del sistema que
analiza las interacciones y relaciones entre los diferentes componentes, definiendo
una tendencia en los comportamientos y prácticas que indican cómo se comporta
en un momento específico una organización respecto de un tema. (Pernet, 2013)
Si
lo anterior es correcto y considerando los resultados recientes de las
investigaciones sobre este tema, se tiene que la madurez, al ser una propiedad
que no es propia a los componentes del objeto evaluado, sino a sus
interacciones, establece que la lectura de la tendencia puede variar de manera
positiva o menos positiva, según los componentes se desempeñen y convivan en un
contexto particular, generalmente conocido por la organización. En contraste,
los modelos de madurez basados en los lineamientos de Carnegie Mellon, definen
un estado que alcanzar, que supone que, una vez se llega allí no es viable
retroceder.
Así
las cosas y considerando la vista sistémica de la cultura organizacional de la
seguridad de la información, se introduce el concepto de madurez como el
diagnóstico propio de cada nivel basado en las interacciones del nivel
inferior, leídos inicialmente en los tres componentes de Alnatheer (2012)
(apropiación, concientización y cumplimiento) para estudiar de manera
transitoria y en un periodo de tiempo, cómo estos elementos se comportan y
definen una forma particular de entender y practicar la protección de la
información.
Una propuesta académica para explorar la
madurez de una cultura organizacional de seguridad de la información
Teniendo
esto claro y con fundamento en la observación de las organizaciones actuales,
sus diseños organizacionales y formas de proteger la información, se plantea
una propuesta base de un modelo de madurez de cultura organizacional de
seguridad de la información que demanda revisar no solamente los aspectos o
comportamientos que definen la cultura de seguridad de la información, sino
aquellos que la influencian y puede facilitar o inhibir su madurez.
|
|
Reactiva
|
Inestable
|
Proactiva
|
Sostenible
|
|
Fundamento de la cultura
|
Castigo
|
Incentivos
|
Bien común
|
Bien trascendente
|
|
Fundamento del acceso
|
Restricción
|
Restricción
|
Compartir
|
Uso
responsable
|
|
Entendimiento de la información
|
Recurso
|
Recurso valioso
|
Activo
|
Activo estratégico
|
|
Instrumento base de la cultura
|
Marco
normativo
|
Controles
de INFOSEC
|
Amenazas
y riesgos
|
Modelo
de generación de valor
|
|
Nivel de compromiso de la Gerencia
|
Bajo
|
Medio
|
Alto
|
Muy Alto
|
En
esta revisión académica se plantean cuatro tendencias de madurez de la cultura
organizacional de seguridad de la información (COSI), leídas desde cinco
elementos que pueden afectar la evolución de la COSI. Cada uno de ellos, revisa
aspectos claves que movilizan o no los entendimientos colectivos de los
participantes, respecto de la protección de la información, para advertir la
forma como las prácticas de seguridad y control se pueden potencializar.
Lo
anterior podríamos definirlo como la capa envolvente del proceso de construcción
de cultura organizacional de seguridad de la información, previamente indicado
de manera sistémica, donde se manifiestan y confirman unos comportamientos
frente a tres elementos claves (apropiación, concientización y cumplimiento), y
que son afectados o inflenciados por cinco fuerzas cuyas tensiones dan forma y definen una
tendencia particular para la COSI. (Thomson, 2007)
En
la cultura reactiva, el miedo, la
incertidumbre y las dudas establecen los móviles que crean la sensación de
inestabilidad y vulnerabilidad que hace que las acciones de control se tomen en
las organizaciones. La sanción es la norma base sobre la cual el marco
normativo se desarrolla y cumple, lo que permite modelar el comportamiento de
las personas. Los sancionados se convierten en casos ejemplarizantes para
persuadir a otros de buenos comportamientos sobre un recurso que se tiene como
lo es la información.
Las
empresas que superar el nivel reactivo y llegan al inestable, logran entender que la información es un recurso valioso
que hace la diferencia para la organización. Se entienden en cierta medida los
impactos de su inadecuado tratamiento y los comportamientos requeridos para su
protección, los cuales son incentivados con recompensas o reconocimientos por
cumplimiento de los controles definidos. La gerencia reconoce la importancia de
los controles para asegurar la operación, pero no como elementos claves para su
estrategia.
