3

Vista previa del material en texto

Seguridad centrada en las personas: transformar la seguridad de su empresa
Cultura
por Lance Hayden
McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción.
Reimpreso para Carlos Gonzalez Aspajo, ISACA
gonascar@hotmail.com
Reproducido con permiso como beneficio de suscripción de Libros 24x7,
http://www.books24x7.com/
Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o
Se prohíben otras formas sin permiso por escrito.
Traducido del inglés al español - www.onlinedoctranslator.com
http://www.books24x7.com/
https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Capítulo 3: Cultura organizacional: una introducción
I ' En este libro, expondré el caso de que la cultura de seguridad es fundamental para el desempeño de la seguridad y ofrece un camino para transformar su organización. ' s la 
cultura de seguridad de la información como una forma de reducir el riesgo, aumentar el valor y evitar incidentes de seguridad. Pero para hacer ese caso, necesito demostrar que el 
vínculo crítico entre la cultura organizacional y el desempeño organizacional no es una idea nueva en la industria, solo una que es bastante nueva para InfoSec. El estudio de la 
cultura organizacional y corporativa como un medio para hacer que las empresas se desempeñen mejor en circunstancias competitivas y volátiles tiene una rica historia tanto en los 
negocios como en el mundo académico. En este capítulo me basaré en algunas de estas investigaciones para ayudarlo a comprender el trabajo de base que ya se ha establecido, 
aunque solo sea a un nivel muy alto.
El éxito cultural de Apple
Eso Es casi un cliché presentar a Apple como un ejemplo de cultura organizacional exitosa, pero probablemente más que cualquier otra compañía en
memoria reciente, incluidas otras firmas de tecnología tremendamente exitosas, Apple sigue siendo único como estudio de caso cultural. Tuvo un gran éxito, 
luego casi fracasó, solo para lograr una de las historias de regreso más asombrosas de la historia. El casi culto a la personalidad que se desarrolló alrededor de 
Steve Jobs, quien fue fundamental en Apple ' s regreso a la gloria, hizo de su estilo de liderazgo sinónimo de Apple ' s cultura. Y la compañía literalmente ha 
cambiado la sociedad global con su hardware y software, todo mientras mantiene un aura de estilo e innovación continua que pocos de sus pares pueden igualar.
Se ha derramado mucha tinta, real y digital, tratando de deconstruir Apple ' s cultura, incluso si la compañía es tan mágica como creen sus fanáticos 
incondicionales. Pero tu no ' No tengo que amar a Apple para apreciar el poder de sus empleados. ' y clientes ' sentido de identidad y culto cercano a principios 
básicos como el diseño, la simplicidad y la novedad. La cultura se trata de valores y creencias compartidos. Independientemente de lo que uno piense sobre Apple 
como empresa, nadie puede decir que la empresa ' s cultura tiene poco que ver con Apple ' s éxito.
El campo de la cultura organizacional
El estudio de la cultura organizacional surgió del estudio de la cultura a un nivel más general. A veces, los dos campos aún se superponen. Algunos investigadores se 
involucran con culturas que existen dentro de las organizaciones, como lo hago yo en este libro, y algunos estudian cómo funcionan las organizaciones entre culturas 
(por ejemplo, en el caso de las corporaciones multinacionales). yo no ' Ponga tanto énfasis en este último aspecto, aunque todavía puede tener implicaciones para la 
seguridad de la información.
Orígenes
Los primeros científicos que estudiaron la cultura, los que inventaron la palabra en primer lugar, fueron los antropólogos. En el siglo XIX, los científicos sociales se 
preocuparon por cómo se desarrollaron y evolucionaron las sociedades y civilizaciones. Específicamente, querían saber cómo se podían transmitir y mantener 
sistemas de creencias completos de generación en generación. ¿Qué hizo que una sociedad fuera tan diferente de otra y qué hizo que esas diferencias se mantuvieran 
en el tiempo? Un examen completo de la evolución de la antropología cultural está mucho más allá del alcance de este libro; El punto pertinente aquí es que los 
primeros antropólogos reconocieron que algo, algún fenómeno, permitía que diferentes grupos de personas compartieran atributos y comportamientos sociales 
comunes, y que este fenómeno podría actuar como una fuerza poderosa en la configuración de la vida de un grupo. ' s miembros tanto en el espacio como en el 
tiempo.
Seguridad y cultura global
Cisco es una empresa de tecnología global con oficinas y clientes en todo el mundo. Además de administrar una fuerza laboral diversa y multicultural en docenas de países, 
Cisco ha patrocinado una investigación dedicada sobre las formas en que las diferentes culturas se involucran en la seguridad de la información. Un estudio encargado por 
Cisco en 2008, que dio como resultado una serie de informes técnicos titulados Fuga de datos en todo el mundo, dirigidos específicamente a los comportamientos de seguridad 
de la información humana en todas las culturas, identificando patrones y diferencias en torno a las prácticas de seguridad de un país a otro. Los resultados señalaron formas 
interesantes y culturalmente específicas en las que las prácticas de seguridad difieren según las creencias y los valores sociales únicos de las sociedades en las que existen esas 
prácticas. los Fuga de datos en todo el mundo Los informes técnicos se pueden encontrar buscando en la página de inicio de Cisco en www.cisco.com .
