domingo, 31 de enero de 2016

La armonía de los contrarios. Una nueva categoría didáctica para educar en seguridad de la información.

Introducción
La inevitabilidad de la falla es un concepto que poco a poco se ha venido difundiendo a nivel internacional, como quiera que todo es susceptible de fallar, bien de manera deliberada o por situaciones no conocidas. En este escenario, pensar y desarrollar una gestión desde la certeza de una operación sin contratiempos, es una vista efímera que, con el primer percance, puede llegar a comprometer no solo la capacidad de aprendizaje de los involucrados, sino la imagen de aquellos que lo administran.

En este sentido, la falla o el error, se ha mirado por lo general como un resultado, el cual es valorado bajo estándares definidos, generando una emocionalidad contraria, que no siempre motiva y moviliza los cambios requeridos. Por tanto, el error conlleva una carga emocional generalmente negativa, que de alguna forma, recrimina y excluye a todo aquel que no se ha ajustado a la norma establecida.

En este escenario, el error no es ocasión de oportunidades y descubrimiento de nuevas ideas, sino un tribunal de sanciones, que no busca motivar una renovación del pensamiento ni provocar nuevas experiencias para explorar. Esto es, una audiencia pública que margina a todos los involucrados a llevar el peso de una marca que los segrega y limita para continuar aprendiendo, que no es otra cosa que cortarle las alas a su creatividad.

Cuando el error no se mira como un resultado, sino como un proceso, se abre la oportunidad para descubrir las relaciones internas de las acciones que han llevado al resultado. Se inscribe la actuación, como un intento por abordar una situación, cuyas consecuencias dan cuenta de una realidad distinta a la esperada, lo cual puede o no ser útil frente al contexto donde ella se desarrolla.

Bajo estos parámetros, el error se constituye como una herramienta pedagógica que interroga a los participantes sobre aquellos aspectos emergentes de la situación, que permiten explorar linderos antes desconocidos y potenciar el entendimiento de los resultados para una siguiente oportunidad. Así las cosas, como afirma De la Torre (2004) “No es posible no equivocarse en el proceso de aprender”.

Si bien buena parte del aprendizaje, se ha adquirido por ensayo y error, por observación, por experiencias previas en contextos particulares, no se quiere indicar que sea forzosa la “equivocación” para poder aprender, sino que se hace necesario descubrir en los detalles del proceso cognitivo, aquellos aspectos que más ayudan a las personas para apropiarse de un saber y mejorar las aptitudes y estrategias que la permitirán mayor seguridad y confianza en su hacer (De la Torre, 2004).

Lo anterior, establece una vista sistémica del aprendizaje, donde el error como proceso, revela relaciones visibles e invisibles de las elaboraciones cognitivas humanas, que permiten identificar aquellas cosas que no funcionan bien en los marcos y estrategias de enseñanza/aprendizaje. Algunos dirán que esto es susceptible de aplicar en escenarios académicos controlados, pero la realidad nos indica, que de no hacerlo en el mundo empresarial, las organizaciones estarán condenadas repetir historias que no quieren oír y a repetir discursos de gestión que se desgastan en su actuar.

Habida cuenta de lo anterior, este documento establece algunas reflexiones particulares sobre la pedagogía del error (De la Torre, 2004), en el contexto de la formación en seguridad de la información, como una forma de controvertir el status quo de la práctica de entrenamientos en protección de la información y abrir una nueva posibilidad de enseñanza y aprendizaje que conecte la realidad de la empresa y la dinámica del pensamiento de sus empleados frente a la seguridad de la información.

El costo de los errores en seguridad de la información. Una lectura desde la pedagogía del error.
Es claro que los errores en seguridad de la información tienen efectos y consecuencias visibles para las organizaciones en general, que pueden llegar a implicar sanciones legales, económicas y pérdidas de reputación. En esta perspectiva, el error en las prácticas de seguridad de la información se juzga como efecto contrario, que desestabilizando la sensación de confort organizacional, configuran un tribunal de acusaciones en contra de aquellos que han cometido las faltas y de los responsables del aseguramiento del tema.

Es tal la sensibilidad de las acciones que se advierten fuera de los límites permitidos, que terceros evaluadores están listos a documentar los efectos de dichas acciones, para contabilizar las fallas y elaborar valoraciones que den cuenta de la falta de gestión y aseguramiento de las prácticas de seguridad y control en la organización. Si bien, una falla revela algo que no está de acuerdo con un lineamiento establecido, también manifiesta una oportunidad para aprender, un momento para profundizar en las actuaciones y sobre manera una forma de sorprendernos para hacer nuevas distinciones.

