IMAGINARIOS SOCIALES. UNA HERRAMIENTA SISTÉMICO-SOCIAL PARA

TRANSFORMAR UNA CULTURA ORGANIZACIONAL DE SEGURIDAD DE LA

INFORMACIÓN

Jeimy J. Cano M.

Universidad Santo Tomás

Doctorando en Educación

Resumen

En este artículo se presentan los resultados de una investigación adelantada

durante el año 2015 en una empresa del sector minero energético con

aproximadamente 9000 empleados, seleccionando al azar 393 personas de cargos

y responsabilidades diferentes. La investigación tuvo como objetivo establecer el

diagnóstico de la cultura organizacional de seguridad de la información para lo cual

se tuvo como referente conceptual la teoría de los imaginarios sociales y los

fundamentos epistemológicos del pensamiento de sistemas y la sociocibernética.

En la investigación se empleó un diseño de tipo seccional, en el que los imaginarios

sociales de la seguridad de la información propuestos se evaluaron a través de la

aplicación de un instrumento (cuestionario experimental basado en una escala de

Likert). Los resultados obtenidos se analizan mediante operaciones matemáticas

donde se promedian las puntuaciones de cada una de las declaraciones disponibles

en el instrumento, seleccionado aquellas con menor desviación estándar, las cuales

se cruzan con los imaginarios propuestos para hallar aquel que es más

predominante. Finalmente, basado en los resultados se ofrecen algunas

conclusiones que confirman la relación existente entre individuo y sistemas sociales,

y cómo los imaginarios sociales permiten revelar aspectos invisibles de una cultura

organizacional de seguridad de la información.

Palabras clave

Seguridad de la información, imaginarios sociales, pensamiento sistémico

Introducción

La sociedad del siglo XXI está fundada sobre la base del tratamiento de la

información como quiera que en las relaciones que desarrolla lo que fluye y se

manifiesta es este recurso natural propio de una sociedad de la información y el

conocimiento (Córdoba-Pachón, 2010). En este sentido, la digitalización acelerada

de productos y servicios, nos advierte sobre los cambios y transformaciones que se

están presentando en la dinámica social y que delinean formas alternas a través de

las cuales los individuos se relacionan y construyen su realidad (Cortada, 2011).

En este ejercicio de construcción social cada persona establece su propio

referente sobre lo que comparte y valida frente a su realidad, dejando de lado

aquello que, puede o no ser relevante, y que no se encuentra potencializado, bien

por sus intereses o necesidades del momento. Esto supone, que la cada persona

en su interacción social define la manera como indica la realidad y revela aquello

que considera importante, bien porque lo afecta de manera directa o se encuentra

asistido por una utilidad particular.

Así las cosas, como bien anota Pintos referenciado por Cegarra (2012), “cada

acto individual de lo cotidiano o del mundo de la vida da cuenta de los imaginarios

como esquemas de esa integración social”, que en términos de Luhmann es “el

resultado de las «distinciones» realizadas desde observadores que operan con

unas particulares (y siempre parciales) «observaciones»” (Carretero, 2010, p.100).

En este contexto, la Cultura Organizacional de Seguridad de la Información -

COSI, no es ajena a esta realidad compartida en las empresas, como quiera que

los comportamientos que se esperan respecto del tratamiento de la información,

serán un reflejo de ese imaginario compartido que da cuenta de la forma como una

comunidad entiende, valida y confirma la protección de la información, para lo cual

se hace necesario revelar las distinciones relevantes, que siguiendo a Pintos

comentado por Carretero (2010, p.100), hace manifiesta una manera de ser

particular de la realidad, respecto de esta temática.

En razón con lo anterior, este trabajo de investigación fundado en el

reconocimiento de los imaginarios sociales, leídos desde los desarrollos teóricos y

epistemológicos de Pintos (1994, 1995, 1999), realiza una mirada novedosa sobre

la cultura organizacional de la seguridad de la información, para recabar los

imaginarios vigentes en una empresa particular alrededor de la protección de la

información, como fundamento y diagnóstico de dicha cultura, con el fin de revelar

esos referentes compartidos respecto de la seguridad de la información donde

subyacen creencias, valores y actitudes.