Con el surgimiento de grandes organizaciones burocráticas diseñadas para facilitar los negocios, la gobernanza y otros objetivos sociales 
estratégicos, el mundo comenzó a presenciar el crecimiento de diferentes empresas tan complejas y geográficamente distribuidas como 
algunas naciones o pueblos. A medida que estas organizaciones se expandieron y prosperaron en el espacio y el tiempo también, 
manteniendo las mismas estructuras y procesos mucho más allá de la vida de cualquier miembro individual, una nueva generación de 
investigadores se dio cuenta. Los estudiosos de los negocios y los teóricos de las organizaciones tomaron prestados los conceptos 
inventados por los científicos sociales y los antropólogos y comenzaron a aplicarlos a las empresas y otras grandes organizaciones. Se 
tomó un tiempo. El campo de los estudios organizacionales también existe desde hace mucho tiempo, evolucionando por separado de la 
antropología y se remonta a la Revolución Industrial.
Mientras que los antropólogos estaban preocupados por comprender qué era lo que impulsaba a una sociedad, los investigadores de la cultura organizacional a 
menudo estaban más preocupados por lo que hacía que las organizaciones, en particular las empresas, tuvieran éxito. ¿Por qué a una empresa le fue mucho mejor en 
su industria (o mucho peor) que a otra? ¿Cómo podría una empresa reinventarse por completo para superar un desafío del mercado mientras un par luchaba y 
finalmente no lograba cambiar la forma en que operaba? A menudo, las diferencias entre las empresas competidoras parecían reducirse a cosas que parecían 
intangibles. ¿Qué creía el liderazgo? ¿Cómo trató la organización a sus miembros? ¿Cuáles fueron los símbolos, valores y rituales más importantes en la vida diaria de 
todos los miembros?
Página 2 de 9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://www.cisco.com/
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Resultados
El resultado final de estos estudios es un campo académico propio (varios, en realidad), así como una industria de teóricos de la gestión y consultores de 
negocios que han intentado desentrañar los secretos de la cultura y darles un uso productivo para mejorar el desempeño organizacional.Hay teorías y 
marcos para explicar la cultura, así como desacuerdo y debate sobre lo que significa todo, pero en el núcleo de la disciplina hay una serie de temas comunes 
poderosos que encontrará una y otra vez. Estos puntos en común son en los que debemos enfocarnos para comprender lo que la cultura organizacional 
puede hacer por la seguridad de la información y las TI.
El fracaso cultural de Enron
Si Apple es un ejemplo de referencia de cultura organizacional exitosa, la escandalosa cultura de Enron califica fácilmente como un ejemplo opuesto obvio. En 2001, 
la empresa de energía y productos básicos se derrumbó cuando se hizo evidente que toda la empresa se basaba en una cultura sistémica de corrupción, engaño y 
fraude. Donde Apple cambió el mundo al crear el iPhone, marcando así el comienzo de la era de los dispositivos móviles inteligentes, Enron lo cambió al cuestionar 
prácticamente toda la industria de la contabilidad y marcar el comienzo de la era del cumplimiento de Sarbanes-Oxley (SOX).
Enron no fracasó porque su cultura fuera débil, al menos no en el sentido de que la gente no ' Comparto valores comunes. El gran problema era que los valores 
comunes compartidos por la alta dirección e impulsados por toda la empresa eran reprobables y éticamente quebrados. Enron ' La cultura de s se trataba de ir al 
límite y más allá, comenzando con las innovaciones en el comercio de productos básicos y los mercados de energía, antes de terminar con la deuda, la supervisión y 
la ley. Enron no fue el último de los escándalos de gobierno corporativo en ese período, y varias compañías de alto perfil siguieron a la firma hasta un fracaso 
ignominioso como resultado de sus propias culturas tóxicas, mientras que al mismo tiempo envenenaban la reputación de las firmas contables que administraban 
sus libros. En el caso de Enron ' propia empresa de contabilidad, Arthur Andersen, el daño resultó fatal y esa empresa dejó de existir junto con su cliente deshonrado.
El iceberg de la cultura
La cultura organizacional se presta a la metáfora del iceberg. Lea algunos libros sobre cultura corporativa y lo que inmediatamente se percibe es el sentido de las cosas 
ocultas debajo de la superficie. No importa lo que pueda ver superficialmente, puede estar seguro de que están sucediendo muchas más cosas debajo que no puede 
observar. De hecho, en el gran esquema de las cosas, el iceberg que ves es en realidad solo la punta.
En el capítulo 2, cité a Peter Drucker ' s predicción de que la estrategia perderá ante la cultura en casi todas las competencias. La metáfora del iceberg ayuda a explicar 
por qué. Cuando una iniciativa estratégica se enfoca solo en la parte de un desafío o problema que es visible y fácilmente identificable, ' Es como enganchar una cuerda 
entre el iceberg y un bote de remos y decirle a la tripulación que lo remolque. Puede que no parezca un trabajo tan grande desde la superficie, pero eso ' s solo porque 
puedes ' No vea la enormidad de lo que está tratando de mover. La gente puede remar muy duro y todos aplauden sus esfuerzos, pero ese pequeño bote de remos no 
va a alterar el iceberg. ' Por supuesto, no importa cuán grande sea el esfuerzo. La realidad es ' s la masa bajo las olas que realmente determina el iceberg ' s curso a 
través del mar, la parte que permanece oculta para ti, intacta y no afectada. Puede que no haya un barco lo suficientemente grande para cambiar esa cosa ' s dirección.
Con la cultura, la parte del todo que es análoga al hielo visible sobre la superficie es la colección de comportamientos observables que ocurren.
dentro de la organización todos los días. Lo que hace la gente, lo que dice, lo que usa ... todas estas son decisiones más o menos visibles. Y tendemos a hablar de 
cultura en términos de estos comportamientos, elecciones y decisiones. Podríamos decir que una organización tiene una cultura formal si observamos que todos usan 
traje y corbata para trabajar, o una cultura informal si todos vienen a la oficina en pantalones cortos y sandalias. Basado en una organización ' s comportamiento, su 
cultura puede describirse como despiadada en comparación con una que es colegiada; o abierto y confiado en lugar de muy controlado. Incluso vemos culturas que 
describiríamos como tóxicas o insalubres y que corrompen o dañan a las personas dentro de ellas. Pero todos estos comportamientos son impulsados por factores 
motivadores que están sucediendo debajo de las cosas que estamos viendo frente a nosotros, como se ilustra en Figura 3-1 .
Página 3/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Figura 3-1: La metáfora del iceberg de la cultura
Aspectos ocultos
El primer principio que los expertos reconocen en la cultura organizacional es que los comportamientos observables son superficiales. Siempre están conectados a 
suposiciones y creencias subyacentes que permanecen ocultas en el sentido de que todo el mundo simplemente las da por sentado. La gente no ' Suele pasar mucho 
tiempo pensando en por qué creen en algo. Por lo general, están demasiado ocupados haciendo cosas, viviendo sus vidas. Pero las cosas que hacen están impulsadas, 
al menos en parte, por lo que creen. La cultura es de la misma manera, y académicos desde Edgar Schein hasta Geert Hofstede y Karl Weick han explorado y 
documentado la forma en que la cultura organizacional funciona como una especie de inconsciente colectivo para la organización. Sería increíblemente difícil para una 
empresa hacer negocios si todos en ella tuvieran que preguntar " por que hacemos esto " antes de tomar una decisión. Las empresas se esforzarán mucho en articular 
aspectos de la cultura. - colocando carteles en sus oficinas, haciendo tarjetas para usar con la gente ' insignias, realizar campañas de concientización - para fomentar 
ciertos tipos de comportamientos. Quieren hacer más visibles esas suposiciones ocultas. Irónicamente, este intento de ayudar a las personas a comprender por qué se 
espera que se comporten de cierta manera también tiene como objetivo hacer que ese comportamiento sea más automático y reflexivo.
Por lo tanto, cualquier comprensión de la cultura de la seguridad debe tener en cuenta todas las suposiciones, las creencias y motivaciones ocultas y los 
rituales inconscientes que se han arraigado en la organización en su conjunto. El ejemplo de Clara en el capítulo anterior ilustra esta idea. Fomentar un 
comportamiento de seguridad específico era muy importante para la empresa. Nadie hubiera sugerido lo contrario, y existían numerosas políticas y procesos 
para hacer cumplir ese comportamiento. Pero bajo la superficie acechaban otras creencias y suposiciones, que competían directamente con Clara. ' s 
responsabilidades de seguridad. Nadie realmente les cuestionó, ni a la relación incompatible resultante. Y, al final del día, Clara creía más firmemente que 
sería recompensada o castigada por un comportamiento que por otro. Después de que ocurriera la violación del cliente que explotó su error de codificación, 
la compañía intentó retroactivamente hacer que su decisión de renunciar a los controles de seguridad finales pareciera negligente e incorrecta. Pero el 
hecho fue, en ese momento, hizo exactamente lo que el sistema la había entrenado y condicionado (e incluso recompensado) para hacer.
Una dificultad de analizar la cultura es que implica algo más que diferenciar entre lo que hace una persona y las motivaciones detrás (o debajo) de esas acciones y decisiones. Casi 
todos los investigadores de la cultura organizacional comparten la opinión de que la cultura puede ser muy difícil de cambiar (un tema que ' lo cubriremos un poco más adelante en 
el capítulo). Esto se debe a que el comportamiento no es algo que exista independientemente de la cultura. Una persona ' El comportamiento es el resultado visible del cultivo, como 
la llama de una cerilla es el resultadovisible del proceso químico de combustión. Usted puede ' t empezar con una llama y terminar con un fósforo. Eso ' Es así con el 
comportamiento y la cultura también. Concéntrese solo en el comportamiento, en lo que puede ver, y puede cambiarlo, al menos hasta que deje de mirarlo. Después de eso, la 
gente tiende a volver a su antigua forma inconsciente de hacer las cosas. Por lo tanto, realizar un cambio de comportamiento por sí solo requiere una gran cantidad de recursos, 
como puede decirle cualquier equipo de concienciación sobre seguridad. Pero cambie lo que alguien cree, lo que los impulsa a tomar la decisión en primer lugar, y ellos harán el 
trabajo conductual por usted. Eso ' s el equivalente cultural de la antigua cita de Maimónides, " Dale un pescado a un hombre y lo alimentarás por un día; Enséñale a pescar a un 
hombre y lo alimentarás toda la vida. "
Gente impulsada
Solo se generan conflictos entre creencias y comportamientos cuando se trata de seres humanos. La idea de que los valores y los supuestos impulsan las decisiones y 
acciones es un segundo principio básico de la cultura organizacional. El software puede tener errores ocultos, su firewall puede tener conflictos de reglas ocultos, pero 
la tecnología no ' Tengo motivaciones ocultas. Puede ' Experimentar disonancia cognitiva o entrar en conflicto sobre lo que se debe hacer en una situación difícil. Las 
personas son las únicas que experimentan estas cosas, y la seguridad centrada en las personas significa ante todo reconocer
Página 4/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
esa cultura impulsa el comportamiento. Políticas don ' t. ¿Cuántos de nosotros podemos pensar en una política que sabemos que existe en nuestra organización pero no ' No lo 
sigas ni lo obedezcas, tal vez porque ' es una tontería, tal vez porque sabemos que la empresa no ' ¿Hacerla cumplir, o tal vez porque entra en conflicto con una política más 
importante?