En este sentido, los responsables de la seguridad de la información, son enmarcados en estándares que buscan inhibir todo el tiempo la aparición de las fallas de seguridad y cuando aparecen, son catalogadas como fallas del sistema de gestión, por lo cual habrá que aplicar el formato de análisis causa-raíz, que permita llegar al fundo de la situación que ha provocado el resultado y luego activar, en el mejor de los casos, el procedimiento de lecciones aprendidas, las cuales guardan la memoria del evento contrario que ha ocurrido.

Frente a esta situación, donde el error como resultado, es hijo de una vista mecanicista del mundo, que debe ser erradicado del ejercicio de perfeccionamiento del funcionamiento de las cosas, la seguridad de la información se ha nutrido ampliamente creando un escenario cada vez más rígido de acción, que busca alcanzar una meta de protección basada en la invulnerabilidad, sabiendo que en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009) no es posible lograr.

Lo anterior genera el stress y angustia natural de los profesionales de la seguridad de la información que, cada vez que adelantan acciones proactivas para evitar situaciones de riesgo, los hechos que acontecen desbordan las predicciones establecidas frente a lo ocurrido. Esto no quiere decir que los ejecutivos de seguridad de la información sean víctimas de las inestabilidades del entorno, sino que su perspectiva del ejercicio de protección debe ajustarse con la dinámica de su contexto, no para encontrar responsables afuera de su práctica, sino para incorporar nuevos procesos de aprendizaje que reivindiquen al error como posibilidad de aseguramiento y control.

Lo anterior supone leer el error como una oportunidad que motive mover el estado de la práctica de seguridad de la información fuera de la zona cómoda y la lance a explorar escenarios contradictorios que generen un entorno psicológicamente seguro, donde fallar es una opción, pues el beneficio que se obtiene, es superior al costo de cometer el mismo (Schoemaker, 2011).

A manera de resumen podríamos decir, en lectura de De la Torre (2004), que debemos recuperar el error como herramienta pedagógica que supere el cumplimiento de objetivos y atienda la riqueza del proceso de aprendizaje. Una vista de lo anterior, se condensa en el cuadro a continuación.

Consideración del Error
Mundo Mecanicista
Mundo de los sistemas
Desviación de la norma
Desajuste en lo esperado y obtenido.
Elemento perjudicial en el aprendizaje.
Elemento que activa y motiva el aprendizaje.
Es una condición que deber ser sancionada.
Es una condición natural del proceso de aprendizaje.
Deber ser evitado.
Deber ser aceptado y diagnosticado.
Es indicador de resultados no alcanzados.
Es síntoma de procesos de aprendizaje
Es ocasión de clasificación y exclusión en el proceso de aprendizaje.
Es ocasión de orientación y guía en el proceso de aprendizaje.
Tabla 1. Consideración del error (Basado en: De la Torre, 2004, p.85)

La formación en seguridad de la información. Un ejercicio de la armonía de los contrarios.
Si la práctica de seguridad de la información se ha nutrido de una vista mecanicista del mundo y el error es considerado una condición contraria y por demás costosa frente a las consecuencias que los mismos tienen, es preciso revisar la manera como se ha venido formando a las personas en las organizaciones respecto del tratamiento adecuado de la información.

Mientras un analista de seguridad tradicional, establece su paradigma de protección en una vista lineal de riesgo-control, un atacante desafía el escenario conocido y modifica su dinámica para crear un nuevo entorno, que difícilmente podrá ver un analista en su ejercicio. El atacante tiene un pensamiento circular, donde una causa lleva a un efecto y un efecto una nueva causa, en este ejercicio, logra cuestiona su propio pensamiento y sorprenderse de aquello que el mismo ha logrado.

Si entrenamos a las personas sólo en la vista del analista, siguiendo los parámetros normales de la formación, basada en contenidos establecidos y respuestas debidamente calculadas, los individuos podrán alcanzar la calificación requerida, repitiendo aquello que se encontraba en sus cartillas de entrenamiento. Sin embargo, la pregunta que sigue es ¿esto nos hará más resistentes frente a situaciones inciertas? Posiblemente la respuesta no será positiva, pues los empleados estarán preparados para responder a lo conocido y registrado en los estándares, pero no para variables dinámicas que se encuentran en su contexto.

Por el contrario, si se establece un entrenamiento siguiendo la mente del atacante, buscando elementos para superar los patrones y parámetros de seguridad y control establecidos, tendremos un escuadrón posiblemente de atacantes internos formados para dar cuenta de las fallas y la forma de cómo se materializan, creando un entorno insostenible que lleve a los límites del sistema, comprometiendo su funcionalidad y la identidad del mismo por fuera de los estándares de actuación ética y de mejora continua.

Bajo este escenario, se hace necesario integrar la dos vistas previamente presentadas, que permitan construir un marco pedagógico asistido por la armonía de los contrarios, una vista que, sensible al contexto de las personas en la organización, establezca una zona psicológicamente segura donde las decisiones que se toman frente a situaciones inciertas permitan que los individuos “estudien la situación, definan los problemas, lleguen a sus propias conclusiones sobre las acciones a emprender, contrasten ideas, las defiendan y las reelaboren con nuevas aportaciones” (Acosta, 2014, p.47).

