Espacios. Espacios. Vol. 30 (1) 2009. Pág. 9

Factores que afectan la seguridad de la información en las universidades venezolanas bajo una perspectiva de las organizaciones inteligentes

Factors that affect the information security in the Venezuelan universities under a perspective of the smart organizations

Orlando Viloria*, Miguel Torrealba** y Walter Blanco***

Recibido:20-09-08 - Aprobado: 21-12-08


Contenido


RESUMEN:
El presente trabajo muestra los resultados parciales obtenidos de un estudio longitudinal enmarcado en un macro proyecto de planificación estratégica de los sistemas de información, las tecnologías de la información y la comunicación y la seguridad de la información. En tal sentido, el objetivo de esta investigación fue la de identificar las variables que afectan negativamente la seguridad de la información en universidades venezolanas. Para el logro de este objetivo se aplicaron entrevistas, encuestas, el método de investigación-acción y la observación directa, entre otros. Las conclusiones más importantes fueron: (a) en las universidades venezolanas no existe la cultura de la seguridad de la información, (b) existen modelos mentales tácitos como el de visualizar la seguridad solamente como un problema, situación que afecta su gestión y la adopción de cualquier esquema de seguridad y, (c) la seguridad no es vista desde una perspectiva sistémica. Por último, se propone un modelo integral de gestión de la seguridad informática para las universidades venezolanas, que incorpora la gestión, la cultura, las TIC y el esquema de seguridad.
Palabras clave: Seguridad de información, Organización inteligente, Venezuela

ABSTRACT:
The present work shows the obtained partial results of a longitudinal study framed in a macro project of strategic planning of information systems, information and communication technologies and information security. In such sense, the objective of this investigation was to identify the variables that negatively affect information security in Venezuelan universities. For the profit of this objective, interviews, surveys, investigation-action method, direct observation, among others, were applied. The most important conclusions were: (a) in the Venezuelan universities does not exist the culture of the information security, (b) mental models tacit exist to visualize the security only like a problem, situation that affects its management and adoption of any scheme of security and, (c) the security is not seen from a systemic perspective. Finally, we propose an integrated model of management of information security for Venezuelan universities, which incorporates the management, the culture, the ICT and a security scheme.
Key words: Security of information, intelligent Organization, Venezuela

Fundamentación teórica

Introducción

En lo últimos años el enfoque de seguridad de la información plantea una revisión de sus principios; cuestionamiento que incluye hasta su propio nombre, pues asegurar algo indica establecerlo sólidamente o con certeza, es decir, con seguridad. Por otra parte, recientes teorías científicas como la del caos, dejan en entredicho la capacidad del hombre para controlar por completo su entorno (Trump, 1998). La visión de un universo con puros fenómenos predecibles que se gobiernan por reglas mecánicas dio paso a otra perspectiva de sistemas que incorpora áreas o entornos con comportamiento caótico, dicho de otro modo, ingobernable.

En este mismo orden de ideas, resulta absurdo pretender controlar un universo que de por sí tiene naturaleza caótica. En una organización, resulta más viable disminuir apropiadamente los niveles de inseguridad hasta umbrales aceptables; se da entrada así al manejo de un área conocida como ingeniería de la seguridad (Anderson, 2001). El término seguridad de la información adquiere entonces una nueva concepción, como controlar la inseguridad de la información hasta un grado aceptable. Este trabajo emplea el tradicional término seguridad de la información en ese sentido, como un control limitado sobre un bien que hay que proteger, de múltiples y diversas amenazas, hasta alcanzar un estado aceptable de riesgos. No se sostiene entonces la certeza de la invulnerabilidad de los sistemas, sino su funcionalidad dentro de un rango tolerable de peligros.

Sin embargo, alcanzar el estado aceptable de riesgos no es trivial, ya que en las organizaciones existen factores negativos, relacionados con la cultural, la tecnología, la estructura organizacional y los procesos críticos que amplifican el problema de inseguridad de la información. En este mismo orden de ideas, las universidades, objeto de esta investigación, también padecen de estos problemas que las alejan más del equilibrio.

Esta investigación presenta los factores organizacionales y tecnológicos que contribuyen a aumentar la inseguridad de la información en las universidades venezolanas, igualmente a amplificar sus niveles de entropía. Adicionalmente se propone un modelo que permite a los encargados de la seguridad o a los gerentes proactivos con dominio personal, comprender el problema de la inseguridad en las universidades.