Al sumergirse en la literatura sobre cultura organizacional, encontrará una exploración abrumadoramente diversa de las formas en que las personas crean la 
organización y cómo la cambian para bien o para mal. Los conocimientos pueden variar desde la existencia de mitologías e historias para definir cómo funciona la 
cultura, historias de héroes y monstruos directamente de Joseph Campbell, hasta psicología clínica, diagnosticar el comportamiento como si una organización en sí 
misma pudiera tener una enfermedad mental. Pero en el corazón de todo está el reconocimiento de que sin personas, no hay cultura organizacional, ni siquiera una 
organización.
La facilidad con la que la cultura puede abrumar y confundir la estrategia organizacional es una de las lecciones de poder para la seguridad centrada en las personas. La seguridad de 
la información está comenzando a chocar contra una pared en términos de lo que puede esperar lograr con estrategias basadas principalmente en herramientas y productos 
tecnológicos. Esto no se debe a que no ' No tenemos grandes herramientas y tecnologías, sino porque estamos llegando a un punto en el que no podemos hacer más sin la 
cooperación y colaboración expresa del resto de la organización, quienes tienen sus propias grandes herramientas y tecnologías, muchas de las cuales entran en conflicto con la 
seguridad. Cada vez más, el éxito o el fracaso potencial de la seguridad de la información es una asociación conjunta con personas de otras partes del sistema, ya sean los ejecutivos 
que establecen la estrategia y la dirección, los guardianes del presupuesto que financian las cosas, los gerentes que mantienen todo funcionando en primera línea. , o los usuarios 
individuales que toman las decisiones diarias que marcan la diferencia entre la disuasión y el desastre.
El vínculo entre la cultura organizacional y el desempeño organizacional
Otro tema común en la investigación de la cultura organizacional, y el que más resuena entre los ejecutivos corporativos, es el vínculo entre la cultura organizacional y el 
desempeño organizacional. ¿Una organización ' ¿La cultura ejerce un impacto positivo o negativo en el éxito de la organización en su industria o en la eficacia con la que 
logra sus objetivos? La respuesta es un sí rotundo. La evidencia va desde " sentido común " historias anecdóticas, estudios de casos de escuelas de negocios, estudios 
longitudinales del desempeño corporativo que se extienden a lo largo de los años. Pero la conclusión, tanto en sentido figurado como literal, es que una organización 
con una cultura disfuncional nunca se desempeñará tan bien como podría. Lo que constituye lo bueno o lo malo en lo que respecta a la cultura, lo que hace que una 
cultura sea fuerte y otra débil, es un problema más complicado. Diferentes culturas son apropiadas para diferentes industrias, y lo que funciona para una organización 
ganó. ' Generar necesariamente éxito en otro. Pero si su cultura lo frena, puede ser como correr una carrera con pesos atados a su organización. ' s piernas.
Uno de los exámenes más impresionantes de la cultura. - enlace de rendimiento es John Kotter y James Heskett ' s libro, Cultura y desempeño corporativos, 
que describe sus estudios de investigación que abarcan varias empresas durante varios años. Empírico y matizado, Kotter y Heskett ' s trabajo explora 
teorías de por qué y cuándo la cultura ayuda o se interpone en el camino de una empresa ' s éxito. Demuestran que no es tan fácil como decir una " fuerte " 
o un " débil " la cultura hace que su organización sea exitosa. Muchas organizaciones con culturas fuertes y contundentes que se transmiten y hacen cumplir 
entre los miembros han fracasado, a veces de manera espectacular, mientras que culturas aparentemente débiles o menos arraigadas han prosperado. En 
cambio, parece que el secreto del éxito es aprovechar la cultura para servir al negocio, como cualquier otro recurso. Las culturas que lo hacen mejor parecen 
ser las que tienen mejores " encajar " para la industria y los desafíos que enfrentan, incluida la capacidad de responder y adaptarse al cambio.
La cultura puede ser disruptiva al igual que los mercados, los modelos comerciales y las tecnologías. Muchos de los estudios de caso que encontrará que describen 
cómo la cultura está vinculada al desempeño no se referirán a ningún tipo de cultura en particular, sino a cómo una organización se adaptó a los nuevos desafíos y 
utilizó su cultura para ayudarla a hacerlo. El fracaso se vuelve más probable cuando una cultura que parecía funcionar ayer ya no " encaja " su entorno. En estas 
situaciones, la organización puede verse superada por otras culturas más receptivas. Las culturas también pueden competir dentro de la misma organización, como lo 
han demostrado mis ejemplos, y esto puede conducir a la degradación de las capacidades, ya que la empresa tiene que competir con otras organizaciones al mismo 
tiempo que aborda los conflictos internos que distraen y agotan los recursos.
La migración cultural de PayPal
Un ejemplo fascinante del poder de la cultura organizacional se puede encontrar en la llamada PayPal Mafia, un término que se refiere a los fundadores y primeros 
empleados del pionero de los pagos digitales PayPal. Después de eBay ' Tras la adquisición de PayPal en 2002, muchos de esos fundadores y empleados se 
marcharon para fundar otras empresas. A estas personas, incluidos los empresarios multimillonarios Reid Hoffman (LinkedIn), Elon Musk (Tesla y SpaceX) y Peter 
Thiel (Clarium Capital y Facebook), a menudo se les atribuye el mérito de iniciar un nuevo resurgimiento de Silicon Valley. Los hilos comunes de la historia, 
comenzando con los enfrentamientos informados entre los fundadores de PayPal y sus nuevos propietarios más corporativos y conservadores, tienen que ver con 
un grupo de personas brillantes e inquietas que literalmente comparten una visión de remodelar el mundo,no solo de facilitar las transacciones financieras en 
línea. .
