Orlando Viloria, Miguel Torrealba y Walter Blanco
En este componente están agrupados 5 factores que afectan la SIF y se relacionan con la gerencia en sus diferentes niveles organizacionales: la promoción y el apoyo, los valores y los códigos deontológicos en el uso de la TIC, la generación de relevo, la falta de un pensamiento sistémico y el analfabetismo digital (las actitudes y aptitudes de los usuarios en el manejo de las herramientas de las TIC), ver gráfico 3.
Gráfico 3: Factores Gerenciales que afectan la SIF
Es importante precisar que estos factores no están aislados, todos se relacionan sistémicamente, e igualmente con componentes de la cultura de la seguridad. A continuación la descripción de cada una de ellas.
La falta de cultura de seguridad y de una visión compartida bajo un enfoque centrado en la SIF, implica que no habrá planes formales y promoción de las PSI, difusión y asimilación de los valores y códigos deontológicos con respecto al uso de las herramientas de las TIC, preparación de la generación de relevo y tampoco el apoyo hacia aquellos agentes proactivos preocupados por la SIF en la institución. En tal sentido, la gerencia estratégica debe involucrarse en la planificación estratégica bajo una perspectiva de los SI y TIC, y de la SIF, al igual que promocionar y apoyar abiertamente su ejecución en la institución, tal como lo señalan diversos autores como: Donado, Agredo y Carrascal (2002); McCarthy y Campbell (2002); Castillo, Di Mare, Díaz, y Diez (2004); Blanco y Viloria (1999a, 1999b); Viloria y Blanco (2004a, 2006c). Estas acciones estratégicas, contribuyen a garantizar la asignación de recursos (financieros y humanos) y la colaboración de los miembros de la comunidad universitaria en todo el proceso de diagnóstico de la situación actual en que se encuentra la seguridad de la información en la institución. En caso contrario cualquier esquema o plan de seguridad con el cual se opere estará destinado a un fracaso o a una reducción de la efectividad y eficiencia de los cursos de acción contemplados (estrategias).
El aspecto del financiamiento resulta de primer orden, ya que tradicionalmente los presupuestos asignados para la protección de la seguridad informática en las universidades venezolanas resultan marginales. Disponer de profesionales aptos y capacitados para manejar los posibles incidentes es algo extraño y la razón fundamental de ello es la negativa para invertir en los costosos entrenamientos humanos que el área demanda (Parker, 2008). Algo parecido sucede con los recursos gerenciales y técnicos; se provee lo básico, olvidando de ese modo aquella afirmación de que la seguridad cuesta (Anderson, 2006). En consecuencia, no habrá dominio personal en la universidad.
Es importante precisar dos escenarios, en donde existe y no existe personal especializado en seguridad. En el primer escenario, la gerencia táctica u operativa de la universidad considera que cualquier especialista en computación o afín es suficiente para encargarse de la seguridad de la información, cuando en la realidad los asesores y especialistas en seguridad requieren de años para su formación, por lo que se evidencia una falta de cultura, de visión compartida y de falta de dominio personal (Senge, 1992). Nuevamente se está en presencia de otro modelo mental no alineado a las organizaciones inteligentes.
El segundo escenario, es poco común en las universidades, en donde existe el personal de seguridad pero representado por un trabajador, el cual no es suficiente para atender todos los problemas de inseguridad de la información. El inconveniente se agudiza cuando la institución por diversas razones necesita suplir a este personal, por ejemplo cuando se jubila, ya que las políticas salariales actuales en las universidades no están adecuadas a la realidad, sobre todo los sueldos de los especialistas en computación e ingenieros de otras áreas afines, por lo tanto, afecta la contratación de nuevos trabajadores del conocimiento. Los salarios de los especialistas en seguridad están casi al tercio del valor de mercado laboral (Viloria y Blanco, 2006c), aunque esta relación puede ser mayor cuando se convierten en consultores. Algunas universidades hacen esfuerzos para preparar el personal (especialmente a alumnos de carreras afines), pero al aprender y/o graduarse tiende a irse a la empresa privada y en algunos casos a crear su propia empresa consultora de SIF, pues obviamente, buscan mejoras salariales.