Para dar cuenta de las reflexiones previamente comentadas el documento se

organiza de la siguiente forma. En la sección antecedentes, se detallan las

motivaciones y contexto epistemológico en los cuales surge la necesidad de

conocer y detallar lo que ocurre al interior de la cultura organizacional de seguridad

de la información y cómo ésta es el fundamento clave para promover y asegurar

una gestión segura de la información.

Seguidamente, en el marco teórico se detallan los conceptos claves que

fundan la investigación como son el imaginario social, la cultura organizacional de

seguridad de la información y la propuesta de imaginarios de la seguridad de la

información, basados en las creencias, valores y actitudes de las personas, para lo

cual un estudio reciente en seguridad de la información de alcance internacional

(CISCO, 2015) pone de manifiesto cuatro perfiles de personas y sus posturas frente

a la protección de la información.

Luego, se presentan los elementos prácticos de la metodología de

investigación realizadas, donde se caracteriza la población, la caracterización base

de sus lectura de la seguridad de la información y se informa sobre los métodos de

validación del instrumento utilizado así como la validez interna del mismo.

Finalmente, se presentan los resultados y la discusión final respecto de los

planteamientos teóricos realizados, con el fin de establecer recomendaciones sobre

los constructos sociales identificados y cómo fundamentar aquellos nuevos

imaginarios sociales deseados sobre la cultura organizacional de seguridad de la

información.

Antecedentes

La protección de la información en la sociedad de la información y el

conocimiento es un reto no solamente de las organizaciones modernas sino de la

sociedad en sí misma. Como quiera que la información se ha convertido en un activo

estratégico de las empresas, su adecuado tratamiento es una condición clave para

efectos de mantener y desarrollar ventajas competitivas en un mundo en constante

movimiento.

La tensión inherente que se presenta entre la necesidad de compartir y

proteger en el escenario actual genera retos importantes tanto para la sociedad

como para las organizaciones. Mientras las exigencias de transparencia y eficiencia

propias del gobierno corporativo obligan a las empresas a compartir información, la

dinámica propia de sus negocios le demanda mantener restricciones en el acceso

a información, que define la forma especial y diferente en que hace las cosas, en su

sector de negocio.

En este sentido, cuando las personas en las organizaciones, no comprenden

las implicaciones de sus comportamientos inadecuados frente al tratamiento de la

información, crean las condiciones donde los riesgos se materializan en brechas de

seguridad de la información, generando implicaciones para las empresas en el

orden financiero, reputacional y jurídico (posibles sanciones legales).

Frente a esta realidad, la cultura organizacional de seguridad de la información

de la empresa se convierte en el mejor ejercicio de aseguramiento disponible para

la empresa y la sociedad, habida cuenta que es en las prácticas de las personas

donde se hace realidad la efectividad de la seguridad y control de la información,

más allá de los mecanismos tecnológicos utilizados.

Por tanto, una lectura de la cultura organizacional de seguridad de la

información, como parte de un sistema social complejo (García, 2013), en el

contexto de la sociedad de la información y el conocimiento, supone comprender la

evolución de los comportamientos propios de un conglomerado social respecto del

tratamiento de la información, reconocer los imaginarios que se manifiestan en su

práctica y advertir las características no observables inherentes a las actividades o

acciones que los individuos desarrollan alrededor de sus procesos de negocio.

La complejidad de los sistemas sociales, invita a una aproximación diferente a

las formas de conocer tradicionales, mientras que éstos emergen “cuando miembros

de un colectivo producen una red cerrada de interacciones o relaciones recurrentes”

(Espejo, 2012, p.329) donde comparten significados y experiencias a través de sus

acciones y decisiones, que los hacen distintos de otros colectivos, dándoles

identidad propia.

Lo anterior representa que los significados creados y producidos por los

actores de la comunidad son determinados por sus estructuras y no por la

información que se encuentra en el medio donde ésta opera (Espejo, 2012, p.331).

Esto es, que existe una red de significados compartidos, que absorbe la información

del medio donde se encuentra el sistema social, para incorporarla en la medida que

sea pertinente y así mantener su propia identidad.

Así las cosas, introducir cambios en los sistemas sociales resulta una tarea

exigente, pues su respuesta natural es mantener su identidad y no cambiar sus

relaciones. En este contexto, cuando dichos sistemas cambian, es decir modifican

sus estructuras para mantener su identidad, lo hacen como agentes autónomos que

se adaptan para continuar existiendo en su entorno (Espejo, 2012, p.332).

