Cultura de seguridad de la información. Una revisión desde los conceptos de diseño y cultura organizacional

Introducción

El contexto de los modelos organizacionales ha evolucionado y se ha venido adaptando a las condiciones de un mundo más interconectado, de información instantánea y flujos de información permanentes y actualizados. En este sentido, los individuos tienen acceso a la información y uso de la misma de manera privilegiada, toda vez, que es a través de ésta como construyen y generan una nueva realidad para la organización y para su propia vida.

Si bien las teoría anteriores de modelos organizacionales basadas en distribución de tareas, segmentación de responsabilidades y competencias específicas para el desarrollo de las actividades asignadas, mantiene su vigencia en el escenario actual, también es clave entender que estos modelos están cediendo terreno a otros donde la organización es menos jerárquica, con más trabajo entre áreas y mayor flexibilidad frente a las tareas y resultados.

Como quiera que la forma de comprender el trabajo y la cultura de una organización, subyace en la forma en que desarrolla sus actividades, los investigadores del MIT han planteado una reflexión donde se advierte a las empresas y organizaciones que existen a la fecha dos modelos de organización que se contraponen y cuestionan la manera de organizar el trabajo para alcanzar los objetivos.

Un primer modelo, denominado “enfoque antiguo”, heredero de los años 1950 y 1960, asociado con la jerarquía formal de posiciones y cargos, reglas y estándares de operación, entre otros elementos que detallaremos más tarde y otro, que llamaremos “enfoque moderno”, que se ha venido consolidando entre 1990 y 2000, que privilegia estructuras planas, reglas flexibles y equipos especializados, entre otras características.

Estas dos realidades organizacionales, definen en cada una de ellas la forma como se trata la información. En este sentido, comprender el enfoque organizacional prevalente en una empresa, nos permite reflexionar sobre cómo la información se hace parte de la dinámica de la misma y por ende, el tipo de tratamiento que será efectuado, considerando la estructura organizacional configurada. 

Así las cosas, si se requiere estudiar una estrategia para desarrollar o consolidar una cultura de seguridad de la información, recurrir a la estructura organizacional es una buen inicio para comprender, en el ejercicio diario del hacer empresarial, cómo la información se hace parte de la manera como opera la misma y cómo cada uno de sus integrantes revela la forma particular  de su tratamiento.

En consecuencia, vincular los conceptos propios de la cultura organizacional y la estrategias de diseño organizacional, establecen referentes básicos que permite comprender en detalle, qué es aquello que hace la diferencia en el tratamiento de la información, cuáles son los supuestos básicos que se tienen y los elementos visibles que materializan el entendimiento corporativo y motivan las acciones individuales requeridas para asegurar una adecuada protección de la información ajustada a la realidad de la dinámica empresarial.

Habida cuenta de lo anterior, este documento presenta una reflexión basada en una revisión conceptual de las estructuras organizacionales y los fundamentos de la cultura empresarial, como base para establecer recomendaciones prácticas para motivar y movilizar una cultura de protección de la información ajustada a la forma en la cual se desarrolla el trabajo en una empresa.

Modelos organizacionales: Modelo antiguo y moderno

De acuerdo con BYRNE (2000) existe cambio fundamental en la manera como se organizan y operan las organizaciones del siglo XX y las del siglo XXI. Dicho cambio se ve reflejado en las siguientes características que se presentan a continuación: (BYRNE 2000, referenciado por ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing for the future. Organizational behavior & processes. Cengage Learning. Pág.M1-40)

Característica	Organizaciones del siglo XX	Organizaciones del siglo XXI
Organización	Pirámide	Red
Foco	Interno	Externo
Estilo	Estructurado	Flexible
Fuente de fortaleza	Estabilidad	Cambio
Estructura	Autosuficiencia	Interdependencia
Recursos	Activos físicos	Información
Operaciones	Integración vertical	Integración virtual
Productos	Producción en masa/Commodities	Personalización masiva/Exclusividad
Alcance	Local/Doméstico	Global/Internacional
Financiamiento	Trimestral	Tiempo real
Inventarios	Mes	Horas
Estrategia	Top-Down	Bottom-up
Liderazgo	Dogmático	Inspiracional
Trabajadores	Empleados	Empleados y agentes libres
Expectativas del trabajo	Seguridad	Crecimiento personal
Motivaciones	Competir	Construir
Oportunidades de mejora	Incremental	Revolucionaria
Calidad	La mejor asequible	Ningún compromiso

Tabla No.1 Características de las organizaciones del siglo XX y del siglo XXI

Como podemos ver, las empresas actuales cada vez más se parecen a lo que en su momento BYRNE estableció como las características de las organizaciones del siglo XXI. A la fecha la realidad de las redes sociales y condiciones de movilidad de los individuos, muestran el cambio en las motivaciones y en el alcance de las empresas, las cuales cada vez más piensan en productos personalizados o novedosos que generen un cambio disruptivo para concretar una nueva tendencia que lleve a la organización al siguiente nivel de estado competitivo.