La
tendencia nombrada como proactiva le
da a la información el calificativo de activo, es decir, un elemento que se
debe cuidar y asegurar, como quiera que representa un bien y valor común que se
reconoce por todos en la empresa. En este punto, no es la restricción lo que
hace la diferencia en la custodia de la información, sino la forma como se
comparte, toda vez que se entienden los impactos de su tratamiento inadecuado,
basado en una vista de riesgos y amenazas. La gerencia entiende con claridad la
relevancia de valor de información y la necesidad de su protección.
Llegar
al nivel sostenible implica que la
información es un activo estratégico, que hace parte de la agenda propia del
direccionamiento empresarial, donde se hace un uso responsable del mismo de
acuerdo al contexto donde opera. Se supera la lectura del bien común dentro de
la organización y se evidencia que las acciones de las personas en el
tratamiento de la información benefician a otras (trascienden en el otro) y
muestran con el ejemplo la continuidad de las prácticas enfocadas desde el
modelo de generación de valor de la empresa. La gerencia no concibe el
direccionamiento estratégico sin el acompañamiento de la lectura la seguridad
de la información.
El concepto de competencias en la
cultura de seguridad de la información
Si
bien la propuesta anterior delinea elementos que sugieren lecturas de la evolución
de la COSI, éstos deben estar conectados con los comportamientos propios de los
colectivos que la componen, definiendo una competencia genérica en gestión de
segura de la información, que en términos de Tobón (2013, pág.113) son
competencias fundamentales para actuar en cualquier ocupación, puesto de
trabajo y/o profesión y que tienen como base la actuación ética así como los
derechos humanos.
Para
ello, el concepto de competencias (particularmente genérica) se introduce como
un forma conceptual y práctica de valorar los tres componentes base de la
cultura de seguridad de la información: apropiación, concientización y
cumplimiento (Alnatheer, 2012), para traducirlos en comportamientos y contextos
específicos que permitan ver cómo se da forma a una cultura organizacional de
seguridad de la información, construida desde la práctica de las competencias,
como concepto integral y no sólo como cumplimiento de procedimientos a seguir.
De
acuerdo con literatura revisada a la fecha se enumeran cinco enfoques clave
para comprender las competencias: el enfoque ocupacional, el funcional, el
constructivista, el integrado u holístico y el socioformativo, los cuales se
compendian brevemente a continuación.
El
enfoque ocupacional, tiene como principal interés el desempeño efectivo, en el
cual se define cómo alcanzar resultados específicos con acciones específicas,
en un contexto dado de políticas, procedimientos y condiciones de la
organización (Mertens, 1996). En este sentido, las competencias son aquellas
características que diferencian un desempeño superior de un desempeño promedio
pobre (Mertens 1996, pág.70).
En
el enfoque funcional, las competencias se entienden referidas a desempeños o
resultados concretos y predefinidos que la persona debe demostrar en un proceso
productivo determinado. Este enfoque tiene su base en la escuela de pensamiento
funcionalista en sociología, aplicada como filosofía básica del sistema de
competencia laboral en Inglaterra (Martens, 1996., referenciado por Pavié Nova
2011)
En
el enfoque constructivista las competencias incluyen la totalidad de los
recursos mentales que los individuos emplean para realizar las tareas
importantes, para adquirir conocimientos y para conseguir un buen desempeño
(Mulder, Weigel y Collins, 2008).
En
el enfoque integrado u holístico, desarrollado en Australia, la competencia se
entiende como resultado de una compleja relación de atributos (conocimientos,
actitudes, valores y habilidades) necesarios para el desempeño en situaciones
específicas. En palabras de Navío (2004, pág.46, referenciado por Pavié Nova
2011) “el enfoque integrado intenta vincular las características individuales
generales, con el contexto en que éstas se ponen en juego”.