El Equilibrio Dinámico de la Organización bajo un Enfoque Centrado en el Caos

Según el diamante de Leavitt citado por Kwok y Arnett (1993), los componentes de una organización son: tareas, tecnología, gente y cultura y estructura organizacional. En tal sentido, los componentes del modelo organizacional de Leavitt, son subsistemas que al integrarse conforman, por la propiedad de recursividad de sistemas, un supersistema o suprasistema, llamado organización o empresa; todos estos elementos interactúan entre sí y están en equilibrio dinámico. Igualmente, estos subsistemas que funcionan en conjunto disipan energía con el medio ambiente, envían, reciben, almacenan y organizan información y otros tipos de insumos y materia, nunca están en un mismo equilibrio estacionario, sino lejos de él, lo cuál caracteriza a la organización como una estructura disipativa con una tendencia a aumentar su entropía.

Al respecto, Diegoli (2003) señala: “en termodinámica, cuando hay un aumento del flujo de materia y energía que pasa a través de una estructura disipativa, pueden ocurrir nuevas inestabilidades y la transformación en nuevas estructuras de complejidad incrementada”. La serie de inestabilidades acontecidas en todos los componentes del modelo dinámico de Leavitt, por la adopción de los sistemas de información gerencial y/o la Intranet o Extranet en la organización, como producto de la instrumentación de una estrategia corporativa para impactar su competitividad, impulsa al sistema hacia la recuperación de su equilibrio dinámico por la instrumentación de acciones estratégicas orientadas a reducir los grados de libertad alcanzados por el caos; por ello la organización tiene el potencial de transformarse en un sistema de mayor complejidad y evolucionar de manera auto-organizativa. Pero, la incertidumbre estará presente en las organizaciones, por ello los gerentes y la empresas encararán muchos tipos y grados de incertidumbre (Lucas, 1997), en otras palabras la entropía no desaparece, se amplifica o reduce, pues es una característica existente en todo sistema.

En este mismo orden de ideas, en el momento en que la gerencia ejecuta un plan estratégico, bajo una perspectiva de sistemas y herramientas de las Tecnologías de la Información y la Comunicación, la instrumentación de cada estrategia implica un conjunto de acciones en los subsistemas del modelo dinámico de Leavitt; estas acciones son puntos de bifurcación que amplifican la entropía que se propaga a todos los niveles organizacionales de la empresa, y al ajustar los componentes del diamante de Leavitt, provoca la redistribución del poder, de los recursos humanos y de las TIC, la redefinición de las tareas y de cambios en la estructura organizacional (Blanco y Viloria, 1999a)

La implantación de una Intranet en la organización también afecta a la estructura organizacional; a medida que se expanda su uso, aumenta el número de usuarios en los departamentos con acceso a las bases de datos (bajo su dominio de datos) y servicios que presta la red corporativa. Sin duda, será necesario incorporar un mayor número de especialistas en computación y en seguridad de la información, para su buen mantenimiento y soporte. Igualmente, en torno a las soluciones dadas, surgirá un nuevo conjunto de normas y reglamentos (Gerstein, 1988). Asimismo Gerstein señala que “en un momento dado, surgirá una nueva cultura en la que serán fundamentales los diversos aspectos de la tecnología de la información y las personas que los dominan”. En efecto, se adoptan una serie de políticas de seguridad en las instituciones, pues la Internet y todo lo que se le parezca es vulnerable, por lo tanto la Intranet también lo es (Schneier, 2000).

Por ello, debe fortalecerse cada uno de los componentes (estructura, tareas y procesos, tecnologías y capacidades, gente y cultura), con la realización de ajustes para reforzarlos y, así, equilibrar el sistema psicosocial de manera de incorporar las TIC, para ayudar a la organización a lograr sus objetivos. Cabe destacar que en el modelo original de Leavitt (1965) en su componente tecnología, no abarcaba a las TIC (ver gráfico 1), ya que al proponer su modelo, la Internet y el desarrollo de las telecomunicaciones no existían, pues la red de redes y todas las tecnologías asociadas a ella apenas estaban dando sus primeros pasos.

Por eso la incorporación de las TIC en las organizaciones genera muchas vulnerabilidades respecto a la seguridad la cual debe ser abordada no sólo con un enfoque técnico sino también con un enfoque gerencial de la seguridad informática.

Gráfico 1. El Diamante de Leavitt. (Tomado de Leavitt, 1965)

[inicio] [siguiente]


*Universidad Simón Bolívar. Email: oviloria@usb.ve

**Universidad Simón Bolívar. Email: mtorrealba@usb.ve

*** Universidad Simón Bolívar. Email: wblanco@usb.ve

Vol. 30 (1) 2009
[Editorial] [Índice]