Todo este cambio, se debe claramente a que la lucha que se tiene en los mercados propios de cada organización, no están fundados en activos físicos o commodities como se venía haciendo, sino que se desarrollan alrededor de accesos y uso de la información, un activo intangible que actualmente es parte fundamental de la forma como la organización entiende y altera su entorno de negocio.

En este sentido, la forma como se venía haciendo el tratamiento de la información en el contexto de una organización del siglo XX, cambia radicalmente frente a la forma como se requiere hacerlo ahora en el siglo XXI. Por tanto, entender la manera estructural de las organizaciones antes del año 2000, es una fuente fundamental de comprensión, para revelar las condiciones y problemáticas propias frente a la protección de la información.

A continuación se presentan las condiciones y características del modelo antiguo y moderno de las organizaciones basado en los estudios de los académicos del MIT, con el fin de contextualizar las prácticas de protección y control de la información, como base para luego, plantear los retos de la cultura de seguridad de la información, desde esta perspectiva y quebrar el entendimiento actual sobre la transformación cultural desde la gestión del cambio.

Característica	Modelo antiguo (1950-1960)	Modelo moderno (1990-2000)
Cargos	Individuos especializados	Equipos especializados
Jerarquía	Piramidal	Plana
Reglas	Formales y estándares	Pocas y flexibles
Responsabilidades	Concretas y limitadas	Matriciales y Cooperativas
Entrenamiento	Estandarizado y concreto	Abierto y variado
Foco	Comando y control	Innovación y respuesta al cambio

Tabla No.2 Modelos de estructura de organizaciones (Adaptado de: ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY 2009)

Las organizaciones propias del modelo antiguo, buscan que las conductas y procesos que se desarrollan alrededor de su objeto de negocio sean predecibles, controlables y verificables. Esto es, que al seguir fielmente los procedimientos, la estructura de mando y con el entrenamiento adecuado, los resultados son aquellos que se esperan frente a la planeación estratégica.

Esta forma de organizar el trabajo en las organizaciones, supone claramente que la empresa se encuentra en un entorno bastante estático, donde las condiciones de operación no cambian y que el contar con recursos físicos y capital de trabajo importante, genera barreras de entrada, que limitan el ingreso de terceros en el mercado que puedan amenazar la posición dominante de la empresa en su entorno.

De otra parte, las empresas que se ajustan al modelo moderno, comprenden que la empresa está en un entorno dinámico, donde en cualquier momento puede ocurrir un cambio y por tanto, deben estar explorando el entorno para prepararse y anticiparse a los nuevas propuestas que cambien el estado del mercado y poder aprovechar dicho momento para crear la ventaja competitiva requerida, con un enfoque flexible y creando nuevas habilidades y conocimientos claves, para aprender rápidamente e incorporar en el ejercicio de estrategia corporativa esa vista disruptiva (McQUIVEY 2013) que es generadora de nuevos ingresos y reflexiones empresariales que hablan de futuro de la empresa en tiempo real.

Tratamiento de la información en los modelos organizacionales

Como hemos visto la información representa un elemento fundamental tanto en el modelo antiguo como en el moderno. Sin embargo, su tratamiento cambia radicalmente respecto de la dinámica organizacional que se requiere en cada uno de los modelos.

Cuando la organización responde a las exigencias de comando y control, la información es un activo que requiere un contexto propio para cada uno de los individuos y por lo tanto, habrá que utilizarlo y cuidarlo en el desarrollo de sus actividades individuales, con el fin de cumplir con sus obligaciones. En este sentido, se privilegia que dicha información sea la que se necesite, se genere con el nivel de confiabilidad requerido y se entregue con la formalidad que exige y demanda el procedimiento previsto para tal fin. No hacerlo, implica necesariamente una amonestación o sanción frente a las reglas establecidas.

De otra parte, cuando la organización demanda innovación y respuesta al cambio, la información es un activo y un recurso al mismo tiempo, que requiere un contexto para que equipos de trabajo lo usen con un fin específico frente a la dinámica del mercado donde compite la organización. El tratamiento de la información y generación de la misma debe ser ágil, no necesariamente con alta confiabilidad y su entrega se hace según se requiera y utilice para crear formas alternas para repensar las condiciones del mercado. Un uso no autorizado genera contradicciones internas que afectan la dinámica de los equipos y posibles impactos en sus estrategias de negocio.

