Ingeniería Social:Un Mecanismo revelador de la Fragilidad Humana en Ciberseguridad
Diseño Sensible al Valor (DSV) como método fundacional para la incorporación de la seguridad en el ADN organizacional
Diseño Sensible al Valor (DSV) como método fundacional para la incorporación de la seguridad en el ADN organizacional
Una reinterpretación del DSV como condición estructural previa a la innovación adversarial en ciberseguridad
El Diseño Sensible al Valor (DSV), desarrollado por Batya Friedman, ha sido tradicionalmente interpretado como un marco ético aplicado al diseño tecnológico. Sin embargo, en el contexto de la ciberseguridad organizacional contemporánea —caracterizada por su naturaleza sociotécnica, compleja y adversarial—, esta interpretación resulta limitada. El presente artículo propone una reinterpretación del DSV como un método fundacional para integrar la seguridad en el ADN empresarial, previo a la adopción de modelos de innovación continua. A partir del enfoque epistemológico GAMO y sustentado en la teoría de sistemas complejos, se argumenta que el DSV permite alinear valores, comportamientos y arquitectura tecnológica como condición estructural de seguridad. Se concluye que la seguridad no puede ser innovada si previamente no ha sido internalizada como valor organizacional.
- 01 Introducción: antes de innovar, hay que enraizar
- 02 Marco conceptual: DSV como base estructural de seguridad
- 03 Análisis epistemológico GAMO
- — 3.1 Dimensión gnoseológica
- — 3.2 Dimensión axiológica
- — 3.3 Dimensión metodológica
- — 3.4 Dimensión ontológica
- 04 Del DSV a la innovación adversarial: secuencia estructural
- 05 Discusión
- 06 Conclusiones
- — Glosario de términos
- — Referencias
Introducción: antes de innovar, hay que enraizar
En muchos enfoques contemporáneos de ciberseguridad, especialmente aquellos orientados a la innovación continua y la resiliencia adversarial, se asume implícitamente que la organización ya posee una base sólida de seguridad. Sin embargo, esta premisa rara vez se cumple.
Las organizaciones implementan controles, tecnologías y regulaciones, pero no necesariamente integran la seguridad como parte de su identidad operativa. En términos sistémicos, la seguridad no está en el ADN del sistema, sino en su periferia. Esta distinción no es semántica: una seguridad periférica se activa cuando hay auditoría, se cumple por obligación regulatoria y desaparece bajo presión operativa. Una seguridad constitutiva guía decisiones cotidianas, incluso cuando nadie observa.
El DSV, tradicionalmente interpretado como un marco ético para el diseño tecnológico, puede ser reconfigurado como un mecanismo estructural que permite precisamente esa internalización. No se trata solo de diseñar tecnología con valores, sino de diseñar organizaciones donde la seguridad es un valor constitutivo. En este sentido, el DSV deja de ser un complemento y pasa a ser una condición previa a cualquier modelo de innovación en ciberseguridad.
Marco conceptual: DSV como base estructural de seguridad
El DSV, desarrollado por Batya Friedman (1996), plantea que todo sistema tecnológico incorpora valores, de forma consciente o inadvertida. Este principio, llevado al contexto organizacional, implica que toda empresa ya tiene una postura de seguridad, incluso si no la ha definido explícitamente.
Desde la teoría de sistemas complejos (Holland, Simon), esta postura no es el resultado de una política, sino de la interacción entre personas, procesos, tecnología y cultura organizacional. La seguridad emerge de estas interacciones. Si los valores no son diseñados deliberadamente, emergen de forma desordenada. Y en ciberseguridad, eso equivale a fragilidad estructural.
Por tanto, el DSV puede ser reinterpretado como: un método para alinear valores organizacionales con comportamientos y arquitectura tecnológica, reduciendo la entropía del sistema. Antes de hablar de innovación adversarial, se necesita coherencia interna. El DSV es ese mecanismo de coherencia.
