Cultura organizacional de seguridad de la información. Una perspectiva sistémica de articulación de sistemas humanos, culturales y sociales

Muchos reportes internacionales y centros de investigación insisten reiteradamente que la persona es el elemento más importante en seguridad de la información o uno de los más relevantes para concretar una práctica real en la protección de la información en las organizaciones. Por tanto, si bien la incorporación de herramientas tecnológicas avanzadas ayudan a mantener una perspectiva de seguridad y control medible y monitoreada, es la persona y sus comportamientos la que reta dichas herramientas y pone de manifiesto la inestabilidad inherente de las prácticas de los individuos.

En este escenario, tratar de darle forma a la cultura organizacional de seguridad de la información, un objeto de estudio “líquido y cambiante”, implica cambiar la manera de entenderlo y analizarlo. Esto es, pasar de una vista mecánica, basada en causa-efecto, como si fuese un engranaje de una máquina, a otra que se entiende como una red de relaciones humanas anidadas, que crean de forma dinámica, imaginarios¹ y prácticas que se concretan en patrones de comportamientos que se hacen visibles o invisibles en las organizaciones.

Cuando se reconoce el reto que implica analizar, estudiar y tratar de transformar una cultura organizacional, particularmente en seguridad de la información, es necesario ir más allá de la práctica estándar de los talleres de concientización, para dar paso a la comprensión de aspectos más profundos de la dinámica empresarial como pueden ser las estructuras de significados de los colectivos, los imaginarios de las personas sobre la temática y aquellos valores explícitos o tácitos que movilizan comportamientos de las personas más allá de cumplir un requisito normativo.

Así las cosas, comprender la dinámica de la cultura organizacional de seguridad de la información es sumergirse en las ciencias sociales y establecer puntos de referencia, para comprender esa interacción propia de las personas alrededor de la temática de seguridad y control, para percibir qué es lo que realmente interesa allí en esas relaciones anidadas entre el individuo, la cultura de la organización y el sistema social donde se encuentra la empresa.

En consecuencia, esta breve reflexión recaba en tres palabras claves cuando se habla de cultura organizacional de seguridad de la información: comportamiento, cambio y contexto. En estos tres elementos se condensa el reto inherente de construir, consolidar y mantener una cultura de seguridad que responda a los retos de las empresas modernas y a las inestabilidades del entorno actual, desde una vista anidada de interacciones entre los sistemas humanos, culturales y sociales, con el fin de darle forma a las oportunidades propias de una acelerada convergencia tecnológica y una transformación digital corporativa.

Explorando el concepto de cultura organizacional

Tres teóricos de la cultura la definen de forma distintas. Cada uno de ellos, establece un marco de trabajo desde donde es posible ver aspectos claves que brinden pistas para la comprensión del fenómeno cultural.

De acuerdo con la postura antropológica de Geertz, la cultura es un ejercicio para representar, clasificar y explicar contextualmente los significados que los humanos crean a través de la interacción social. Esto es, reconocer estructuras de significación socialmente establecidas, a través de cuyas formas la gente emite señales, percibe insultos y los contesta, etc., por lo que encuentra que la cultura no es un fenómeno psicológico, o una característica del pensamiento, de la personalidad o de la estructura cognoscitiva de alguien².

Este investigador hace énfasis en la dinámica social y la manera como se construyen artefactos cognitivos y el tejido social que se traduce en los supuestos e imaginarios que elaboran las personas desde sus contextos y realidades. Estos significados que se construyen alrededor de la dinámica social de las organizaciones representan en últimas intereses sociales que se nutren de los retos y expectativas de las personas que conforman la empresa³.