Habida cuenta de lo anterior, mientras el tratamiento de la información en el modelo antiguo privilegia un control central y manejo estándar de este activo intangible que aseguren el adecuado funcionamiento empresarial, en el modelo moderno se activa una control distribuido, basado en reglas de uso que permita desarrollar nuevas fuentes de conocimiento que permitan repensar la organización e impactar el mercado donde opera.

Como quiera que comprender el tratamiento de la información en una empresa del siglo XX responde a una motivación de competencia y estabilidad, su protección supone la generación de comportamientos predecibles y prácticas estándares que permitan conocer el estado de la misma y las restricciones aplicables frente a las condiciones y amenazas que puedan afectar la posición competitiva de la organización o mejor aún afectar la estabilidad de su permanencia en el entorno.

De otra parte, cuando hablamos de una organización con una estructura del siglo XXI la necesidad de cambio y construcción permanente, demanda que la información fluya dentro de la organización en los puntos clave que se requiera, para que aquellos a quienes está autorizado su uso, creen y desarrollen los conceptos y propuesta más acordes con las condiciones del entorno. La información es un recurso e insumo clave para anticipar y ver las inestabilidades del entorno y por tanto, si bien todos pueden conocer de esta, no está habilitado su uso de manera general y abierta, sino bajo una condiciones y contexto donde la empresa lo requiere para repensarse y generar sus estrategias más adecuadas.

En consecuencia, podríamos resumir el tratamiento de la información según el esquema organizacional de la siguiente forma:

Modelo antiguo – Siglo XX	Modelo moderno – Siglo XXI
Activo	Activo e insumo
Control de acceso (susceptible a la revelación)	Control de uso (susceptible al contexto)
Uso restringido	Acceso compartido
Orientado al individuo	Orientado a los equipos
Control y responsabilidad centralizada	Control y responsabilidad distribuida

Tabla No.3 Tratamiento de la información en los modelos antiguo y moderno

Cultura organizacional frente al tratamiento de la información

Si bien existen múltiples definiciones de cultura organizacional para efectos de este documento tomaremos los estudios e investigaciones realizadas por SCHEIN (1985) donde se establece que una cultura se conforma de un patrón de supuestos básicos, inventados, descubiertos o desarrollados por un grupo particular, que aprende a lidiar con sus problemas a través de adaptaciones externas e integraciones internas, que funcionan lo suficientemente bien para ser consideradas válidas y por tanto, son enseñadas a los nuevos miembros como la forma correcta de percibir, pensar y sentir en relación con esos problemas.

En este sentido, el académico establece tres niveles en los cuales se manifiesta la cultura por sí misma: los artefactos observables, los valores expuestos y los supuestos básicos subyacentes.

Los artefactos observables, “(…)  incluye todo lo que puede ser apreciado por los cinco sentidos del observador, desde las instalaciones y productos, pasando por la forma de vestirse, hasta los logotipos o el organigrama. (…)”. Los valores expuestos, representan las estrategias y preferencias declaradas de una organización. (…) Reflejan cómo quiere ser (y ser vista) una organización, y no necesariamente cómo se comporta realmente. (…)”. Los supuestos básicos subyacentes, “(…) se trata de aspectos que el observador externo no necesariamente percibe, porque están profundamente anclados en la organización y se dan por supuestos. (…) Se viven como reglas no escritas. (…)” (MOSCOSO, LAGO y RODRIGUEZ 2013)

En consecuencia, si queremos desarrollar un cultura de seguridad de la información debemos explorar los detalles propios de estos tres niveles, frente al tratamiento de la información, como base para identificar y revelar los fundamentos que rigen una cultura de protección de información, bien en el modelo de las empresas del siglo XX y del siglo XXI.

Objeto de análisis - Información	Cultura de seguridad de la información – Siglo XX	Cultura de seguridad de la información – Siglo XXI
Artefactos observables	Reglas formales	Reglas flexibles
Valores expuestos	Control de acceso	Control de uso
Supuestos subyacentes	Proteger	Compartir
Consecuencias de violaciones	Impactos y sanciones individuales	Impactos y sanciones empresariales

Tabla No.4 Caracterización base de la cultura de seguridad de la información en el siglo XX y siglo XXI

Revisando lo que se detalla en la Tabla No.4 encontramos que las rutinas asociadas con la protección de la información que se tienen en las empresas actuales, se relacionan con una cultura de seguridad de la información focalizada en el siglo XX, donde las reglas y supuestos se focalizan en las acciones del individuo; donde la protección es la base general del modelo de seguridad y control, lo cual necesariamente orienta a los ejecutivos de seguridad de la información a focalizarse en los comportamientos y prácticas, que disminuyan la probabilidad de accesos no autorizados que puedan comprometer o motivar flujos de información desde o hacia personas no identificadas.

