Gráfico 5: Componente de la Estructura Organizacional de la SIF que afecta el Esquema de Seguridad
Orlando Viloria, Miguel Torrealba y Walter Blanco
La estructura organizacional es uno de los componentes del diamante de Leavitt o modelo dinámico organizacional. Uno de los aspectos a adecuarse para la adopción de un esquema de seguridad es la flexibilidad que debe tener y que se presenta a continuación. (ver gráfico 5)
Gráfico 5: Componente de la Estructura Organizacional de la SIF que afecta el Esquema de Seguridad
En las universidades la instrumentación como estrategia corporativa de un esquema de seguridad de la informática, por muy sencillo e incompleto que sea, generará cambios en los componentes del modelo de Leavitt, ya que al incorporar nuevas herramientas de hardware, de software y de comunicaciones (tecnologías); se producen cambios en las normas, en los procedimientos, en los valores y en las políticas de seguridad (cultura), en los roles y en las responsabilidades, en las actitudes y en las aptitudes (gente) y obviamente en la estructura organizacional. Todos los ajustes generados por el nuevo esquema, son rizos retroalimentadores negativos para reducir la entropía existente en la organización por los diversos cambios acontecidos como consecuencia de la implantación de una planificación estratégica de la seguridad. Este proceso de autorregulación o de autoorganización de la institución establece un nuevo estado de equilibrio dinámico de Leavitt, pero con sus mismos componentes.
En las universidades venezolanas se adoptan esquemas de seguridad, pero no son sistémicos, no existen planes para crear la cultura a la seguridad, no existen políticas de seguridad y si existen no se conocen, lo que trae como consecuencia la no realización de los cambios necesarios en los componentes del modelo dinámico de Leavitt para gestionar el caos. Morales (2004) cita:
La estructura organizacional de las universidades no incluye administradores, ni técnicos en el área de seguridad y es frecuente que el personal que asume las responsabilidades haya sido contratado para ejecutar otras. Así el perfil de los encargados se aleja mucho de lo ideal y la instrucción en el área se fundamenta en el aprendizaje empírico, al igual que en el ensayo y error. |
De modo que los cargos administrativos con funciones en la seguridad de la informática no están creados y tampoco tienen códigos, lo que evidencia que no existe la cultura de la seguridad en las universidades y la institución no se autoorganiza para converger en otro estado de equilibrio dinámico con niveles de entropía tolerables, faltan elementos de orden (vórtices) como la creación de estos cargos. Aún así, la contratación de personal en computación o afín no garantiza que estos trabajadores del conocimiento tengan el dominio personal en el área de la seguridad de la informática y sus funciones no garantizan la instalación y ejecución de planes de seguridad adecuados a la realidad actual.
También, Torrealba y Morales (2005) opinan que en algunas universidades venezolanas, la gerencia corporativa no comprende cómo manejar el problema de la seguridad, y en la estructura organizacional solamente se identifica un área funcional o unidad organizacional (caso Universidad Simón Bolívar) como la única responsable de la misma, se mantiene una actitud reactiva y las normas internas no abordan el problema, acota Torrealba. Por ello, la Universidad Simón Bolívar tiene un ente administrativo encargado de la seguridad de la informática.
Por todo lo anterior, se debe adecuar la estructura organizacional a los cambios de los componentes del modelo de Leavitt, con la creación, modificación y fortalecimiento de las unidades organizacionales encargadas de la seguridad informática. De la ubicación en la jerarquía organizacional de la(s) unidad (es) encargada (s) de la seguridad informática dependerá la importancia que le asigna la alta gerencia (ver gráfico 5).
En los modelos descritos anteriormente, existen factores que afectan cualquier esquema de seguridad de la información que se implanten en las universidades. Todos estos modelos con sus componentes o sistemas están relacionados sistémicamente y conforman otro sistema o supersistema más complejo (ver Gráfico 6), tal como lo evidencia en el análisis anterior de forma individual de cada uno de ellos. Por ejemplo la falta de una visión compartida con respecto a la inseguridad de la información y la ausencia de códigos deontológicos en el uso de las TIC, generan problemas en la implantación de cualquier esquema de seguridad. En conclusión la cultura y la gestión de la seguridad y, los administradores de las redes y las aplicaciones pueden afectar positiva o negativamente cualquier esquema de seguridad que se implante en la universidad. Si existe la cultura de la seguridad y todo lo que ella implica, más una gerencia y administradores de redes proactivos con un alto dominio personal estarán los condiciones adecuadas para el éxito del esquema de seguridad.
Gráfico 6: Modelo de la Seguridad
La seguridad de la información es un tema complejo de tratar, con elementos caóticos. Asegurar, eficazmente, la información digital en las universidades venezolanas resulta dificultoso de conseguir en la práctica. Muchos elementos inciden sobre el resultado final y demandan atención en conjunto para lograr encauzar un problema que parece de índole técnico pero que sigue siendo de naturaleza muy humana. Este trabajo ha expuesto un modelo para abordar el tratamiento de la seguridad informática desde una perspectiva de las organizaciones inteligentes. Un modelo que incorpora elementos organizacionales y humanos en la gestión de una realidad en instituciones que cada día son más exigidas para lograr sus metas.
El modelo se construyó a partir de trabajos de investigación en varias universidades venezolanas y puede ser empleado al momento de establecer estrategias y planes institucionales para regular la problemática de la seguridad informática en dichas instituciones. Es decir, para instrumentar un tratamiento diferente al que hasta ahora se viene aplicando y que ha arrojado lamentables resultados, conformando de ese modo un esquema diferente de gestión de la seguridad.
El modelo se concentra en cuatro grandes elementos: cultura de la seguridad informática, gestión de la misma, tecnologías de la información y comunicaciones vinculadas y estructura organizacional. Para cada uno de éstos se describen los principales factores que los afectan y que permitirían regular la dirección o incidencia que se desea alcanzar en el elemento tratado.
Finalmente, se recomienda poner en práctica el modelo expuesto a razón de realizar los ajustes que la práctica pudiese determinar y hacer un seguimiento científico a su aplicación como medio para mejorar la gestión de la seguridad informática en las universidades venezolanas.