La cultura no solo es poderosa y maleable. Es portátil y potencialmente contagioso. Creada por personas que se organizan de manera compleja e 
interdependiente, la cultura puede producir efectos que se propagan y se transmiten a través de toda una red social. En el caso de PayPal Mafia, las visiones 
normales de inicio ni siquiera eran suficientes. Más que construir una empresa, fueron (y todavía lo están en muchos casos) para cambiar la sociedad por 
completo, desde los viajes espaciales hasta los vehículos eléctricos y la búsqueda de una cura para la muerte. Y no tenían la intención de permitir que el statu quo, 
ni siquiera uno que los hiciera fabulosamente ricos, se interpusiera en su visión de un sistema nuevo y más funcional. Ese ' s piratería cultural.
Las implicaciones de la cultura - El vínculo de rendimiento para la seguridad de la información es bastante claro. InfoSec generalmente existe como una subcultura 
separada dentro de una organización, tal vez incluso eliminada del resto de TI. Y las culturas de seguridad de la información tienden a ser fuertes, en opinión y 
motivación, si no siempre en el poder político. Si la seguridad de la información no encaja bien culturalmente dentro de la organización, si entra en conflicto o compite 
con otros grupos culturales, entonces será muy difícil maximizar el programa InfoSec. ' s eficacia. En consecuencia, el rendimiento puede degradarse, o al menos 
puede no ser tan eficaz como podría ser, y esto conduce directamente a mayores riesgos de seguridad.
Evaluación y medición de la cultura
Página 5/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
La idea de que la cultura tiene un vínculo causal con el desempeño de la empresa hace que la idea de medir y analizar la cultura organizacional sea 
muy importante. No va a cambiar o gestionar con éxito algo que no puede definir, observar y evaluar; en otras palabras, algo que no se puede 
medir. Los investigadores han respondido desarrollando instrumentos y técnicas para medir la cultura y su impacto en una organización. ' s 
eficacia.
Medición cualitativa frente a cuantitativa de la cultura
Como cualquiera que me conozca o me haya escuchado hablar públicamente puede decirle, tengo un problema con el campo de la seguridad de la información. ' s uso del término
cualitativo. En InfoSec, referirse a los datos como cualitativos implica que los datos deben considerarse subjetivos y menos confiables, en contraposición a 
los datos cuantitativos, que se consideran más objetivos y confiables. Esto crea todo tipo de desafíos para los profesionales de la seguridad que intentan 
medir los resultados de sus actividades. Nuestra industria ' El sesgo hacia los números limita las medidas y enfoques que podemos utilizar. También nos 
anima a participar en " alquimia estadística, " que es el proceso mediante el cual tomamos cosas que no son cuantitativas y les asignamos números en un 
intento de hacerlas parecer más rigurosas. Con lo que terminamos no es solo un intento de comparar manzanas con naranjas, sino una fórmula por la cual 
las manzanas se multiplican por naranjas y luego se pesan usando un sistema de bagels. En otras palabras, tonterías disfrazadas de ciencia.
Regularmente veo que los equipos de seguridad se meten en problemas estadísticos, generalmente cuando sienten la necesidad de crear métricas que impresionen a 
la alta dirección. Preguntar a los miembros individuales del equipo de seguridad si los riesgos y los costos son altos, medios o bajos es un elemento básico de las 
evaluaciones de riesgos de seguridad de la información. Los mapas de calor rojo, amarillo y verde resultantes pueden parecerle simplistas a algunas audiencias, porque 
generalmente lo son. Pero cambiar alto, medio y bajo a un rango entre 1 y 100 (o las cifras financieras arbitrarias correspondientes) no ' t hacer una medición 
cuantitativa. Simplemente significa que está pidiendo una opinión expresada como un número en lugar de una palabra. usted ' sigues recibiendo gente ' s opiniones 
sobre la verdad en lugar de medir realmente lo que ' es cierto. Sin embargo, esto permite a muchos equipos de seguridad afirmar que han dejado de recopilar datos 
borrosos. " cualitativo " datos en sus valoraciones a favor de los más cuantitativos.
En las ciencias sociales, incluidos campos como la antropología y la sociología, donde la cultura puede ser de interés primordial, los datos cualitativos significan algo 
muy diferente. En pocas palabras, los datos son cualitativos cuando no se pueden contar fácilmente. Buenos ejemplos incluyen una historia contada durante una 
reunión de personal, la transcripción de una respuesta a una pregunta de entrevista abierta, una grabación de video de una reunión de ventas o la fotografía de su 
último evento de formación de equipos. Mi ejemplo del equipo de seguridad ' Las opiniones sobre el riesgo son otro ejemplo de datos cualitativos. Los datos cualitativos 
son empíricos, lo que significa que puede observarlos. Ellos simplemente no ' t se prestan inmediatamente al análisis estadístico, asumiendo que ' s lo que quieres 
hacer. Pero, ¿es el análisis estadístico la única forma en que podemos obtener la verdad o el conocimiento? Cuando su pareja, o su hijo, le dice que lo ama, ¿insiste en 
verificar esa afirmación mediante una prueba t de dos colas o una regresión lineal? ¿Nuestras películas y novelas favoritas nos hablan porque apreciamos que siguen 
una distribución de probabilidad gaussiana verificable? Claramente, los números pueden ' dinos todo lo que vale la pena conocer.