La cultura de seguridad de la información en el contexto de las empresas del siglo XX privilegia el desarrollo de competencias relacionadas con el saber hacer (en el ámbito de la aplicación), por lo tanto procura insistir en la aplicación de cursos de entrenamiento orientado a la protección de la información, por lo cual enfatiza en la validación de las acciones concretas de salvaguarda de la información, que hagan repetible y confiables los procedimientos establecidos y por tanto, las sanciones para aquellos, que aún conociendo los mismos, no se ajusten a las competencias declaradas por la empresa frente al tratamiento de la información.

Ahora bien, una cultura de seguridad de la información fundada en las consideraciones de una organización del siglo XXI, requiere del conocimiento del contexto, de las condiciones vigentes de la empresa, para definir no solamente las estrategias de acceso, sino los lineamientos de su uso, con el fin de establecer el escenario donde se desplegará y los impactos que un posible inadecuado uso puede materializar. Esto supone, no solo comportamientos individuales y prácticas, sino comprensión del negocio en sí mismo y la forma como el tratamiento de la misma puede afectar los intereses de la compañía.

En este sentido, la cultura de seguridad de la información en el contexto de las empresas del siglo XXI no solo procura las competencias relacionadas con el saber hacer, sino con el saber construir (ámbito cognitivo) y saber ser (ámbito de las emociones), las cuales claramente trascienden la sola operación: “Dígame ¿qué tengo que hacer?”, para revelar e interiorizar la relevancia de la información frente a la vista estratégica y táctica de una organización global y sensible a los cambios en el entorno: “¿cómo afecta mi comportamiento y tratamiento de la información a la empresa?”

Reflexiones finales

Los esfuerzos que actualmente se desarrollan en las organizaciones frente al reto de promover y fortalecer una cultura de seguridad de la información, deben consultar los aspectos propios de la estructura de las organizaciones y los elementos de la cultura organizacional mencionados previamente, para establecer un marco base de estrategias que permitan una alineación general de dichos esfuerzos con la dinámica de la empresa.

Desconocer esta realidad operacional de la empresa, este orden manifiesto en sus estructuras, es entrar en conflicto o acciones que vayan en contraposición de la forma como la cultura moldea el comportamiento de las personas en la compañía. En consecuencia, iniciativas estándares relacionadas con talleres entrenamiento e interiorización deberán ajustarse al contexto de la empresa, su modelo de negocio y necesidades actuales, manifiestas en sus exigencias de mercado y transición hacia una organización más flexible, matricial y cooperativa.

Por lo tanto, la tensión inherente entre el proteger y compartir demanda a los ejecutivos de la seguridad de la información hacer evidente esta situación, para construir y desarrollar modelos de seguridad y control que balanceen las motivaciones y necesidades de los actores involucrados, buscando que sus acciones privilegien una experiencia de confianza entre los participantes y movilicen las estrategias requeridas por el negocio de manera oportuna y ágil.

La cultura de seguridad de la información no puede ser entonces un patrón autosuficiente de supuestos que se comparten, inventan y se descubren por una sola vez, sino que debe ser interdependiente para movilizar y aterrizar en cada momento de la empresa, iniciativas a nivel de personas, procesos, tecnología y flujos de información (entre sus elementos) que permitan superar el hacer de la protección de la información, integrándolo a la cognición y emocionalidad de las personas frente a los impactos derivados de su uso.

En consecuencia, explicar la cultura de seguridad de la información no es una tarea fácil, ni un ejercicio de corto plazo, sino la comprensión de una tendencia empresarial integrada en los patrones de comportamiento, supuestos subyacentes y artefactos visibles, que cambia conforme la organización se repiensa en el escenario de su contexto de negocio. Esto es, comprender con claridad cómo la cultura de seguridad de la información se integra al modelo de generación de valor de la empresa, cómo entiende el contexto del acceso y uso de la información y se anticipa a las amenazas y riesgos emergentes que le plantea la inseguridad de la información.

Referencias

ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing for the future. Organizational behavior & processes. Cengage Learning.

