IMAGINARIOS SOCIALES. UNA HERRAMIENTA SISTÉMICO-SOCIAL PARA TRANSFORMAR UNA CULTURA ORGANIZACIONAL DE SEGURIDAD DE LA INFORMACIÓN Jeimy J. Cano M. Universidad Santo Tomás Doctorando en Educación Resumen En este artículo se presentan los resultados de una investigación adelantada durante el año 2015 en una empresa del sector minero energético con aproximadamente 9000 empleados, seleccionando al azar 393 personas de cargos y responsabilidades diferentes. La investigación tuvo como objetivo establecer el diagnóstico de la cultura organizacional de seguridad de la información para lo cual se tuvo como referente conceptual la teoría de los imaginarios sociales y los fundamentos epistemológicos del pensamiento de sistemas y la sociocibernética. En la investigación se empleó un diseño de tipo seccional, en el que los imaginarios sociales de la seguridad de la información propuestos se evaluaron a través de la aplicación de un instrumento (cuestionario experimental basado en una escala de Likert). Los resultados obtenidos se analizan mediante operaciones matemáticas donde se promedian las puntuaciones de cada una de las declaraciones disponibles en el instrumento, seleccionado aquellas con menor desviación estándar, las cuales se cruzan con los imaginarios propuestos para hallar aquel que es más predominante. Finalmente, basado en los resultados se ofrecen algunas conclusiones que confirman la relación existente entre individuo y sistemas sociales, y cómo los imaginarios sociales permiten revelar aspectos invisibles de una cultura organizacional de seguridad de la información. Palabras clave Seguridad de la información, imaginarios sociales, pensamiento sistémico Introducción La sociedad del siglo XXI está fundada sobre la base del tratamiento de la información como quiera que en las relaciones que desarrolla lo que fluye y se manifiesta es este recurso natural propio de una sociedad de la información y el conocimiento (Córdoba-Pachón, 2010). En este sentido, la digitalización acelerada de productos y servicios, nos advierte sobre los cambios y transformaciones que se están presentando en la dinámica social y que delinean formas alternas a través de las cuales los individuos se relacionan y construyen su realidad (Cortada, 2011). En este ejercicio de construcción social cada persona establece su propio referente sobre lo que comparte y valida frente a su realidad, dejando de lado aquello que, puede o no ser relevante, y que no se encuentra potencializado, bien por sus intereses o necesidades del momento. Esto supone, que la cada persona en su interacción social define la manera como indica la realidad y revela aquello que considera importante, bien porque lo afecta de manera directa o se encuentra asistido por una utilidad particular. Así las cosas, como bien anota Pintos referenciado por Cegarra (2012), “cada acto individual de lo cotidiano o del mundo de la vida da cuenta de los imaginarios como esquemas de esa integración social”, que en términos de Luhmann es “el resultado de las «distinciones» realizadas desde observadores que operan con unas particulares (y siempre parciales) «observaciones»” (Carretero, 2010, p.100). En este contexto, la Cultura Organizacional de Seguridad de la Información COSI, no es ajena a esta realidad compartida en las empresas, como quiera que los comportamientos que se esperan respecto del tratamiento de la información, serán un reflejo de ese imaginario compartido que da cuenta de la forma como una comunidad entiende, valida y confirma la protección de la información, para lo cual se hace necesario revelar las distinciones relevantes, que siguiendo a Pintos comentado por Carretero (2010, p.100), hace manifiesta una manera de ser particular de la realidad, respecto de esta temática. En razón con lo anterior, este trabajo de investigación fundado en el reconocimiento de los imaginarios sociales, leídos desde los desarrollos teóricos y epistemológicos de Pintos (1994, 1995, 1999), realiza una mirada novedosa sobre la cultura organizacional de la seguridad de la información, para recabar los imaginarios vigentes en una empresa particular alrededor de la protección de la información, como fundamento y diagnóstico de dicha cultura, con el fin de revelar esos referentes compartidos respecto de la seguridad de la información donde subyacen creencias, valores y actitudes. Para dar cuenta de las reflexiones previamente comentadas el documento se organiza de la siguiente forma. En la sección antecedentes, se detallan las motivaciones y contexto epistemológico en los cuales