Medidas y técnicas cualitativas
La cultura se trata de creencias y suposiciones, de motivaciones y valores que pueden ni siquiera ser explícitos dentro de una organización o conscientes por parte 
de sus miembros. La cultura tiende a permanecer oculta debajo de la superficie, a menos que la busques deliberadamente. Sin embargo tu puedes ' Simplemente sal 
y empieza a contar cultura. Gente ' Los comportamientos son más directamente observables y se prestan a un análisis más cuantitativo, pero saber quién hizo qué, 
cuándo y dónde lo hizo, no le dice cómo o por qué se comportaron de esa manera. Estas preguntas de cómo y por qué, que son más importantes cuando se intenta 
la transformación cultural, son el dominio de la investigación y el análisis cualitativos. Los investigadores cualitativos utilizan encuestas, entrevistas y otras 
interacciones entre personas para facilitar la comprensión de los temas que exploran.
Lord Kelvin ' s " Escasa comprensión "
Cuando escribí mi libro Métricas de seguridad de TI Hace unos años, entre algunos defensores de las métricas de seguridad estaba de moda citar a Lord
Kelvin ' s adagio sobre medir algo, " cuando puedes medir ... y expresarlo en números, sabes algo al respecto; pero cuando no puede medirlo, 
cuando no puede expresarlo en números, su conocimiento es de tipo escaso e insatisfactorio. " Por lo general, le pediría a quien arrojó la cita 
que exprese el razonamiento de medición detrás de ella en forma de un número. Nunca conseguí uno. En cambio, obtuve historias y 
anécdotas que demostraron tanto la " escasa comprensión " de Kelvin ' s afirman así como la increíble utilidad de datos cualitativos como 
historias y anécdotas.
Se han desarrollado diferentes tradiciones de métodos de investigación cualitativa en varios campos. Tabla 3-1 enumera los principales enfoques de investigación 
cualitativa. Algunos de estos le parecerán un poco extraños a un profesional de seguridad de la información con experiencia en ingeniería, aunque pueden parecerle 
menos a cualquiera que haya estudiado psicología o administración de empresas. De hecho, todos estos enfoques de investigación se utilizan en la industria de una 
forma u otra. El hecho de que la seguridad de la información no los haya utilizadomucho dice más sobre la insuficiencia de nuestros propios métodos de investigación y 
nuestro sesgo en contra de la investigación cualitativa que sobre la eficacia de las técnicas cualitativas.
Tabla 3-1: Principales enfoques de investigación cualitativa
Página 6/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
I ' he entrado en algunos detalles en Tabla 3-1 acerca de estas técnicas cualitativas porque a menudo son la única forma de medir y comprender la cultura 
organizacional. Como tales, pertenecen al conjunto de herramientas conceptuales de todas las organizaciones que buscan mejorar y transformar la cultura de 
seguridad y hacerla centrada en las personas. No es necesario ser un doctorado. antropólogo para realizar investigación cualitativa básica. Solo tienes que reconocer 
que a veces no vas a encontrar las respuestas que buscas de otra forma que no sea hablando con la gente, escuchando lo que dicen y buscando el significado que 
buscas en las historias que cuentan.
Cultura en números
Aunque los datos y análisis cualitativos juegan un papel importante en la comprensión de la cultura, eso no significa que la medición cuantitativa esté fuera de la 
mesa. Las técnicas cuantitativas y cualitativas a menudo son necesarias para comprender lo que sucede debajo de la superficie. Muchos investigadores utilizan 
técnicas cualitativas, como entrevistas, observación participante y el análisis de artefactos, para llevarlos a patrones y relaciones que pueden cuantificarse. Dejar ' 
Considere nuevamente a Clara y su equipo de desarrollo. ¿Qué pasaría si un investigador o un consultor entrara y comenzara a entrevistar a todos los desarrolladores, 
a recopilar historias sobre ocasiones en las que descuidaron o no completaron sus revisiones de seguridad y les pedían que hablaran sobre por qué tomaron esas 
decisiones? A medida que se dan diferentes razones, el consultor puede comenzar a armar patrones, como que las presiones de los plazos son una causa principal. 
Estas razones podrían correlacionarse con ciertos tipos de proyectos de desarrollo de software que tenían una tendencia a sufrir otros retrasos, tal vez incluso de una 
manera estadísticamente significativa que demostraba que era más probable que estos proyectos tuvieran vulnerabilidades de seguridad en el código cuando se 
enviaban. Ahora nosotros ' Estamos hablando de números reales y conocimiento cuantitativo, pero ninguno de ellos estaría disponible sin los datos cualitativos 
contenidos en esas entrevistas.
Kotter y Heskitt combinaron de manera similar datos cualitativos y cuantitativos cuando midieron el vínculo entre cultura y desempeño. Al recopilar datos 
cualitativos de los analistas de la industria sobre las culturas corporativas percibidas y comparar esos datos con los números concretos del desempeño 
financiero de la empresa, pudieron sacar conclusiones sobre cómo y cuándo la cultura afectó el resultado final. Otros investigadores han intentado medidas 
cuantitativas de la cultura aún más específicas, aunque cuanto más estadísticas son las medidas, más tienden a centrarse con la intensidad del láser en 
describir atributos específicos de la cultura en lugar de explorar cómo cambiarlos.
Desafíos de la transformación cultural
Si nada más está claro en este punto, debería ser evidente que comprender y administrar la cultura corporativa es un trabajo duro. Damos la cultura por 
sentada porque estamos inmersos en ella. Lo vivimos. Y al igual que otras partes de nuestras vidas que podríamos querer cambiar para mejor, ' Es más fácil 
decir que vamos a cambiar nuestra cultura que realmente efectuar ese cambio. Las iniciativas de transformación cultural en muchas organizaciones son algo 
así como el Año Nuevo ' s resoluciones que tomamos cada año. Son expresiones de esperanza y optimismo. Y sin compromiso y trabajo duro, muchos de 
ellos no ' Salir vivo de enero.