De otro lado, el psicólogo social Hofstede insiste en que la cultura es un concepto un tanto confuso que, en un sentido antropológico (no psicológico), tiene que ver con la diversidad de formas de pensar, sentir y actuar, es decir, con esa programación colectiva de la mente que distingue a las personas de un grupo de las de otro u otros. Este académico insiste que la cultura está asociada con la dinámica de los colectivos, los cuales se pueden comprender desde cinco elementos⁴:

• Distancia de poder (desigual versus igual)—Está asociada con el problema de la desigualdad humana y se refiere a la medida en que las personas con menos poder admiten y esperan que este sea distribuido de manera desigual.
• Individualismo/colectivismo (solo versus en grupo)—Tiene que ver con la relación de los individuos con los grupos, es decir, lo que se ha denominado cohesión social.
• Masculinidad/Feminidad (rudo versus tierno)—Las diferencias entre lo masculino y lo femenino tienen profundas raíces históricas y es improbable que desaparezcan en el futuro.
• Aversión a la incertidumbre (rígido versus flexible)—Se relaciona con lo impredecible del futuro, que en últimas tiene que ver con el problema de lidiar con la muerte.
• Orientación a corto plazo/largo plazo—Que describe el horizonte temporal de una cultura, es decir su manera de planear y desarrollar sus actividades.

Esta investigación sostiene que las culturas organizacionales residen más en las prácticas visibles y conscientes que suceden en el ambiente de una organización y que son percibidas por los miembros de esta, lo necesariamente define un patrón cultural que mantiene cohesionadas a las empresas alrededor de su propia dinámica e historia, lo que finalmente le concede identidad frente a otros diferentes colectivos⁵.

Finalmente el psicólogo organizacional Schein, establece que la cultura se compone de “las presunciones básicas y creencias que comparten los miembros de una empresa”. Para ello, este investigador detalla que existen componentes de la cultura menos visibles como son las creencias (que son supuestos que se dan por sentados sin reflexión adicional), luego un segundo elemento que son los valores conscientes que se manifiestan en patrones, costumbres o modos de hacer concretos que están presentes en la organización y finalmente las normas sociales que terminan siendo las reglas de comportamiento o supuestos de conducta en un grupo, que bien pueden estar institucionalizadas o ser fruto de las anécdotas y saberes previos inmersos en la historia y dinámica de la empresa⁶.

Al revisar las tres posturas de la cultura vistas, se encuentran algunos puntos en común que revelan la complejidad del fenómeno cultural y los retos que implica transformarla hacia objetivos diferentes o enriquecerla para conectarla con nuevos valores, imaginarios o distinciones que inicialmente no han sido parte de ella.

Es claro que enfrentar el reto de la cultura organizacional de seguridad de la información, es necesario conectar el contexto, el comportamiento y los cambios requeridos para sintonizar la dinámica empresarial con el “valor de la información” como pieza clave del desarrollo de su actividad empresarial. En este sentido, se detallan algunos aportes de los teóricos revisados a tener en cuenta frente al reto de la protección de la información como parte inherente de la cultura organizacional:

• Toda dinámica social implica reconocer patrones de comportamiento e imaginarios que se construyen desde la historia y vista particular de cada uno de sus integrantes.
• Existe una transferencia tácita de prácticas entre las personas, que muchas veces no son valores conscientes que se hayan declarado en la organización.
• Todo conglomerado organizacional establece una programación colectiva de su lectura del contexto que le da una identidad particular, lo que define en sí mismo su manera de vinculación y actuación dentro él.

Estos elementos construyen estructuras mentales y artefactos cognitivos que se incorporan en la dinámica social de las personas en las empresas, los cuales definen y animan comportamientos, enraizados en esos constructos que se han realimentado mutuamente desde la experiencia personal, con la dinámica empresarial. Por tanto, la cultura organizacional de seguridad se configura como un constructo mental social que le da sentido a una práctica que debe estar conectada con la dinámica del negocio.

Entendiendo el reto del comportamiento

El comportamiento es el otro componente que se analiza para seguir avanzando en el entendimiento de los rasgos de la cultura organizacional de seguridad de la información, para lo cual se consultan algunas teorías básicas que ilustran aspectos complementarios sobre las prácticas de protección de la información. Sobre este particular se revisan dos modelos concretos: el modelo Fogg⁷ y las tres estrategias para el cambio de comportamiento desarrolladas por Wendel.⁸

En el modelo Fogg el comportamiento es un producto de tres factores: motivación, capacidad y detonantes, indicando que para que una persona realice un objetivo particular debe estar suficientemente motivado, tener la capacidad de realizar el comportamiento, y ser activado para realizar el comportamiento. Los tres elementos deben ocurrir al mismo tiempo o de lo contrario la acción esperada no se dará⁹.