MOSCOSO, P., LAGO, A. y RODRIGUEZ, C. (2013) El factor humano y organizativo  en la dirección de operaciones. Nota técnica. IESE Business School. Universidad de Navarra

SCHEIN, E. (1985) Organizational culture and leadership. Jossey Bass, San Francisco.
BYRNEY, J. (2000) The 21st century corporation. Management by web. Business Week. August 28. pp. 84-96.
McQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Amazon publishing.

Cultura de seguridad de la información. Una lectura entre lo análogo y lo digital

Introducción

La evolución acelerada del mundo, nos indica que cada vez más el cambio se inserta en nuestras vidas, como algo natural y cotidiano, diferente a lo que ocurría diez años atrás. Las plataformas informáticas, las demandas de servicios de información y los nuevos productos expuestos sobre la densidad digital (KÁGANER, ZAMORA y SIEBER 2013), esa que está articulada en el flujo de información permanente entre las personas, nos advierten que cualquier momento es bueno para generar una nueva disrupción en el contexto social y tecnológico que vivimos.

 

Esto nos implica tener una mente que observe el mundo y sus movilidades actuales de manera asertiva y exploradora, para reconocer allí, una nueva forma de crear el futuro, una nueva forma para hacer que la densidad digital cambie y la sensación de la realidad sea renovada. Ver con los ojos de la holística y crear con la agilidad de la mente, dos condiciones básicas para motivar nuevos comportamientos que liberen las “almas” de los procesos corporativos y quiebren los silos donde siempre han habitado.

 

Alterar la realidad circundante con propuestas novedosas, no necesariamente depende de la tecnología o herramientas especiales, es cambiar la mentalidad de lo análogo, para migrarse al mundo digital, donde nuestro comportamiento modela parte del mismo entorno y somos capaces de influir en él. Movilizar nuestro talento en el contexto digital, significa ver en la nube de información disponible, como encontrar sentido a nuestras pasiones y quebrar los límites de nuestras respuestas.

 

La mentalidad digital se define a sí misma como una motivadora de oportunidades, donde nada es inherentemente brillante o inexperto, donde las posibilidades se imponen sobre las probabilidades, donde la ingeniería, el producto y el mercadeo superan su vista de islas, para crear una experiencia diferente en el usuario final, en la mente del cliente, donde yacen las ideas disruptivas que superan el tradicional “no se puede”, por el inesperado “vamos a intentarlo”.

 

En consecuencia, contextualizar una nueva cultura de seguridad de la información, demanda superar la condición análoga en la cual fue diseñada, para superar las fronteras de lo que entendemos de cómo proteger la información, para crear una nueva distinción de comportamientos y de control sobre la información, que se adapte a la realidad digital del entorno, que contrario a lo que podemos juzgar hoy, supera nuestro entendimiento y modelos actuales de seguridad y protección.

 

En este sentido, este documento plantea una reflexión inicial para confrontar las estrategias actuales para crear, desarrollar y mantener una cultura de protección de la información, que construidas sobre una comprensión de la seguridad de la información en un mundo físico y análogo, requiere una renovación y revisión ahora un mundo virtual y digital, donde la información fluye como parte fundamental de su esencia y el control de la misma migra según la condición que ella adquiere en un momento del tiempo, es decir, no es algo que permanece inalterado, sino que se adapta según el contexto donde se encuentre, revise, interprete y utilice.

 

La realidad digital que nos supera

De acuerdo con HAMEL (cap.4.5) estamos pasando de una sociedad agraria y artesanal, donde estábamos sometidos a un régimen, basado en reglas, reverencia al superior y disciplina institucional, a un modelo de sociedad basado en discontinuidades permanentes de los mercados, irreverencia ante la autoridad e indisciplina empresarial, entendida esta, como la forma de cuestionar el modelo de negocio vigente establecido por la gerencia.

 

En consecuencia, las empresas se exponen, de acuerdo con el investigador, a tres fuerzas fundamentales que, como en la edad media, acelerarán la metamorfosis de la sociedad para crear un nuevo entorno digital, que romperá los esquemas de gestión corporativa que estamos acostumbrados a ver. Las fuerzas mencionadas son: demanda de la innovación sobre la eficiencia, las herramientas colaborativas en internet y la generación digital, nativa en la red. (idem, pág.205)

 

Innovar se ha convertido hoy, más que en una habilidad personal, en una capacidad requerida por las organizaciones para sobrevivir al entorno de competencia desmedida, donde sólo aquellos que de manera constante logran crear nuevos patrones y nuevos “normales” pueden mantener una experiencia renovada del usuario, captar su atención y consolidar una métrica asimétrica y novedosa de “fidelidad”, basada en concepto que contradice la teoría: variedad, infidelidad y espacio para decidir.