Los expertos en cultura organizacional prescriben muchas formas diferentes de transformar la cultura, pero, al igual que su comprensión de la cultura en general, existen
varios temas comunes que surgen de sus consejos. Éstos incluyen
La cultura se puede cambiar de diversas formas. La cultura es 
inclusiva, por lo que el cambio cultural también debe serlo.
norte
norte
Página 7/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
norte La construcción de consenso permite la creación de nuevas creencias 
compartidas. El cambio cultural no se puede dar por sentado.
Los líderes deben dar un ejemplo apropiado.
norte
norte
Allí ' s No hay una forma correcta de cambiar la cultura
Si existiera un algoritmo para crear la cultura perfecta, cada organización sería igualmente innovadora y adaptable a los cambios en su negocio, cada 
miembro funcionaría de manera eficiente y efectiva para lograr la organización. ' s, y el rendimiento se maximizaría en todas las industrias. El hecho de que 
esta utopía no se haya cumplido es prueba suficiente de que nadie ha descubierto el secreto, a pesar de las afirmaciones de consultores y gurús de la 
gestión. Los investigadores y teóricos de la cultura organizacional te lo dirán. El punto no es crear una cultura mítica perfecta, sino más bien apuntar a la 
mejor cultura que su organización puede haber dado a sus miembros, el entorno en el que se encuentra y las metas y estrategias que quiere lograr. Dicho 
esto, la transformación cultural exitosa dependerá de algunas estrategias clave, que se describen en las siguientes secciones.
Tienes que incluir a todos
Es muy poco probable que cualquier transformación cultural tenga éxito a menos que el proceso sea deliberadamente inclusivo. Dado que todos en una organización 
ayudan a crear y transmitir la cultura, todos deben tener interés en cambiarla. Esto realmente significa para todos, desde la parte superior del organigrama hasta la 
parte inferior. La inclusión también significa participación directa. Muchos marcos para la gestión de la cultura se forman en torno a equipos representativos formados 
por personas de toda la organización, todos los cuales contribuyen a planificar y formular los cambios y luego vuelven a sus propios roles como campeones y agentes 
de cambio para ayudar a garantizar que los esfuerzos se realicen. adoptado en los comportamientos diarios. El último oxímoron en la transformación cultural es el de 
arriba hacia abajo. " Cambio cultural " estrategia, donde el liderazgo expresa insatisfacción con la cultura existente, define unilateralmente lo que será la nueva cultura 
y luego exige que todos se pongan de acuerdo con el nuevo programa.
Tienes que construir un consenso
Involucrar a todos en la transformación cultural es solo el primer paso. Desde una organización ' Como la cultura es un reflejo de las creencias y suposiciones 
profundamente arraigadas de sus miembros, no se puede simplemente dictar que todos ahora creerán algo diferente, o incluso en qué deberían basarse las nuevas 
creencias. ¿Cuándo fue la última vez que argumentó con éxito que alguien estaba equivocado basándose en el hecho de que realmente sentía que tenía razón? La 
mayoría de las investigaciones sobre cambio organizacional enfatizan la necesidad de algún nivel de construcción de consenso para identificar la cultura actual en 
vigor, así como cualquier cambio que sea necesario realizar.
La seguridad de la información es particularmente vulnerable a la falta de consenso cultural. Cuando hablo con los CISO y otras partes interesadas en la seguridad, escucho una y 
otra vez que una de sus mayores luchas es lograr que las personas fuera del programa InfoSec se preocupen por la seguridad como lo hacen los miembros del programa, que se lo 
tomen tan en serio como todos los que tienen la tarea proteger los activos de información dela empresa. Sin ese consenso, los profesionales de la seguridad deben dedicar mucho 
tiempo a explicar y justificar su trabajo. Por supuesto que no ' t ayudar cuando los equipos de seguridad pueden parecer que no se preocupan mucho por las prioridades y 
preocupaciones de las partes interesadas fuera del equipo de seguridad. Pero en organizaciones donde otras unidades de negocios y ejecutivos ejercen más influencia política que el 
CISO o el propietario de la seguridad, la carga de la construcción de consenso recae en el equipo de seguridad, aunque solo sea por otra razón que la de vender la transformación de 
la seguridad a las partes interesadas que ni siquiera pueden hacerlo. entender la seguridad, y ciertamente no ' t priorizarlo sobre sus propios desafíos y preocupaciones únicos. A 
raíz de las violaciones masivas de seguridad de los últimos años, ' s resulta menos difícil convencer a estas partes interesadas de que la seguridad es importante. Pero, ¿cuál es la 
mejor manera de hacer seguridad y cuál es la mejor manera de asignar los recursos que tendrán que salir de otras personas? ' s presupuestos? Esos siguen siendo temas muy 
conflictivos que el equipo de seguridad tendrá que resolver.