Los detonantes que establece este modelo se detallan a continuación:

• Chispazo—Una frase o un video que inspire a la persona.
• Facilitador—Un activador de la materialización de un comportamiento.
• Señal—Una indicación requerida para desencadenar la acción.

De otra parte, Wendel¹⁰ sugiere que se requieren tres elementos para cambiar el comportamiento de una persona:

• Trampa—Si lo que realmente importa es la acción a realizar, y es posible eliminar el trabajo que se requiere de la persona, más allá de dar su consentimiento, entonces ejecute la acción.
• Haga o cambie los hábitos——Use esta estrategia si un individuo necesita realizar una acción varias veces (como comer mejor o gastar menos), y este puede identificar un indicio claro, una rutina y una recompensa.
• Apoyar la acción consciente—Si no se dispone de ninguna de las otras dos, entonces debe ayudar a la persona a realizar conscientemente la acción objetivo. Hay maneras de hacer este proceso más agradable y fácil, pero sigue siendo el camino más difícil de seguir.

Un ejemplo de aplicación de las estrategias previamente descritas en seguridad de la información es:

• Proporcionar una guía de orientación (“apoyar la acción consciente”)
• Proporcionar un sistema de generación de contraseñas fuertes (“crear hábitos”)
• Establecer valores predeterminados de contraseñas seguras (“hacer trampas”)

De acuerdo con estos dos académicos el comportamiento humano se moviliza por detonantes y hábitos que conectan la dinámica natural de la persona. Esto implica poco uso de su capacidad cognitiva y más instinto a la hora de movilizarse. Todo aquello que le resulte nuevo, distinto o que implique trabajo tendrá mayor resistencia y su aceptación tendrá que pasar por el filtro de los hábitos y de las actividades que demanden el menor esfuerzo.

Analizando algunas teorías del cambio

Por otro lado, está el tema del cambio como fenómeno requerido para movilizar una persona de un lugar a otro, de un estado a otro. Todo cambio, implica salir del lugar de comodidad y crear un incierto (mucho o poco) para alcanzar aquello que se quiere y que generalmente no se conoce aún. Dentro de las teorías de cambio que se tienen a la fecha se revisan dos en particular: el modelo de Hiatt & Creasey¹¹ y el modelo ADKAR¹². El modelo de Hiatt & Creasey¹³ indica que lo cambios se pueden realizar si se concretan los siguientes pasos:

• Una razón—¿Qué quiero lograr?
• Una decisión—¿Quiero hacerlo?
• Un resultado—¿Sé cómo hacerlo?
• Una transición—¿Alguien me acompaña?
• Un beneficio—¿Vale la pena hacerlo?

De otra parte, el modelo ADKAR (Awareness, Desire, Knowledge, Ability, Reinforcement), establece los siguientes elementos como fundamentales para gestionar y generar transformaciones¹⁴:

• Conciencia—Establecer la necesidad de cambiar.
• Deseo—Deseo de participar y apoyar el cambio..
• Conocimiento—Sobre cómo cambiar y cómo severá el cambio..
• Habilidad—Para implementar el cambio en las tareas del día a día.
• Reforzamiento—Para mantener el cambio que se ha generado..

Los dos modelos de cambio revisados establecen que cambiar exige conciencia, decisión, habilidad, acompañamiento y beneficio concreto. Se resalta la estrategia de refuerzo de ADKAR como fundamento de la sostenibilidad de cualquier transformación. De igual forma, el modelo indica que sin este ejercicio de refuerzo el cambio no tiende a permanecer o incorporarse en la práctica misma de las personas.

Conectar la dinámica de cambio en las práctica de seguridad y control, implica incorporar distinciones o ajustar las vigentes sobre la protección de la información, que no entren en conflicto con la naturaleza de su realidad empresarial. Cada día la seguridad de la información se desarrolla como una experiencia que la persona puede hacer, sabe hacer y desea hacer, como parte de lo que la organización demanda y espera de sus colaboradores.