 

Contar con una plataforma digital, como lo afirma McQUIVEY (pág.46), crea un entorno donde fluyen las ideas, donde los clientes manifiestan sus deseos, una estructura que destruye cualquier barrera de entrada y formula una estrategia permanente de realimentación que permite evolucionar y mantener la novedad y cambio de experiencia en los clientes, casi que pudiésemos decir, en tiempo real.  Esto supone, responder de manera oportuna a los usuarios, sabiendo que no siempre todas las iniciativas van a ser las más acertadas.

 

Todos los recursos informáticos y de interacción digital disponibles, son consumidos de manera natural por los nativos de la red, aquellos que han nacido en el contexto de un mundo interconectado. El poder participar y crear el entorno donde se mueven, los hace una raza particular que  desarrolla su actuar en el mundo digital siguiendo pautas que los definen a sí mismos, como la red misma: (HAMEL 2012, pág.210)

·         Nadie puede matar una buena idea

 

      ·         Todo el mundo puede ayudar

·         Cualquiera puede liderar

·         Nadie puede dictaminar

·         Usted elige la causa

·         La excelencia usualmente se gana (la mediocridad, no)

·         Las grandes contribuciones se reconocen y se celebran

·         Los recursos se atraen, no se asignan.

·         El poder viene de compartir, no de acaparar

 

Así las cosas, la realidad digital nos pone de manifiesto una contradicción, que desafía lo que conocemos, reta nuestro entendimiento y promueve la indisciplina conceptual, para crear según su inestabilidad propia e inesperada, la forma de comprender la densidad digital de las interacciones, más allá de los productos y servicios que en ella se conciben.

 

Cultura digital, mentes creativas en grandes datos

Comenta ACKOFF y GREENBERG, que la enseñanza tradicional, ha desviado el camino de la formación de las personas, comprometiendo la capacidad requerida por los seres humanos como lo es aprender y desaprender, movilizarse en medio de la incertidumbre y desarrollar su talento creativo para superar sus propias autorestricciones:

·         La educación tradicional se concentra en la enseñanza y no en el aprendizaje.

·         El objetivo de la educación tradicional es el aprendizaje y no la enseñanza.

·         La inteligencia es la habilidad para aprender, no es una medida de cuánto has aprendido.

 

La vida en el contexto digital abre la posibilidad para que las personas se concentren en el aprendizaje, esa forma de experimentar y encontrar respuestas a sus preguntas, sin seguir un libreto o indicación particular, sino indagando según su instinto y orientación, teniendo como referente esa genuina necesidad de conocer, que no se limita a una declaración de una autoridad, sino a la búsqueda de encontrarse con lecturas inesperadas de una experiencia particular que muchas veces lo supera y lo reta para conquistarse a sí mismo.

En la medida que más se expone el individuo a la realidad digital, mayor es su capacidad de ver la totalidad, de percibir los grandes volúmenes de datos para descubrir patrones y tendencias ocultas, que suponen una búsqueda permanente de aprendizaje y desaprendizaje, que muchas veces ocurren de manera simultánea, llevando a las organizaciones a cambiar de rumbo, creando esa extraña y necesaria capacidad de ser flexibles, que de manera indefectible compromete el limitado capital intelectual de los ejecutivos actuales.

 

Relacionarse con la realidad de los grandes datos exige desarrollar tres disciplinas fundamentales: (SOARES 2013, pág.30) gerencia de la calidad de los datos, gerencia del ciclo de vida de la información y prácticas de seguridad y privacidad de la información.
 

La calidad de los datos se refiere a los comportamientos y métodos para medir, mejorar y certificar la calidad e integridad de la producción, pruebas y archivo de los datos. Si bien, esta definición establecida por SOARES, demuestra la formalidad de la temática, en el contexto de la red, muchas veces no es la más acertada, pues demanda un ejercicio permanente y concreto de las personas, que deben tener una motivación particular para que dicha práctica se adquiera y se potencialice en el escenario de un aprendizaje dirigido que no restrinja la novedad, pero que igualmente no comprometa la veracidad de los datos.

 

De otra parte, contar con un proceso conocido y sistemático para recolectar, usar, retener y disponer de la información, es una práctica que permite tanto a personas como organizaciones, mantener una vista concreta sobre la información real y disponible para facilitar el pensamiento creativo sobre la realidad digital. Si bien, se puede practicar este ciclo de vida de manera intuitiva, estamos lejos de contar con una disciplina de estas condiciones, toda vez que sufrimos de sobrecarga de información y frecuentemente reciclamos parte de ella, para reconstruir y formular escenarios que conjuguen lo conocido con lo desconocido. No debe ser un impedimento para crear, sino un habilitador que cuide los resultados y disrupciones que se pueden crear.