surge la necesidad de conocer y detallar lo que ocurre al interior de la cultura organizacional de seguridad de la información y cómo ésta es el fundamento clave para promover y asegurar una gestión segura de la información. Seguidamente, en el marco teórico se detallan los conceptos claves que fundan la investigación como son el imaginario social, la cultura organizacional de seguridad de la información y la propuesta de imaginarios de la seguridad de la información, basados en las creencias, valores y actitudes de las personas, para lo cual un estudio reciente en seguridad de la información de alcance internacional (CISCO, 2015) pone de manifiesto cuatro perfiles de personas y sus posturas frente a la protección de la información. Luego, se presentan los elementos prácticos de la metodología de investigación realizadas, donde se caracteriza la población, la caracterización base de sus lectura de la seguridad de la información y se informa sobre los métodos de validación del instrumento utilizado así como la validez interna del mismo. Finalmente, se presentan los resultados y la discusión final respecto de los planteamientos teóricos realizados, con el fin de establecer recomendaciones sobre los constructos sociales identificados y cómo fundamentar aquellos nuevos imaginarios sociales deseados sobre la cultura organizacional de seguridad de la información. Antecedentes La protección de la información en la sociedad de la información y el conocimiento es un reto no solamente de las organizaciones modernas sino de la sociedad en sí misma. Como quiera que la información se ha convertido en un activo estratégico de las empresas, su adecuado tratamiento es una condición clave para efectos de mantener y desarrollar ventajas competitivas en un mundo en constante movimiento. La tensión inherente que se presenta entre la necesidad de compartir y proteger en el escenario actual genera retos importantes tanto para la sociedad como para las organizaciones. Mientras las exigencias de transparencia y eficiencia propias del gobierno corporativo obligan a las empresas a compartir información, la dinámica propia de sus negocios le demanda mantener restricciones en el acceso a información, que define la forma especial y diferente en que hace las cosas, en su sector de negocio. En este sentido, cuando las personas en las organizaciones, no comprenden las implicaciones de sus comportamientos inadecuados frente al tratamiento de la información, crean las condiciones donde los riesgos se materializan en brechas de seguridad de la información, generando implicaciones para las empresas en el orden financiero, reputacional y jurídico (posibles sanciones legales). Frente a esta realidad, la cultura organizacional de seguridad de la información de la empresa se convierte en el mejor ejercicio de aseguramiento disponible para la empresa y la sociedad, habida cuenta que es en las prácticas de las personas donde se hace realidad la efectividad de la seguridad y control de la información, más allá de los mecanismos tecnológicos utilizados. Por tanto, una lectura de la cultura organizacional de seguridad de la información, como parte de un sistema social complejo (García, 2013), en el contexto de la sociedad de la información y el conocimiento, supone comprender la evolución de los comportamientos propios de un conglomerado social respecto del tratamiento de la información, reconocer los imaginarios que se manifiestan en su práctica y advertir las características no observables inherentes a las actividades o acciones que los individuos desarrollan alrededor de sus procesos de negocio. La complejidad de los sistemas sociales, invita a una aproximación diferente a las formas de conocer tradicionales, mientras que éstos emergen “cuando miembros de un colectivo producen una red cerrada de interacciones o relaciones recurrentes” (Espejo, 2012, p.329) donde comparten significados y experiencias a través de sus acciones y decisiones, que los hacen distintos de otros colectivos, dándoles identidad propia. Lo anterior representa que los significados creados y producidos por los actores de la comunidad son determinados por sus estructuras y no por la información que se encuentra en el medio donde ésta opera (Espejo, 2012, p.331). Esto es, que existe una red de significados compartidos, que absorbe la información del medio donde se encuentra el sistema social, para incorporarla en la medida que sea pertinente y así mantener su propia identidad. Así las cosas, introducir cambios en los sistemas sociales resulta una tarea