Análisis epistemológico GAMO
El enfoque GAMO articula cuatro dimensiones epistemológicas —gnoseológica, axiológica, metodológica y ontológica— que permiten examinar el DSV no solo como herramienta de diseño, sino como fundamento del conocimiento organizacional en seguridad. La siguiente tabla integra las cuatro dimensiones y sus implicaciones:
| Dimensión | Interpretación del DSV | Aporte a la seguridad | Principio resultante |
|---|---|---|---|
| Gnoseológica | El conocimiento real del sistema se manifiesta en la práctica, no en la documentación. El DSV revela qué valores guían realmente el comportamiento bajo presión. | Alinea el conocimiento declarado con el conocimiento operativo | La brecha entre lo documentado y lo ejecutado es la principal fuente de fragilidad organizacional |
| Axiológica | La seguridad pasa de requisito técnico a valor organizacional explícito. Cuando es un valor, no depende de vigilancia constante ni se activa solo ante auditorías. | Convierte la seguridad en criterio de decisión, no en obligación de cumplimiento | Los valores compartidos determinan comportamientos más que las reglas formales (Schein) |
| Metodológica | Tres líneas integradas: conceptual (qué significa seguridad), empírica (cómo se comportan las personas) y técnica (cómo el sistema soporta o contradice esos comportamientos). | Evita diseñar seguridad desde la tecnología ignorando el sistema humano | Es el sandbox conceptual previo a cualquier modelo de innovación adversarial |
| Ontológica | La seguridad no es un estado ni un conjunto de controles. Es una propiedad emergente del sistema organizacional: manifestación de los valores que ese sistema incorpora. | Dos organizaciones con los mismos controles pueden tener niveles de seguridad radicalmente distintos | El DSV no diseña seguridad; diseña las condiciones para que la seguridad emerja |
3.1 Dimensión gnoseológica: conocer la seguridad más allá del control
Desde el punto de vista del conocimiento, el DSV rompe con la idea de que la seguridad puede ser comprendida únicamente a través de controles, auditorías o cumplimiento normativo. El conocimiento real del sistema se manifiesta en la práctica, no en la documentación.
Esto se alinea con la noción de racionalidad limitada de Herbert Simon: los individuos no operan bajo modelos ideales, sino bajo condiciones de incertidumbre y simplificación. El DSV permite observar qué valores realmente guían el comportamiento, qué decisiones se toman bajo presión y qué contradicciones existen entre lo declarado y lo ejecutado. No solo diseña sistemas; revela cómo funciona realmente la organización.
3.2 Dimensión axiológica: la seguridad como valor organizacional
El aporte más potente del DSV en este contexto está en la dimensión axiológica. La seguridad deja de ser un requisito técnico, una obligación regulatoria o un control operativo, y pasa a ser un valor organizacional explícito.
Cuando la seguridad es un valor, no depende de vigilancia constante, no se activa solo ante auditorías y no se percibe como fricción: se convierte en criterio de decisión. Esto conecta con los modelos de cultura organizacional de Schein: los valores compartidos determinan comportamientos más que las reglas formales. El DSV permite hacer explícitos estos valores y diseñarlos deliberadamente, evitando que emerjan de forma caótica.
3.3 Dimensión metodológica: el DSV como mecanismo de estructuración
Metodológicamente, el DSV introduce una disciplina especialmente valiosa en sistemas complejos: la integración de múltiples perspectivas. El modelo original plantea tres líneas —conceptual, empírica y técnica— que reinterpretadas en ciberseguridad organizacional se traducen en: qué significa seguridad para la organización, cómo se comportan realmente las personas y cómo el sistema soporta o contradice esos comportamientos.
Este enfoque evita uno de los errores más comunes: diseñar seguridad desde la tecnología, ignorando el sistema humano. Antes de introducir innovación adversarial, es necesario entender cómo responde el sistema en condiciones normales. El DSV es ese sandbox conceptual previo.
3.4 Dimensión ontológica: qué es la seguridad en una organización
Ontológicamente, el DSV permite redefinir la seguridad. La seguridad no es un estado. No es un conjunto de controles. No es un nivel de cumplimiento. La seguridad es una propiedad emergente del sistema organizacional: manifestación de los valores que ese sistema incorpora.