En las universidades, el problema de la seguridad de la información no es analizado bajo una perspectiva sistémica, sino bajo un enfoque parcial, se hace énfasis en la seguridad lógica más que la seguridad física. En efecto, es frecuente en las universidades el robo de “vídeo beam”, computadoras portátiles y de escritorio, televisores, periféricos, componente internos de la máquina, además de las pérdidas por deterioro de equipos expuestos a situaciones ambientales extremas, por ejemplo lluvias, inundaciones, incendios, polvo, calor, entre otros. Hay que recordar la tragedia de Vargas, en donde el Núcleo Universitario de la Universidad Simón Bolívar perdió parcialmente las Bases de Datos con el record académico de los estudiantes por la falta de previsiones y medidas de salvaguarda.
La falta de un pensamiento sistémico también se manifiesta en la falta de una estructura y cultura organizacional que soporte la gerencia de los procesos relacionados con la SIF y la forma como se abordan los problemas concernientes a la inseguridad, como un problema de tipo técnico.
El analfabetismo digital es la falta de conocimiento en el manejo, en la comprensión de de las TIC, de la protección de la información y de las aplicaciones almacenadas en los diversos medios de almacenamiento. Al respecto, Mendoza y Farías (2003) señalan que: existe una creciente informatización de la sociedad, pero al mismo tiempo no se resuelve el problema del analfabetismo digital, además de entender los problemas de la inmaterialidad de los bienes de la información.
Particularmente, las universidades no están exentas de esta problemática, cuántos profesores o empleados asumen cargos gerenciales y desconocen el funcionamiento básico de una computadora. En esta investigación se descubrió que en una universidad reconocida, un jefe de departamento académico eliminó por desconocimiento el sitio Web y el sistema de control de personal académico, desarrollado por su antecesor para mejorar la eficiencia de los procesos y la calidad del servicio que prestan estas unidades organizacionales en las universidades.
El analfabetismo digital también es consecuencia de la falta de una cultura de la seguridad y de dominio personal.
En esta categoría están incluidas las variables relacionadas con la administración de las redes y los sistemas de información y las aplicaciones (ver gráfico 4).
Gráfico 4: Componentes de las TIC de la SIF que afectan el Esquema de Seguridad
En el análisis de los problemas identificados dentro de las universidades venezolanas, se estableció que los administradores de las redes operan en sus parcelas; Torrealba y Morales (2005) señalan que mantienen una visión asistémica del problema de seguridad y un enfoque estrictamente técnico, además las actitudes son reactivas, en general manifiestan características que ubican a las unidades organizacionales o a la institución en un nivel de aprendizaje de primer ciclo o de bucle simple, Para Argyris y Schon (1978) se produce cuando los miembros de una organización responden a los cambios de los ambientes internos y externos de la organización, mediante la detección de errores o de desviaciones que corrigen en las salidas de los procesos, para mantener los rasgos centrales de la teoría de uso organizativa (Nekane, 2000). En tal sentido, señala Nekane que los sistemas comportan ajustes graduales de la acción organizativa para adaptarse al entorno, en otras palabras los gerentes y administradores de redes tienen actitudes reactivas.
Por otra parte, entre los administradores y otros especialistas en computación no existe suficiente comunicación (aprendizaje en equipo), esto trae como consecuencia que no existe una visión compartida para enfrentar los problemas de seguridad. Además, en la investigación de Torrealba y Morales (2005) afloraron dos modelos mentales no alineados a las disciplinas de Senge (1992) y de Senge y Otros (2000, 2004), uno de ellos es que El Trabajo Mismo te Enseña, y el otro es Si Te Enseño Como se Hace, Mañana Serás mi Competencia; luego cierran el trabajo señalando que muchos de los administradores ven a los usuarios como tontos o a los que son demasiados sagaces y ávidos de conocimiento como sus enemigos. En este panorama descrito por Torrealba se identifican las siguientes barreras de aprendizaje: La Parábola de la Rana Hervida, La Fijación de los Hechos, La Ilusión de Que se Aprende de la Experiencia y Yo Soy mi Puesto (Senge, 1992). Al respecto, Viloria y Blanco (2006a) opinan que “las barreras de aprendizaje y los modelos mentales existentes en algunas universidades las llevan a funcionar como organizaciones tradicionales”, afianzadas en mecanismos de control bajo un enfoque incompleto de aprendizaje de nivel 0 (Bateson (1987) citado por Cozzi (2003)). En el aprendizaje 0 no hay aprendizaje, sino la mera recepción de información, no se producen cambios en los procesos, en las personas y en las acciones para prevenir las fallas, la actitud de los involucrados es pasiva (Bateson citado por Cozzi, 2003).