exigente, pues su respuesta natural es mantener su identidad y no cambiar sus relaciones. En este contexto, cuando dichos sistemas cambian, es decir modifican sus estructuras para mantener su identidad, lo hacen como agentes autónomos que se adaptan para continuar existiendo en su entorno (Espejo, 2012, p.332). Si lo anterior es cierto, parafraseando a Vozmediano, sólo podemos tratar con sistemas sociales en los cuales todos sus cambios están determinados por su estructura, cualquiera que esta sea, y en los cuales estos cambios estructurales se dan como resultado de su propia dinámica o desencadenados por sus interacciones” (las cursivas están fuera del texto original). (Vozmediano, 2014, p.159) Lo anterior lo corrobora Giddens (1995) al afirmar que cuando los participantes de los sistemas sociales desarrollan sus acciones, afectan los contextos en los que se lleva a cabo la vida social cotidiana. De igual forma, la estructura, determinada por reglas y recursos organizados de manera recursiva, restringen y permiten a los individuos actuar en su entorno social, creando una relación de causalidad circular, donde la estructura no existe sin el conocimiento y participación de los agentes o individuos en su accionar cotidiano. Así las cosas, la cultura organizacional de seguridad de la información es un proceso de construcción de realidad sistémico, fundado sobre operaciones cognitivas de sus participantes que se repiten de manera anidada (Von Foerster, 2003), asociados con comportamientos propios de las comunidades y cuyas estructuras se recomponen así mismas en un escenario de evolución que va desde lo reactivo a lo sostenible, como tendencias de la madurez de un proceso que se inicia en un individuo y se hace realidad en un colectivo. Marco teórico De acuerdo con Carretero (2010) existen al menos tres niveles de entendimiento de los imaginarios sociales: el arquetipo cultural, la significación imaginaria y el constructor de realidades sociales. El arquetipo cultural concepción de Gilbert Durand, expuesto en su obra “Las estructuras antropológicas de lo imaginario” publicada en 1981, establece la visión del imaginario social en tres vértices fundamentales: (Carretero, 2010, p.93-95) La presencia de arquetipos con referencia a «constantes antropológicas», donde se privilegian figuras e imágenes mitológicas, las cuales actuarían a modo de pilares presupuestos, intangibles y globales, sobre los que se reposa y, al mismo tiempo, se articula la totalidad del ser y del sentir de una cultura. “El «imaginario social» está relacionado con ese permanente «fondo cultural», con esa persistente huella mítica fijada en «imágenes primordiales», que perseveraría en su actuación más allá de los avatares y de las complejas sinuosidades históricas” (Carretero, 2010, p.94). El imaginario social se encarna en el símbolo, haciéndose visible, “la invisibilidad mítica y arquetipal sobre la cual se ancla una determinada cultura” (Carretero, 2010, p.95). De otra parte tenemos la significación imaginaria es una conceptualización más elaborada que la anterior. Comelius Castoriadis es el representante más relevante de esta propuesta, manifiesta en su obra “La institución imaginaria de la sociedad” publicada en 1975. Para Castoriadis, el imaginario social es una creación de “significaciones imaginarias sociales y de la institución”. Esto es, nace como un fenómeno individual, que luego pasa al plano social en el contexto de las relaciones entre los participantes, el cual “se colectiviza no como una suma de imaginarios individuales, sino gracias a condiciones históricas dadas y sociales favorables para lograr ser instituidos” (Cegarra, 2012, p.10). La vista del constructor de realidades sociales, cuyo representante está en Juan Luis Pintos, materializado en su obra “Los imaginarios sociales: la nueva construcción de la realidad social” publicada en 1995, entiende los imaginarios sociales desde el constructivismo sistémico como mecanismos de comprensión de la realidad y del orden social. Para Pintos (1999) un imaginario social son “aquellos esquemas, construidos socialmente, que nos permiten percibir algo como real, explicarlo e intervenir operativamente en lo que en cada sistema social se considere como realidad”, definición que supone que: “La realidad social es el resultado de las distinciones efectuadas por observadores que operan con unas particulares (y siempre parciales) «observaciones»” (Carretero, 2010, p.100). Un determinado «imaginario social», al operar mediante una «distinción», haría relevante una concreta manera