Introducción
La inevitabilidad de
la falla es un concepto que poco a poco se ha venido difundiendo a nivel
internacional, como quiera que todo es susceptible de fallar, bien de manera
deliberada o por situaciones no conocidas. En este escenario, pensar y
desarrollar una gestión desde la certeza de una operación sin contratiempos, es
una vista efímera que, con el primer percance, puede llegar a comprometer no
solo la capacidad de aprendizaje de los involucrados, sino la imagen de
aquellos que lo administran.
En este sentido, la
falla o el error, se ha mirado por lo general como un resultado, el cual es
valorado bajo estándares definidos, generando una emocionalidad contraria, que
no siempre motiva y moviliza los cambios requeridos. Por tanto, el error
conlleva una carga emocional generalmente negativa, que de alguna forma,
recrimina y excluye a todo aquel que no se ha ajustado a la norma establecida.
En este escenario,
el error no es ocasión de oportunidades y descubrimiento de nuevas ideas, sino
un tribunal de sanciones, que no busca motivar una renovación del pensamiento
ni provocar nuevas experiencias para explorar. Esto es, una audiencia pública que
margina a todos los involucrados a llevar el peso de una marca que los segrega
y limita para continuar aprendiendo, que no es otra cosa que cortarle las alas
a su creatividad.
Cuando el error no
se mira como un resultado, sino como un proceso, se abre la oportunidad para
descubrir las relaciones internas de las acciones que han llevado al resultado.
Se inscribe la actuación, como un intento por abordar una situación, cuyas
consecuencias dan cuenta de una realidad distinta a la esperada, lo cual puede
o no ser útil frente al contexto donde ella se desarrolla.
Bajo estos
parámetros, el error se constituye como una herramienta pedagógica que
interroga a los participantes sobre aquellos aspectos emergentes de la
situación, que permiten explorar linderos antes desconocidos y potenciar el
entendimiento de los resultados para una siguiente oportunidad. Así las cosas,
como afirma De la Torre (2004) “No es
posible no equivocarse en el proceso de aprender”.
Si bien buena parte
del aprendizaje, se ha adquirido por ensayo y error, por observación, por
experiencias previas en contextos particulares, no se quiere indicar que sea forzosa
la “equivocación” para poder aprender, sino que se hace necesario descubrir en
los detalles del proceso cognitivo, aquellos aspectos que más ayudan a las
personas para apropiarse de un saber y mejorar las aptitudes y estrategias que
la permitirán mayor seguridad y confianza en su hacer (De la Torre, 2004).
Lo anterior,
establece una vista sistémica del aprendizaje, donde el error como proceso,
revela relaciones visibles e invisibles de las elaboraciones cognitivas
humanas, que permiten identificar aquellas cosas que no funcionan bien en los
marcos y estrategias de enseñanza/aprendizaje. Algunos dirán que esto es
susceptible de aplicar en escenarios académicos controlados, pero la realidad
nos indica, que de no hacerlo en el mundo empresarial, las organizaciones
estarán condenadas repetir historias que no quieren oír y a repetir discursos
de gestión que se desgastan en su actuar.
Habida cuenta de lo
anterior, este documento establece algunas reflexiones particulares sobre la
pedagogía del error (De la Torre, 2004), en el contexto de la formación en seguridad
de la información, como una forma de controvertir el status quo de la práctica de entrenamientos en protección de la
información y abrir una nueva posibilidad de enseñanza y aprendizaje que
conecte la realidad de la empresa y la dinámica del pensamiento de sus empleados
frente a la seguridad de la información.
El costo de los errores en seguridad de la
información. Una lectura desde la pedagogía del error.
Es claro que los
errores en seguridad de la información tienen efectos y consecuencias visibles
para las organizaciones en general, que pueden llegar a implicar sanciones
legales, económicas y pérdidas de reputación. En esta perspectiva, el error en
las prácticas de seguridad de la información se juzga como efecto contrario,
que desestabilizando la sensación de confort organizacional, configuran un
tribunal de acusaciones en contra de aquellos que han cometido las faltas y de los
responsables del aseguramiento del tema.
