Gestión pública de los riesgos digitales 2.0

POLIZA-UNA NOCHE EN LA OPERA
Escena de la póliza en Una noche en la ópera

Estoy siguiendo cerca lo que está sucediendo en torno al fenómeno de la divulgación de 251,287 cables diplomáticos de Estados Unidos, a través de Wikileaks (Wiki filtraciones ó fugas), en un país que gasta 50.000 millones de dólares al año en inteligencia. Algo grave está pasando en el mundo del que, una vez parado, se quería bajar con frecuencia Groucho Marx, aunque él ya lo había advertido: “Inteligencia militar son dos términos contrapuestos” (Un día en las carreras). El problema enunciado no es sólo de corte tecnológico, sino más bien humano, en el pleno sentido del término, siendo conveniente analizarlo en profundidad, porque no está tan lejos de nosotros, de nuestro país, de nuestra Administración, de nuestras casas, de nuestros perfiles digitales. En un contexto de efectos incalculables, quiero reforzar hoy más que nunca la teoría crítica digital de que las tecnologías y las comunicaciones tienen que planificarse y gestionarse de forma estratégica y con carácter prioritario en la Administración Pública, como garantía de un Estado de derecho y constitucional en relación con la relación que establecen los ciudadanos con cualquier Administración Pública, porque la condición humana, simbolizada en hakers, crackers y demás figuras antológicas, o en cualquier funcionario desencantado, puede entregar a intereses espurios, más o menos oscuros, la quintaesencia de las personas, su confidencialidad o la privacidad del Estado de derecho. Así de claro.

Pero ¿cómo ponemos puertas al campo digital? Desde hace muchos años, vengo defendiendo la necesidad de gestionar los riesgos digitales desde una vertiente muy profesionalizada en la Administración Pública. En 2000, en una presentación que llevé a cabo en las Jornadas de Informática Sanitaria de Andalucía (todavía de utilizaba la preposición “de” que más tarde evolucionó afortunadamente a “en”, con todo lo que ello conlleva de visión de Andalucía abierta al mundo…), partía de un análisis que ya había lanzado al mundo Nicholas Negroponte y que hoy cobra especial actualidad: “La próxima década será testigo de un sinnúmero de casos de abusos de los derechos de propiedad intelectual y de invasión de nuestra intimidad. habrá vandalismo digital, piratería del software y robo de información” (El mundo digital). Y allí planteé que se pueden adoptar dos decisiones estratégicas al respecto: la primera, la propugnada ya por Groucho Marx en Una noche en la ópera, cuando vende una póliza a un maletero del barco, que no cubre nada…, en una escena hilarante que siempre perdió fuerza ante la del camarote. Es decir, la cobertura del riesgo consecuente, como actitud tan castiza en España: sólo nos acordamos de Santa Bárbara cuando truena:

– O.B. DRIFTWOOD (Groucho Marx): Fíjese en ese guardabarros, está completamente abollado. Tendrá que pagarlo, amigo. ¿Qué número tiene usted?, ¡el 32, eh…! ¿Está asegurado?. ¿Que si tiene seguro?

– C.: No señor

– O.B. DRIFTWOOD (G.M.): Es usted el hombre al que andaba buscando. Llevo aquí una póliza que le protegerá contra todo accidente imprevisto. Por ejemplo, pierde una pierna y nosotros le ayudamos a encontrarla y solo le costará… ¿Qué lleva usted ahí? ¡un dólar!, ¡suya es la póliza!

Groucho Marx: Una noche en la ópera

La segunda, la profesionalización de la planificación estratégica de la política y gestión de riesgos digitales, como dos escenarios que tienen que estar esencialmente diferenciados y que están obligatoriamente obligados a entenderse. La gestión de riesgos digitales es una función especializada dentro de la Administración Pública que tiene como objetivo gestionar globalmente la protección de los Sistemas y Tecnologías de la Información y Comunicación, en su relación con los ciudadanos y en aplicación estricta de los marcos legales actualmente establecidos. Además, los criterios clave de selección para el modelo organizativo a aplicar se pueden sintetizar en que todas las funciones se tienen que centralizar estratégicamente en el Estado y Comunidad Autónoma (Esquema Nacional de Seguridad), agrupando responsabilidades orientadas a procesos, en la aplicación práctica descentralizada en cada Comunidad Autónoma, Diputación y Municipio, y con una gestión estratégica bajo el concepto de “Separación de Responsabilidades” (“Separation of Duties – quien administra/gestiona no opera”).

¿Estaremos ya viviendo la plenitud de una nueva ciencia de la inestabilidad, del riesgo, en el marco científico que expuso Ilya Prigogine, Premio Nobel de Química? Es el saber de la persona instruida lo que la libera, mediante la gestión del conocimiento, lo que permite desdramatizar las planificaciones, programaciones, ejecuciones y evaluaciones de la organización llamada Administración o empresa, porque vivimos en un mundo contingente, caótico, inseguro, cambiante, complejo, inestable e incierto, es decir, en un universo de riesgo, tanto en azar como en necesidad. La inteligencia creadora es la que da forma al saber, es decir, damos un voto de confianza al ser humano frente a los factores y medios de producción tradicionales. El capital y la producción, no son la quintaesencia de las organizaciones. Queda una gran tarea en la Administración Pública, que pasa indefectiblemente por crear una nueva cultura directiva y organizativa ante el Riesgo de azar y de no-azar, de la protección de datos de carácter personal, en el esquema que ya estableció Miccolis (1996), o quizá también reinventando la propia Gerencia de Riesgos, a través de un nuevo paradigma basado en el de Williams (1996), estando muy atentos al discurso mundial que se abre en la actual incertidumbre y ante la necesidad de no estar ajenos a la realidad del año 2010 y venideros. Los seres humanos seguimos siendo los propios gestores de nuestro futuro, con la ayuda de las nuevas tecnologías: el saber, hoy, es el único recurso significativo (Drucker).