Comprendiendo el contexto y sus retos

Hablando ahora del contexto, las reflexiones se conectan con el pensamiento de sistemas, con esa manera de entender el mundo como una red de conexiones que define el comportamiento mismo de aquello que se modela. En la medida que se reconoce que cada comportamiento de las personas no se encuentra aislado, sino que responde a realidades concretas, se establece que todo cambio implica o bien diseñar las relaciones necesarias para que la transformación ocurra, o bien entender y diagnosticar los momentos de aprendizaje que son necesarios para quebrar el status quo de la práctica vigente.

Bajo esta perspectiva, las reflexiones de Iny¹⁵ y de Reyes y Zarama¹⁶ permiten conectar los análisis anteriores relacionados con la movilización de cambios y los cambios de comportamientos desde una realidad reconocida en un contexto particular.

Por un lado Iny¹⁷ indica que todo viaje de aprendizaje inicia con un momentum especial donde se conectan las expectativas y retos de los participantes, y que con el tiempo es afectado por fricciones y distracciones que pueden llevar a deteriorar esa experiencia de aprender inicial. El reto de todo educador es mantener el momentum o crear nuevos momentums para continuar con una curva ascendente de aprendizaje y mantener a los estudiantes en movimiento hacia adelante.

De acuerdo con este autor, las fricciones están dadas por tres elementos¹⁸:

1. La racionalidad que se frustra frente al incierto y debilita la movilización de acciones.
2. La emocionalidad que asume posturas negativas cuando algo no sale como se espera o genera espacios de motivación positiva que procura reflexiones creativas.
3. El contexto que con sus diferentes estímulos puede causar reacciones conscientes o inconscientes que llevan a comportamientos no previstos, distracción o sesgos cognitivos.

Una forma concreta de superar estas fricciones es mantener una mentalidad “beta” que entiende que todo lo que se realiza responde a un proceso de construcción permanente, donde las cosas pueden salir distinto a la esperado, lo que permite una nueva ventana de aprendizaje y desarrollo de mejoras no previstas¹⁹ logrado hasta el momento. De esta forma, la frustración de “no hacerlo como estaba previsto” se transforma en una experiencia de construcción y logro individual en un umbral de resultado esperado.

De otra parte, las reflexiones de Reyes y Zarama²⁰ hablan de cómo lograr una experiencia de aprendizaje apropiado por una persona. Este es un ejercicio que inicia con una suspensión de la realidad vigente, es decir, sorprendiéndose de alguna forma sobre aquello que quiere aprender. Luego, confronta esta sorpresa con sus saberes previos, para interrogarse sobre aquello que le puede servir o las nuevas cosas que puede incorporar a lo que ya sabe. Seguidamente, elabora una postura distinta respecto de la sorpresa creada, propone y detalla esa práctica enriquecida que ha concebido, la pone en práctica, para finalmente incorporarla como saber previo en su caja de herramientas.

Este ciclo de apropiación de los aprendizajes, establece proceso de cambio real en las personas comoquiera que establece nuevas elaboraciones mentales y constructos cognitivos que cambian la forma de hacer las cosas. De hecho, al hacer este proceso, se crean nuevas conexiones cerebrales que habilitan la flexibilidad cognitiva necesaria para modificar la forma de ver el mundo. Lo anterior implica que todo cambio en la persona, es decir en su comportamiento, demanda un aprendizaje, y cada aprendizaje, exige una suspensión de lo que conocemos para darle paso a la capacidad de sorprendernos y sorprender a otros.

Estas dos propuestas convergen en el ejercicio de aprender y explorar buscando eliminar las propias autorestricciones y recuperar la capacidad de asombro, donde existe siempre la forma de experimentar, proponer y probar, con una mentalidad beta, que permite salir de la zona conocida y comenzar a caminar por la senda del aprendizaje, que no es otra que la del cambio.