Es tal la
sensibilidad de las acciones que se advierten fuera de los límites permitidos,
que terceros evaluadores están listos a documentar los efectos de dichas
acciones, para contabilizar las fallas y elaborar valoraciones que den cuenta
de la falta de gestión y aseguramiento de las prácticas de seguridad y control
en la organización. Si bien, una falla revela algo que no está de acuerdo con
un lineamiento establecido, también manifiesta una oportunidad para aprender,
un momento para profundizar en las actuaciones y sobre manera una forma de
sorprendernos para hacer nuevas distinciones.
En este sentido, los
responsables de la seguridad de la información, son enmarcados en estándares
que buscan inhibir todo el tiempo la aparición de las fallas de seguridad y
cuando aparecen, son catalogadas como fallas del sistema de gestión, por lo
cual habrá que aplicar el formato de análisis causa-raíz, que permita llegar al
fundo de la situación que ha provocado el resultado y luego activar, en el
mejor de los casos, el procedimiento de lecciones aprendidas, las cuales
guardan la memoria del evento contrario que ha ocurrido.
Frente a esta
situación, donde el error como resultado, es hijo de una vista mecanicista del
mundo, que debe ser erradicado del ejercicio de perfeccionamiento del
funcionamiento de las cosas, la seguridad de la información se ha nutrido
ampliamente creando un escenario cada vez más rígido de acción, que busca
alcanzar una meta de protección basada en la invulnerabilidad, sabiendo que en
un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009) no es posible
lograr.
Lo anterior genera
el stress y angustia natural de los profesionales de la seguridad de la
información que, cada vez que adelantan acciones proactivas para evitar
situaciones de riesgo, los hechos que acontecen desbordan las predicciones
establecidas frente a lo ocurrido. Esto no quiere decir que los ejecutivos de
seguridad de la información sean víctimas de las inestabilidades del entorno,
sino que su perspectiva del ejercicio de protección debe ajustarse con la
dinámica de su contexto, no para encontrar responsables afuera de su práctica,
sino para incorporar nuevos procesos de aprendizaje que reivindiquen al error
como posibilidad de aseguramiento y control.
Lo anterior supone
leer el error como una oportunidad que motive mover el estado de la práctica de
seguridad de la información fuera de la zona cómoda y la lance a explorar
escenarios contradictorios que generen un entorno psicológicamente seguro,
donde fallar es una opción, pues el beneficio que se obtiene, es superior al
costo de cometer el mismo (Schoemaker, 2011).
A manera de resumen
podríamos decir, en lectura de De la Torre (2004), que debemos recuperar el
error como herramienta pedagógica que supere el cumplimiento de objetivos y
atienda la riqueza del proceso de aprendizaje. Una vista de lo anterior, se
condensa en el cuadro a continuación.
|
Consideración del Error
|
|
|
Mundo Mecanicista
|
Mundo de los sistemas
|
|
Desviación de la
norma
|
Desajuste en lo
esperado y obtenido.
|
|
Elemento
perjudicial en el aprendizaje.
|
Elemento que
activa y motiva el aprendizaje.
|
|
Es una condición
que deber ser sancionada.
|
Es una condición
natural del proceso de aprendizaje.
|
|
Deber ser evitado.
|
Deber ser aceptado
y diagnosticado.
|
|
Es indicador de
resultados no alcanzados.
|
Es síntoma de
procesos de aprendizaje
|
|
Es ocasión de
clasificación y exclusión en el proceso de aprendizaje.
|
Es ocasión de
orientación y guía en el proceso de aprendizaje.
|
Tabla 1.
Consideración del error (Basado en: De la Torre, 2004, p.85)
La formación en seguridad de la información. Un
ejercicio de la armonía de los contrarios.
Si la práctica de
seguridad de la información se ha nutrido de una vista mecanicista del mundo y
el error es considerado una condición contraria y por demás costosa frente a
las consecuencias que los mismos tienen, es preciso revisar la manera como se
ha venido formando a las personas en las organizaciones respecto del
tratamiento adecuado de la información.
Mientras un analista
de seguridad tradicional, establece su paradigma de protección en una vista
lineal de riesgo-control, un atacante desafía el escenario conocido y modifica
su dinámica para crear un nuevo entorno, que difícilmente podrá ver un analista
en su ejercicio. El atacante tiene un pensamiento circular, donde una causa
lleva a un efecto y un efecto una nueva causa, en este ejercicio, logra
cuestiona su propio pensamiento y sorprenderse de aquello que el mismo ha
logrado.
Si entrenamos a las
personas sólo en la vista del analista, siguiendo los parámetros normales de la
formación, basada en contenidos establecidos y respuestas debidamente
calculadas, los individuos podrán alcanzar la calificación requerida,
repitiendo aquello que se encontraba en sus cartillas de entrenamiento. Sin
embargo, la pregunta que sigue es ¿esto nos hará más resistentes frente a
situaciones inciertas? Posiblemente la respuesta no será positiva, pues los
empleados estarán preparados para responder a lo conocido y registrado en los
estándares, pero no para variables dinámicas que se encuentran en su contexto.
Por el contrario, si
se establece un entrenamiento siguiendo la mente del atacante, buscando elementos
para superar los patrones y parámetros de seguridad y control establecidos,
tendremos un escuadrón posiblemente de atacantes internos formados para dar
cuenta de las fallas y la forma de cómo se materializan, creando un entorno
insostenible que lleve a los límites del sistema, comprometiendo su
funcionalidad y la identidad del mismo por fuera de los estándares de actuación
ética y de mejora continua.
Bajo este escenario,
se hace necesario integrar la dos vistas previamente presentadas, que permitan
construir un marco pedagógico asistido por la armonía de los contrarios, una
vista que, sensible al contexto de las personas en la organización, establezca
una zona psicológicamente segura donde las decisiones que se toman frente a
situaciones inciertas permitan que los individuos “estudien la situación, definan los problemas, lleguen a sus propias
conclusiones sobre las acciones a emprender, contrasten ideas, las defiendan y
las reelaboren con nuevas aportaciones” (Acosta, 2014, p.47).
Este marco reconoce
la circularidad del pensamiento de
los atacantes, la complementariedad
de las prácticas y estándares con los riesgos de los procesos para explicar lo
que ocurre y sobre manera la autoreferencia
del sistema analizado, que significa comprender las relaciones entre sus
componentes que definen la identidad del mismo. Esto es, saber que existen propiedades
emergentes que son fruto de las relaciones entre sus componentes y que no son
inherentes a cada uno de ellos.
Así las cosas, las
actuaciones derivadas de una formación basada en este marco pedagógico
establecido, establecen las bases de la formulación de una competencia de
gestión segura de la información (Cano, 2015) que, una vez negocia los cambios
de paradigma en su hacer, reconstruye las prácticas desde la sabiduría del
error, es decir, que la inestabilidad de los sistemas y sus posibles fallas,
son ocasión para que surjan aprendizajes avanzados en las personas que las
habiliten para: (Tobón, 2013, p.101)
- Comprender la situación problemática en un contexto disciplinar, personal, ambiental, social y/o económico.
- Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo imprevisto y la incertidumbre.
- Considerar las consecuencias del problema y los efectos de la solución dentro del conjunto del sistema.
- Aprender del problema para asumir y resolver problemas similares en el futuro.
En consecuencia, la
formación en seguridad de la información debe responder a criterios educativos
que promuevan quiebre conceptuales respecto de la dinámica de las
organizaciones, para que reconociendo el contexto inestable e incierto donde
deben actuar los individuos para proteger la información, se puedan tener seres
humanos transformados por el entorno y acciones trascendentes de éstos, para
potencialmente innovar en sus propios ambientes.
