Introducción
Por más de cincuenta
años se han explorado respuestas al reto de la protección de la información
desde la perspectiva técnica, técnico-social, matemático formal, entre otras,
las cuales han ofrecido vistas particularmente interesantes, motivando
reflexiones que han sido capitalizadas en productos o servicios que hoy son
parte integral de las prácticas de las organizaciones modernas.
Este ejercicio de la
protección de la información, demanda no sólo el conocimiento claro de los
comportamientos de los individuos y sus prácticas, sino el reconocimiento de su
perfil de riesgos, del entendimiento de los inciertos, ambigüedad, complejidad
e historia personal que subyace en la experiencia de las personas, como quiera
que es allí donde la acción final de control o aseguramiento tiene el asidero
de la práctica que se tiene.
Bajo este
entendimiento, se hace necesario recurrir a las ciencias sociales y las
reflexiones sistémicas, para abordar la realidad del riesgo, desde un
observador externo que reconoce un entorno y la dinámica de las relaciones que
las personas establecen frente a la experiencia de lo incierto e inestable, así
como desde un observador interno, que asume la complejidad del entorno y las
decisiones que debe tomar un individuo en el ejercicio de superar una situación
ambigua o contradictoria.
Así las cosas,
establecer un marco de protección de la información basado en riesgos, demanda
una lectura de doble vía desde el entorno al individuo y viceversa, de tal
forma que se pueda balancear las exigencias propias de la dinámica de la
persona frente a un entorno inestable, con el fin de que tome las decisiones
necesarias y suficientes para estar concentrado en lo que puede ser y no, en lo
que no ha sucedido (Carmen, 2015), y así superar el dilema de control (Espejo y Reyes, 2016) que se
plantea cuando no tiene la variedad suficiente para dar cuenta de la acción que
debe tomar.
Proteger la
información en el escenario de un mundo volátil, incierto, complejo y ambiguo,
donde cada vez hay menos oportunidad para mantener secretos o información
confidencial, implica explorar no solamente las buenas prácticas actuales y
estándares de la industria, sino recabar en el imaginario de las personas y sus
percepciones particulares de los riesgos frente a la información, como una
forma de revelar la esencia de las decisiones que ellas toman para
salvaguardarla.
En este contexto, la
contraposición entre riesgo y seguridad, establece una vista complementaria que
no busca opacar o resaltar alguna de ellas, sino explorar los puntos de
conexión existentes en el escenario particular de las decisiones de las
personas frente al tratamiento de la información y cómo en este reto de
comprensión de relaciones circulares, es posible establecer un marco de acción
que oriente a los individuos para superar la esencia misma de la venta de los
temas de seguridad basado en el miedo, las dudas y la incertidumbre.
Por tanto, este
documento explora un marco conceptual de tratamiento de la información
fundamentada en las ciencias sociales y las perspectivas sistémicas, que
conecte la realidad del riesgo con los retos de las seguridad y control, de tal
forma que ofrezca orientaciones de actuación para los individuos con el fin de
habilitar una toma de decisiones situada, aún en escenarios inciertos,
complejos y ambiguos.
Recreando el concepto de riesgo. Una revisión desde
los estudios sociales
El estudio del
riesgo en el escenario de la protección de la información se ha conceptualizado
con una vista negativa, como toda situación o acción contraria que puede
comprometer alguna de las características claves de la seguridad de la
información: confidencialidad, integridad y disponibilidad, generando impacto
adverso sobre los intereses personales o empresariales que representa ese
particular conjunto de datos procesados.
Basado en este
entendimiento, las personas y las organizaciones crearon un imaginario de
prevención y advertencia sobre esas situaciones, los cuales hicieron carrera
con marcada velocidad en las prácticas de seguridad y control donde el control
de acceso, se configura como la práctica de restricción natural para determinar
quiénes pueden o no tener conocimiento de una información particular. Estas
restricciones responden a declaraciones de los dueños de la información quienes
definen como base la tupla: usuario, acción, objeto, que delinea quién puede
acceder, bajo que acción: lectura, escritura, modificación y finalmente el componente
autorizado a ser afectado: archivo, base de datos, registro, etc.