Finalmente
y no menos importante, el enfoque socioformativo, en el cual se “promueve
abordar la formación humana integral como un sistema, y en esa medida busca
identificar los ejes esenciales o nodos de la formación, los cuales orientan su
estructuración y dinámica” (Tobón 2013, pág.25). Este enfoque le da importancia
decisiva al hecho de que la formación es un proceso sistémico de
corresponsabilidad entre la persona y el entorno social, cultural, económico y
ambiental. En razón a lo anterior, se conceptualiza una competencia en este
enfoque como:
“Actuaciones integrales para identificar,
interpretar, argumentar y resolver problemas del contexto, desarrollando y
aplicando de manera articulada diferentes saberes (saber ser, saber convivir,
saber hacer y saber conocer), con idoneidad, mejoramiento continuo y ética”
(Tobón 2013, pág. 93).
Entendiendo
que una organización o comunidad es una reconstrucción permanente de
conversaciones para la acción, donde se construyen y comparten significados,
donde existe una determinación estructural que define tal colectivo, se requiere
un enfoque de competencias que se alinee con esta propuesta, en la cual la
epistemología subyacente se encuentra en el pensamiento de sistemas y los
sistemas biológicos (Ballester y Colom, 2012).
Así
las cosas, el enfoque socioformativo comparte dichas orientaciones, que si bien
es similar a los otros enfoques en aspectos como: estudio del contexto, diseño
curriculares más integrados, estrategias didácticas que consideran los
diferentes saberes de las competencias y cuya valoración se basa en criterios y
evidencias, difiere en que se enfoca al desarrollo de habilidades de
pensamiento complejo, talleres reflexivos, emprendimiento creativo, orientación
hacia los problemas del contexto y su estudio prospectivo. (Tobón 2013,
pág.129)
Por
tanto, en un mundo interconectado y altamente inestable, la formación de
competencias implica reunir conocimientos para tener diferentes puntos de vista
frente las situaciones problemáticas, dando cuenta de sus puntos en común,
considerando la tendencia de la mente humana hacia el error y la ilusión. Esto
supone desarrollar una educación para la incertidumbre, donde con el paso del
tiempo se creen “quiebres” conceptuales (Reyes y Zarama, 1998), que generen
inseguridad en el saber hacer, saber conocer, saber convivir y saber ser, para
repensar nuevamente la forma como nos enfrentamos a los retos que el mundo nos
impone.
La
seguridad de la información no es ajena a ésta escenario y requiere asistir al
entendimiento de esta realidad, sujeta al contexto donde se manifiestan dichos
comportamientos, para encontrar formas que permitan entender las conductas
contrarias a la protección de la información y fortalecer aquellas que se
ajustan a los lineamientos e indicaciones de las organizaciones, vistas no
solamente como una forma de cumplir un procedimiento, sino como un ejercicio de
reflexión integral y sistémico, que permita madurar en un colectivo una cultura
organizacional de seguridad de la información que sea sostenible en el tiempo.
Por
tanto, diseñar y desarrollar una competencia genérica de gestión de segura de
la información, conformada por tres competencias claves relacionadas con la
cultura de seguridad de la información del individuo como es la apropiación, la
concientización y el cumplimiento, a través de la cual mirar la evolución de
los comportamientos y actuaciones de los individuos, permite entender la problemática de la
protección de la información en el contexto donde opera y, plantear acciones
tanto en el presente como en el futuro frente los retos e incertidumbre que
imponen las amenazas del entorno.
Reflexiones finales
La
cultura de seguridad de la información y la cultura organizacional de seguridad
de la información son dos vistas complementarias del reto que supone proteger
la información en las organizaciones del nuevo milenio. Mientras la primera
habla del entendimiento y vivencia de la persona respecto del tratamiento que
ésta le da a la información (comportamientos que manifiestan apropiación,
conciencia y cumplimiento (Alnatheer, 2012), la segunda nos convoca a explorar
el proceso mediante el cual la interacción de “culturas de seguridad de la
información” (individuales) establece un patrón estructural que define la forma
como trata la información en un colectivo particular. Esto es, cómo se
establecen y crean significados propios de cada comunidad para el tratamiento
de la información que definen la forma como se apropian, se hacen conscientes y
cumplen las prácticas de seguridad y control de la información.
En
este escenario, no solo de complejidad organizacional y de cambios permanentes,
proteger uno los activos intangibles más importantes de las organizaciones hoy,
demanda no solamente conocer y entender la relevancia de este activo, sino
contar con una vista integral que permita un adecuado tratamiento tanto dentro
como fuera de las empresas (Cano, 2014). Por tanto, recabar en el entendimiento
de las tendencias de la madurez de la cultura organizacional de seguridad de la
información, nos permite comprender mejor los comportamientos de las personas
frente al tratamiento de la información y advertir el nivel de dominio que se
tiene de la competencia genérica de gestión segura de la información.
Así
las cosas, introducir el concepto de competencia genérica en este análisis, propone
una vista novedosa de la lectura de la COSI como quiera que su definición pone
de manifiesto la necesidad de adquirir una maestría en el tratamiento de la
información (White,
1979) como fundamento de la manera de cómo
evoluciona la cultura de seguridad de la información tanto de forma individual
como colectiva.
Por
tanto, si queremos comprender mejor la exigencia que implica revelar la forma
como se construye y diagnostica una cultura organizacional de seguridad de la
información debemos estar abiertos a experimentar nuevas experiencias de
aprendizaje que permitan incomodar y cuestionar los paradigmas vigentes y
advertir un nivel de incompetencia, con el fin de movilizar nuestras
reflexiones para crear vistas alternativas que tomen riesgos calculados sobre
la realidad y lleven la comprensión actual de la problemática a un nuevo nivel
o nueva dirección. (Delong y Delong, 2011)
Si
entendemos que todas las cosas están conectadas (Hoque y Baer, 2014), que las
interacciones de las personas definen y construyen significados que transforman
y afectan su entorno, podemos comenzar a comprender la cultura organizacional
de seguridad de la información como una propiedad emergente de una empresa, que
se reconstruye desde los comportamientos de las personas, las estructuras que
las contienen y definen; como una característica propia de las organizaciones
que la distingue de otras, y que, cuando la inseguridad de la información
aparece, es capaz de reconfigurar y repensar sus prácticas de seguridad y
control existentes.
Referencias
AlHogail, A. y Mirza, A.
(2014) Information security culture: a definition and a literatura review. World Congress on Computer Applications and
Information Systems (WCCAIS), 17-19 January. pp.1-7. Doi:
10.1109/WCCAIS.2014.6916579
Alnatheer, M. (2012)
Understanding and measuring information security culture in developing
countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland University of Technology. Disponible
en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf
Amin, A. y Cohendet, P. (2004)
Architectures of knowledge. Firms,
capabilities, and communities. Oxford University Press.
Ballester,
L. y Colom, A. (2012) Epistemología de
las ciencias sociales y la educación. Ed. Tirant.
Beth, M., Konrad, M. y Shrum, S. (2009) CMMI. Guía para la
integración de procesos y la mejora de productos. Ed. Pearson. Segunda Edición.
Cano,
J. (2014) La función de seguridad de la información. Presiones actuales y
emergentes desde la inseguridad de la información. ISACA Journal. Vol.6. Recuperado de: http://www.isaca.org/Journal/Past-Issues/2014/Volume-6/Pages/default.aspx (Requiere suscripción)
Crosby, P. (1979) Quality Is Free. The Art of Making Quality
Certain. New York: McGraw-Hill.
Delong, T. y Delong, S. (2011)
The paradox of excellence. Harvard
Business Review. June.
Deming, W. (1986) Out of the Crisis. Cambridge, MA. MIT
Center for Advanced Engineering.
Fidler,
D. y Gorbis, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer Trimestre.
Hoque, F. y Baer, D. (2014) Everythings connects. How to transform and
lead in the age of creativity, innovation, and sustainability. McGraw Hill.
Hoverstadt, P.
(2008) The fractal organization. Creating
sustainable organizations with viable system model. John Wiley & Sons. Chichester, West
Susex. UK.