Para completar, Morales (2004) descubrió en tres grandes universidades venezolanas públicas que:
La ejecución de tareas de administración y de seguridad de la red no está actualizada tecnológicamente y tradicionalmente son llevadas a cabo por estudiantes, quienes no tienen la capacidad para reconocer ataques básicos que son bien conocidos y documentados en el mundo de la seguridad de las redes. |
Aquí se evidencia la falta de visión para abordar la problemática de la seguridad en las universidades, igualmente destaca la carencia de dominio personal, otras de las disciplinas de las organizaciones inteligentes. Si los equipos encargados de la seguridad desean estar al día con respecto a los cambios de herramientas de protección y de los riesgos potenciales, “existen innumerables organizaciones y sitios Web que desempeñan una gran labor para mantener a todos informados” (McCarthy y Campbell, 2002). En otras palabras, el administrador o los encargados de la seguridad de la información en las universidades tienen hoy día, gracias a la Internet, todas las facilidades para estar bien informados del acontecer diario en seguridad, de nuevas herramientas de protección, de investigaciones académicas, de políticas de seguridad estandarizadas, incluso hasta foros de discusión, entre otros. Así que no se justifica en plena era de las telecomunicaciones y de la globalización estar desinformado. Por último, la mayoría de los usuarios finales y de los administradores no están familiarizados con la materia, no conocen lo que es correcto, ni lo que es incorrecto y peor aún, no saben cómo deben responder frente a un ataque a la seguridad (Morales, 2004). No hay aprendizaje en equipo y no manejan un código deontológico del uso de las nuevas tecnologías de la información y la comunicación.
Sistemas de Información y Aplicaciones
La posibilidad de la Internet ha permitido que las instituciones universitarias (como las empresas), puedan interactuar con sus clientes y proveedores a través de la Intranet y Extranet, con la finalidad de ampliar sus servicios y mejorar su eficiencia y eficacia. Esto amerita más controles pues se expone más fácilmente a ataques, especialmente en el control de acceso y a los derechos del usuario de los sistemas y aplicaciones. Si hay debilidades, habrá más propensión a daños por ataques.
Torrealba y Morales (2005) señalan que: “los sistemas que empleamos nos colocan en situaciones desventajosas”; debido a la existencia de “bugs”, vulnerabilidades, problemas de ingeniería del software. Asimismo, los mecanismos de seguridad implementados son básicos y poco robustos, no alineados a ninguna política de seguridad.
Los sistemas de información incluyen bases de datos así como los recursos de hardware y software que permiten a la universidad captar, almacenar y distribuir estos datos. Los sistemas de información son fundamentales para las universidades y deben ser protegidos. Esta protección consiste en garantizar que el hardware y los recursos de software de los SI y aplicaciones se usen sólo para el cumplimiento de los objetivos para los que fueron creados y dentro de una normativa y políticas de uso.
La seguridad informática para los SI y aplicaciones se puede sintetizar para el cumplimiento de seis características fundamentales: (a) la integridad, para garantizar que los datos sean los que se suponen que son; (b) la confidencialidad, La protección de los datos contra la revelación no autorizada para asegurar que solamente el personal autorizado pueda acceder a los recursos; (c) la disponibilidad, para garantizar la operatividad del sistema o aplicación cuando se requiera; (d) Evitar la repudiación, para asegurar la no negación de una operación ejecutada; (e) autenticación, para aportar confianza en que la entidad que se comunica es quien dice ser y; (f) el control del acceso, para resguardar a los sistemas o aplicaciones de accesos no autorizados.