de ser de la realidad, haciendo opacas otras posibles maneras de ser —también plausibles— a través de las cuales se nos podría hacer presente esa misma realidad (Carretero, 2010, p.100). Las sociedades actuales, son sociedades «policontextuales», donde existe una prevalencia de la competencia entre distintas instituciones, medios de comunicación, entre otros, por adueñarse de una definición particular de la realidad (Carretero, 2010, p.101). Para el caso de esta investigación los imaginarios sociales estarán asistidos por las definiciones del constructor de realidades, donde las consideraciones de la sociocibernética (Pintos, 1994) estarán presentes, para hacer visible lo invisible, “es decir, las regulaciones sociales adquieren “materialidad” sólo cuando son puestas en escenas a través de las actuaciones debidamente sancionadas y reguladas de los comportamientos individuales” (Cegarra, 2012, p.10). En este sentido, si lo anterior es correcto y considerando la cultura organizacional de seguridad de la información una construcción colectiva y anidada de elaboraciones sociales y significaciones que los individuos le dan a aspectos específicos de la protección de la información, tenemos una articulación conceptual y epistemológica que nos permite leer y explicar las posibles opacidades y luces que implica la lectura de los comportamientos de los individuos en el tratamiento de la información. Reid, Van Nieker y Renaud (2014) introducen el concepto de cultura de seguridad de la información, entendiendo éste desde la vista de sistemas anidados que revelan propiedades emergentes que le permiten automantenerse y autorepararse. Esta lectura corresponde a una interpretación desde la teoría de los sistemas vivos, los cuales son entes abiertos, complejos, adaptativos y autoorganizados que interactúan con su medio ambiente u otros sistemas. Esta definición introduce la noción de anidamiento, que leído en términos cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se repite al interior de la estructura estudiada, en donde el nivel superior depende de los comportamientos propios de los niveles inferiores. Esto supone comprender que cada interacción entre los participantes de un grupo particular y contexto específico, logra construir una vista propia de actuación que marca una forma y proceso que la distingue, sin perjuicio que comparta la generalidad presente en el nivel estudiado. Así las cosas, cada individuo en un área particular cuenta con una cultura de seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida por tres elementos como son apropiación, concientización y cumplimiento. Revisados estos considerandos en las reflexiones de este investigador, podemos detallar los comportamientos que caracterizan cada uno ellos, para entender en contexto lo que significa en concreto esa cultura inherente a cada persona. Ahora bien, al estudiar un equipo o grupo particular, las interacciones de cada persona alrededor de la protección de la información van demarcando el comportamiento propio de esa comunidad, para lo cual la lectura de los tres componentes ahora en la vista colectiva, nos permite ir descubriendo la secuencia de comportamientos que caracterizan dicha colectividad. Cuando empezamos la revisión desde el nivel general y vamos a niveles particulares, el ejercicio que se realiza es de análisis, lo cual permite conocer y descubrir la estructura en la cual nos movemos para advertir los componentes de la Cultura Organizacional de Seguridad de la Información (COSI). Mientras al regresarnos del nivel inferior al superior, adelantamos diagnóstico del nivel superior, basado en las reflexiones y revisiones efectuadas en el nivel inferior como se advierte en la figura 1. De esta forma confirmamos la vista sistémica de la estrategia para conocer la COSI. Figura 1. Vista anidada de la construcción y diagnóstico de una cultura organizacional de seguridad de la información En otras palabras, la última frase significa descubrir la estructura compleja o sistema de relaciones que conforman la realidad social estudiada, en este caso la COSI, que necesariamente implica partir de la realidad que se da sobre un conglomerado específico y revelar la forma como interactúa su estructura de relaciones y establecer los referentes propios de cada uno de ellos, que de manera recursiva se repiten a sí mismos, dándole clausura e identidad al colectivo bajo estudio. Alineado con lo anterior, un reciente estudio de CISCO (2015) revela una serie de cuatro (4) perfiles de personas, respecto de su vista sobre la protección de la información, que se articulan con las creencias, valores y actitudes propias de un colectivo que comparte una forma particular de ver la “realidad” del cuidado de la información según su experiencia y práctica corporativa. Los cuatro perfiles identificados definen construcciones sociales particulares que hacen realidad una distinción concreta, lo que revela un imaginario social específico, que describe la forma como en la práctica se entiende y protege la información. De acuerdo con el estudio mencionado, los cuatro perfiles analizados son: (CISCO, 2015) El consciente, persona que está atenta de los riesgos de seguridad de la información y entiende que la protección de los activos estratégicos de información responde a una responsabilidad compartida. Su ejercicio de protección de la información, implica el reconocimiento de unas necesidades tanto de la organización como personales. El bien intencionado, es un sujeto que trata de mantenerse alineado con las prácticas de seguridad y control de la organización, entiende que la información es un activo relevante para la empresa, pero no siempre comprende los impactos de cómo su comportamiento puede facilitar o motivar una brecha de seguridad de la información. El complaciente, es un individuo que cree que el riesgo de seguridad de la información y la posibilidad latente de una brecha están sobre dimensionados. Si bien entienden que la información es un recurso estratégico de la empresa, creen adicionalmente que las medidas de seguridad y control disminuyen su desempeño y limitan la innovación. No se adhieren las políticas de seguridad y control, pues juzgan que es deber de la organización proveer o suministrar los mecanismos de protección necesarios para el desarrollo de su trabajo. El temerario no entiende y no asume la responsabilidad que tiene en la protección de la información. Si bien sabe que la información es un recurso más de la empresa, no gusta de las políticas de seguridad de la información, pues las siente como imposición de la organización. Su comportamiento frente al aseguramiento de la información, no se advierte como un riesgo clave para la organización, pues el foco se encuentra en los ataques externos, mediados por la criminalidad organizada. Basado en lo anterior, se establece una estructura conceptual que vincula cada uno de los cuatro perfiles con imaginarios sociales, asociados con las creencias, valores y actitudes (Escámez, García, Pérez y Llopis, 2007) subyancentes en las “realidades” identificadas por cada uno de los grupos humanos nombrados. Tabla 1 Imaginarios de la seguridad de la información (Autoría propia) Imaginario Conscientes Bien intencionados Complacientes Temerarios Creencia Información es un activo estratégico Información en un activo Información es un recurso estratégico Información es un recurso Valor Proteger Actitud Positiva Responsabilidad Personal Asegurar Positiva Personal Suministrar Negativa Empresa Imponer Negativa Empresa Metodología de investigación Atendiendo a los criterios para la clasificación de los diseños de investigaciones propuesto por Sierra (1994, p.142), este trabajo utiliza un diseño de tipo seccional, el cual consiste de la observación sistemática de un grupo o población en un momento del tiempo, donde se emplean técnicas de recogida de datos basadas en la observación directa o a través de instrumentos (cuestionario basado en escalas de Likert), sin intervenir o afectar las características que se observan en los miembros de la comunidad bajo estudio. La unidad de observación fueron profesionales de diferentes cargos y responsabilidades, pertenecientes a 14 áreas diferentes de una empresa del sector minero energético con operaciones en el país. Considerando la población total de 9000 funcionarios de planta de empresa, elegidos al azar y siguiendo los parámetros de la fórmula para calcular el tamaño de la muestra sobre una población finita, con nivel de confianza del 95%, se establece que se requieren 368 personas para que los resultados de la aplicación del instrumento previsto representen realmente al universo de funcionarios de planta de la organización. 393 profesionales de la organización diligenciaron la totalidad del instrumento de recolección de información en la investigación. Figura 2. Cálculo del tamaño de la muestra En lo referente a las variables o características a observar, en este caso los imaginarios de la seguridad de la información descritos previamente, se puede indicar que, son de naturaleza descriptiva, variables de tipo cualitativo y cuyo nivel de abstracción es general, los cuales se operacionalizan de acuerdo con lo indicado en la tabla 1. Para el desarrollo de esta investigación se aplicó un cuestionario general de 20 ítems, basado en una escala de Likert de tendencia negativa, orientados a determinar el tipo de imaginario de la seguridad de la información presente en la organización objetivo. Estas 20 declaraciones se diseñaron y validaron con el área de seguridad de la información de la empresa, como resultado del programa de interiorización y concientización que se ha desarrollado durante los últimos 6 años a nivel de toda la organización. Figura 3. Cuestionario general de percepción de seguridad de la información Dado que el cuestionario diseñado es un instrumento experimental, se requiere validar su consistencia interna, con el fin de estimar la fiabilidad del mismo, esto es, que el conjunto de ítems establecidos mida el mismo constructo o dimensión teórica (Frías, s.f.). En razón con lo anterior, se utilizó el coeficiente Alfa Cronbach, que “asume que los ítems (medidos en escala tipo Likert) miden un mismo constructo y que están altamente correlacionados” (Frías, s.f.). Cuanto más cerca se encuentre el valor alfa a 1 mayor es la consistencia interna de los ítems analizados. De acuerdo con Oviedo y Campo (2005, p.576), “el coeficiente alfa de Cronbach es más fidedigno cuando se calcula a una escala de veinte ítems o menos”. Figura 4. Cálculo de coeficiente Alfa Cronbach De acuerdo con estos resultados, podemos indicar que la confiabilidad del instrumento utilizado es alta y que medirá lo relacionado con lo planteado respecto de los imaginarios de seguridad de la información ilustrados previamente. Para identificar el imaginario predominante se toma el promedio de las respuestas de cada una de las preguntas con menor desviación estándar y se cruza contra la propuesta de imaginarios de seguridad de la información previamente planteado. De esta forma se establecen, aquellas actitudes más relevantes que confirman alguno de los imaginarios establecidos como referentes. Resultados Luego de tabular las 393 respuestas de los participantes en esta investigación se identifican las siguientes declaraciones con menor desviación estándar. Es importante recordar que dado que la escala de Likert planteada es de tendencia negativa, los resultados deben leerse por el complemento. Tabla 2 Resultados de la aplicación del instrumento diseñado para la investigación No. de pregunta 1 2 16 6 11 12 17 19 20 13 Declaración La seguridad de la información es un asunto exclusivo de la Coordinación de la DTI. El tratamiento seguro de la información de la compañía es responsabilidad del Coordinador de Seguridad. El tratamiento de la información no aporta significativamente al sostenimiento económico de la compañía. La Seguridad de la Información es un tema que otros hacen por mí. Lo que no está expresamente solicitado por mis jefes no entra dentro de mis funciones o compromisos. Mi comportamiento frente a la información que manejo no afecta al resto del área y menos a la compañía. He escuchado sobre hábitos relacionados con la gestión segura de la información pero no están relacionados con mis labores. Tengo demasiado trabajo y presiones diarias como para gastar tiempo en Seguridad de la Información. La Seguridad de la Información no está dentro de mis prioridades. Las herramientas tecnológicas instaladas en mi equipo, son suficientes para mantener mi información segura. Promedio Desviación Estándar 4,32 1,09 4,21 1,07 4,43 0,72 4,43 0,72 3,85 1,05 4,18 1,03 4,11 0,89 4,14 0,84 4,29 0,81 2,83 1,25 Considerando los datos indicados en la tabla anterior, la puntuación indicada en el instrumento diseñado y teniendo en cuenta la orientación negativa de las declaraciones podemos indicar que en la organización objeto de estudio: 1. La seguridad de la información no es un asunto exclusivo de un área en particular. 2. El tratamiento de la información es un tema en el cual las personas también son responsables. 3. Un adecuado tratamiento de la información aporta significativamente al sostenimiento económico de la empresa. 4. La seguridad de la información hace parte de las actividades diarias de las personas. 5. Los comportamientos de las personas frente al tratamiento de la información afectan sus áreas de trabajo y la compañía en general. Estos resultados cruzados contra los imaginarios planteados, nos ubican a la empresa bajo estudio al menos en el imaginario denominado “Bien intencionados”, donde la información es un activo, se tiene la idea de asegurarla en la medida que se requiera pues reconoce que su inadecuado tratamiento puede afectar tanto a su área de trabajo como a la empresa. De igual forma se advierte una actitud positiva hacia la seguridad de la información como quiera que las personas saben que la adecuada protección de la información, hace parte de sus actividades diarias, aunque algunas veces no comprenda claramente los impactos de la aplicación de las prácticas de gestión segura de la información. Discusión De conformidad con lo señalado en el marco teórico, la cultura organizacional de seguridad de la información es una construcción colectiva y anidada de elaboraciones sociales y significaciones que los individuos le dan a aspectos específicos de la protección de la información. En este sentido, la teoría de los imaginarios sociales, que siguiendo las indicaciones de Pintos (1999), se definen como “aquellos esquemas, construidos socialmente, que nos permiten percibir algo como real, explicarlo e intervenir operativamente en lo que en cada sistema social se considere como realidad”, establecen referentes básicos para comprender la dinámica interna de las organizaciones respecto de sus prácticas de gestión segura de la información. Aunque si bien los resultados muestran que en la organización evaluada predomina el imaginario de los “Bien intencionados” no significa que no exista un porcentaje importante de la población que se encuentre identificado con los imaginarios “Complaciente” y “Temerario” como quiera que, siguiendo los desarrollos de Luhmann, “en la base de toda construcción se encuentra una distinción, que establece un frontera entre dos espacios, donde la distinción no presupone la diferencia sino que la articula” (Maas, Amozurrutia, Almaguer, González y Meza, 2012, p.28). Los resultados muestran que existe una alta confianza en los mecanismos tecnológicos de seguridad de la información instalados en la empresa y su nivel de efectividad, que pueden llevar a una falsa sensación de seguridad que confronte el imaginario actual, debilitando la responsabilidad personal y privilegiando la empresarial. Por tanto, se hace necesario, mantener una observación permanente de la evolución del imaginario, habida cuenta que la reconstrucción de la realidad respecto del tratamiento de la información está inmersa en la dinámica social de cada empresa. Los resultados también parecen confirmar trabajos de investigación reseñados por Randazzo (2012, p.92), en el sentido que los imaginarios sociales “estructuran el edificio social con base a esquemas mentales socialmente construidos, que funcionan como sistema de interpretación, donde las significaciones imaginarias institucionalizadas cristalizan una percepción natural del mundo” (las cursivas están fuera del texto original). Lo anterior leído en clave de una cultura organizacional de seguridad de la información equivale a afirmar que las prácticas de gestión segura de la información se institucionalizan en el hacer y saber práctico de las personas, que no sólo distingue a aquellos que entienden la responsabilidad frente a su tratamiento, sino que revela la opacidad de aquellos que la experimentan bien como una imposición o como algo que debe suministrar la organización para la realización de sus actividades. Conclusiones Con base en los resultados obtenidos, y los referentes teóricos revisados, las principales conclusiones y recomendaciones que se derivan de esta investigación son las siguientes: Si bien puede existir imaginarios sociales predominantes para la seguridad de la información en una organización, estos pueden variar confirme evoluciona la dinámica social propia de la empresa, en palabras de Coca y Pintos (2006, p.67), de acuerdo con un “conjunto de intereses generales, de organizaciones particulares o de los individuos” e incluso dependiente de la forma como se lean, asuman e incorporen las brechas de seguridad de la información ocurridas en la empresa. Al examinar la correspondencia entre los resultados del instrumento y los imaginarios planteados, se observa que las percepciones identificadas y predominantes se emparejan con la realidad de la organización analizada. No obstante, esta correspondencia no significa que existan casos donde se encuentren percepciones diversas, cuando se analizan grupos particulares de la misma organización. En general, los resultados muestran que los imaginarios sociales respecto de la seguridad de la información, revelan la unión existente entre individuo y sistemas sociales, que funcionando como un mecanismo transversal en una organización, es capaz de revelar una realidad invisible a los artefactos naturales de una cultura y cambiar los comportamientos de las personas, como quiera que la construcción y mantenimiento de éstos, es producto de un proceso colectivo que legitima o no una realidad concreta sobre la protección de la información. Agradecimientos El autor agradece a los ingenieros John Redondo y Yadir Molina por su apoyo y revisión de los instrumentos y validación de los mismos durante el desarrollo de esta investigación. Nota Este artículo hace parte de la tesis doctoral que actualmente se desarrolla en el contexto del Programa Doctoral en Educación de la Universidad Santo Tomás de Aquino, con sede en Bogotá. Referencias Alnatheer, M. (2012) Understanding and measuring information security culture in developing countries: case of Saudi Arabia (Doctoral Thesis). Queensland University of Technology, Australia. Carretero, A. (2010) Para una tipología de las «representaciones sociales». Una lectura de sus implicaciones epistemológicas. EMPIRIA. Revista de Metodología de Ciencias Sociales. 20, Julio-Diciembre, 88-108. Recuperado de: http://www.redalyc.org/articulo.oa?id=297125195004 Cegarra, J. (2012) Fundamentos teórico epistemológicos de los imaginarios sociales. Cinta Moebio. 43, 1-13. Recuperado de: www.moebio.uchile.cl/43/cegarra.html CISCO (2015) How to be agile and secure. The fundamental challenge facing organisations today. Recuperado de: http://www.cisco.com/assets/global/UK/products/security/How_to_be_agile_a nd_secure.pdf Coca, J. y Pintos, J. (2006) Tecnociencia y cooperación: Una mirada desde la perspectiva de los imaginarios sociales. Revista Colombiana de Filosofía de la Ciencia. 7, 14-15. 63-75 Córdoba-Pachón, J. R. (2010) Systems practice in the information society. Routledge Series in Information Systems. Londres, United Kingdom: Routledge. Cortada, J. (2011) Information and the modern corporation. Cambridge, Massachussets. USA: MIT Press. Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI. Espejo, R. (2012) Seeing organisations: epistemological considerations. Kybernetes, 41 (3/3), 327-338. Frías, D. (s.f.) Alfa de Cronbach y consistencia interna de los ítems de un instrumento de medida. Recuperado de: http://www.uv.es/~friasnav/AlfaCronbach.pdf García, R. (2013) Sistemas complejos. Conceptos, métodos y fundamentación epistemológica de la investigación interdisciplinaria. Barcelona, España: Gedisa. Giddens, A. (1995) La Constitución de la Sociedad. Bases para la teoría de la estructuración. Buenos Aires, Argentina: Ed. Amorrortu. Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations with the Viable System Model. Chichester, West Susex.UK: John Wiley & Sons. Maas, M., Amozurrutia, J., Almaguer, P., González, L. y Meza, M. (2012) Sociocibernética, cibercultur@ y sociedad. Centro de Investigaciones Interdisciplinarias en Ciencias y Humanidades. Colección Debate y Reflexión. México, México: UNAM. Oviedo, H. y Campo, A. (2005) Aproximación al uso del coeficiente de Alfa Cronbach. Revista Colombiana de Psiquiatría. 34, 4. Septiembre/Diciembre. Recuperado de: http://www.scielo.org.co/pdf/rcp/v34n4/v34n4a09.pdf Pintos, J. (1994) Sociocibernética: Marco sistémico y esquema conceptual. En Delgado, J. y Gutiérrez, J. (Coord.) (1995) Métodos y técnicas cualitativas de investigación en ciencias sociales. Madrid, España: Síntesis, 563-580 Pintos, J. (1995) Los imaginarios sociales. La nueva construcción de la realidad social. Madrid, España: Sal Terrae. Pintos, J. (1999) Los imaginarios sociales del delito: La construcción social del delito a través de las películas (1930-1999). Recuperado de: http://idd00qmm.eresmas.net/articulos/delitocine.htm Pintos, J. y Aliaga, F. (2012) La investigación en torno a los imaginarios sociales. Un horizonte abierto a las posibilidades. RIPS: Revista de investigaciones políticas y sociológicas, 11, 2,11-17 Randazzo, F. (2012) Los imaginarios sociales como herramienta. Imagonautas. 2, 2. 77-96 Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general living systems theory perspective. Information Security for South Africa (ISSA), 13-14 August. 1-8. Doi: 10.1109/ISSA.2014.6950493. Sierra, R. (1994) Técnicas de investigación social. Teoría y Ejercicios. Madrid, España: Paraninfo. Von Foerster, H. (2003) Objects: Tokens for (Eigen-)Behaviors. En Von Foerster, H. (2003) Understanding understanding. Essays on cybernetics and cognition. New York, USA: Springer Verlag. 261-271 Vozmediano, F. (2014) Mente Fractal. El origen de las formas. San Bernardino, CA. USA:Sin editorial.