La violación de las
reglas definidas por el control acceso, establecen un atentado directo a la
protección de la información, como quiera que cada regla definida corresponde a
una forma de disminuir el incierto sobre condiciones claves que se deben cuidar
sobre una información específica, lo que en últimas, custodia un interés
particular de la organización respecto de los impactos de su revelación o
exposición fuera de los límites definidos por la empresa.
Cuando leemos el
riesgo desde la orilla de los científicos sociales comprendemos que esta
realidad es dependiente del contexto de las personas, cuya valoración positiva
o negativa, estará mediada por la experiencia particular de un individuo o
conjunto de personas, con el fin de tomar las acciones más adecuadas al medio
donde se encuentran (Luhmann, 2006). En este sentido, la historia de la
persona, la ambigüedad, la incertidumbre y la complejidad definen el marco
general donde el individuo configura su nivel de exposición para establecer que
tan tranquilo o inquieto se puede sentir respecto de una situación particular.
La certeza es un
estado mental subjetivo (López-Barajas, 2009), que está cimentado sobre
conocimientos y experiencias previas, que fundan la forma como una persona
entiende una situación particular con el fin de adjudicarle un calificativo de
exposición o no, el cual por lo general se encuentra asociado con una brecha de
información y saber. Mientras esta brecha sea mayor, mayor será su percepción
de incierto e incapacidad de manejar con lo que conoce, creando un dilema de
control respecto de su flexibilidad para enfrentar la situación bajo
evaluación.
En este escenario, la
protección de la información no sólo deberá estar asociado con un mecanismo de
control de acceso, que busca disminuir o superar el dilema de control (Espejo y
Reyes, 2016), sino con el contexto donde opera la persona, comprendiendo la
situación que supera sus saberes y las variables del entorno que generan ambigüedad
e incertidumbre para tomar la decisión que se requiere.
Alineando el contexto con las prácticas de seguridad y
control
Si bien es claro que
por lo general las personas son responsables por el manejo de tareas que son
inherentemente más complejas que su propia capacidad para distinguir y actuar,
esto es lo que hace retador cada momento de ellas en las organizaciones. En
este sentido, muchas de las actividades requieren el apoyo de otros individuos
para que se hagan realidad, lo que necesariamente implica un aumento de la variedad
y del espectro de posibilidades que le permitan decidir sobre una situación en
particular.
Cuando en el
ejercicio de protección de la información, las buenas prácticas y estándares no
son suficientes para actuar en consecuencia, se entra en el escenario de la
incertidumbre, donde se experimenta el estado de indeterminación frente a una
causa y sus efectos, que lleva a interpretaciones legítimas de las personas
frente significados socialmente aceptados, los cuales son conceptualizados en
la historia personal particular basada en momentos e impactos semejantes
(Rosa, Renn y McCright, 2014).
Para lograr una alineación
respecto de las prácticas y las inestabilidades del contexto en el ejercicio de
asegurar la información, es necesario revelar los supuestos e imaginarios de la
seguridad de la información en los individuos, para luego efectuar las interpretaciones
ajustadas con las expectativas requeridas por la organización. En este sentido,
si no posible determinar un estado futuro de una acción, habrá que focalizar la
acción más en aquello que puede ser y no en algo que no ha pasado, con el fin
de procurar un cierre de la brecha informacional y de saberes que está en juego
y motivar una acción informada y ajustada a aquellos estados relevantes que la
empresa ha fijado como válidos.
Lo anterior supone
el desarrollo de unas capacidades dinámicas (Teece, Peteraf y Leih, 2016) en
los individuos, que les permita entre otros aspectos, detección proactiva para crear hipótesis sobre las implicaciones
futuras de los eventos y tendencias observadas; acción informada, que entiende la brecha de saber e información
para movilizar su actuación y desaprendizaje
permanente, que considerando los saberes previos, es capaz de conectar con
las inestabilidades del entorno.
En esta línea, la
seguridad de la información no se asume con una declaración cierta y estática,
sino como un cuerpo de conocimiento que evoluciona con el entorno, el cual se
reconfigura en cada instante en la dinámica de la protección de la información,
mediada por las capacidades dinámicas que deben ser desarrolladas en los
individuos, habida cuenta que cada nueva situación incierta revela nuevas
oportunidades para concretar nuevos espacios de conocimiento que permitan una
protección ajustada a los escenarios inciertos de las empresas.
El ejercicio de
alineación del contexto con las prácticas, no supone acciones exclusivamente de
restricción para aumentar las certezas, sino un ejercicio de amplificación de
la variedad existente, como quiera que se requiere alcanzar una estabilidad
dinámica en un entorno particular y relevante que permite colaborar con otros,
para asumir las diferentes expresiones de la complejidad que supone proteger la
información en un entorno cambiante y con discontinuidades tecnológicas
permanentes (Espejo y Reyes, 2016).
Esto es, desarrollar
una postura sistémica de la realidad, que reconoce que el mapa que se ha
construido desde los supuestos y creencias, donde se validan las decisiones
humanas, es una imagen borrosa e incompleta del territorio. Lo anterior supone descubrir
en cada momento, aspectos complementarios de las interpretaciones efectuadas,
reconociendo que no se tiene la variedad requerida o conocimientos necesarios
para abordar una situación particular y por tanto, reconocer que no se sabe, es
la experiencia más valiosa que se puede experimentar para poder “desaprender” y
descubrir oportunidades inexploradas.
Un marco conceptual para el tratamiento de la
información. Aportes desde las ciencias sociales y las reflexiones sistémicas
Para plantea un
marco de acción para el tratamiento de la información, en un escenario volátil
e incierto, es necesario comprender que las partes interesadas en proteger la
información no son perfectas y que harán su mejor esfuerzo para concretar un
nivel de exposición acordado, sin perjuicio de los posibles eventos adversos
que se pueden presentar por efectos de la inevitabilidad de la falla.
Esto supone entender
que riesgo y seguridad son un continuo de experiencias de confianza imperfecta,
una confianza que se funda en los comportamientos y decisiones inestables de
las personas. En palabras de Cano (2016):
“Es comprender que las circunstancias, los
contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo
esperado, una lectura de umbrales de tolerancia a fallas que sabe de la
naturaleza limitada de las personas y la tendencia al error, que invita más a
la reflexión y confrontación de sus propias actuaciones, para construir en
conjunto con otros y afinar dichos umbrales, hasta definir aquel que es
aceptado y tolerado por la empresa.
La estabilidad de esta confianza está en el
entendimiento y estrategias que tiene la organización para actuar cuando los
umbrales se superan y cómo desarrolla su capacidad de recuperación y
resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un
rango estático de compromiso de la organización, sino como una vista dinámica
de la evolución del imaginario de protección que la empresa moldea con sus
decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.”
Bajo estos
fundamentos, sólo cuando entiendo con claridad el resultado incierto de lo que
está en juego, puedo comprender el nivel confiabilidad que se puede tener
frente a la decisión de protección y de igual forma, sólo retando el nivel de
confiabilidad actual disponible para los propósitos e intereses de las personas
y de la empresa, puedo conocer el resultado de incierto que puede generarse con
la decisión que se toma.
Lo anterior, supone
que el ejercicio de comprensión de doble vía (riesgo-seguridad) (Ver figura 1),
habilita a las personas para desarrollar las capacidades dinámicas (detección
proactiva, acción informada y desaprendizaje permanente) con el fin de
encontrar el rango de exposición que se acuerda frente al resultado de la
acción que se ejecuta. Es decir, la confiabilidad no está en el riesgo cero o
la protección ciento por ciento, sino en el cumplimiento de los umbrales
definidos por las partes y las acciones resilientes establecidas para enfrentar
los inciertos y la materialización de vulnerabilidades latentes o emergentes.
