Orlando Viloria*, Miguel Torrealba** y Walter Blanco***
Recibido:20-09-08 - Aprobado: 21-12-08
RESUMEN: |
ABSTRACT: |
En lo últimos años el enfoque de seguridad de la información plantea una revisión de sus principios; cuestionamiento que incluye hasta su propio nombre, pues asegurar algo indica establecerlo sólidamente o con certeza, es decir, con seguridad. Por otra parte, recientes teorías científicas como la del caos, dejan en entredicho la capacidad del hombre para controlar por completo su entorno (Trump, 1998). La visión de un universo con puros fenómenos predecibles que se gobiernan por reglas mecánicas dio paso a otra perspectiva de sistemas que incorpora áreas o entornos con comportamiento caótico, dicho de otro modo, ingobernable.
En este mismo orden de ideas, resulta absurdo pretender controlar un universo que de por sí tiene naturaleza caótica. En una organización, resulta más viable disminuir apropiadamente los niveles de inseguridad hasta umbrales aceptables; se da entrada así al manejo de un área conocida como ingeniería de la seguridad (Anderson, 2001). El término seguridad de la información adquiere entonces una nueva concepción, como controlar la inseguridad de la información hasta un grado aceptable. Este trabajo emplea el tradicional término seguridad de la información en ese sentido, como un control limitado sobre un bien que hay que proteger, de múltiples y diversas amenazas, hasta alcanzar un estado aceptable de riesgos. No se sostiene entonces la certeza de la invulnerabilidad de los sistemas, sino su funcionalidad dentro de un rango tolerable de peligros.
Sin embargo, alcanzar el estado aceptable de riesgos no es trivial, ya que en las organizaciones existen factores negativos, relacionados con la cultural, la tecnología, la estructura organizacional y los procesos críticos que amplifican el problema de inseguridad de la información. En este mismo orden de ideas, las universidades, objeto de esta investigación, también padecen de estos problemas que las alejan más del equilibrio.
Esta investigación presenta los factores organizacionales y tecnológicos que contribuyen a aumentar la inseguridad de la información en las universidades venezolanas, igualmente a amplificar sus niveles de entropía. Adicionalmente se propone un modelo que permite a los encargados de la seguridad o a los gerentes proactivos con dominio personal, comprender el problema de la inseguridad en las universidades.
Según el diamante de Leavitt citado por Kwok y Arnett (1993), los componentes de una organización son: tareas, tecnología, gente y cultura y estructura organizacional. En tal sentido, los componentes del modelo organizacional de Leavitt, son subsistemas que al integrarse conforman, por la propiedad de recursividad de sistemas, un supersistema o suprasistema, llamado organización o empresa; todos estos elementos interactúan entre sí y están en equilibrio dinámico. Igualmente, estos subsistemas que funcionan en conjunto disipan energía con el medio ambiente, envían, reciben, almacenan y organizan información y otros tipos de insumos y materia, nunca están en un mismo equilibrio estacionario, sino lejos de él, lo cuál caracteriza a la organización como una estructura disipativa con una tendencia a aumentar su entropía.
Al respecto, Diegoli (2003) señala: “en termodinámica, cuando hay un aumento del flujo de materia y energía que pasa a través de una estructura disipativa, pueden ocurrir nuevas inestabilidades y la transformación en nuevas estructuras de complejidad incrementada”. La serie de inestabilidades acontecidas en todos los componentes del modelo dinámico de Leavitt, por la adopción de los sistemas de información gerencial y/o la Intranet o Extranet en la organización, como producto de la instrumentación de una estrategia corporativa para impactar su competitividad, impulsa al sistema hacia la recuperación de su equilibrio dinámico por la instrumentación de acciones estratégicas orientadas a reducir los grados de libertad alcanzados por el caos; por ello la organización tiene el potencial de transformarse en un sistema de mayor complejidad y evolucionar de manera auto-organizativa. Pero, la incertidumbre estará presente en las organizaciones, por ello los gerentes y la empresas encararán muchos tipos y grados de incertidumbre (Lucas, 1997), en otras palabras la entropía no desaparece, se amplifica o reduce, pues es una característica existente en todo sistema.
En este mismo orden de ideas, en el momento en que la gerencia ejecuta un plan estratégico, bajo una perspectiva de sistemas y herramientas de las Tecnologías de la Información y la Comunicación, la instrumentación de cada estrategia implica un conjunto de acciones en los subsistemas del modelo dinámico de Leavitt; estas acciones son puntos de bifurcación que amplifican la entropía que se propaga a todos los niveles organizacionales de la empresa, y al ajustar los componentes del diamante de Leavitt, provoca la redistribución del poder, de los recursos humanos y de las TIC, la redefinición de las tareas y de cambios en la estructura organizacional (Blanco y Viloria, 1999a)
La implantación de una Intranet en la organización también afecta a la estructura organizacional; a medida que se expanda su uso, aumenta el número de usuarios en los departamentos con acceso a las bases de datos (bajo su dominio de datos) y servicios que presta la red corporativa. Sin duda, será necesario incorporar un mayor número de especialistas en computación y en seguridad de la información, para su buen mantenimiento y soporte. Igualmente, en torno a las soluciones dadas, surgirá un nuevo conjunto de normas y reglamentos (Gerstein, 1988). Asimismo Gerstein señala que “en un momento dado, surgirá una nueva cultura en la que serán fundamentales los diversos aspectos de la tecnología de la información y las personas que los dominan”. En efecto, se adoptan una serie de políticas de seguridad en las instituciones, pues la Internet y todo lo que se le parezca es vulnerable, por lo tanto la Intranet también lo es (Schneier, 2000).
Por ello, debe fortalecerse cada uno de los componentes (estructura, tareas y procesos, tecnologías y capacidades, gente y cultura), con la realización de ajustes para reforzarlos y, así, equilibrar el sistema psicosocial de manera de incorporar las TIC, para ayudar a la organización a lograr sus objetivos. Cabe destacar que en el modelo original de Leavitt (1965) en su componente tecnología, no abarcaba a las TIC (ver gráfico 1), ya que al proponer su modelo, la Internet y el desarrollo de las telecomunicaciones no existían, pues la red de redes y todas las tecnologías asociadas a ella apenas estaban dando sus primeros pasos.
Por eso la incorporación de las TIC en las organizaciones genera muchas vulnerabilidades respecto a la seguridad la cual debe ser abordada no sólo con un enfoque técnico sino también con un enfoque gerencial de la seguridad informática.
Gráfico 1. El Diamante de Leavitt. (Tomado de Leavitt, 1965)