Tienes que evaluar los resultados
Una trampa común que los expertos en cultura organizacional advierten a menudo en la literatura se puede caracterizar como una " dispara y olvida " enfoque al 
cambio transformacional. En otras palabras, hacemos algún intento por cambiar nuestra cultura, pero luego nunca hacemos un seguimiento para ver si lo que hicimos 
tuvo algún efecto. Uno de los orígenes de esta trampa es la creencia generalizada de que la cultura es difícil o imposible de medir, por lo que puede ' No sé si los 
esfuerzos para cambiar la cultura han sido efectivos de todos modos. He descrito una serie de formas en que las organizaciones pueden medir y de hecho miden sus 
culturas, pero no todo el mundo está familiarizado o se siente cómodo con estos enfoques. Un contribuyente más pernicioso a la trampa podría describirse como 
pereza generalizada. Es mucho más fácil contratar consultores para realizar una encuesta, adoptar el marco que recomiendan, imprimir carteles de motivación que 
animen a todos a adherirse al marco y luego declarar que la iniciativa de transformación cultural fue un éxito que seguir adelante y medir si la cultura se ha 
transformado realmente. Hacer el trabajo de investigación para determinar qué efecto, si alguno, tuvo toda esta actividad lleva mucho tiempo, ' es tedioso, y siempre 
conlleva el riesgo de que tal vez su hábil campaña de concienciación interna realmente no ' t convencer a nadie de que debería empezar a ver el mundo de otra manera.
Pero, ¿por qué la organización debería preocuparse lo suficiente como para dedicar el tiempo y los recursos necesarios para evaluar realmente si la cultura cambió o 
no? Aquí debemos mirar hacia atrás a la cultura - enlace de rendimiento. Organizaciones don ' No se preocupen por cambiar su cultura solo porque quieren 
experimentar con la teoría social. Lo hacen porque la investigación ha demostrado que una mejor cultura equivale a mejores resultados comerciales. La evaluación es 
entonces clave por dos razones cruciales. Primero, si el rendimiento mejora solo cuando la cultura mejora, debe asegurarse de que la cultura realmente esté 
mejorando. En segundo lugar, debe evaluar el vínculo en sí para comprender cuánto corresponde mover la aguja de cultivo a mover la aguja de rendimiento. Sin esta 
idea, hay ' No tiene sentido intentar cambiar tu cultura en absoluto.
Tienes que tener un buen liderazgo
Página 8/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
El último hilo común que ' Discutiremos la importancia universal que la investigación de la cultura organizacional otorga al liderazgo. El liderazgo juega un papel 
central en casi todos los estudios de cultura organizacional que encontrará. En algunos casos, cultura y liderazgo casi se convierten en sinónimos, dado que pocas 
entidades dentro de una organización tienen la misma oportunidad de marcar la dirección cultural que aquellas que marcan la dirección y el ejemplo.
El liderazgo también es un arma de doble filo. Los libros de negocios están llenos de casos en los que una organización trae un nuevo líder en un esfuerzo por mejorar 
el desempeño solo para verlos fallar miserablemente, ya sea porque no podían adaptarse a la cultura existente o eran tan arrogantes que creían que podían cambiarla 
por la fuerza. de voluntad. Durante mi propia carrera yo ' Personalmente, he experimentado varios períodos dolorosos en los que me encontré atravesando un cambio 
de gestión que parecía diseñado para causar la mayor alteración posible de la cultura existente. En el peor de los casos, la transición se sintió menos como una 
reorganización y más como un golpe de estado. 'état, donde el equipo de gestión existente fue degradado
o incluso despedidos, a menudo por la única razón de que representaban la antigua forma de hacer las cosas. A pesar de un estudio tras otro que muestra que la promoción de 
personas internas tiende a producir mejores resultados que la contratación de personas externas, muchas empresas aún operan bajo la aparente suposición de que un cambio 
radical de cultura, que se logra rápidamente, es la única forma de mejorar. Gran parte de la investigación sobre el comportamiento organizacional parecería indicar que esta 
misma sensación de inseguridad y desesperación es un síntoma de una cultura que puede que ya haya comenzado a degradarse.
Un océano de investigación
Si las culturas organizacionales son como icebergs, su estudio es como un océano de investigación y conocimiento que abarca la academia, la industria y el 
gobierno. Este capítulo ha sido necesariamente poco más que un vistazo a ese océano. Mi intención no era proporcionar un estudio completo del campo, ya 
que hay muchos libros geniales que hacen esto mejor que yo nunca (y usted ' Encontraré una lista de algunos de estos libros en el " Otras lecturas " secciones 
a lo largo de los capítulos). Pero para comprender cómo funciona la cultura de la seguridad de la información y cómo se puede transformar, es necesario al 
menos comprender que los campos más amplios y bien establecidos de la cultura organizacional y el comportamiento organizacional ya han explorado, 
debatido y tal vez respondido muchas de las preguntas que se plantean. aplicar a la cultura de seguridad de la información. La seguridad centrada en las 
personas es uno de los desarrollos más exigentes en nuestra industria hoy en día, no porque sea mucho más difícil de hacer que el proceso o la tecnología, 
sino porque es igualmente difícil y tenemos muy poca experiencia en hacerlo en comparación con los otros dos. áreas de enfoque. Pero podemos 
consolarnos sabiendo que tanto trabajo se ha hecho por nosotros,
Otras lecturas
norte Cohen D. y B. Crabtree. " Proyecto de Guías de Investigación Cualitativa. " Julio de 2006. Disponible en www.qualres.org .
Kotter, John P. y James L. Heskett. Cultura y desempeño corporativo. Nueva York: The Free Press, 1992.
Myers, Michael D. Investigación Cualitativa en Negocios y Gestión. 2ª ed. Thousand Oaks, CA: SAGE, 2013.
Schein, Edgar. Cultura organizacional y liderazgo. San Francisco: Jossey-Bass, 2010.
norte
norte
norte
Página 9/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://www.qualres.org/
	Chapter 3: Organizational Culture: A Primer
	The Field of Organizational Culture
	The Culture Iceberg
	The Organizational Cultural/Organizational Performance Link
	Assessing and Measuring Culture
	Challenges of Cultural Transformation
	An Ocean of Research
	Further Reading