Cultura organizacional de seguridad de la información. Más allá de las implementaciones tecnológicas.

Introducción

La evolución de las amenazas a la seguridad de la información establece un reto permanente para sus ejecutivos. Mientras aparecen nuevas “startups” con novedosas propuestas para anticipar nuevos vectores de ataque e instituir prácticas proactivas frente a situaciones novedosas de la inseguridad de la información poco se revela al público sobre los avances en la cultura organizacional de seguridad de la información.

La Cultura Organizacional de Seguridad de la Información (COSI), es un elemento que los estudios internacionales mencionan como relevante para aumentar la resistencia de las empresas frente a los ataques, pero son limitadas las reflexiones que sobre ella se hacen, como quiera que es un tema que demanda habilidades en el contexto social y reflexiones desde la perspectiva humana, conocimiento que no es natural en los equipos de seguridad y control a nivel internacional.

Pareciera que la COSI es un tema que todos saben se debe estudiar y desarrollar, pero una limitada población de especialistas se arriesga a revisarlo en profundidad, habida cuenta que sus resultados no generan noticias con impactos mediáticos, sino propuestas y estrategias que exigen cambios de actitud y lecturas renovadas de la información, lo cual no resulta atractivo para aquellos que requieren motivar fondos para las iniciativas de aseguramiento de la información.

La cultura organizacional de seguridad de la información se configura, de esta forma, como la fuente base de la transformación de las prácticas de protección de la información que trabaja “detrás de cámaras” produciendo imaginarios sociales que provocan comportamientos que son el reflejo de la forma como la información pasa de ser un recurso más de la empresa, a configurarse como un activo estratégico y determinante para la estrategia de la compañía.

Mientras el discurso del “miedo, incertidumbre y dudas”, sigue haciendo carrera en las presentaciones ejecutivas, ahora mediado con un mensaje certidumbre de los resultados que se pueden obtener de las tecnologías de nueva generación, con el fin de darle tranquilidad a los ejecutivos de primer nivel y ver cómo se justifican las inversiones que se hacen para aumentar la resistencia a los ataques de las empresas; la argumentación basada en “hechos, observaciones, anécdotas y metáforas” (Rose, 2013) establece una referencia más situada en la realidad de la empresa, que permite recabar en las representaciones compartidas que ésta tiene respecto de sus esfuerzos en seguridad de la información.

Así las cosas, la COSI es una realidad compartida en cada individuo de una empresa, que representa la forma como se entiende y maneja el aseguramiento de la información en el desarrollo de sus procesos, lo cual determina el escenario de acción y la superficie de expansión de las brechas de seguridad y control que la compañía puede tener y los impactos que se pueden ocasionar.

Por tanto, este documento buscar recabar en aspectos inherentes de la cultura organizacional de seguridad de la información, no para sentar una posición sobre el entendimiento de la misma, sino como una exploración de posibilidades de comprensión y análisis que den cuenta de las preocupaciones de las empresas frente al tratamiento de la información, más allá de las implementaciones tecnológicas (requeridas y necesaria) para mantener una postura de seguridad y control acorde con el nivel de riesgo de la empresa.

Cultura Organizacional de Seguridad de la Información. La otra desconocida.

Cuando las personas hablan de la COSI, hablan de su experiencia particular en el tratamiento de la información, hablan de la forma como su práctica se hace realidad en cada uno de los contextos organizacionales. Sin perjuicio de lo anterior, la COSI sigue siendo la gran desconocida habida cuenta que pasa desapercibida en medio de la dinámica empresarial y los componentes tecnológicos de la seguridad informática.

Si bien existen muchas teorías alrededor de la cultura organizacional y estrategias para su desarrollo, pocos estudios se han concentrado en estudiar la que es propia de la seguridad de la información. El profesor Schein (2004) del MIT, uno de los estudiosos más relevantes en temas de cultura establece un modelo base para comprender la cultura de una organización. El académico anota que una cultura organizacional se construye a partir de aquello que la gente cree, lo que las personas hacen y lo que los individuos ven, elementos que han sido de interés por muchos investigadores, algunos de ellos en el tema de la protección de la información.

Cada vez que los individuos actúan, revelan la forma como la información se asume dentro de los procesos de la empresa, manifiestan sus actitudes alrededor de la protección de los datos, exponen sus creencias sobre la seguridad y el control, manifiestan los valores que representan al efectuar su tratamiento y confirman la responsabilidad que tienen frente a ella. En este sentido, explorar los fundamentos de la COSI implica revisar los comportamientos de las personas, lo cual necesariamente nos interroga sobre la forma como ellos adquieren y desarrollan una competencia en la gestión segura de la información.

Esta competencia denominada “gestión segura de la información” (Cano, 2015) se entiende como una competencia genérica, es decir “aquellas que permiten a los individuos desarrollarse como personas, y desenvolverse exitosamente en la sociedad y el mundo que les tocará vivir (…)” (Lozoya, 2012, p.36). En la sociedad de la información y el conocimiento, la dinámica digital exige que la información, como activo relevante para los conglomerados sociales modernos, tenga un tratamiento adecuado, no solamente cuando de datos personales se trate, sino en cualquier situación que demande un manejo de información, como quiera que ella es la nueva moneda “glocal” (global y local) (Roberson, 2005) que desencadena acciones que pueden terminar en grandes logros o impactos contrarios importantes.