Figura 1. Riesgo
y seguridad: una relación de doble vía (Autoría propia)
De esta forma, el
riesgo no se configura como un elemento negativo per se, ni la seguridad como
una función estática que busca el 100% de efectividad de sus acciones, sino
como un continuo inestable que negocia rangos de tolerancia a la falla, donde
los individuos y las empresas construyen distinciones y prácticas de forma
permanente para reconstruir las prácticas conocidas y renovar los
entendimientos de la protección más allá de la reducción de la incertidumbre
reflejada en los controles tradicionales expuestos en los estándares ISO.
Reflexiones finales
La práctica de
seguridad y control que se tiene en la actualidad responde a una lectura de la protección
como restricción de eventos o inestabilidades, en procura de alcanzar
confiabilidad y estabilidad que satisface el imaginario de cero incidentes
requerido por las organizaciones.
Lamentablemente este
imaginario se debilita en el escenario de volatilidades e inestabilidades que
se presentan actualmente, como quiera que la inevitabilidad de la falla es la
constante que la inseguridad de la información utiliza para materializarla de
forma inesperada, ocasionando percances a nivel personal y organizacional que
sacan de la zona cómoda tanto a ejecutivos como a los profesionales de la
seguridad de la información.
En consecuencia y
dado que se hace necesario avanzar en medio de un entorno incierto y
vulnerable, tanto las personas como las organizaciones debe tomar riesgos de
forma inteligente esto es, en un continuo de confianza imperfecta, que leído en
términos prácticos supone ver
En este sentido, si
bien las normas, buenas prácticas y estándares permiten un cuerpo de
conocimiento base, se hace necesario dominar las capacidades dinámicas
presentadas previamente, en el contexto de los riesgos que se deben tomar de
manera inteligente, habida cuenta que no es la reducción de la incertidumbre lo
que cuenta, sino el entendimiento del flujo continuo de certezas e inciertos
que supone el riesgo y la seguridad para una persona y una organización.
Por tanto, el
imaginario actual de seguridad y control deberá evolucionar de la
invulnerabilidad como fuente de confianza perfecta, a la vulnerabilidad y los
umbrales de falla, como nuevo referente que se construye sobre la base de la
confianza imperfecta, la cual hace parte natural de los comportamientos y
decisiones inestables que las personas toman frente a contextos y situaciones
distintas.
Referencias
Cano, J. (2016) Protección
de la información. Un ejercicio de confianza imperfecta. Blog IT Insecurity.
Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Cano, J. (2017) Riesgos
inteligentes. Blog Frase de la Semana. Recuperado de: http://frasedelaseman.blogspot.com.co/2017/03/riesgos-inteligentes.html
Carmen, A. (2015) La ley del quizás. Cómo transformar la
incertidumbre en posibilidad. Barcelona, España: Editorial Urano.
Espejo, R. y Reyes, A.
(2016) Sistemas organizacionales. El
manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia:
Ediciones Uniandes, Universidad de Ibagué.
López-Barajas, E. (2009)
Antropología, epistemología e innovación en educación permanente. En
López-Barajas, E. (Coord.) (2009) El
paradigma de la educación continua. Reto del siglo XXI. Madrid, España:
Narcea, S.A. 15-56
Rosa, E., Renn, O. y
McCright, A. (2014) The risk society
revisited. Social theory and governance. Philadelphia, Pennsylvania. USA:
Temple University Press.
Teece, D., Peteraf, M. y
Leih, S. (2016) Dynamic Capabilities and Organizational Agility: risk,
uncertainty, and strategy in the innovation economy. California Management Review. Summer. 58, 4. 13-35
Luhmann, N. (2006) Sociología del riesgo. México, México: Universidad Iberoamericana -
Instituto Tecnológico y de Estudios Superiores de Occidente, A.C (ITESO).
No hay comentarios:
Publicar un comentario