¿Se ha fatigado el paradigma de seguridad y control en las organizaciones?.

• 21/06/2017
• Internacional

Tweet

Jeimy Cano, Ph.D, CFE Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS 

¿Es posible que una organización en plena era digital diga que “la continuidad no le interesa”, o que “la función de seguridad de la información debe desaparecer”, que está dispuesta a “asumir un evento inesperado y sobrevivir meses” o estar conscientes que “pueden desaparecer”?

Ante esta postura, por demás algo inesperada, de algunas organizaciones, el interrogante que surge es: ¿se ha fatigado en paradigma de la seguridad? ¿Dejó de importar si pasa o no algo? ¿Los riesgos han bajado de categoría en los ejecutivos? Preguntas que dan cuenta de una posible degradación de la postura de seguridad y control, que reta el entorno vigente y altera los desafíos de la organización misma.

Entender la dinámica de las empresas actualmente, bajo el paradigma tradicional de riesgos y controles, implicar pensar en el peor de los escenarios generalmente asistido por la sensación de inestabilidad sobre lo que puede pasar. Pero, qué pasaría, ¿si pensamos dicha situación límite, sin esa sensación contraria? ¿Sin la angustia que supone llegar al punto que la continuidad de la organización se ha comprometido?

Al escuchar recientemente los ejecutivos hablar sobre los negocios y los retos que impone la inestabilidad del entorno actual, se revela un agotamiento del discurso de seguridad y control que por lo general ha venido siendo entendido desde la restricción, desde la limitación, desde el “no se puede”. Una aproximación que lo que busca todo el tiempo es restringir la incertidumbre y hacer más predecibles los procesos de una empresa.

Cuando la seguridad y el control, sólo se entienden desde el restringir, desde el miedo, la incertidumbre y las dudas, se enfrenta necesariamente con la tendencia de los nuevos negocios que buscan amplificar sus opciones, lo que supone tomar riesgos de forma inteligente, capitalizar la incertidumbre y asumir las dudas como oportunidades para aprender.

En este sentido, el paradigma restrictivo y causal de la visión de riesgos y controles, debe ser complementado con una vista de aprendizaje, de simulaciones y prototipos que permitan no solamente entender los nuevos retos del entorno, sino anticipar posibles riesgos emergentes que pueden llegar a comprometer la empresa o a generar oportunidades que no se han visto previamente.

Es claro que la tradición de las prácticas de seguridad y control han sido concebidas desde la visión mecanicista del mundo, donde la causalidad es un elemento fundamental para explicar el entorno y sus implicaciones, por tanto, se hace necesario desconectar los fundamentos vigentes de confiabilidad y razonabilidad, para integrarlos con los patrones inestables del entorno, los signos débiles o inesperados de riesgos (en su lectura positiva o negativa) y la pedagogía del error, como oportunidad para desaprender y revelar otros puntos de vista, y así, reconstruir una postura de control más ajustada a la realidad cambiante y emergente que tenemos hoy, más propositiva que restrictiva.

En consecuencia, la seguridad y el control deben responder a un ciclo permanente de reducción y amplificación de la inestabilidad del entorno (Beer, 1966), con el fin de retar los estándares y buenas prácticas vigentes, para construir un escenario de operación confiable. Estos escenarios, deben promover el aprendizaje y la respuesta a la dinámica de su sector de negocio y motivar permanentemente acciones que saquen de la zona cómoda a los ejecutivos.

Así las cosas, los auditores, particularmente los de TI, deben mantener en foco los estándares y buenas prácticas vigentes como referentes de actuación, abriendo sus reflexiones a posibilidades y retos que la incertidumbre plantea para la organización. Esto es, ser parte de las reflexiones ejecutivas para sumar desde el entendimiento de la realidad y sus riesgos, como ocasión de aseguramiento y ajuste de los linderos de debido cuidado que la empresa debe mantener aún en medio de los inciertos que hagan presentes.

Por tanto, un auditor en un entorno VICA (Volátil, Incierto, Complejo y Ambiguo) debe reconocerse como un observador para describir el sistema desde el exterior, asignándole atributos para estudiar sus interacciones con el ambiente, y ubicarse en su interior, para comprender las propiedades surgen de las relaciones entre sus componentes, donde el entorno se visualiza como una fuente de inestabilidades (Espejo y Reyes, 2016, p.15 y 16) y oportunidades: una ventana siempre abierta para aprender.

Referencia

Espejo, R. y Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes – Universidad de Ibagué.

Beer, S. (1966) Decisión y control. El significado de la investigación de operaciones y la administración cibernética. México, México: Fondo de Cultura Económica.

Recomendar¿Se ha fatigado el paradigma de seguridad y control en las organizaciones?ComentarCompartirCompartir ¿Se ha fatigado el paradigma de seguridad y control en las organizaciones?