Cuando planteamos la COSI desde la realidad local, es decir, desde la construcción diaria de significados alrededor de la protección de la información, estamos reconceptualizando la vista de la información en las empresas. Esto es, se conectan los imaginarios de las personas en el escenario y contexto de la organización, con las declaraciones corporativas que soportan el gobierno corporativo, para motivar la transformación de entendimientos individuales que afectan la forma como la información se usa y moviliza las decisiones de las compañías.

Por tanto, la COSI como realidad latente y emergente propia del flujo de la información en las empresas, establece el referente de control suave que articula las relaciones de las personas, no solamente desde el cumplimiento normativo y el entendimiento de su responsabilidad, sino en la comprensión y apropiación de los riesgos, los cuales determinan la forma en que un individuo aprende a conocer, a hacer, a participar y a elegir sobre la protección de la información, aún en situaciones inciertas que confronten su referente conceptual de seguridad de la información.

La pedagogía del error como base de la COSI

Lo más natural en el desarrollo de la vida académica y profesional es la tendencia hacia el error, hacia aspectos que dejan en evidencia las limitaciones de aquello que se conoce y que manifiesta aspectos desconocidos de la realidad antes inexplorados. Sin el error, no es posible ver el otro lado de la distinción de lo que se denomina “realidad”, pues todo aquello que funciona como se espera y se ajusta a la experiencia previa, no tiene oportunidad de revisión hasta algo no opere de la forma prevista.

Anticipar el error, motivar la falla y el comportamiento inesperado en los estándares de seguridad y control, es una práctica que supone poner a prueba la “realidad” de los controles establecidos y llevar al límite los supuestos sobre los cuales funcionan las cosas. En este escenario, el error se convierte en una virtud que motiva una vista diferente que saca fuera de la zona cómoda a la empresa y confirma la teoría de la inevitabilidad de la falla.

Una COSI que se funda en la pedagogía del error y no en la pedagogía del éxito (cumplimiento de objetivos y resultados) (De la Torre, 2004), está llamada a mantener un nivel de confrontación permanente de la realidad en cada uno de sus integrantes y como una forma de aumentar el nivel de sensibilidad de sus actuaciones, sabiendo que cada vez que se rompe un supuesto de aseguramiento, existe una oportunidad para construir y repensar “el uso adecuado de la información”.

En este entendido, la falla en un comportamiento, la debilidad identificada en algún mecanismo técnico o la falta en un procedimiento, se convierte en ocasión de aprendizaje, es decir, un quiebre que suspende la realidad e interroga tanto a la persona como la organización para revisar los fundamentos del modelo de protección. Lograr este nivel de conceptualización del error, demanda una madurez en la COSI, una lectura de la información como bien trascendente, donde las actuaciones individuales afectan no solo a la organización sino a otros.

Así las cosas, la sabiduría del error se contrapone con la lectura de aquellos que cumplen sin mediar palabra los procedimientos y reglas impuestas. Mientras existen personas que actúan con arreglo a los referentes normativos y mantienen el orden propio de la empresa, habrá otras que con seguridad buscarán formas alternas de hacer las cosas “más rápido” y menos complicadas. Esto es, estarán concentradas en el producto, generando la menor incertidumbre y procurando que el usuario final sea más independiente.

Cuando la pedagogía del error, es el eje de construcción de la COSI, entendemos siguiendo a De la Torre (2004), que “el error es un desajuste entre lo esperado y lo obtenido. (…) una referencia a un criterio, norma o valor; pero no comporta actitud sancionadora ni punitiva (…)”, lo que denota una lectura alterna que procura un entendimiento diferente de lo que ha ocurrido, una posibilidad de un conocimiento más profundo de la práctica de seguridad y no sólo una falla del sistema de gestión que debe ser subsanada.

Conectando la COSI con el gobierno de la seguridad de la información

La evolución de las amenazas informáticas y los novedosos vectores de ataque, terminan afectando las responsabilidades de los cuadros directivos de las organizaciones. Mientras las inversiones en tecnologías de seguridad informática de nueva generación son implementadas, poca atención recibe la Cultura Organizacional de Seguridad de la Información, dado que ésta se asume dada por cada una de las personas en las empresas y las prácticas deberían ser parte natural de las actuaciones de cada uno de los colaboradores.

Recientes investigaciones nos indican que al menos existen cuatro imaginarios (Cano, 2015b) en las organizaciones que revelan la postura de las personas frente al tratamiento de la información. Esta construcción social establece un modelo de actuación latente y propio del contexto de las empresas, que debe ser examinado para fundar las bases de un gobierno de la seguridad de la información ajustado a la realidad de la compañía y su escenario de negocio.