Este marco reconoce la circularidad del pensamiento de los atacantes, la complementariedad de las prácticas y estándares con los riesgos de los procesos para explicar lo que ocurre y sobre manera la autoreferencia del sistema analizado, que significa comprender las relaciones entre sus componentes que definen la identidad del mismo. Esto es, saber que existen propiedades emergentes que son fruto de las relaciones entre sus componentes y que no son inherentes a cada uno de ellos.

Así las cosas, las actuaciones derivadas de una formación basada en este marco pedagógico establecido, establecen las bases de la formulación de una competencia de gestión segura de la información (Cano, 2015) que, una vez negocia los cambios de paradigma en su hacer, reconstruye las prácticas desde la sabiduría del error, es decir, que la inestabilidad de los sistemas y sus posibles fallas, son ocasión para que surjan aprendizajes avanzados en las personas que las habiliten para: (Tobón, 2013, p.101)
  • Comprender la situación problemática en un contexto disciplinar, personal, ambiental, social y/o económico.
  • Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo imprevisto y la incertidumbre.
  • Considerar las consecuencias del problema y los efectos de la solución dentro del conjunto del sistema.
  • Aprender del problema para asumir y resolver problemas similares en el futuro.

En consecuencia, la formación en seguridad de la información debe responder a criterios educativos que promuevan quiebre conceptuales respecto de la dinámica de las organizaciones, para que reconociendo el contexto inestable e incierto donde deben actuar los individuos para proteger la información, se puedan tener seres humanos transformados por el entorno y acciones trascendentes de éstos, para potencialmente innovar en sus propios ambientes.

Lo anterior supone, en palabras de Acosta (2014, p.48) “comprender la necesidad de apoyarse en los demás para aprovechar las fortalezas y competencias de todos”, reconocer las limitaciones como oportunidades de desarrollo y “aumentar la sinergia que surge” al participar de un escenario de construcción social de conocimiento, donde las acciones y decisiones que se realicen, benefician necesariamente a los demás.

Reflexiones finales
Si entendemos el aprendizaje como una propiedad emergente del proceso educativo, esto “es una cualidad distinta que el sistema “persona” elabora en un momento dado sin que previamente, como tales, estuviesen contenidas en ninguna de las partes. (…)” (Novo, Marpegán y Mandón, 2011, p.126), estamos ante un cambio de perspectiva en la formación de los individuos, donde “educar” a la persona en seguridad de la información no es enseñarle algo que no sabía, sino convertirlo en un otro distinto que es consciente de los riesgos y asimetrías del entorno donde actúa y está preparado para tomar decisiones que benefician a los demás.

En este sentido, el marco pedagógico propuesto basado en la armonía de los contrarios, lejos del riesgo de la simplificación, permite una aproximación a los escenarios reales de participación de los individuos, creando una vista sistémica de la realidad, que promueve un actuar integrado, innovador y transdisciplinar.

Lo anterior significa, entender e incorporar las diferencias naturales de las personas y las presiones del entorno, teniendo como foco el aprendizaje en los procesos más que sus resultados, motivar momentos de síntesis que consoliden la apropiación del conocimiento y la construcción de una espiral ascendente de comprensión de sus decisiones que lo habiliten para manejar la incertidumbre, producir modelos de actuación y adaptarse a los cambios.

Lograr fundar una educación en seguridad de la información con estas características, implica romper la tradición mecanicista de la formación que se tiene a la fecha, producir escozor y malestar al interior de las prácticas vigentes de protección de la información y sobre manera, quebrar los lentes actuales del entendimiento de la seguridad de la información donde los estándares exigen la repetibilidad del proceso de gestión, para poder establecer una medida del nivel de “protección” disponible y requerido en la organización.

Por tanto, esta reflexión no pretende ser un “elogio de la locura” que exalte lo negativo y reprochable, sino una búsqueda de una comprensión mayor del escenario que se advierte para avanzar en el ejercicio de protección de la información. Esto es, aprendamos a través de las equivocaciones y construyamos desde los estándares probados, para que, como anota De la Torre (2004), “el error sea un incidente esclarecedor del proceso y, no un resultado ni un hecho irremediable de la naturaleza humana”.

Referencias
Acosta, S. (2014) Pedagogía por competencias. Aprender a pensar. México, México: Editorial Trillas.
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5.
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategia de innovación. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.
Novo, M., Marpegán, C. y Mandón, M. (2011) El enfoque sistémico: su dimensión educativa. Madrid, España: Editorial Universitas, S.A.
Schoemaker, P. (2011) Brilliant mistakes. Finding success on the far side of failure. Philadelphia, USA: Wharton Digital Press.

Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Bogotá, Colombia: ECOE Ediciones.

1 comentario: