Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Jeimy J. Cano M.
Universidad Santo Tomás
Doctorando en Educación
Resumen
En este artículo se presentan los resultados de una investigación adelantada
durante el año 2015 en una empresa del sector minero energético con
aproximadamente 9000 empleados, seleccionando al azar 393 personas de cargos
y responsabilidades diferentes. La investigación tuvo como objetivo establecer el
diagnóstico de la cultura organizacional de seguridad de la información para lo cual
se tuvo como referente conceptual la teoría de los imaginarios sociales y los
fundamentos epistemológicos del pensamiento de sistemas y la sociocibernética.
En la investigación se empleó un diseño de tipo seccional, en el que los imaginarios
sociales de la seguridad de la información propuestos se evaluaron a través de la
aplicación de un instrumento (cuestionario experimental basado en una escala de
Likert). Los resultados obtenidos se analizan mediante operaciones matemáticas
donde se promedian las puntuaciones de cada una de las declaraciones disponibles
en el instrumento, seleccionado aquellas con menor desviación estándar, las cuales
se cruzan con los imaginarios propuestos para hallar aquel que es más
predominante. Finalmente, basado en los resultados se ofrecen algunas
conclusiones que confirman la relación existente entre individuo y sistemas sociales,
y cómo los imaginarios sociales permiten revelar aspectos invisibles de una cultura
organizacional de seguridad de la información.
Palabras clave
Seguridad de la información, imaginarios sociales, pensamiento sistémico
Introducción
La sociedad del siglo XXI está fundada sobre la base del tratamiento de la
información como quiera que en las relaciones que desarrolla lo que fluye y se
manifiesta es este recurso natural propio de una sociedad de la información y el
conocimiento (Córdoba-Pachón, 2010). En este sentido, la digitalización acelerada
de productos y servicios, nos advierte sobre los cambios y transformaciones que se
están presentando en la dinámica social y que delinean formas alternas a través de
las cuales los individuos se relacionan y construyen su realidad (Cortada, 2011).
Así las cosas, como bien anota Pintos referenciado por Cegarra (2012), “cada
acto individual de lo cotidiano o del mundo de la vida da cuenta de los imaginarios
como esquemas de esa integración social”, que en términos de Luhmann es “el
resultado de las «distinciones» realizadas desde observadores que operan con
unas particulares (y siempre parciales) «observaciones»” (Carretero, 2010, p.100).
Antecedentes
La protección de la información en la sociedad de la información y el
conocimiento es un reto no solamente de las organizaciones modernas sino de la
sociedad en sí misma. Como quiera que la información se ha convertido en un activo
estratégico de las empresas, su adecuado tratamiento es una condición clave para
efectos de mantener y desarrollar ventajas competitivas en un mundo en constante
movimiento.
Así las cosas, introducir cambios en los sistemas sociales resulta una tarea
exigente, pues su respuesta natural es mantener su identidad y no cambiar sus
relaciones. En este contexto, cuando dichos sistemas cambian, es decir modifican
sus estructuras para mantener su identidad, lo hacen como agentes autónomos que
se adaptan para continuar existiendo en su entorno (Espejo, 2012, p.332).
Si lo anterior es cierto, parafraseando a Vozmediano,
sólo podemos tratar con sistemas sociales en los cuales todos sus cambios
están determinados por su estructura, cualquiera que esta sea, y en los cuales estos
cambios estructurales se dan como resultado de su propia dinámica o
desencadenados por sus interacciones” (las cursivas están fuera del texto original).
(Vozmediano, 2014, p.159)
Marco teórico
De acuerdo con Carretero (2010) existen al menos tres niveles de
entendimiento de los imaginarios sociales: el arquetipo cultural, la significación
imaginaria y el constructor de realidades sociales.
Así las cosas, cada individuo en un área particular cuenta con una cultura de
seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida
por tres elementos como son apropiación, concientización y cumplimiento.
Revisados estos considerandos en las reflexiones de este investigador, podemos
detallar los comportamientos que caracterizan cada uno ellos, para entender en
contexto lo que significa en concreto esa cultura inherente a cada persona.
Alineado con lo anterior, un reciente estudio de CISCO (2015) revela una serie
de cuatro (4) perfiles de personas, respecto de su vista sobre la protección de la
información, que se articulan con las creencias, valores y actitudes propias de un
colectivo que comparte una forma particular de ver la “realidad” del cuidado de la
información según su experiencia y práctica corporativa.
Tabla 1
Imaginarios de la seguridad de la información (Autoría propia)
Imaginario Creencia Valor Actitud Responsabilidad
Conscientes Información es Proteger Positiva Personal
un activo
estratégico
Bien Información en Asegurar Positiva Personal
intencionados un activo
Complacientes Información es Suministrar Negativa Empresa
un recurso
estratégico
Temerarios Información es Imponer Negativa Empresa
un recurso
Metodología de investigación
Atendiendo a los criterios para la clasificación de los diseños de
investigaciones propuesto por Sierra (1994, p.142), este trabajo utiliza un diseño de
tipo seccional, el cual consiste de la observación sistemática de un grupo o
población en un momento del tiempo, donde se emplean técnicas de recogida de
datos basadas en la observación directa o a través de instrumentos (cuestionario
basado en escalas de Likert), sin intervenir o afectar las características que se
observan en los miembros de la comunidad bajo estudio.
Resultados
Luego de tabular las 393 respuestas de los participantes en esta investigación
se identifican las siguientes declaraciones con menor desviación estándar. Es
importante recordar que dado que la escala de Likert planteada es de tendencia
negativa, los resultados deben leerse por el complemento.
Tabla 2
Resultados de la aplicación del instrumento diseñado para la investigación
No. de Desviación
Declaración Promedio
pregunta Estándar
La seguridad de la información es un asunto exclusivo de la
1 4,32 1,09
Coordinación de la DTI.
El tratamiento seguro de la información de la compañía es
2 4,21 1,07
responsabilidad del Coordinador de Seguridad.
El tratamiento de la información no aporta significativamente al
16 4,43 0,72
sostenimiento económico de la compañía.
6 La Seguridad de la Información es un tema que otros hacen por mí. 4,43 0,72
Lo que no está expresamente solicitado por mis jefes no entra dentro
11 3,85 1,05
de mis funciones o compromisos.
Mi comportamiento frente a la información que manejo no afecta al
12 4,18 1,03
resto del área y menos a la compañía.
He escuchado sobre hábitos relacionados con la gestión segura de la
17 4,11 0,89
información pero no están relacionados con mis labores.
Tengo demasiado trabajo y presiones diarias como para gastar tiempo
19 4,14 0,84
en Seguridad de la Información.
20 La Seguridad de la Información no está dentro de mis prioridades. 4,29 0,81
Las herramientas tecnológicas instaladas en mi equipo, son
13 2,83 1,25
suficientes para mantener mi información segura.
Considerando los datos indicados en la tabla anterior, la puntuación indicada
en el instrumento diseñado y teniendo en cuenta la orientación negativa de las
declaraciones podemos indicar que en la organización objeto de estudio:
1. La seguridad de la información no es un asunto exclusivo de un área en
particular.
2. El tratamiento de la información es un tema en el cual las personas también
son responsables.
3. Un adecuado tratamiento de la información aporta significativamente al
sostenimiento económico de la empresa.
4. La seguridad de la información hace parte de las actividades diarias de las
personas.
5. Los comportamientos de las personas frente al tratamiento de la
información afectan sus áreas de trabajo y la compañía en general.
Discusión
De conformidad con lo señalado en el marco teórico, la cultura organizacional
de seguridad de la información es una construcción colectiva y anidada de
elaboraciones sociales y significaciones que los individuos le dan a aspectos
específicos de la protección de la información. En este sentido, la teoría de los
imaginarios sociales, que siguiendo las indicaciones de Pintos (1999), se definen
como “aquellos esquemas, construidos socialmente, que nos permiten percibir algo
como real, explicarlo e intervenir operativamente en lo que en cada sistema social
se considere como realidad”, establecen referentes básicos para comprender la
dinámica interna de las organizaciones respecto de sus prácticas de gestión segura
de la información.
Los resultados muestran que existe una alta confianza en los mecanismos
tecnológicos de seguridad de la información instalados en la empresa y su nivel de
efectividad, que pueden llevar a una falsa sensación de seguridad que confronte el
imaginario actual, debilitando la responsabilidad personal y privilegiando la
empresarial. Por tanto, se hace necesario, mantener una observación permanente
de la evolución del imaginario, habida cuenta que la reconstrucción de la realidad
respecto del tratamiento de la información está inmersa en la dinámica social de
cada empresa.
Conclusiones
Con base en los resultados obtenidos, y los referentes teóricos revisados, las
principales conclusiones y recomendaciones que se derivan de esta investigación
son las siguientes:
Agradecimientos
El autor agradece a los ingenieros John Redondo y Yadir Molina por su apoyo
y revisión de los instrumentos y validación de los mismos durante el desarrollo de
esta investigación.
Nota
Este artículo hace parte de la tesis doctoral que actualmente se desarrolla en
el contexto del Programa Doctoral en Educación de la Universidad Santo Tomás de
Aquino, con sede en Bogotá.
Referencias
Alnatheer, M. (2012) Understanding and measuring information security culture in
developing countries: case of Saudi Arabia (Doctoral Thesis). Queensland
University of Technology, Australia.
Carretero, A. (2010) Para una tipología de las «representaciones sociales». Una
lectura de sus implicaciones epistemológicas. EMPIRIA. Revista de
Metodología de Ciencias Sociales. 20, Julio-Diciembre, 88-108. Recuperado
de: http://www.redalyc.org/articulo.oa?id=297125195004
Cegarra, J. (2012) Fundamentos teórico epistemológicos de los imaginarios
sociales. Cinta Moebio. 43, 1-13. Recuperado de:
www.moebio.uchile.cl/43/cegarra.html
CISCO (2015) How to be agile and secure. The fundamental challenge facing
organisations today. Recuperado de:
http://www.cisco.com/assets/global/UK/products/security/How_to_be_agile_a
nd_secure.pdf
Coca, J. y Pintos, J. (2006) Tecnociencia y cooperación: Una mirada desde la
perspectiva de los imaginarios sociales. Revista Colombiana de Filosofía de la
Ciencia. 7, 14-15. 63-75
Córdoba-Pachón, J. R. (2010) Systems practice in the information society.
Routledge Series in Information Systems. Londres, United Kingdom:
Routledge.
Cortada, J. (2011) Information and the modern corporation. Cambridge,
Massachussets. USA: MIT Press.
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y
actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI.
Espejo, R. (2012) Seeing organisations: epistemological considerations.
Kybernetes, 41 (3/3), 327-338.
Frías, D. (s.f.) Alfa de Cronbach y consistencia interna de los ítems de un
instrumento de medida. Recuperado de:
http://www.uv.es/~friasnav/AlfaCronbach.pdf
García, R. (2013) Sistemas complejos. Conceptos, métodos y fundamentación
epistemológica de la investigación interdisciplinaria. Barcelona, España:
Gedisa.
Giddens, A. (1995) La Constitución de la Sociedad. Bases para la teoría de la
estructuración. Buenos Aires, Argentina: Ed. Amorrortu.
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations
with the Viable System Model. Chichester, West Susex.UK: John Wiley &
Sons.
Maas, M., Amozurrutia, J., Almaguer, P., González, L. y Meza, M. (2012)
Sociocibernética, cibercultur@ y sociedad. Centro de Investigaciones
Interdisciplinarias en Ciencias y Humanidades. Colección Debate y Reflexión.
México, México: UNAM.
Oviedo, H. y Campo, A. (2005) Aproximación al uso del coeficiente de Alfa
Cronbach. Revista Colombiana de Psiquiatría. 34, 4. Septiembre/Diciembre.
Recuperado de: http://www.scielo.org.co/pdf/rcp/v34n4/v34n4a09.pdf
Pintos, J. (1994) Sociocibernética: Marco sistémico y esquema conceptual. En
Delgado, J. y Gutiérrez, J. (Coord.) (1995) Métodos y técnicas cualitativas de
investigación en ciencias sociales. Madrid, España: Síntesis, 563-580
Pintos, J. (1995) Los imaginarios sociales. La nueva construcción de la realidad
social. Madrid, España: Sal Terrae.
Pintos, J. (1999) Los imaginarios sociales del delito: La construcción social del delito
a través de las películas (1930-1999). Recuperado de:
http://idd00qmm.eresmas.net/articulos/delitocine.htm
Pintos, J. y Aliaga, F. (2012) La investigación en torno a los imaginarios sociales.
Un horizonte abierto a las posibilidades. RIPS: Revista de investigaciones
políticas y sociológicas, 11, 2,11-17
Randazzo, F. (2012) Los imaginarios sociales como herramienta. Imagonautas. 2,
2. 77-96
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general
living systems theory perspective. Information Security for South Africa (ISSA),
13-14 August. 1-8. Doi: 10.1109/ISSA.2014.6950493.
Sierra, R. (1994) Técnicas de investigación social. Teoría y Ejercicios. Madrid,
España: Paraninfo.
Von Foerster, H. (2003) Objects: Tokens for (Eigen-)Behaviors. En Von Foerster, H.
(2003) Understanding understanding. Essays on cybernetics and cognition.
New York, USA: Springer Verlag. 261-271
Vozmediano, F. (2014) Mente Fractal. El origen de las formas. San Bernardino, CA.
USA:Sin editorial.