Esto implica que dos organizaciones con los mismos controles pueden tener niveles de seguridad radicalmente distintos, porque sus valores, comportamientos y cultura difieren. Desde esta perspectiva, el DSV no diseña seguridad; diseña las condiciones para que la seguridad emerja.
Del DSV a la innovación adversarial: secuencia estructural
La innovación adversarial requiere un sistema capaz de aprender, adaptarse y resistir perturbaciones. Pero si la seguridad no está internalizada como valor, cualquier intento de innovación se vuelve superficial. Es equivalente a intentar chaos engineering en una organización que aún no sabe gestionar incidentes básicos.
El DSV cumple el rol de fase cero de la innovación en ciberseguridad. La secuencia estructural correcta es:
| Fase | Marco conceptual | Descripción | Pregunta clave |
|---|---|---|---|
| Fase cero: Alineación de valores | DSV | Se identifican y diseñan deliberadamente los valores organizacionales de seguridad. Se reduce la entropía del sistema sociotécnico. La seguridad pasa a ser criterio de decisión. | ¿Qué valoramos en seguridad? |
| Fase uno: Estabilización sistémica | Sistemas complejos | Los valores alineados generan comportamientos predecibles. El sistema adquiere coherencia interna suficiente para absorber perturbaciones sin colapsar. | ¿El sistema responde de forma predecible? |
| Fase dos: Innovación adversarial | Innovación continua adversarial | Con base sólida, se introducen perturbaciones controladas (chaos engineering, red team, CTI) para aprender y adaptar capacidades de forma continua. | ¿Innovamos más rápido que el adversario? |
En términos de sistemas complejos: primero se reduce entropía, luego se introducen perturbaciones controladas. Si se invierte el orden, se genera caos, no aprendizaje. Esta es la contribución fundamental del DSV a la línea de innovación adversarial: establece las condiciones sistémicas sin las cuales la innovación no puede consolidarse.
Discusión
La reinterpretación del DSV propuesta en este artículo tiene implicaciones que van más allá del diseño de sistemas tecnológicos. Sugiere que la madurez en ciberseguridad no se mide únicamente por la cantidad o sofisticación de los controles implementados, sino por el grado en que los valores de seguridad están alineados con los comportamientos reales y la arquitectura tecnológica de la organización.
Esta perspectiva es coherente con la evidencia que muestra organizaciones técnicamente bien equipadas que sufren brechas derivadas de comportamientos humanos y culturales no gestionados. Los controles compensan la ausencia de valores; no los reemplazan. Y los controles que compensan ausencias de valor tienen un costo recurrente que ningún presupuesto sostiene indefinidamente.
En el contexto boliviano, donde las organizaciones del sector financiero operan bajo el RGSI con recursos limitados, el DSV ofrece un marco particularmente relevante: alinear valores antes de invertir en tecnología reduce significativamente el desperdicio de recursos en controles que no son internalizados por el sistema humano.
La conexión con la línea de investigación doctoral es directa: el Modelo de Innovación Continua Adversarial propuesto requiere que el sistema organizacional sea capaz de aprender y adaptarse. Esta capacidad no emerge espontáneamente; se construye a través de la alineación deliberada de valores que el DSV propone como punto de partida.
Conclusiones
Términos clave del artículo
Bibliografía
Friedman, B. (1996). Value-sensitive design. Interactions, 3(6), 16–23.
Holland, J. H. (1995). Hidden Order: How Adaptation Builds Complexity. Addison-Wesley.
Schein, E. H. (1992). Organizational Culture and Leadership (2nd ed.). Jossey-Bass.
Simon, H. A. (1957). Models of Man: Social and Rational. Wiley.
Teece, D. J., Pisano, G., & Shuen, A. (1997). Dynamic capabilities and strategic management. Strategic Management Journal, 18(7), 509–533.
Rogers, E. M. (2003). Diffusion of Innovations (5th ed.). Free Press.
Weick, K. E. (1995). Sensemaking in Organizations. Sage Publications.
NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (v1.1). National Institute of Standards and Technology.
Autor / Redactor / Director