Hurlburst, G., Bojanova, I.,
Sobel, A. y Crosby, K. (2014) Security or privacy? A matter of perspective. IEEE Computer. Noviembre. pp.94-98.
Juran, J. (1988) Juran on Planning for Quality. New York: Macmillan.
Mertens, L. (1996). Competencia laboral: sistemas, surgimientos
y modelos. CINTERFOR/OIT. Montevideo, Uruguay. Recuperado de: http://cinterfor.org.uy
Mulder, M., Wiegel, T. y Collings, K. (2008). El concepto de
competencia en el desarrollo de la educación y formación profesional en algunos
Estados miembros de la UE: un análisis crítico. Profesorado. Revista de currículum y formación del profesorado.
Vol. 12, No.3. Recuperado de: http://www.ugr.es/~recfpro/Rev123.html.
Pavié Nova, A. (2012) Las competencias
profesionales del profesorado de lengua castellana y comunicaciones en Chile:
aportaciones a la formación inicial. Tesis
doctoral. Universidad de Valladolid. Facultad de Educación y Trabajo
Social.
Pernet, E. (2013) Un modelo sistémico
para el diagnóstico del estado de madurez del Gobierno, Riesgo y Cumplimiento
en las organizaciones. Tesis doctoral. Newport University. School of Business.
Reid, R., Van Niekerk, J. y
Renaud, K. (2014) Information security culture: A general living systems theory
perspective. Information Security for
South Africa (ISSA), 13-14 August. pp 1-8. Doi: 10.1109/ISSA.2014.6950493
Reyes, A. y Zarama, R. (1998) The process of embodying: a
re-construction of the process of learning. Cybernetics
& Human Knowing. Vol.5, No.3. pp 19-33.
Schein, E. (1992).
Organizational culture and leadership. San Francisco, CA: Jossey-Bass.
Thomson K. L. (2007) MISSTEV: Model for Information Security Shared Tacit Espoused Values. Doctoral Thesis. Nelson Mandela Metropolitan University. Faculty of Engineering. South Africa.
VansonBourne – NTT Com
Security (2014) Risk: Value report. Do the senior executives understand their
role in data security? Recuperado
de: http://www.nttcomsecurity.com/en/uploads/files/UK_White%20Paper_Risk%20Value_Public%20Approved_%20V3.pdf
White, R. (1979) Achievement, mastery, proficiency, competence. Studies in Science Education. Vol.6. pp
1-22
Interesantísimo tema. ¡Gran artículo enciclopédico!Merecería seguirse elaborando, para deducir directrices y planes de política social, cultural y educativa y eventuales esbozos de curricula y syllabi.
ResponderEliminarManolo Palao, iTTi
Si, muy interesante este articulo, aunque agregaría, que la organización debe además alinear, no solo una cultura, también objetivos, sistema de información propiamente dicho, estructura, procesos, a una estrategia de Seguridad de la Información.
ResponderEliminarM'aster Carlos A. Sosa.
Excelente trabajo. Pienso que realmente es imposible y realmente peligroso pensar en el concepto de haber alcanzado un nivel de consecución de madurez en un entorno en evolución exponencial que apoyado en sistemas que día a día nos demuestran que son inseguros ante una adopción masiva y exponencial. Por otro lado, la definición, implantación y desarrollo de paradigmas de seguridad dentro de las organizaciones, constituidos por teorías de alcance medio refutables, aunque sería lo deseable, es algo que ni los grandes en la industria son capaces de abarcar a día de hoy, debido entre otras cosas a la interrelación necesaria con terceros, proveedores, instituciones,sociedad... que probablemente no tengan la madurez, o quizás tengan otro concepto culturalmente diferente. Todo esto unido, a un marco regulatorio, legislativo, cultural, social....diverso, hacen posible que el problema de la inseguridad actual de los sistemas de la información, sea un problema abierto ante el que, adicionalmente a medidas culturales, sea necesario el implantar medidas de control constante, entrando entonces en otra área interesante de discusión relativa a quien vigila al que vigila..... En fin, muy interesante, tanto el artículo como el area de estudio.
ResponderEliminar