Dos de los imaginarios entienden que la responsabilidad por la protección de la información es personal y dos que está en manos de la empresa. Mientras los dos últimos, denominados “los complacientes y los temerarios”, son la típica postura negativa y arrogante de la práctica de seguridad de la información donde expresiones como “si usted quiere que proteja esto, deme los mecanismos necesarios” o “aquí no ha pasado nada en 20 años y ahora viene usted con prácticas de seguridad y control” son parte de la vista confiada y delegada en un tercero que apuesta por una seguridad en manos de otro, donde la participación de la persona es solamente una casualidad.

Así como existen los “complacientes y temerarios”, se encuentran los “bien intencionados y conscientes”, los cuales, al contrario de los primeros, entienden que tienen una responsabilidad personal con la protección de la información, aunque para los “bien intencionados” no se tenga claridad sobre los impactos que se generan cuando no actúan de forma adecuada. En este sentido, las brechas de seguridad de la información no solo consultan las posibilidades técnicas de éxito, sino la fuente misma de la debilidad de la cadena que es el ser humano.

Si lo anterior es correcto, los principios de gobierno corporativo de las empresas deben indagar sobre la dinámica de las estructuras organizacionales actuales (Wharton, 2015) e interpretar las prácticas sociales vigentes alrededor de la protección de la información, que habilite una postura de falla segura en los procesos de la empresa. Esto es, conectar la cultura empresarial con los riesgos claves de los procesos y motivar una práctica de “pruebas de mal uso” que aumente la capacidad organizacional para actuar frente a situaciones inesperadas e inciertas.

El gobierno de la seguridad de la información por tanto debe crear una vista enriquecida que promueva el diagnóstico, habilitando la confianza para construir sobre aquello que no está bien, es decir comprender la falla que se identifique como “un incidente esclarecedor del proceso” (De la Torre, 2004). De esta forma, las posibles limitaciones de los procesos empresariales se convierten, como lo aborda De la Torre (2004) en categorías de información en un campo de significaciones compartidas que motivan posturas creativas para repensar el proceso mismo.

Reflexiones finales

La cultura organizacional de seguridad de la información, no puede seguir siendo el tema que todos los consultores, practicantes de la seguridad, académicos y ejecutivos empresariales saben que deben abordar, pero que no se toman el tiempo para establecer acciones concretas que la impacten y motiven su madurez.

Mientras mayor sea la distancia entre lo que la organización “hace y práctica” alrededor de la protección de la información y lo que realmente ocurre a nivel del proceso y la dinámica del negocio mismo, mayor será el espacio para que la inevitabilidad de la falla construya vectores de inestabilidad y vulnerabilidades que se integren al imaginario social y comprometan la práctica misma de la seguridad de la información de la empresa.

Si entendemos que toda acción humana está centrada en una construcción cognitiva y social y que, com anota Luhmann (2006, p.77) “toda evaluación de riesgo es y se mantiene como algo sujeto al contexto. No existe ni psicológicamente ni bajo las condiciones sociales dominantes una preferencia positiva o negativa del riesgo (…)”, se hace necesario establecer una vista extendida de lo que se entiende por seguridad de la información y concentrarse en el asidero fundamental de la protección de la información como lo es el ser humano y su contexto.

En consecuencia, las preocupaciones actuales de las empresas sobre los ataques exitosos que generan brechas de seguridad y afectan su imagen corporativa, no solo debe estar asistida por inversiones claves en tecnologías modernas de protección de corte proactivo, sino también de un conocimiento detallado de la cultura organizacional de seguridad de la información, donde se encuentra el tejido social relevante de la protección de la información, que debe ser cultivado y fortalecido desde los referentes de responsabilidad personal y construidos sobre la pedagogía del error, es decir, aquella que orienta y guía los aprendizajes.

Referencias

Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5

Cano, J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología. Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558 (Formato web). Recuperado de: http://bit.ly/1OjMBh6

De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.

Lozoya, E. (2012) ¿Cómo implementar y evaluar las competencias genéricas? México, México: Editorial Limusa. Noriega editores.

Luhmann, N. (2006) La sociología del riesgo. México, México: Universidad Iberoamericana e Instituto Tecnológico y de Estudios Superiores de Occidente.

Roberson, R. (2005) The conceptual promise of glocalization: commonality and diversity. Revista ART-e-FACT. Strategies of resistance. 4. Recuperado de: http://artefact.mi2.hr/_a04/lang_en/theory_robertson_en.htm

Rose, A. (2013) The CISO’s Handbook - Presenting to the board. Forrester Research. Recuperado de: https://www.veracode.com/sites/default/files/Resources/AnalystReports/forrester-ciso-handbook-presenting-to-the-board-compliments-of-veracode-analyst-report.pdf

Schein, E. (2004). Organizational culture and leadership. Third Edition. San Francisco, CA: Jossey-Bass.

Wharton (2015) Corporate governance in the age of cyber risk. Recuperado de: http://knowledge.wharton.upenn.edu/article/corporate-governance-in-the-age-of-cyber-risks/