Recientemente, en un post bajo el título Agenda Digital de Europa, en Andalucía (II): los consumidores digitales, declaré que “La Agenda Digital tiene un objetivo de cultura digital muy claro: reforzar la confianza de las personas en el uso de internet garantizando, entre otras cosas, una respuesta europea mejor coordinada ante los ciberataques, el robo de la identidad y el correo no solicitado. La definición de las políticas y la gestión de los riesgos digitales, como compromiso firme del Gobierno electrónico en Andalucía, en dos campos diferenciados de forma rotunda, es decir, no puede haber gestión de riesgos digitales en Andalucía sin definición de políticas en el sentido estricto del término, tiene que concretarse a corto plazo en el marco que hay que poner en práctica del Esquema Nacional de Seguridad, auspiciado por la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, en clave de lo que llamo habitualmente, en diferentes acciones, “prisa pública”. Estoy muy interesado en trabajar en este ámbito porque pertenezco a la escuela pública de gestión del riesgo antecedente antes que del consecuente, y las declaraciones públicas en tal sentido tienen que ser reforzadores claros para recuperar la citada confianza de las personas en la utilización de los servicios públicos, en clave de fidelización digital de la ciudadanía andaluza que consume productos digitales públicos, objetivo a alcanzar en el más breve plazo de tiempo posible, basado exclusivamente en principios de transparencia, participación y colaboración. Y en esta mesa digital no hay que excluir a nadie, desde la perspectiva pública y privada. Lo aprendí del Profesor Sánchez Vázquez, hace muchos años: el oro tiene valor porque las personas consumidoras se lo hemos dado a lo largo de los siglos. Sin ese valor humano hoy no tendría precio, se des-preciaría [sic]. Como los bits, como Internet. Sin embargo, se ha dado un paso más en la historia: no todos los bienes se han declarado como derechos inalienables a la persona. El oro no lo es, por mucho que se promocione en campañas de usura. Pero Internet va camino de ser reconocido como un derecho y no mercancía pura y dura para ser y estar en el mundo, porque toca a la inteligencia de las personas. Una gran obra humana, a apuntar en cualquier agenda. Digital, por supuesto”.

En la Administración Pública de Andalucía se están dando pasos muy certeros en este sentido, habiéndose tomado conciencia de la importancia estratégica de estas actuaciones de declaración de políticas y gestión de riesgos digitales. En un corto plazo de tiempo se harán públicas estas actuaciones a través de disposiciones que llevarán al conocimiento de estas acciones por parte de la ciudadanía. El esperpento de la inteligencia americana por lo sucedido en Wikileaks, que solo se puede entender en la clave anteriormente expuesta, es una lección histórica para aprender de errores. Y para no volver a cometerlos en lugares más cercanos de lo que muchas veces creemos. A Groucho, solo deberíamos recordarlo por su excepcional sentido del humor inteligente. No por su sentido práctico y muy extendido, más lo que parece, de cobertura del riesgo antecedente y consecuente mediante acciones que no sirven para nada. Como su famosa póliza de un dólar. Gestionando el riesgo digital, sobre todo, por medio de empleados públicos forjados en ética pública digital, no solo transfiriendo esta responsabilidad de Estado a programas informáticos muy sofisticados y máquinas complejas. Otra vez más, no confundiendo, como todo necio, valor y precio.

Sevilla, 5/XII/2010

Un comentario en “Gestión pública de los riesgos digitales 2.0

  1. Empleado público dijo:

    En mi opinión, una organización razonablemente segura es aquella en la que sus miembros realizan sus tareas cotidianas siguiendo unos mínimos criterios de seguridad. Sin embargo, en la mayoría de las organizaciones, podemos ver cómo sus empleados no siguen suficientes pautas de seguridad en su trabajo. Generalmente, por desconocimiento.

    Es misión de los responsables de seguridad lograr un cambio en el comportamiento de las personas que forman las organizaciones para las que trabajan. Pero ¿cómo conseguir cambiar los hábitos de los demás?.

    Los que trabajamos en seguridad no somos directivos, es la realidad, por lo que la opción de usar la jerarquía, el poder, está descartada. Máxime, en este rincón mediterráneo donde por naturaleza somos reacios a cumplir normas. Sin embargo, sí podemos llegar a influir en el resto de la organización a través del liderazgo, de la autoridad personal y profesional.

    Grandes hombres que no fueron gobernantes -Ghandi, Martin Luther King- lograron influir en los demás hasta el punto de cambiar la realidad de su tiempo. Su autoridad se basó en el servicio.

    De la misma manera, pienso que los equipos de seguridad debemos servir al resto de la organización, identificando y satisfaciendo las pequeñas o grandes necesidades de los distintos departamentos. Así ganaremos en liderazgo y, por tanto, en autoridad y capacidad de influencia.

    Estas ideas no son nuevas, fueron desarrolladas hace más de una década por profesionales de la gestión como James C. Hunter o Peter Drucker, sin embargo, hoy siguen tan vigentes como entonces.

    En resumen, pienso que la seguridad es una cuestión de personas y a las personas debemos orientarnos.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s