Si lo anterior es cierto, parafraseando a Vozmediano,

sólo podemos tratar con sistemas sociales en los cuales todos sus cambios

están determinados por su estructura, cualquiera que esta sea, y en los cuales estos

cambios estructurales se dan como resultado de su propia dinámica o

desencadenados por sus interacciones” (las cursivas están fuera del texto original).

(Vozmediano, 2014, p.159)

Lo anterior lo corrobora Giddens (1995) al afirmar que cuando los participantes

de los sistemas sociales desarrollan sus acciones, afectan los contextos en los que

se lleva a cabo la vida social cotidiana. De igual forma, la estructura, determinada

por reglas y recursos organizados de manera recursiva, restringen y permiten a los

individuos actuar en su entorno social, creando una relación de causalidad circular,

donde la estructura no existe sin el conocimiento y participación de los agentes o

individuos en su accionar cotidiano.

Así las cosas, la cultura organizacional de seguridad de la información es un

proceso de construcción de realidad sistémico, fundado sobre operaciones

cognitivas de sus participantes que se repiten de manera anidada (Von Foerster,

2003), asociados con comportamientos propios de las comunidades y cuyas

estructuras se recomponen así mismas en un escenario de evolución que va desde

lo reactivo a lo sostenible, como tendencias de la madurez de un proceso que se

inicia en un individuo y se hace realidad en un colectivo.

Marco teórico

De acuerdo con Carretero (2010) existen al menos tres niveles de

entendimiento de los imaginarios sociales: el arquetipo cultural, la significación

imaginaria y el constructor de realidades sociales.

El arquetipo cultural concepción de Gilbert Durand, expuesto en su obra “Las

estructuras antropológicas de lo imaginario” publicada en 1981, establece la visión

del imaginario social en tres vértices fundamentales: (Carretero, 2010, p.93-95)

La presencia de arquetipos con referencia a «constantes antropológicas»,

donde se privilegian figuras e imágenes mitológicas, las cuales actuarían a

modo de pilares presupuestos, intangibles y globales, sobre los que se

reposa y, al mismo tiempo, se articula la totalidad del ser y del sentir de una

cultura.

“El «imaginario social» está relacionado con ese permanente «fondo

cultural», con esa persistente huella mítica fijada en «imágenes

primordiales», que perseveraría en su actuación más allá de los avatares

y de las complejas sinuosidades históricas” (Carretero, 2010, p.94).

El imaginario social se encarna en el símbolo, haciéndose visible, “la

invisibilidad mítica y arquetipal sobre la cual se ancla una determinada

cultura” (Carretero, 2010, p.95).

De otra parte tenemos la significación imaginaria es una conceptualización

más elaborada que la anterior. Comelius Castoriadis es el representante más

relevante de esta propuesta, manifiesta en su obra “La institución imaginaria de la

sociedad” publicada en 1975. Para Castoriadis, el imaginario social es una creación

de “significaciones imaginarias sociales y de la institución”. Esto es, nace como un

fenómeno individual, que luego pasa al plano social en el contexto de las relaciones

entre los participantes, el cual “se colectiviza no como una suma de imaginarios

individuales, sino gracias a condiciones históricas dadas y sociales favorables para

lograr ser instituidos” (Cegarra, 2012, p.10).

La vista del constructor de realidades sociales, cuyo representante está en

Juan Luis Pintos, materializado en su obra “Los imaginarios sociales: la nueva

construcción de la realidad social” publicada en 1995, entiende los imaginarios

sociales desde el constructivismo sistémico como mecanismos de comprensión de

la realidad y del orden social. Para Pintos (1999) un imaginario social son “aquellos

esquemas, construidos socialmente, que nos permiten percibir algo como real,

explicarlo e intervenir operativamente en lo que en cada sistema social se considere

como realidad”, definición que supone que:

“La realidad social es el resultado de las distinciones efectuadas por

observadores que operan con unas particulares (y siempre parciales)

«observaciones»” (Carretero, 2010, p.100).

Un determinado «imaginario social», al operar mediante una «distinción»,

haría relevante una concreta manera de ser de la realidad, haciendo

opacas otras posibles maneras de ser —también plausibles— a través de

las cuales se nos podría hacer presente esa misma realidad (Carretero,

2010, p.100).

Las sociedades actuales, son sociedades «policontextuales», donde existe

una prevalencia de la competencia entre distintas instituciones, medios de

comunicación, entre otros, por adueñarse de una definición particular de la

realidad (Carretero, 2010, p.101).

Para el caso de esta investigación los imaginarios sociales estarán asistidos

por las definiciones del constructor de realidades, donde las consideraciones de la

sociocibernética (Pintos, 1994) estarán presentes, para hacer visible lo invisible, “es

decir, las regulaciones sociales adquieren “materialidad” sólo cuando son puestas

en escenas a través de las actuaciones debidamente sancionadas y reguladas de

los comportamientos individuales” (Cegarra, 2012, p.10).

En este sentido, si lo anterior es correcto y considerando la cultura

organizacional de seguridad de la información una construcción colectiva y anidada

de elaboraciones sociales y significaciones que los individuos le dan a aspectos

específicos de la protección de la información, tenemos una articulación conceptual

y epistemológica que nos permite leer y explicar las posibles opacidades y luces

que implica la lectura de los comportamientos de los individuos en el tratamiento de

la información.

Reid, Van Nieker y Renaud (2014) introducen el concepto de cultura de

seguridad de la información, entendiendo éste desde la vista de sistemas anidados

que revelan propiedades emergentes que le permiten automantenerse y

autorepararse. Esta lectura corresponde a una interpretación desde la teoría de los

sistemas vivos, los cuales son entes abiertos, complejos, adaptativos y

autoorganizados que interactúan con su medio ambiente u otros sistemas.

Esta definición introduce la noción de anidamiento, que leído en términos

cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se

repite al interior de la estructura estudiada, en donde el nivel superior depende de

los comportamientos propios de los niveles inferiores. Esto supone comprender que

cada interacción entre los participantes de un grupo particular y contexto específico,

logra construir una vista propia de actuación que marca una forma y proceso que la

distingue, sin perjuicio que comparta la generalidad presente en el nivel estudiado.

Así las cosas, cada individuo en un área particular cuenta con una cultura de

seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida

por tres elementos como son apropiación, concientización y cumplimiento.

Revisados estos considerandos en las reflexiones de este investigador, podemos

detallar los comportamientos que caracterizan cada uno ellos, para entender en

contexto lo que significa en concreto esa cultura inherente a cada persona.

Ahora bien, al estudiar un equipo o grupo particular, las interacciones de cada

persona alrededor de la protección de la información van demarcando el

comportamiento propio de esa comunidad, para lo cual la lectura de los tres

componentes ahora en la vista colectiva, nos permite ir descubriendo la secuencia

de comportamientos que caracterizan dicha colectividad.

Cuando empezamos la revisión desde el nivel general y vamos a niveles

particulares, el ejercicio que se realiza es de análisis, lo cual permite conocer y

descubrir la estructura en la cual nos movemos para advertir los componentes de la

Cultura Organizacional de Seguridad de la Información (COSI). Mientras al

regresarnos del nivel inferior al superior, adelantamos diagnóstico del nivel superior,

basado en las reflexiones y revisiones efectuadas en el nivel inferior como se

advierte en la figura 1. De esta forma confirmamos la vista sistémica de la estrategia

para conocer la COSI.

Figura 1. Vista anidada de la construcción y diagnóstico de una cultura organizacional de seguridad

de la información

En otras palabras, la última frase significa descubrir la estructura compleja o

sistema de relaciones que conforman la realidad social estudiada, en este caso la

COSI, que necesariamente implica partir de la realidad que se da sobre un

conglomerado específico y revelar la forma como interactúa su estructura de

relaciones y establecer los referentes propios de cada uno de ellos, que de manera

recursiva se repiten a sí mismos, dándole clausura e identidad al colectivo bajo

estudio.

Alineado con lo anterior, un reciente estudio de CISCO (2015) revela una serie

de cuatro (4) perfiles de personas, respecto de su vista sobre la protección de la

información, que se articulan con las creencias, valores y actitudes propias de un

colectivo que comparte una forma particular de ver la “realidad” del cuidado de la

información según su experiencia y práctica corporativa.

Los cuatro perfiles identificados definen construcciones sociales particulares

que hacen realidad una distinción concreta, lo que revela un imaginario social

específico, que describe la forma como en la práctica se entiende y protege la

información.

De acuerdo con el estudio mencionado, los cuatro perfiles analizados son:

(CISCO, 2015)

El consciente, persona que está atenta de los riesgos de seguridad de la

información y entiende que la protección de los activos estratégicos de

información responde a una responsabilidad compartida. Su ejercicio de

protección de la información, implica el reconocimiento de unas

necesidades tanto de la organización como personales.

El bien intencionado, es un sujeto que trata de mantenerse alineado con

las prácticas de seguridad y control de la organización, entiende que la

información es un activo relevante para la empresa, pero no siempre

comprende los impactos de cómo su comportamiento puede facilitar o

motivar una brecha de seguridad de la información.

El complaciente, es un individuo que cree que el riesgo de seguridad de

la información y la posibilidad latente de una brecha están sobre

dimensionados. Si bien entienden que la información es un recurso

estratégico de la empresa, creen adicionalmente que las medidas de

seguridad y control disminuyen su desempeño y limitan la innovación. No

se adhieren las políticas de seguridad y control, pues juzgan que es deber

de la organización proveer o suministrar los mecanismos de protección

necesarios para el desarrollo de su trabajo.

El temerario no entiende y no asume la responsabilidad que tiene en la

protección de la información. Si bien sabe que la información es un recurso

más de la empresa, no gusta de las políticas de seguridad de la

información, pues las siente como imposición de la organización. Su

comportamiento frente al aseguramiento de la información, no se advierte

como un riesgo clave para la organización, pues el foco se encuentra en

los ataques externos, mediados por la criminalidad organizada.

Basado en lo anterior, se establece una estructura conceptual que vincula

cada uno de los cuatro perfiles con imaginarios sociales, asociados con las

creencias, valores y actitudes (Escámez, García, Pérez y Llopis, 2007)

subyancentes en las “realidades” identificadas por cada uno de los grupos humanos

nombrados.

Tabla 1

Imaginarios de la seguridad de la información (Autoría propia)

Imaginario Creencia Valor Actitud Responsabilidad

Conscientes Información es un activo estratégico

Proteger Positiva Personal

Bien intencionados

Información en un activo

Asegurar Positiva Personal

Complacientes Información es un recurso estratégico

Suministrar Negativa Empresa

Temerarios Información es un recurso

Imponer Negativa Empresa

Metodología de investigación

Atendiendo a los criterios para la clasificación de los diseños de

investigaciones propuesto por Sierra (1994, p.142), este trabajo utiliza un diseño de

tipo seccional, el cual consiste de la observación sistemática de un grupo o

población en un momento del tiempo, donde se emplean técnicas de recogida de

datos basadas en la observación directa o a través de instrumentos (cuestionario

basado en escalas de Likert), sin intervenir o afectar las características que se

observan en los miembros de la comunidad bajo estudio.

La unidad de observación fueron profesionales de diferentes cargos y

responsabilidades, pertenecientes a 14 áreas diferentes de una empresa del sector

minero energético con operaciones en el país.

Considerando la población total de 9000 funcionarios de planta de empresa,

elegidos al azar y siguiendo los parámetros de la fórmula para calcular el tamaño

de la muestra sobre una población finita, con nivel de confianza del 95%, se

establece que se requieren 368 personas para que los resultados de la aplicación

del instrumento previsto representen realmente al universo de funcionarios de

planta de la organización. 393 profesionales de la organización diligenciaron la

totalidad del instrumento de recolección de información en la investigación.

Figura 2. Cálculo del tamaño de la muestra

En lo referente a las variables o características a observar, en este caso los

imaginarios de la seguridad de la información descritos previamente, se puede

indicar que, son de naturaleza descriptiva, variables de tipo cualitativo y cuyo nivel

de abstracción es general, los cuales se operacionalizan de acuerdo con lo indicado

en la tabla 1.

Para el desarrollo de esta investigación se aplicó un cuestionario general de

20 ítems, basado en una escala de Likert de tendencia negativa, orientados a

determinar el tipo de imaginario de la seguridad de la información presente en la

organización objetivo. Estas 20 declaraciones se diseñaron y validaron con el área

de seguridad de la información de la empresa, como resultado del programa de

interiorización y concientización que se ha desarrollado durante los últimos 6 años

a nivel de toda la organización.