Cuando las personas no logran cambiar o se resisten a ello, posiblemente existen retos de aprendizaje que la limitan en su proceso. En este sentido, Gino y Staats²¹ establecen cuatro elementos a tener en cuenta para movilizar el aprendizaje:

1. Entender el “error” (como aquello que no se manifiesta de acuerdo con lo esperado) como una oportunidad de aprendizaje, y no como causa de un represión o juzgamiento.
2. Motivar una mentalidad de crecimiento y desafío, que les permita persistir cuando se enfrenta obstáculos en la realización de tareas.
3. Animar a las personas a probar cosas nuevas y buscar apoyo para potenciar y desarrollar sus competencias.
4. Evitar el sesgo de atribución. Esto es, cuando las cosas no salen como se esperan, las personas deben reconocer sus propias acciones y así abrir nuevas ventanas de aprendizajes.

Conectando cultura, comportamiento y cambio. Una vista de construcción recursiva

Desarrollar un programa de fortalecimiento y madurez de una cultura organizacional de seguridad de la información implica esfuerzos concretos para reconocer, entender y actuar sobre las relaciones que sintonizan la cultura organizacional, el comportamiento y los cambios del entorno como se advierte en la figura 1.

En un primer lugar está la persona, que denominamos el sistema humano. Esta dimensión como todas las demás es compleja por su tejido relacional y sus múltiples conexiones. En este sentido, para efectos del reto de la COSI, se tomarán dos elementos específicos que se refuerzan mutuamente: las motivaciones humanas (relativas a las emociones) y los pensamientos (conectados con su racionalidad).

Estos dos elementos mencionados establecen las bases de comportamiento humano para movilizar acciones en escenarios individuales o colectivos, los cuales coinciden con lo propuesto por Fogg²² y Wendel²³ relacionados con los detonantes y hábitos que conectan las acciones frente a eventos particulares. En este sentido, un primer aspecto para generar la chispa por la protección de la información habrá que darle sentido dentro de las motivaciones propias de las personas (relevancia y trascendencia), reforzarla desde la racionalidad de sus marcos de referencia, para que teniendo este conocimiento, desarrolle la habilidad necesaria para transformarla en un hábito.

Esta primera dinámica del sistema humano, se conecta con el sistema cultural de la empresa, que para esta propuesta, se compone de una estructura básica de creencias, valores y normas, que se refuerzan así mismas con las redes de significados, los imaginarios y los diferentes grupos de colaboradores dentro de una organización. Esta conexión implica que los pensamientos individuales se nutren y afectan (en doble vía) la estructura básica de la cultura, así como las motivaciones se entrelazan con la dinámica de los colaboradores en sus relaciones intraorganización.

Con una vista inicial conectada desde la racionalidad y que hace sentido a la persona sobre esa distinción que acoge sobre la protección de la información, se hace necesario nutrir y enriquecer la estructura básica de la empresa, incorporando el valor de la información como elemento fundamental de la dinámica del negocio, lo que no resultará ajeno, ni generará fricciones para aquellos que han elaborado un imaginario y significado concreto alrededor de este valor. En consecuencia, cada grupo dentro de la empresa, le dará un reconocimiento particular, el cual será mayor o menor en la medida que haga sentido a su práctica natural y se ajuste a su forma de trabajar cotidiana.

Todo el tejido cultural de la organización se nutre y afecta el sistema social donde actúa y viceversa. Las estructuras sociales de mayor nivel, las exigencias y tensiones a los cuales está expuesta la organización penetran su cultura y afectan la dinámica de sus relaciones, cambiando muchas veces sus patrones de actuación. Cuando el sistema cultural resulta mucho más fuerte y relevante sobre las tensiones que puedan ejercer los colectivos del sistema social, podrá incluso comenzar a influir y transformar su escenario social de actuación, situándose como referente para otros en el medio. Esto confirma las conclusiones de los modelos de cambio revisados previamente.

Este escenario para efectos de la cultura organizacional de seguridad de la información se establece que muchos sistemas culturales que tienen integrado en su dinámica interior la protección de la información, bien por razones de cumplimiento o por condiciones de apropiación desde la perspectiva personal (sistema humano)²⁴, pueden interactuar entre sí para generar una dinámica que afecte y defina nuevos patrones en el sistema social en el cual actúan. De esta manera, el reto no está en que los cambios vengan de afuera, sino motivar los mismos desde las dinámicas de los sistemas culturales de las empresas.

Lo anterior valida los enfoques de Reyes y Zarama²⁵, así como las reflexiones de Iny²⁶ donde los aprendizajes que crean estructuras cognitivas nuevas y constructos sociales son capaces de debilitar y superar estructuras mentales existentes que se han consolidado con el tiempo. Esto es, teniendo una mentalidad beta, donde cada iteracción en la dinámica empresarial, es un ejercicio de construcción conjunta que hace sentido a un colectivo (y en últimas a las motivaciones humanas), con el potencial real de nutrir y afectar la dinámica social donde la empresa se encuentra instalada.

En consecuencia, cuando se adelantan esfuerzos de transformación cultural en seguridad de la información cualquiera sea su motivación (cumplimiento, difusión de información, cambio de comportamiento, o formación de cultura²⁷), tdeberá reconocer la vista anidada que implica crear y propagar los cambios y modificaciones que se deben generar y consolidar desde los sistemas humanos hasta los sistemas sociales como se detalla en la figura 1. Lo anterior, implica navegar todo el tiempo en medio de aguas inestables y movedizas manteniendo el sentido y valor de la protección de la información vigente, con estrategias de refuerzo a nivel humano, cultural y social.

Reflexiones finales

Considerando estos tres elementos como son comportamiento, cambio y contexto, la cultura organizacional de seguridad de la información, responde a un ejercicio de aprendizaje permanente, que motiva cambios desde la práctica cotidiana de las empresas en un contexto inestable y evolutivo, que busca bien diseñar o diagnosticar las relaciones del contexto para movilizar los comportamiento requeridos para defender y anticipar las amenazas emergentes en las empresas.

Lo anterior supone crear hábitos, mantener acompañamiento, reforzar comportamientos, disminuir las fricciones y distracciones, y sobremanera mantener un contexto de aprendizaje, que no es otro donde se privilegia la mentalidad beta, donde siempre es posible proponer y opinar para introducir posturas distintas que alteren o rompan con la dinámica conocida de la empresa y sus modelos de seguridad y control.

El comportamiento no se cambia o se altera con recompensas efímeras, o con controles duros o inflexibles, se moviliza y se posibilita a través de la conexión de las necesidades y expectativas de las personas, que desde su ejercicio cotidiano son capaces construir de forma conjunta la realidad, bien consolidando relaciones nuevas o motivando otras emergentes donde se puede llegar a una nueva ganancia teórica y práctica en la organización.

Es por esto que el ejercicio de consolidación y evolución de la cultura organizacional de seguridad de la información, exige comprensión y lectura sistémica que valide los retos del entorno, las realidades de los individuos y las necesidades de protección de la organización. No es un proceso que se haga de forma ágil o express, sino que demanda una permanente validación de brechas, entornos psicológicamente seguros para aprender y aplicación concreta de nuevas distinciones construidas de forma conjunta²⁸.

De esta forma, es viable desarrollar y avanzar en un imaginario consciente y real de la seguridad que está más allá del cumplimiento de una norma o la evidencia de conocimiento de la misma, para incorporarse como una estructura de pensamiento interna de una persona, como un valor que está conectado con la dinámica actual de la empresa y de su vida, y que es capaz de aplicar dentro de la organización y compartir con otros.

Cuando lo anterior, ocurre se advierte el proceso de apropiación²⁹ que no es otro que la incorporación permanente de la distinción en una persona, que se refuerza de forma permanente desde su entorno cotidiano, haciendo de ella un conocimiento nativo en sus actuaciones, que se materializa en comportamientos que son inherentes a la dinámica cultural de la organización, es decir, aquello que ocurre cuando nadie observa.

Endnotes

¹ La definición de imaginario social que se adoptará aquí corresponde a Juan Luis Pintos, quien afirma que son “esquemas, construidos socialmente, que permiten percibir algo como real, explicarlo e intervenir operativamente en lo que en cada sistema social se considera como realidad”. Ver Pintos, J. L; Los imaginarios sociales. La nueva construcción de la realidad social, Fe y Secularidad, Editorial Sal Terrae, Spain, 1995
² Nivón, E.; A. M. Rosas; “Para interpretar a Clifford Geertz. Símbolos y metáforas en el análisis de la cultura,” Alteridades, vol. 1, iss. 1, 1991, p. 40–49, https://alteridades.izt.uam.mx/index.php/Alte/article/view/683/680
³ Sánchez, J.; B. Tejero; A. Yurrebaso; A. Lanero; “Cultura organizacional: desentrañando vericuetos,” Revista de Antropología Iberoamericana, vol. 1, iss. 3, 2006, p. 380–403, https://www.researchgate.net/publication/26447131_Cultura_organizacional_ Desentranando_vericuetos
⁴ Chamorro, E; “Las dimensiones culturales de Geert Hofstede y la intención emprendedora en estudiantes universitarios del departamento del Quindío (Colombia),” Revista científica Pensamiento y Gestión, vol. 41, 2016, p. 60–90
⁵ Stefanova, E.; A. Lucas; “El concepto de cultura de las organizaciones: Centralidad actual y evolución histórica,” Revista Internacional de Organizaciones, 2008, p. 65–76, https://www.researchgate.net/publication/46412084_El_concepto_de_cultura_de_las_organizaciones_Centralidad_actual_y_evolucion
⁶ Schein, E.; Organizational Culture and Leadership, Jossey-Bass, USA, 2004
⁷ Fogg, B; “A Behavior Model for Persuasive Design,” Proceedings of the 4^th International Conference on Persuasive Technology, April 2009, https://dl.acm.org/doi/10.1145/1541948.1541999
⁸ Wendel, S.; Designing for Behavior Change: Applying Psychology and Behavioral Economic, O’Reilly Media, Inc., USA, 2014
⁹ Op cit Fogg
¹⁰ Op cit Wendel
¹¹ Hiatt, J.; T. J.; Creasey; Change Management: The People Side of Change, Procsi Learning Center Publications, USA, 2012
¹² Hiatt, J.; ADKAR: A Model for Change in Business, Government and Our Community, Prosci Learning Center Publications, USA, 2006
¹³ Op cit Hiatt y Creasey
¹⁴ Op cit Hiatt
¹⁵ Iny, D.; Leveraged Learning: How the Disruption of Education Helps Lifelong Learners and Experts With Something to Teach, Ideapress Publishing, USA, 2018
¹⁶ Reyes, A.; R. Zarama; “The Process of Embodying Distinctions: A Re-Construction of the Process of Learning,” Cybernetics and Human Knowing, vol. 5, iss. 3, 1998, p. 19–33
¹⁷ Op cit Iny
¹⁸ Ibid.
¹⁹ Ibid.
²⁰ Op cit Reyes y Zarama
²¹ Gino, F.; B. Staats; “Why Organizations Don’t Learn,” Harvard Business Review, November 2015, https://hbr.org/2015/11/why-organizations-dont-learn
²² Op cit Fogg
²³ Op cit Wendel
²⁴ Carpenter, P; Transformational Security Awareness: What Neuroscientist, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors, John Wiley and Sons, USA, 2019
²⁵ Op cit Reyes y Zarama
²⁶ Op cit Iny
²⁷ Op cit Carpenter
²⁸ Edmondson, A.; The Fearless Organization: Creating Psychological Safety in the Workplace for Learning, Innovation, and Growth, John Wiley and Sons, USA, 2018
²⁹ Cano, J.; “Systemic Model for the Diagnostic and Development of an Organization Culture for Information Security: A Vision From Generic Competences,” Doctoral Thesis, Universidad Santo Tomás, Colombia, 2018, https://repository.usta.edu.co/handle/11634/19640

Jeimy Cano, Ph.D., Ed.D., CFE, CICA

Es un profesor universitario y consultor internacional independiente con más de 25 años de experiencia en seguridad de la información, privacidad de datos, ciberseguridad, cómputo forense y auditoría de TI. En 2016 fue reconocido como Educador en seguridad cibernética del año para América Latina por los Premios a la Excelencia en Seguridad Cibernética y ha publicado o presentado más de 190 trabajos sobre sus áreas de interés en diversas revistas y en eventos especializados a nivel internacional.