Lo anterior supone,
en palabras de Acosta (2014, p.48) “comprender la necesidad de apoyarse en los
demás para aprovechar las fortalezas y competencias de todos”, reconocer las
limitaciones como oportunidades de desarrollo y “aumentar la sinergia que surge”
al participar de un escenario de construcción social de conocimiento, donde las
acciones y decisiones que se realicen, benefician necesariamente a los demás.
Reflexiones finales
Si entendemos el
aprendizaje como una propiedad emergente del proceso educativo, esto “es una cualidad distinta que el sistema “persona”
elabora en un momento dado sin que previamente, como tales, estuviesen contenidas
en ninguna de las partes. (…)” (Novo, Marpegán y Mandón, 2011, p.126),
estamos ante un cambio de perspectiva en la formación de los individuos, donde “educar”
a la persona en seguridad de la información no es enseñarle algo que no sabía,
sino convertirlo en un otro distinto que es consciente de los riesgos y asimetrías
del entorno donde actúa y está preparado para tomar decisiones que benefician a
los demás.
En este sentido, el
marco pedagógico propuesto basado en la armonía de los contrarios, lejos del
riesgo de la simplificación, permite una aproximación a los escenarios reales
de participación de los individuos, creando una vista sistémica de la realidad,
que promueve un actuar integrado, innovador y transdisciplinar.
Lo anterior
significa, entender e incorporar las diferencias naturales de las personas y
las presiones del entorno, teniendo como foco el aprendizaje en los procesos más
que sus resultados, motivar momentos de síntesis que consoliden la apropiación
del conocimiento y la construcción de una espiral ascendente de comprensión de
sus decisiones que lo habiliten para manejar la incertidumbre, producir modelos
de actuación y adaptarse a los cambios.
Lograr fundar una
educación en seguridad de la información con estas características, implica
romper la tradición mecanicista de la formación que se tiene a la fecha,
producir escozor y malestar al interior de las prácticas vigentes de protección
de la información y sobre manera, quebrar los lentes actuales del entendimiento
de la seguridad de la información donde los estándares exigen la repetibilidad
del proceso de gestión, para poder establecer una medida del nivel de “protección”
disponible y requerido en la organización.
Por tanto, esta
reflexión no pretende ser un “elogio de la locura” que exalte lo negativo y
reprochable, sino una búsqueda de una comprensión mayor del escenario que se
advierte para avanzar en el ejercicio de protección de la información. Esto es,
aprendamos a través de las equivocaciones y construyamos desde los estándares probados,
para que, como anota De la Torre (2004), “el
error sea un incidente esclarecedor del proceso y, no un resultado ni un hecho
irremediable de la naturaleza humana”.
Referencias
Acosta, S. (2014) Pedagogía por competencias. Aprender a
pensar. México, México: Editorial Trillas.
Cano, J. (2015)
Gestión segura de la información. Competencia genérica clave en una sociedad de
la información y el conocimiento. Memorias
Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015.
Universidad de la Guajira, Colombia – Universidad Nacional de San Juan,
Argentina. Riohacha, Colombia. Junio 2 al 5.
De la Torre, S.
(2004) Aprender de los errores. El
tratamiento didáctico de los errores como estrategia de innovación. Buenos
Aires, Argentina: Editorial Magisterio del Río de la Plata.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership
Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler
Publishers.
Novo, M., Marpegán,
C. y Mandón, M. (2011) El enfoque
sistémico: su dimensión educativa. Madrid, España: Editorial Universitas,
S.A.
Schoemaker, P.
(2011) Brilliant mistakes. Finding
success on the far side of failure. Philadelphia, USA: Wharton Digital
Press.
Tobón, S. (2013) Formación integral y competencias.
Pensamiento complejo, currículo, didáctica y evaluación. Bogotá, Colombia:
ECOE Ediciones.
Muy interesante; merece reflexión detallada.
ResponderEliminar:-)