Figura 3. Cuestionario general de percepción de seguridad de la información

Dado que el cuestionario diseñado es un instrumento experimental, se

requiere validar su consistencia interna, con el fin de estimar la fiabilidad del mismo,

esto es, que el conjunto de ítems establecidos mida el mismo constructo o

dimensión teórica (Frías, s.f.).

En razón con lo anterior, se utilizó el coeficiente Alfa Cronbach, que “asume

que los ítems (medidos en escala tipo Likert) miden un mismo constructo y que

están altamente correlacionados” (Frías, s.f.). Cuanto más cerca se encuentre el

valor alfa a 1 mayor es la consistencia interna de los ítems analizados. De acuerdo

con Oviedo y Campo (2005, p.576), “el coeficiente alfa de Cronbach es más

fidedigno cuando se calcula a una escala de veinte ítems o menos”.

Figura 4. Cálculo de coeficiente Alfa Cronbach

De acuerdo con estos resultados, podemos indicar que la confiabilidad del

instrumento utilizado es alta y que medirá lo relacionado con lo planteado respecto

de los imaginarios de seguridad de la información ilustrados previamente.

Para identificar el imaginario predominante se toma el promedio de las

respuestas de cada una de las preguntas con menor desviación estándar y se cruza

contra la propuesta de imaginarios de seguridad de la información previamente

planteado. De esta forma se establecen, aquellas actitudes más relevantes que

confirman alguno de los imaginarios establecidos como referentes.

Resultados

Luego de tabular las 393 respuestas de los participantes en esta investigación

se identifican las siguientes declaraciones con menor desviación estándar. Es

importante recordar que dado que la escala de Likert planteada es de tendencia

negativa, los resultados deben leerse por el complemento.

Tabla 2

Resultados de la aplicación del instrumento diseñado para la investigación

No. de pregunta

Declaración Promedio Desviación Estándar

1 La seguridad de la información es un asunto exclusivo de la Coordinación de la DTI.

4,32 1,09

2 El tratamiento seguro de la información de la compañía es responsabilidad del Coordinador de Seguridad.

4,21 1,07

16 El tratamiento de la información no aporta significativamente al sostenimiento económico de la compañía.

4,43 0,72

6 La Seguridad de la Información es un tema que otros hacen por mí. 4,43 0,72

11 Lo que no está expresamente solicitado por mis jefes no entra dentro de mis funciones o compromisos.

3,85 1,05

12 Mi comportamiento frente a la información que manejo no afecta al resto del área y menos a la compañía.

4,18 1,03

17 He escuchado sobre hábitos relacionados con la gestión segura de la información pero no están relacionados con mis labores.

4,11 0,89

19 Tengo demasiado trabajo y presiones diarias como para gastar tiempo en Seguridad de la Información.

4,14 0,84

20 La Seguridad de la Información no está dentro de mis prioridades. 4,29 0,81

13 Las herramientas tecnológicas instaladas en mi equipo, son suficientes para mantener mi información segura.

2,83 1,25

Considerando los datos indicados en la tabla anterior, la puntuación indicada

en el instrumento diseñado y teniendo en cuenta la orientación negativa de las

declaraciones podemos indicar que en la organización objeto de estudio:

1. La seguridad de la información no es un asunto exclusivo de un área en

particular.

2. El tratamiento de la información es un tema en el cual las personas también

son responsables.

3. Un adecuado tratamiento de la información aporta significativamente al

sostenimiento económico de la empresa.

4. La seguridad de la información hace parte de las actividades diarias de las

personas.

5. Los comportamientos de las personas frente al tratamiento de la

información afectan sus áreas de trabajo y la compañía en general.

Estos resultados cruzados contra los imaginarios planteados, nos ubican a la

empresa bajo estudio al menos en el imaginario denominado “Bien intencionados”,

donde la información es un activo, se tiene la idea de asegurarla en la medida que

se requiera pues reconoce que su inadecuado tratamiento puede afectar tanto a su

área de trabajo como a la empresa.

De igual forma se advierte una actitud positiva hacia la seguridad de la

información como quiera que las personas saben que la adecuada protección de la

información, hace parte de sus actividades diarias, aunque algunas veces no

comprenda claramente los impactos de la aplicación de las prácticas de gestión

segura de la información.