La información está constantemente expuesta al credo del mundo análogo del control, que está atado al miedo, la incertidumbre y las dudas, como grandes movilizadores de medidas para limitar los posibles estados de riesgo que afecten la estabilidad de un activo. Esta vista, necesariamente condicionada al mundo físico, se soporta en conceptos de protección contra eventos de falla o mal funcionamiento, que pueden producir incidentes intencionales o no. En este sentido, la seguridad y el control reside en estrategias que buscan bien evitar, disuadir o prevenir, las cuales en todas ellas, se advierte que no admite negociación para los ejecutivos, toda vez que es una distinción que sólo advierte vulnerabilidades o amenazas.
 

Habida cuenta de lo anterior, la cultura digital, cree firmemente que la información no es un activo, sino el insumo fundamental para construir, crear y repensar lo que ocurre en su entorno, toda vez que cada integrante hace parte natural del mismo. De igual forma, define su práctica de recolección, uso, retención y disposición de información según su pérdida de valor, su pérdida de relevancia, la cual ocurre con velocidad insospechada, como quiera que la realidad digital cambia y se renueva en cada momento y crea entornos, que dejan de lado la historia de lo ocurrido, comprometiendo muchas veces las memorias de nuestros propios pasos.

La cultura digital con su particular manera de tratar la información, no traduce las prácticas previas de forma novedosa, sino que encuentra nuevas forma de hacer las cosas, lo que significa necesariamente que se crea una nueva escala de necesidades, que buscan anticipar en su entorno, una nueva posibilidad basada en adaptaciones simultáneas que conectan puntos antes no vistos, que crean capacidades distintivas para las personas y las organizaciones. Es decir, se actualiza de manera reiterada la experiencia y conversaciones del cliente renovando y conquistando su percepción de valor, anclado no a la realidad física, sino a la conexión existente en su interior.

 

Cultura de seguridad y control en el contexto digital

La realidad digital busca establecer una conexión interior con sus ciudadanos, una relación personalísima privilegiada por un vínculo real y concreto que procura sorprender en cada momento las expectativas de sus nativos. En este sentido, si queremos repensar la cultura de seguridad y control en una cultura digital, debemos recurrir a conceptos transcendentes que nos permitan articular la experiencia y conexión de las personas, en el respeto de las condiciones propias de su realidad, para repensar el activo información, como insumo fundamental para crear una nueva distinción más allá de “no se puede hacer” y pensar al margen de nuestras propias creencias y considerar realidades superiores que maticen nuestro entendimiento del momento actual.

 

Para ello, la intención, la atención y la actitud (SHAPIRO, CARLSON, ASTIN y FREEDMAN 2006) son tres variables fundamentales para descifrar parte de la conexión, entre lo que los nativos digitales creen, hacen y ven. La intención hace referencia al propósito que se tiene, la motivación que engancha a la persona. Esta intención evoluciona y es afectada por el entorno, por tanto, es de vital importancia mantener la vista en aquello que define el actuar del individuo en este contexto digital.

 

De otro lado, la atención, es el estado permanente de presencia, de estar atento al presente, a lo que ocurre en el momento actual, liberándose de cualquier distracción pasada que interrumpa esa relación vigente entre el segundo que pasa y el que viene, esa curiosidad permanente de explorar, sin ser juzgado y mantener la mente de un principiante con la posibilidad y derecho de equivocarse, para experimentar, aprender y crecer.

 

La actitud, es una actuación en un sentido particular, que se manifiesta en buenos y malos hábitos, los cuales potencian la atención y la intención frente a una situación particular. Es un componente que centrado en la persona que demanda esfuerzo, energía y disciplina para ir en profundidad en el sentido interno de la conciencia, que solo es viable alcanzarlo en una experiencia personal frente a la realidad y no por interpuesta persona que ha vivido la misma.

 

Así las cosas, reinventar la cultura de seguridad y control en un mundo digital, requiere hacer una lectura cruzada de la realidad digital y los conceptos trascendentes previamente explicados así:

	Vista Análoga	Vista digital
Información	Activo (se protege)	Insumo (se consigue)
Intención frente a la información	Registrar/Informar	Influir/construir
Atención frente a la información	Evidenciar hechos pasados	Advertir y relacionarse con el momento presente
Actitud frente a la información	Respeto por la autoridad	Valor de la información

Tabla No.1 Realidad análoga y digital frente a la información

 

En este escenario, podemos notar que la seguridad de la información actual entra en conflicto abierto con la sociedad digital, no por el valor de la información en sí mismo, sino por las estructuras propias de las organizaciones actuales, que se enfrentan a un concepto digital que las confronta y las supera. Querer controlar la información como base de modelo de control y gestión organizacional es explorar el dilema de control que tienen actualmente las empresas, que queriendo asegurar un resultado, reducen el margen de acción de sus empleados, pensando que así reduce la incertidumbre y los riesgos.

 

El mundo digital exige margen de movimiento y libertad para experimentar, no siempre de manera controlada, pues cualquier reacción o consecuencia, en su lectura natural, se concibe como aprendizaje o desaprendizaje, lo cual supone que la organización está dispuesta a construir con la incertidumbre y lograr acciones que aún no conoce. En este sentido, la seguridad y control de la información, se debe reorientar hacia el valor de la información para tener una experiencia superior en el presente que me permita influir y construir mi propio entorno.

 

Aprender a valorar la información, es desarrollar un alto sentido de la responsabilidad frente a su ciclo de vida, es construir en cada momento la estrategia de confiabilidad requerida, que no será permanente, sino que desaparecerá cuando termine su momento. Es decir, quebrar la frontera de las medidas estrictas e infranqueables, por condiciones flexibles que cuiden del valor de la información y luego potencien su compartir, cuidando la disciplina de la privacidad y seguridad en el momento, lugar y contexto que se exija.

 

Valorar la información es asumir el reto de cuidar los impactos de actitudes inadecuadas frente la información, que comprometan no solamente la capacidad para innovar, sino que impliquen la dignidad de otra persona, esto es, traspasen la línea entre lo corporativo y lo personal. Por tanto, es menester cultivar el cuidado de la información como práctica, para que, parafraseando a HAMEL (pág.285), “busque metas nobles y socialmente significativas”.

 

Reflexiones finales

Una cultura de seguridad de la información en el contexto digital, implica entender y desarrollar una mentalidad digital: (KÁGANER, ZAMORA, y SIEBER 2013)

·         Aporte una visión… pero ceda poder a los demás.

·         Ceda el control … pero diseño opciones.

·         Mantenga … pero sea disruptivo.

·         Apóyese en los datos … pero confíe en su intuición.

·         Sea escéptico … pero abierto de mente.

 

Que es una mentalidad de contradicciones, que genera incomodidad en los modelos actuales de seguridad y control de la información en las empresas, que buscan certezas y estabilidades. Habida cuenta de lo anterior, la cultura de seguridad de la información en este contexto debe combinar lo mejor de su aprendizaje frente a los incidentes, e incorporar las lecciones aprendidas de lo ocurrido, para cuestionar el momento presente, ceder el control cuando corresponda y ser intuitivo frente a las amenazas y riesgos emergentes.

 

Por tanto, la construcción y desarrollo de una cultura de seguridad de la información en la realidad digital, pasa por la posibilidad de la innovación y el derecho a equivocarse, pero igualmente por el valor de la misma en un momento y contexto, el cual debe orientar la actuación de la persona donde privilegie el bien general sobre el particular. Es decir, una apertura que permita la convivencia del mundo análogo y digital para crear una distinción dinámica de protección, que no caiga en una vista estática sino en una homeóstasis dinámica que verifique el ambiente y se adapte para alcanzar su propósito.

 

Así las cosas, la intención, la atención y la actitud serán las condiciones básicas para efectuar una lectura renovada de la sociedad digital y la seguridad de la información, para volver a conectar los puntos que exhiben los nativos digitales y revelar las conexiones claves que hacen del valor de la información, el movilizador fundamental para proteger la información del momento presente y sus implicaciones futuras.

 

Referencias

McQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Amazon Publishing.

HAMEL, G. (2012) Lo que importa ahora. Cómo triunfar en un mundo de cambios implacables, competencia feroz e innovación sin barreras. Ed. Norma.

ACKOFF, R. y GREENBERG, D. (2008) Turning learning right side up. Wharton School Publishing.

SOARES, S. (2012) Big data governance. An emerging imperative. MC Press Online.

AXELROD, C. W. (2013) Engineering safe and secure software systems. Artech house

SHAPIRO, S. L., CARLSON, L. E., ASTIN, J. A., & FREEDMAN, B. (2006). Mechanisms of mindfulness. Journal of Clinical Psychology, 62(3), 373-386

KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre.