Actualmente, la disrupción digital, que hace parte de la cuarta revolución industrial, ofrece nuevas oportunidades y desafíos, pero también plantea amenazas significativas para la actual sociedad del conocimiento y todos sus actores. En nuestro contexto, aunados a la corrupción y al desgreño administrativo, surgen elementos tales como la fuga de información sensible, la suspensión de la prestación del servicio, la indisponibilidad de la infraestructura crítica, la violación de la privacidad y los datos personales, la afectación de los bienes físicos, las operaciones de sabotaje o espionaje y, peor aún, el daño a la integridad de las personas.

Ahora bien, los riesgos de seguridad están relacionados con los componentes de toda organización: personas, procesos y herramientas; la articulación de estos siempre genera tensiones por necesidades que, en ocasiones, van en contravía unas de otras, tales como el cumplimiento regulatorio, nuevos requerimientos técnicos, ajustes presupuestales, personal idóneo y capacitado, sostenibilidad de la estrategia a largo plazo, la colaboración efectiva en su ecosistema y la reinvención permanente.

Lo anterior implica que las organizaciones deben transformarse digitalmente para estar a la par de los últimos adelantos tecnológicos que faciliten su quehacer misional; por lo tanto, tendencias tecnológicas tales como la computación en la nube; las plataformas móviles; la analítica avanzada de datos a nivel descriptivo, predictivo, prescriptivo y cognitivo usando gigantescas cantidades de datos (big data); la inteligencia artificial con sus variantes de aprendizaje automático (machine learning) y aprendizaje profundo (deep learning); el internet de todo (IoE) y su subconjunto de internet de las cosas (IoT); las plataformas seguras de interoperabilidad como X-Road1; las cadenas de bloques (blockchain); entre otras, serán adoptadas de manera incremental o disruptiva por todas las áreas

Es por esto que una práctica como la arquitectura empresarial (la cual facilita la alineación entre las necesidades organizacionales y los procesos internos, con la tecnología requerida para transferir, almacenar y procesar la información generada, consumida o transformada en dichos procesos y con las personas que hacen parte en la operación) es fundamental para llevar a cabo la transformación digital, dado que permite la correcta articulación de los procesos, la tecnología, la información y las personas, la adopción de buenas prácticas, normas y marcos de referencia y la investigación, desarrollo e innovación (I+D+i) como respuesta a un entorno, en ocasiones hostil y en constante cambio. En consecuencia, la Contraloría General de la República (CGR) se involucra de manera decidida y se compromete profundamente para estar acorde con las políticas y planes de ciencia, tecnología e innovación, como entidad fiscalizadora superior, con la siguiente estrategia:

MÁS TECNOLOGÍA, MÁS CIUDADANÍA

Aunque el anterior panorama parece un poco abrumador ante su complejidad de elementos y relaciones, la visión del actual Contralor General, quien, desde su campaña para aspirar al mayor cargo de control y vigilancia fiscal del país, ha mencionado de forma reiterada la frase “más tecnología y más ciudadanía” 2 como mecanismo para enfrentar el flagelo de la corrupción, aplica el principio del fraile franciscano Guillermo de Ockham: “En igualdad de condiciones, la explicación más sencilla suele ser la más probable”3. Es una estrategia simple y poderosa que combina dos de los pilares de las organizaciones modernas: las personas y las herramientas tecnológicas, las cuales se apalancan en los procesos misionales y de apoyo de la entidad bajo su dirección.

Así las cosas, desde la óptica del investigador de la cibernética social proporcionalista, Waldemar de Gregori, quien de en un sistema como “una aglutinación ordenada de elementos de cualquier tamaño, en estado inestable o mutable, pero que mantiene su nivel de organización en tanto se puede adaptar al medio interno o externo por la autorregulación la CGR es un órgano de control del Estado colombiano que, bajo un nuevo liderazgo, se amolda de forma permanente al contexto actual para cumplir con la misión encomendada por el Artículo 267 de la Constitución Política de Colombia.

Lo anterior a través de:
A) el desarrollo del Programa de Fortalecimiento Institucional (CONPES 3841)5 para mejorar la planeación, ejecución y seguimiento de las acciones de control fiscal, la gestión de la información y la transparencia y la participación ciudadana;

B) la sinergia con el actual Plan Nacional de Desarrollo materializada en su artículo 332 al permitir una reestructuración de la CGR, focalizada en los pactos por la construcción de paz, la inclusión de mujeres y personas en condición de discapacidad, la transformación digital y el pacto por la ciencia, la tecnología y la innovación; la gestión del proyecto de acto legislativo para la reforma del modelo de control fiscal, cuyo n es com- plementarlo con un enfoque concomitante y preventivo.

USATI Y MÁS SEGURIDAD

Ilustrados ya los elementos de “más tecnología y más ciudadanía”, falta el tercero , “más seguridad”. Hace unos años, enmarcada en el desarrollo de la estrategia de la lucha frontal contra la corrupción, la Ley 1474 de 2011 creó la Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) en su artículo 128, asignándole la misión de acompañar el liderazgo de la alta dirección en pro de la seguridad, de manera integral, de las personas, los bienes y la información institucionales, a través de la formulación de políticas, la ejecución de programas y la promoción de convenios nacionales e internacionales.

La USATI se ha consolidado como el centro articulador de dichos ejes institucionales que son la base de una seguridad multidimensional. Por ello, desarrolla sus funciones de manera coordinada al interior de la CGR especialmente con sus principales socios estratégicos: la Gerencia del Talento Humano (GTH) para el eje de personas; la Gerencia Administrativa y Financiera (GAF) en el eje de bienes; y para el eje de información, con la Oficina de Sistemas e Informática (OSEI), la Dirección de Imprenta, Archivo y Correspondencia (DIAC) y con la recién creada Dirección de Información, Análisis y Reacción Inmediata (DIARI) por el PND, para ser un referente para el ecosistema de entidades públicas y los sectores académicos y privados. 

Este equipo de trabajo, que incluye a la oficina jurídica, de control interno y de planeación, ha venido realizando esfuerzos encaminados al logro del objetivo número cinco del Plan Estratégico 2018-2022, “Una Contraloría para todos”6, para así habilitar capacidades y servicios tecnológicos mediante la práctica de arquitectura empresarial usando TOGAF7 como marco de referencia.

El producto específico que es responsabilidad de la USATI es desarrollar un Sistema de Gestión de Seguridad (SGS) por medio de la adopción de buenas prácticas y de estándares internacionales tales como la ISO- 27001:2013 (seguridad de la información), la ISO-22301:2012 (continuidad de negocio), la ISO-45001:2018 (gestión de seguridad y salud en el trabajo) y la ISO-31000:2018 (gestión del riesgo); todo ello, encaminado a fortalecer la gestión de la seguridad de los servidores públicos; los bienes muebles, inmuebles e inmateriales, así como la confidencialidad, integridad y disponibilidad de la información de la CGR, fortaleciendo de manera organizacional la capacidad de resiliencia que la entidad debe tener para asegurar de forma permanente y controlada su misión.

En este camino, la USATI planteó el año anterior una nueva hoja de ruta para un horizonte de cuatro años, constituyendo una síntesis de las contribuciones de distintos grupos de interés, que se cristaliza en el Plan Estratégico de Seguridad (PES), el cual se desglosa de la siguiente forma:

Liderazgo de la seguridad

Establecer el gobierno de la gestión integral de la seguridad; formular políticas y programas bajo principios de calidad, flexibilidad, interdisciplinariedad, internacionalización y sostenibilidad; y fortalecer los vínculos con socios estratégicos nacionales e internacionales.
Viabilidad, efectividad e innovación

Proponer elementos que tengan una buena relación costo - beneficio para las diferentes actividades, usando de manera creativa los recursos disponibles para definir nuevas formas de satisfacer los clientes internos y externos de una manera segura.

Cultura organizacional

Aportar al conjunto de principios, valores, costumbres, actitudes y motivaciones para la adquisición de buenos hábitos alrededor de la seguridad, la apertura a nuevas ideas, la mejora de la comunicación y el fomento de un aprendizaje continuo.

Continuidad de negocio

Desarrollar un plan para mantener la entrega de los productos y servicios críticos en niveles aceptables, que sean parcial o totalmente afectados, después de una interrupción o desastre, en un tiempo predeterminado; con una estructura de respuesta que articula los niveles estratégico, táctico y operativo con los mecanismos de medición, seguimiento y control acorde con los lineamientos establecidos por la gobernanza interna.

Gestión de incidentes

Planificar, detectar, analizar, contener y documentar los eventos o serie de eventos relacionados con la seguridad que afecten las operaciones de la entidad.

Sin embargo, el dominio de la seguridad es impredecible y requiere de capacidades, habilidades y conocimientos heterogéneos en distintos campos. Dicha diversidad y complejidad hacen que una organización ciento por ciento segura sea una meta casi imposible de lograr, dados los niveles de incertidumbre sobre los riesgos; lo que sí se puede esperar es que los esfuerzos estén bien encaminados con un adecuado enfoque en la gestión de estos, con la restricción de los recursos humanos, financieros, legales y tecnológicos disponibles y la voluntad de la alta dirección. Esta situación se ilustra con las cifras que se exponen a continuación.

Lea la versión completa en la edición impresa.

RELACIONADOS