Discusión

De conformidad con lo señalado en el marco teórico, la cultura organizacional

de seguridad de la información es una construcción colectiva y anidada de

elaboraciones sociales y significaciones que los individuos le dan a aspectos

específicos de la protección de la información. En este sentido, la teoría de los

imaginarios sociales, que siguiendo las indicaciones de Pintos (1999), se definen

como “aquellos esquemas, construidos socialmente, que nos permiten percibir algo

como real, explicarlo e intervenir operativamente en lo que en cada sistema social

se considere como realidad”, establecen referentes básicos para comprender la

dinámica interna de las organizaciones respecto de sus prácticas de gestión segura

de la información.

Aunque si bien los resultados muestran que en la organización evaluada

predomina el imaginario de los “Bien intencionados” no significa que no exista un

porcentaje importante de la población que se encuentre identificado con los

imaginarios “Complaciente” y “Temerario” como quiera que, siguiendo los

desarrollos de Luhmann, “en la base de toda construcción se encuentra una

distinción, que establece un frontera entre dos espacios, donde la distinción no

presupone la diferencia sino que la articula” (Maas, Amozurrutia, Almaguer,

González y Meza, 2012, p.28).

Los resultados muestran que existe una alta confianza en los mecanismos

tecnológicos de seguridad de la información instalados en la empresa y su nivel de

efectividad, que pueden llevar a una falsa sensación de seguridad que confronte el

imaginario actual, debilitando la responsabilidad personal y privilegiando la

empresarial. Por tanto, se hace necesario, mantener una observación permanente

de la evolución del imaginario, habida cuenta que la reconstrucción de la realidad

respecto del tratamiento de la información está inmersa en la dinámica social de

cada empresa.

Los resultados también parecen confirmar trabajos de investigación reseñados

por Randazzo (2012, p.92), en el sentido que los imaginarios sociales “estructuran

el edificio social con base a esquemas mentales socialmente construidos, que

funcionan como sistema de interpretación, donde las significaciones imaginarias

institucionalizadas cristalizan una percepción natural del mundo” (las cursivas están

fuera del texto original).

Lo anterior leído en clave de una cultura organizacional de seguridad de la

información equivale a afirmar que las prácticas de gestión segura de la información

se institucionalizan en el hacer y saber práctico de las personas, que no sólo

distingue a aquellos que entienden la responsabilidad frente a su tratamiento, sino

que revela la opacidad de aquellos que la experimentan bien como una imposición

o como algo que debe suministrar la organización para la realización de sus

actividades.

Conclusiones

Con base en los resultados obtenidos, y los referentes teóricos revisados, las

principales conclusiones y recomendaciones que se derivan de esta investigación

son las siguientes:

Si bien puede existir imaginarios sociales predominantes para la seguridad de

la información en una organización, estos pueden variar confirme evoluciona la

dinámica social propia de la empresa, en palabras de Coca y Pintos (2006, p.67),

de acuerdo con un “conjunto de intereses generales, de organizaciones particulares

o de los individuos” e incluso dependiente de la forma como se lean, asuman e

incorporen las brechas de seguridad de la información ocurridas en la empresa.

Al examinar la correspondencia entre los resultados del instrumento y los

imaginarios planteados, se observa que las percepciones identificadas y

predominantes se emparejan con la realidad de la organización analizada. No

obstante, esta correspondencia no significa que existan casos donde se encuentren

percepciones diversas, cuando se analizan grupos particulares de la misma

organización.

En general, los resultados muestran que los imaginarios sociales respecto de

la seguridad de la información, revelan la unión existente entre individuo y sistemas

sociales, que funcionando como un mecanismo transversal en una organización, es

capaz de revelar una realidad invisible a los artefactos naturales de una cultura y

cambiar los comportamientos de las personas, como quiera que la construcción y

mantenimiento de éstos, es producto de un proceso colectivo que legitima o no una

realidad concreta sobre la protección de la información.

Agradecimientos

El autor agradece a los ingenieros John Redondo y Yadir Molina por su apoyo

y revisión de los instrumentos y validación de los mismos durante el desarrollo de

esta investigación.

Nota

Este artículo hace parte de la tesis doctoral que actualmente se desarrolla en

el contexto del Programa Doctoral en Educación de la Universidad Santo Tomás de

Aquino, con sede en Bogotá.

Referencias

Alnatheer, M. (2012) Understanding and measuring information security culture in

developing countries: case of Saudi Arabia (Doctoral Thesis). Queensland

University of Technology, Australia.

Carretero, A. (2010) Para una tipología de las «representaciones sociales». Una

lectura de sus implicaciones epistemológicas. EMPIRIA. Revista de

Metodología de Ciencias Sociales. 20, Julio-Diciembre, 88-108. Recuperado

de: http://www.redalyc.org/articulo.oa?id=297125195004

Cegarra, J. (2012) Fundamentos teórico epistemológicos de los imaginarios

sociales. Cinta Moebio. 43, 1-13. Recuperado de:

www.moebio.uchile.cl/43/cegarra.html

CISCO (2015) How to be agile and secure. The fundamental challenge facing

organisations today. Recuperado de:

http://www.cisco.com/assets/global/UK/products/security/How_to_be_agile_a

nd_secure.pdf

Coca, J. y Pintos, J. (2006) Tecnociencia y cooperación: Una mirada desde la

perspectiva de los imaginarios sociales. Revista Colombiana de Filosofía de la

Ciencia. 7, 14-15. 63-75

Córdoba-Pachón, J. R. (2010) Systems practice in the information society.

Routledge Series in Information Systems. Londres, United Kingdom:

Routledge.

Cortada, J. (2011) Information and the modern corporation. Cambridge,

Massachussets. USA: MIT Press.

Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y

actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI.

Espejo, R. (2012) Seeing organisations: epistemological considerations.

Kybernetes, 41 (3/3), 327-338.

Frías, D. (s.f.) Alfa de Cronbach y consistencia interna de los ítems de un

instrumento de medida. Recuperado de:

http://www.uv.es/~friasnav/AlfaCronbach.pdf

García, R. (2013) Sistemas complejos. Conceptos, métodos y fundamentación

epistemológica de la investigación interdisciplinaria. Barcelona, España:

Gedisa.

Giddens, A. (1995) La Constitución de la Sociedad. Bases para la teoría de la

estructuración. Buenos Aires, Argentina: Ed. Amorrortu.

Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations

with the Viable System Model. Chichester, West Susex.UK: John Wiley &

Sons.

Maas, M., Amozurrutia, J., Almaguer, P., González, L. y Meza, M. (2012)

Sociocibernética, cibercultur@ y sociedad. Centro de Investigaciones

Interdisciplinarias en Ciencias y Humanidades. Colección Debate y Reflexión.

México, México: UNAM.

Oviedo, H. y Campo, A. (2005) Aproximación al uso del coeficiente de Alfa

Cronbach. Revista Colombiana de Psiquiatría. 34, 4. Septiembre/Diciembre.

Recuperado de: http://www.scielo.org.co/pdf/rcp/v34n4/v34n4a09.pdf

Pintos, J. (1994) Sociocibernética: Marco sistémico y esquema conceptual. En

Delgado, J. y Gutiérrez, J. (Coord.) (1995) Métodos y técnicas cualitativas de

investigación en ciencias sociales. Madrid, España: Síntesis, 563-580

Pintos, J. (1995) Los imaginarios sociales. La nueva construcción de la realidad

social. Madrid, España: Sal Terrae.

Pintos, J. (1999) Los imaginarios sociales del delito: La construcción social del delito

a través de las películas (1930-1999). Recuperado de:

http://idd00qmm.eresmas.net/articulos/delitocine.htm

Pintos, J. y Aliaga, F. (2012) La investigación en torno a los imaginarios sociales.

Un horizonte abierto a las posibilidades. RIPS: Revista de investigaciones

políticas y sociológicas, 11, 2,11-17

Randazzo, F. (2012) Los imaginarios sociales como herramienta. Imagonautas. 2,

2. 77-96

Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general

living systems theory perspective. Information Security for South Africa (ISSA),

13-14 August. 1-8. Doi: 10.1109/ISSA.2014.6950493.

Sierra, R. (1994) Técnicas de investigación social. Teoría y Ejercicios. Madrid,

España: Paraninfo.

Von Foerster, H. (2003) Objects: Tokens for (Eigen-)Behaviors. En Von Foerster, H.

(2003) Understanding understanding. Essays on cybernetics and cognition.

New York, USA: Springer Verlag. 261-271

Vozmediano, F. (2014) Mente Fractal. El origen de las formas. San Bernardino, CA.

USA:Sin editorial.