Imaginarios sociales. Una

Anuncio
IMAGINARIOS SOCIALES. UNA HERRAMIENTA SISTÉMICO-SOCIAL PARA
TRANSFORMAR UNA CULTURA ORGANIZACIONAL DE SEGURIDAD DE LA
INFORMACIÓN
Jeimy J. Cano M.
Universidad Santo Tomás
Doctorando en Educación
Resumen
En este artículo se presentan los resultados de una investigación adelantada
durante el año 2015 en una empresa del sector minero energético con
aproximadamente 9000 empleados, seleccionando al azar 393 personas de cargos
y responsabilidades diferentes. La investigación tuvo como objetivo establecer el
diagnóstico de la cultura organizacional de seguridad de la información para lo cual
se tuvo como referente conceptual la teoría de los imaginarios sociales y los
fundamentos epistemológicos del pensamiento de sistemas y la sociocibernética.
En la investigación se empleó un diseño de tipo seccional, en el que los imaginarios
sociales de la seguridad de la información propuestos se evaluaron a través de la
aplicación de un instrumento (cuestionario experimental basado en una escala de
Likert). Los resultados obtenidos se analizan mediante operaciones matemáticas
donde se promedian las puntuaciones de cada una de las declaraciones disponibles
en el instrumento, seleccionado aquellas con menor desviación estándar, las cuales
se cruzan con los imaginarios propuestos para hallar aquel que es más
predominante. Finalmente, basado en los resultados se ofrecen algunas
conclusiones que confirman la relación existente entre individuo y sistemas sociales,
y cómo los imaginarios sociales permiten revelar aspectos invisibles de una cultura
organizacional de seguridad de la información.
Palabras clave
Seguridad de la información, imaginarios sociales, pensamiento sistémico
Introducción
La sociedad del siglo XXI está fundada sobre la base del tratamiento de la
información como quiera que en las relaciones que desarrolla lo que fluye y se
manifiesta es este recurso natural propio de una sociedad de la información y el
conocimiento (Córdoba-Pachón, 2010). En este sentido, la digitalización acelerada
de productos y servicios, nos advierte sobre los cambios y transformaciones que se
están presentando en la dinámica social y que delinean formas alternas a través de
las cuales los individuos se relacionan y construyen su realidad (Cortada, 2011).
En este ejercicio de construcción social cada persona establece su propio
referente sobre lo que comparte y valida frente a su realidad, dejando de lado
aquello que, puede o no ser relevante, y que no se encuentra potencializado, bien
por sus intereses o necesidades del momento. Esto supone, que la cada persona
en su interacción social define la manera como indica la realidad y revela aquello
que considera importante, bien porque lo afecta de manera directa o se encuentra
asistido por una utilidad particular.
Así las cosas, como bien anota Pintos referenciado por Cegarra (2012), “cada
acto individual de lo cotidiano o del mundo de la vida da cuenta de los imaginarios
como esquemas de esa integración social”, que en términos de Luhmann es “el
resultado de las «distinciones» realizadas desde observadores que operan con
unas particulares (y siempre parciales) «observaciones»” (Carretero, 2010, p.100).
En este contexto, la Cultura Organizacional de Seguridad de la Información COSI, no es ajena a esta realidad compartida en las empresas, como quiera que
los comportamientos que se esperan respecto del tratamiento de la información,
serán un reflejo de ese imaginario compartido que da cuenta de la forma como una
comunidad entiende, valida y confirma la protección de la información, para lo cual
se hace necesario revelar las distinciones relevantes, que siguiendo a Pintos
comentado por Carretero (2010, p.100), hace manifiesta una manera de ser
particular de la realidad, respecto de esta temática.
En razón con lo anterior, este trabajo de investigación fundado en el
reconocimiento de los imaginarios sociales, leídos desde los desarrollos teóricos y
epistemológicos de Pintos (1994, 1995, 1999), realiza una mirada novedosa sobre
la cultura organizacional de la seguridad de la información, para recabar los
imaginarios vigentes en una empresa particular alrededor de la protección de la
información, como fundamento y diagnóstico de dicha cultura, con el fin de revelar
esos referentes compartidos respecto de la seguridad de la información donde
subyacen creencias, valores y actitudes.
Para dar cuenta de las reflexiones previamente comentadas el documento se
organiza de la siguiente forma. En la sección antecedentes, se detallan las
motivaciones y contexto epistemológico en los cuales surge la necesidad de
conocer y detallar lo que ocurre al interior de la cultura organizacional de seguridad
de la información y cómo ésta es el fundamento clave para promover y asegurar
una gestión segura de la información.
Seguidamente, en el marco teórico se detallan los conceptos claves que
fundan la investigación como son el imaginario social, la cultura organizacional de
seguridad de la información y la propuesta de imaginarios de la seguridad de la
información, basados en las creencias, valores y actitudes de las personas, para lo
cual un estudio reciente en seguridad de la información de alcance internacional
(CISCO, 2015) pone de manifiesto cuatro perfiles de personas y sus posturas frente
a la protección de la información.
Luego, se presentan los elementos prácticos de la metodología de
investigación realizadas, donde se caracteriza la población, la caracterización base
de sus lectura de la seguridad de la información y se informa sobre los métodos de
validación del instrumento utilizado así como la validez interna del mismo.
Finalmente, se presentan los resultados y la discusión final respecto de los
planteamientos teóricos realizados, con el fin de establecer recomendaciones sobre
los constructos sociales identificados y cómo fundamentar aquellos nuevos
imaginarios sociales deseados sobre la cultura organizacional de seguridad de la
información.
Antecedentes
La protección de la información en la sociedad de la información y el
conocimiento es un reto no solamente de las organizaciones modernas sino de la
sociedad en sí misma. Como quiera que la información se ha convertido en un activo
estratégico de las empresas, su adecuado tratamiento es una condición clave para
efectos de mantener y desarrollar ventajas competitivas en un mundo en constante
movimiento.
La tensión inherente que se presenta entre la necesidad de compartir y
proteger en el escenario actual genera retos importantes tanto para la sociedad
como para las organizaciones. Mientras las exigencias de transparencia y eficiencia
propias del gobierno corporativo obligan a las empresas a compartir información, la
dinámica propia de sus negocios le demanda mantener restricciones en el acceso
a información, que define la forma especial y diferente en que hace las cosas, en su
sector de negocio.
En este sentido, cuando las personas en las organizaciones, no comprenden
las implicaciones de sus comportamientos inadecuados frente al tratamiento de la
información, crean las condiciones donde los riesgos se materializan en brechas de
seguridad de la información, generando implicaciones para las empresas en el
orden financiero, reputacional y jurídico (posibles sanciones legales).
Frente a esta realidad, la cultura organizacional de seguridad de la información
de la empresa se convierte en el mejor ejercicio de aseguramiento disponible para
la empresa y la sociedad, habida cuenta que es en las prácticas de las personas
donde se hace realidad la efectividad de la seguridad y control de la información,
más allá de los mecanismos tecnológicos utilizados.
Por tanto, una lectura de la cultura organizacional de seguridad de la
información, como parte de un sistema social complejo (García, 2013), en el
contexto de la sociedad de la información y el conocimiento, supone comprender la
evolución de los comportamientos propios de un conglomerado social respecto del
tratamiento de la información, reconocer los imaginarios que se manifiestan en su
práctica y advertir las características no observables inherentes a las actividades o
acciones que los individuos desarrollan alrededor de sus procesos de negocio.
La complejidad de los sistemas sociales, invita a una aproximación diferente a
las formas de conocer tradicionales, mientras que éstos emergen “cuando miembros
de un colectivo producen una red cerrada de interacciones o relaciones recurrentes”
(Espejo, 2012, p.329) donde comparten significados y experiencias a través de sus
acciones y decisiones, que los hacen distintos de otros colectivos, dándoles
identidad propia.
Lo anterior representa que los significados creados y producidos por los
actores de la comunidad son determinados por sus estructuras y no por la
información que se encuentra en el medio donde ésta opera (Espejo, 2012, p.331).
Esto es, que existe una red de significados compartidos, que absorbe la información
del medio donde se encuentra el sistema social, para incorporarla en la medida que
sea pertinente y así mantener su propia identidad.
Así las cosas, introducir cambios en los sistemas sociales resulta una tarea
exigente, pues su respuesta natural es mantener su identidad y no cambiar sus
relaciones. En este contexto, cuando dichos sistemas cambian, es decir modifican
sus estructuras para mantener su identidad, lo hacen como agentes autónomos que
se adaptan para continuar existiendo en su entorno (Espejo, 2012, p.332).
Si lo anterior es cierto, parafraseando a Vozmediano,
sólo podemos tratar con sistemas sociales en los cuales todos sus cambios
están determinados por su estructura, cualquiera que esta sea, y en los cuales estos
cambios estructurales se dan como resultado de su propia dinámica o
desencadenados por sus interacciones” (las cursivas están fuera del texto original).
(Vozmediano, 2014, p.159)
Lo anterior lo corrobora Giddens (1995) al afirmar que cuando los participantes
de los sistemas sociales desarrollan sus acciones, afectan los contextos en los que
se lleva a cabo la vida social cotidiana. De igual forma, la estructura, determinada
por reglas y recursos organizados de manera recursiva, restringen y permiten a los
individuos actuar en su entorno social, creando una relación de causalidad circular,
donde la estructura no existe sin el conocimiento y participación de los agentes o
individuos en su accionar cotidiano.
Así las cosas, la cultura organizacional de seguridad de la información es un
proceso de construcción de realidad sistémico, fundado sobre operaciones
cognitivas de sus participantes que se repiten de manera anidada (Von Foerster,
2003), asociados con comportamientos propios de las comunidades y cuyas
estructuras se recomponen así mismas en un escenario de evolución que va desde
lo reactivo a lo sostenible, como tendencias de la madurez de un proceso que se
inicia en un individuo y se hace realidad en un colectivo.
Marco teórico
De acuerdo con Carretero (2010) existen al menos tres niveles de
entendimiento de los imaginarios sociales: el arquetipo cultural, la significación
imaginaria y el constructor de realidades sociales.
El arquetipo cultural concepción de Gilbert Durand, expuesto en su obra “Las
estructuras antropológicas de lo imaginario” publicada en 1981, establece la visión
del imaginario social en tres vértices fundamentales: (Carretero, 2010, p.93-95)

La presencia de arquetipos con referencia a «constantes antropológicas»,
donde se privilegian figuras e imágenes mitológicas, las cuales actuarían a
modo de pilares presupuestos, intangibles y globales, sobre los que se
reposa y, al mismo tiempo, se articula la totalidad del ser y del sentir de una
cultura.

“El «imaginario social» está relacionado con ese permanente «fondo
cultural», con esa persistente huella mítica fijada en «imágenes
primordiales», que perseveraría en su actuación más allá de los avatares
y de las complejas sinuosidades históricas” (Carretero, 2010, p.94).

El imaginario social se encarna en el símbolo, haciéndose visible, “la
invisibilidad mítica y arquetipal sobre la cual se ancla una determinada
cultura” (Carretero, 2010, p.95).
De otra parte tenemos la significación imaginaria es una conceptualización
más elaborada que la anterior. Comelius Castoriadis es el representante más
relevante de esta propuesta, manifiesta en su obra “La institución imaginaria de la
sociedad” publicada en 1975. Para Castoriadis, el imaginario social es una creación
de “significaciones imaginarias sociales y de la institución”. Esto es, nace como un
fenómeno individual, que luego pasa al plano social en el contexto de las relaciones
entre los participantes, el cual “se colectiviza no como una suma de imaginarios
individuales, sino gracias a condiciones históricas dadas y sociales favorables para
lograr ser instituidos” (Cegarra, 2012, p.10).
La vista del constructor de realidades sociales, cuyo representante está en
Juan Luis Pintos, materializado en su obra “Los imaginarios sociales: la nueva
construcción de la realidad social” publicada en 1995, entiende los imaginarios
sociales desde el constructivismo sistémico como mecanismos de comprensión de
la realidad y del orden social. Para Pintos (1999) un imaginario social son “aquellos
esquemas, construidos socialmente, que nos permiten percibir algo como real,
explicarlo e intervenir operativamente en lo que en cada sistema social se considere
como realidad”, definición que supone que:

“La realidad social es el resultado de las distinciones efectuadas por
observadores que operan con unas particulares (y siempre parciales)
«observaciones»” (Carretero, 2010, p.100).

Un determinado «imaginario social», al operar mediante una «distinción»,
haría relevante una concreta manera de ser de la realidad, haciendo
opacas otras posibles maneras de ser —también plausibles— a través de
las cuales se nos podría hacer presente esa misma realidad (Carretero,
2010, p.100).

Las sociedades actuales, son sociedades «policontextuales», donde existe
una prevalencia de la competencia entre distintas instituciones, medios de
comunicación, entre otros, por adueñarse de una definición particular de la
realidad (Carretero, 2010, p.101).
Para el caso de esta investigación los imaginarios sociales estarán asistidos
por las definiciones del constructor de realidades, donde las consideraciones de la
sociocibernética (Pintos, 1994) estarán presentes, para hacer visible lo invisible, “es
decir, las regulaciones sociales adquieren “materialidad” sólo cuando son puestas
en escenas a través de las actuaciones debidamente sancionadas y reguladas de
los comportamientos individuales” (Cegarra, 2012, p.10).
En este sentido, si lo anterior es correcto y considerando la cultura
organizacional de seguridad de la información una construcción colectiva y anidada
de elaboraciones sociales y significaciones que los individuos le dan a aspectos
específicos de la protección de la información, tenemos una articulación conceptual
y epistemológica que nos permite leer y explicar las posibles opacidades y luces
que implica la lectura de los comportamientos de los individuos en el tratamiento de
la información.
Reid, Van Nieker y Renaud (2014) introducen el concepto de cultura de
seguridad de la información, entendiendo éste desde la vista de sistemas anidados
que revelan propiedades emergentes que le permiten automantenerse y
autorepararse. Esta lectura corresponde a una interpretación desde la teoría de los
sistemas vivos, los cuales son entes abiertos, complejos, adaptativos y
autoorganizados que interactúan con su medio ambiente u otros sistemas.
Esta definición introduce la noción de anidamiento, que leído en términos
cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se
repite al interior de la estructura estudiada, en donde el nivel superior depende de
los comportamientos propios de los niveles inferiores. Esto supone comprender que
cada interacción entre los participantes de un grupo particular y contexto específico,
logra construir una vista propia de actuación que marca una forma y proceso que la
distingue, sin perjuicio que comparta la generalidad presente en el nivel estudiado.
Así las cosas, cada individuo en un área particular cuenta con una cultura de
seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida
por tres elementos como son apropiación, concientización y cumplimiento.
Revisados estos considerandos en las reflexiones de este investigador, podemos
detallar los comportamientos que caracterizan cada uno ellos, para entender en
contexto lo que significa en concreto esa cultura inherente a cada persona.
Ahora bien, al estudiar un equipo o grupo particular, las interacciones de cada
persona alrededor de la protección de la información van demarcando el
comportamiento propio de esa comunidad, para lo cual la lectura de los tres
componentes ahora en la vista colectiva, nos permite ir descubriendo la secuencia
de comportamientos que caracterizan dicha colectividad.
Cuando empezamos la revisión desde el nivel general y vamos a niveles
particulares, el ejercicio que se realiza es de análisis, lo cual permite conocer y
descubrir la estructura en la cual nos movemos para advertir los componentes de la
Cultura Organizacional de Seguridad de la Información (COSI). Mientras al
regresarnos del nivel inferior al superior, adelantamos diagnóstico del nivel superior,
basado en las reflexiones y revisiones efectuadas en el nivel inferior como se
advierte en la figura 1. De esta forma confirmamos la vista sistémica de la estrategia
para conocer la COSI.
Figura 1. Vista anidada de la construcción y diagnóstico de una cultura organizacional de seguridad
de la información
En otras palabras, la última frase significa descubrir la estructura compleja o
sistema de relaciones que conforman la realidad social estudiada, en este caso la
COSI, que necesariamente implica partir de la realidad que se da sobre un
conglomerado específico y revelar la forma como interactúa su estructura de
relaciones y establecer los referentes propios de cada uno de ellos, que de manera
recursiva se repiten a sí mismos, dándole clausura e identidad al colectivo bajo
estudio.
Alineado con lo anterior, un reciente estudio de CISCO (2015) revela una serie
de cuatro (4) perfiles de personas, respecto de su vista sobre la protección de la
información, que se articulan con las creencias, valores y actitudes propias de un
colectivo que comparte una forma particular de ver la “realidad” del cuidado de la
información según su experiencia y práctica corporativa.
Los cuatro perfiles identificados definen construcciones sociales particulares
que hacen realidad una distinción concreta, lo que revela un imaginario social
específico, que describe la forma como en la práctica se entiende y protege la
información.
De acuerdo con el estudio mencionado, los cuatro perfiles analizados son:
(CISCO, 2015)

El consciente, persona que está atenta de los riesgos de seguridad de la
información y entiende que la protección de los activos estratégicos de
información responde a una responsabilidad compartida. Su ejercicio de
protección de la información, implica el reconocimiento de unas
necesidades tanto de la organización como personales.

El bien intencionado, es un sujeto que trata de mantenerse alineado con
las prácticas de seguridad y control de la organización, entiende que la
información es un activo relevante para la empresa, pero no siempre
comprende los impactos de cómo su comportamiento puede facilitar o
motivar una brecha de seguridad de la información.

El complaciente, es un individuo que cree que el riesgo de seguridad de
la información y la posibilidad latente de una brecha están sobre
dimensionados. Si bien entienden que la información es un recurso
estratégico de la empresa, creen adicionalmente que las medidas de
seguridad y control disminuyen su desempeño y limitan la innovación. No
se adhieren las políticas de seguridad y control, pues juzgan que es deber
de la organización proveer o suministrar los mecanismos de protección
necesarios para el desarrollo de su trabajo.

El temerario no entiende y no asume la responsabilidad que tiene en la
protección de la información. Si bien sabe que la información es un recurso
más de la empresa, no gusta de las políticas de seguridad de la
información, pues las siente como imposición de la organización. Su
comportamiento frente al aseguramiento de la información, no se advierte
como un riesgo clave para la organización, pues el foco se encuentra en
los ataques externos, mediados por la criminalidad organizada.
Basado en lo anterior, se establece una estructura conceptual que vincula
cada uno de los cuatro perfiles con imaginarios sociales, asociados con las
creencias, valores y actitudes (Escámez,
García,
Pérez y Llopis, 2007)
subyancentes en las “realidades” identificadas por cada uno de los grupos humanos
nombrados.
Tabla 1
Imaginarios de la seguridad de la información (Autoría propia)
Imaginario
Conscientes
Bien
intencionados
Complacientes
Temerarios
Creencia
Información es
un activo
estratégico
Información en
un activo
Información es
un recurso
estratégico
Información es
un recurso
Valor
Proteger
Actitud
Positiva
Responsabilidad
Personal
Asegurar
Positiva
Personal
Suministrar
Negativa
Empresa
Imponer
Negativa
Empresa
Metodología de investigación
Atendiendo a los criterios para la clasificación de los diseños de
investigaciones propuesto por Sierra (1994, p.142), este trabajo utiliza un diseño de
tipo seccional, el cual consiste de la observación sistemática de un grupo o
población en un momento del tiempo, donde se emplean técnicas de recogida de
datos basadas en la observación directa o a través de instrumentos (cuestionario
basado en escalas de Likert), sin intervenir o afectar las características que se
observan en los miembros de la comunidad bajo estudio.
La unidad de observación fueron profesionales de diferentes cargos y
responsabilidades, pertenecientes a 14 áreas diferentes de una empresa del sector
minero energético con operaciones en el país.
Considerando la población total de 9000 funcionarios de planta de empresa,
elegidos al azar y siguiendo los parámetros de la fórmula para calcular el tamaño
de la muestra sobre una población finita, con nivel de confianza del 95%, se
establece que se requieren 368 personas para que los resultados de la aplicación
del instrumento previsto representen realmente al universo de funcionarios de
planta de la organización. 393 profesionales de la organización diligenciaron la
totalidad del instrumento de recolección de información en la investigación.
Figura 2. Cálculo del tamaño de la muestra
En lo referente a las variables o características a observar, en este caso los
imaginarios de la seguridad de la información descritos previamente, se puede
indicar que, son de naturaleza descriptiva, variables de tipo cualitativo y cuyo nivel
de abstracción es general, los cuales se operacionalizan de acuerdo con lo indicado
en la tabla 1.
Para el desarrollo de esta investigación se aplicó un cuestionario general de
20 ítems, basado en una escala de Likert de tendencia negativa, orientados a
determinar el tipo de imaginario de la seguridad de la información presente en la
organización objetivo. Estas 20 declaraciones se diseñaron y validaron con el área
de seguridad de la información de la empresa, como resultado del programa de
interiorización y concientización que se ha desarrollado durante los últimos 6 años
a nivel de toda la organización.
Figura 3. Cuestionario general de percepción de seguridad de la información
Dado que el cuestionario diseñado es un instrumento experimental, se
requiere validar su consistencia interna, con el fin de estimar la fiabilidad del mismo,
esto es, que el conjunto de ítems establecidos mida el mismo constructo o
dimensión teórica (Frías, s.f.).
En razón con lo anterior, se utilizó el coeficiente Alfa Cronbach, que “asume
que los ítems (medidos en escala tipo Likert) miden un mismo constructo y que
están altamente correlacionados” (Frías, s.f.). Cuanto más cerca se encuentre el
valor alfa a 1 mayor es la consistencia interna de los ítems analizados. De acuerdo
con Oviedo y Campo (2005, p.576), “el coeficiente alfa de Cronbach es más
fidedigno cuando se calcula a una escala de veinte ítems o menos”.
Figura 4. Cálculo de coeficiente Alfa Cronbach
De acuerdo con estos resultados, podemos indicar que la confiabilidad del
instrumento utilizado es alta y que medirá lo relacionado con lo planteado respecto
de los imaginarios de seguridad de la información ilustrados previamente.
Para identificar el imaginario predominante se toma el promedio de las
respuestas de cada una de las preguntas con menor desviación estándar y se cruza
contra la propuesta de imaginarios de seguridad de la información previamente
planteado. De esta forma se establecen, aquellas actitudes más relevantes que
confirman alguno de los imaginarios establecidos como referentes.
Resultados
Luego de tabular las 393 respuestas de los participantes en esta investigación
se identifican las siguientes declaraciones con menor desviación estándar. Es
importante recordar que dado que la escala de Likert planteada es de tendencia
negativa, los resultados deben leerse por el complemento.
Tabla 2
Resultados de la aplicación del instrumento diseñado para la investigación
No. de
pregunta
1
2
16
6
11
12
17
19
20
13
Declaración
La seguridad de la información es un asunto exclusivo de la
Coordinación de la DTI.
El tratamiento seguro de la información de la compañía es
responsabilidad del Coordinador de Seguridad.
El tratamiento de la información no aporta significativamente al
sostenimiento económico de la compañía.
La Seguridad de la Información es un tema que otros hacen por mí.
Lo que no está expresamente solicitado por mis jefes no entra dentro
de mis funciones o compromisos.
Mi comportamiento frente a la información que manejo no afecta al
resto del área y menos a la compañía.
He escuchado sobre hábitos relacionados con la gestión segura de la
información pero no están relacionados con mis labores.
Tengo demasiado trabajo y presiones diarias como para gastar tiempo
en Seguridad de la Información.
La Seguridad de la Información no está dentro de mis prioridades.
Las herramientas tecnológicas instaladas en mi equipo, son
suficientes para mantener mi información segura.
Promedio
Desviación
Estándar
4,32
1,09
4,21
1,07
4,43
0,72
4,43
0,72
3,85
1,05
4,18
1,03
4,11
0,89
4,14
0,84
4,29
0,81
2,83
1,25
Considerando los datos indicados en la tabla anterior, la puntuación indicada
en el instrumento diseñado y teniendo en cuenta la orientación negativa de las
declaraciones podemos indicar que en la organización objeto de estudio:
1. La seguridad de la información no es un asunto exclusivo de un área en
particular.
2. El tratamiento de la información es un tema en el cual las personas también
son responsables.
3. Un adecuado tratamiento de la información aporta significativamente al
sostenimiento económico de la empresa.
4. La seguridad de la información hace parte de las actividades diarias de las
personas.
5. Los comportamientos de las personas frente al tratamiento de la
información afectan sus áreas de trabajo y la compañía en general.
Estos resultados cruzados contra los imaginarios planteados, nos ubican a la
empresa bajo estudio al menos en el imaginario denominado “Bien intencionados”,
donde la información es un activo, se tiene la idea de asegurarla en la medida que
se requiera pues reconoce que su inadecuado tratamiento puede afectar tanto a su
área de trabajo como a la empresa.
De igual forma se advierte una actitud positiva hacia la seguridad de la
información como quiera que las personas saben que la adecuada protección de la
información, hace parte de sus actividades diarias, aunque algunas veces no
comprenda claramente los impactos de la aplicación de las prácticas de gestión
segura de la información.
Discusión
De conformidad con lo señalado en el marco teórico, la cultura organizacional
de seguridad de la información es una construcción colectiva y anidada de
elaboraciones sociales y significaciones que los individuos le dan a aspectos
específicos de la protección de la información. En este sentido, la teoría de los
imaginarios sociales, que siguiendo las indicaciones de Pintos (1999), se definen
como “aquellos esquemas, construidos socialmente, que nos permiten percibir algo
como real, explicarlo e intervenir operativamente en lo que en cada sistema social
se considere como realidad”, establecen referentes básicos para comprender la
dinámica interna de las organizaciones respecto de sus prácticas de gestión segura
de la información.
Aunque si bien los resultados muestran que en la organización evaluada
predomina el imaginario de los “Bien intencionados” no significa que no exista un
porcentaje importante de la población que se encuentre identificado con los
imaginarios “Complaciente” y “Temerario” como quiera que, siguiendo los
desarrollos de
Luhmann, “en la base de toda construcción se encuentra una
distinción, que establece un frontera entre dos espacios, donde la distinción no
presupone la diferencia sino que la articula” (Maas, Amozurrutia, Almaguer,
González y Meza, 2012, p.28).
Los resultados muestran que existe una alta confianza en los mecanismos
tecnológicos de seguridad de la información instalados en la empresa y su nivel de
efectividad, que pueden llevar a una falsa sensación de seguridad que confronte el
imaginario actual, debilitando la responsabilidad personal y privilegiando la
empresarial. Por tanto, se hace necesario, mantener una observación permanente
de la evolución del imaginario, habida cuenta que la reconstrucción de la realidad
respecto del tratamiento de la información está inmersa en la dinámica social de
cada empresa.
Los resultados también parecen confirmar trabajos de investigación reseñados
por Randazzo (2012, p.92), en el sentido que los imaginarios sociales “estructuran
el edificio social con base a esquemas mentales socialmente construidos, que
funcionan como sistema de interpretación, donde las significaciones imaginarias
institucionalizadas cristalizan una percepción natural del mundo” (las cursivas están
fuera del texto original).
Lo anterior leído en clave de una cultura organizacional de seguridad de la
información equivale a afirmar que las prácticas de gestión segura de la información
se institucionalizan en el hacer y saber práctico de las personas, que no sólo
distingue a aquellos que entienden la responsabilidad frente a su tratamiento, sino
que revela la opacidad de aquellos que la experimentan bien como una imposición
o como algo que debe suministrar la organización para la realización de sus
actividades.
Conclusiones
Con base en los resultados obtenidos, y los referentes teóricos revisados, las
principales conclusiones y recomendaciones que se derivan de esta investigación
son las siguientes:
Si bien puede existir imaginarios sociales predominantes para la seguridad de
la información en una organización, estos pueden variar confirme evoluciona la
dinámica social propia de la empresa, en palabras de Coca y Pintos (2006, p.67),
de acuerdo con un “conjunto de intereses generales, de organizaciones particulares
o de los individuos” e incluso dependiente de la forma como se lean, asuman e
incorporen las brechas de seguridad de la información ocurridas en la empresa.
Al examinar la correspondencia entre los resultados del instrumento y los
imaginarios planteados, se observa que las percepciones identificadas y
predominantes se emparejan con la realidad de la organización analizada. No
obstante, esta correspondencia no significa que existan casos donde se encuentren
percepciones diversas, cuando se analizan grupos particulares de la misma
organización.
En general, los resultados muestran que los imaginarios sociales respecto de
la seguridad de la información, revelan la unión existente entre individuo y sistemas
sociales, que funcionando como un mecanismo transversal en una organización, es
capaz de revelar una realidad invisible a los artefactos naturales de una cultura y
cambiar los comportamientos de las personas, como quiera que la construcción y
mantenimiento de éstos, es producto de un proceso colectivo que legitima o no una
realidad concreta sobre la protección de la información.
Agradecimientos
El autor agradece a los ingenieros John Redondo y Yadir Molina por su apoyo
y revisión de los instrumentos y validación de los mismos durante el desarrollo de
esta investigación.
Nota
Este artículo hace parte de la tesis doctoral que actualmente se desarrolla en
el contexto del Programa Doctoral en Educación de la Universidad Santo Tomás de
Aquino, con sede en Bogotá.
Referencias
Alnatheer, M. (2012) Understanding and measuring information security culture in
developing countries: case of Saudi Arabia (Doctoral Thesis). Queensland
University of Technology, Australia.
Carretero, A. (2010) Para una tipología de las «representaciones sociales». Una
lectura de sus implicaciones epistemológicas. EMPIRIA. Revista de
Metodología de Ciencias Sociales. 20, Julio-Diciembre, 88-108. Recuperado
de: http://www.redalyc.org/articulo.oa?id=297125195004
Cegarra, J. (2012) Fundamentos teórico epistemológicos de los imaginarios
sociales.
Cinta
Moebio.
43,
1-13.
Recuperado
de:
www.moebio.uchile.cl/43/cegarra.html
CISCO (2015) How to be agile and secure. The fundamental challenge facing
organisations
today.
Recuperado
de:
http://www.cisco.com/assets/global/UK/products/security/How_to_be_agile_a
nd_secure.pdf
Coca, J. y Pintos, J. (2006) Tecnociencia y cooperación: Una mirada desde la
perspectiva de los imaginarios sociales. Revista Colombiana de Filosofía de la
Ciencia. 7, 14-15. 63-75
Córdoba-Pachón, J. R. (2010) Systems practice in the information society.
Routledge Series in Information Systems. Londres, United Kingdom:
Routledge.
Cortada, J. (2011) Information and the modern corporation. Cambridge,
Massachussets. USA: MIT Press.
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y
actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI.
Espejo,
R.
(2012)
Seeing
organisations:
epistemological
considerations.
Kybernetes, 41 (3/3), 327-338.
Frías, D. (s.f.) Alfa de Cronbach y consistencia interna de los ítems de un
instrumento
de
medida.
Recuperado
de:
http://www.uv.es/~friasnav/AlfaCronbach.pdf
García, R. (2013) Sistemas complejos. Conceptos, métodos y fundamentación
epistemológica de la investigación interdisciplinaria. Barcelona, España:
Gedisa.
Giddens, A. (1995) La Constitución de la Sociedad. Bases para la teoría de la
estructuración. Buenos Aires, Argentina: Ed. Amorrortu.
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations
with the Viable System Model. Chichester, West Susex.UK: John Wiley &
Sons.
Maas, M., Amozurrutia, J., Almaguer, P., González, L. y Meza, M. (2012)
Sociocibernética, cibercultur@ y sociedad. Centro de Investigaciones
Interdisciplinarias en Ciencias y Humanidades. Colección Debate y Reflexión.
México, México: UNAM.
Oviedo, H. y Campo, A. (2005) Aproximación al uso del coeficiente de Alfa
Cronbach. Revista Colombiana de Psiquiatría. 34, 4. Septiembre/Diciembre.
Recuperado de: http://www.scielo.org.co/pdf/rcp/v34n4/v34n4a09.pdf
Pintos, J. (1994) Sociocibernética: Marco sistémico y esquema conceptual. En
Delgado, J. y Gutiérrez, J. (Coord.) (1995) Métodos y técnicas cualitativas de
investigación en ciencias sociales. Madrid, España: Síntesis, 563-580
Pintos, J. (1995) Los imaginarios sociales. La nueva construcción de la realidad
social. Madrid, España: Sal Terrae.
Pintos, J. (1999) Los imaginarios sociales del delito: La construcción social del delito
a
través
de
las
películas
(1930-1999).
Recuperado
de:
http://idd00qmm.eresmas.net/articulos/delitocine.htm
Pintos, J. y Aliaga, F. (2012) La investigación en torno a los imaginarios sociales.
Un horizonte abierto a las posibilidades. RIPS: Revista de investigaciones
políticas y sociológicas, 11, 2,11-17
Randazzo, F. (2012) Los imaginarios sociales como herramienta. Imagonautas. 2,
2. 77-96
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general
living systems theory perspective. Information Security for South Africa (ISSA),
13-14 August. 1-8. Doi: 10.1109/ISSA.2014.6950493.
Sierra, R. (1994) Técnicas de investigación social. Teoría y Ejercicios. Madrid,
España: Paraninfo.
Von Foerster, H. (2003) Objects: Tokens for (Eigen-)Behaviors. En Von Foerster, H.
(2003) Understanding understanding. Essays on cybernetics and cognition.
New York, USA: Springer Verlag. 261-271
Vozmediano, F. (2014) Mente Fractal. El origen de las formas. San Bernardino, CA.
USA:Sin editorial.
Descargar