Re-coding America
Escrito por Javiera Sepúlveda
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) de USA hace referencia a unos 300 “controles» de seguridad y privacidad sugeridos por el NIST para ser elegidos por las oficinas gubernamentales en la creación de un plan de seguridad. Dicho plan de seguridad debe ser en teoría informado y reflexivo eligiendo los controles más relevantes para las circunstancias y centrar sus esfuerzos en aplicar y probar esas opciones.
Pero esto en la práctica no ocurre de esta forma, los planes de seguridad de las agencias del gobierno de USA incorporan los 300 controles aun cuando la mayoría sean innecesarios para un contexto particular, lo cual implica una enorme inversión de costos y tiempo implementarlos y darles cumplimiento, en lugar de centrarse en los controles específicos que realmente protegerán sus sistemas.
Este es uno de los ejemplos del libro Re-coding America de Jennifer Pahlka, muy recomendable. Una mirada aclaradora sobre la complicada intersección entre la mejora de procesos o proyectos de transformación digital y la burocracia gubernamental. Es esencial para los que trabajamos en temas de políticas públicas, pero igualmente necesario para aquellos que gestionan procesos dentro de una empresa.
La autora pasó años consultando con varias agencias gubernamentales de USA, tratando de analizar cómo mejorar su desempeño. El libro analiza que la desconexión entre el diseño de una política y su implementación es la clave para desburocratizar las instituciones y que tiene sus raíces en una visión elitista de que cuando se trata de implementación, “tenemos gente para ese tipo de cosas”. Ese punto de vista conduce a lo que ella llama una teoría de la planificación estratégica en “cascada”, en la que la dirección se establece desde arriba y se supone que cada nivel inferior debe hacer lo que se le dice sin tener participación en los diseños ni preguntar.
Volviendo al ejemplo de la Ley FISMA, esta falta de conexión de decisiones desde arriba genera una cultura de “más vale irse a la segura” y la imposibilidad de cuestionar y optimizar procesos.
Como la autora lo explica en una entrevista: “Supongamos que tiene un jefe de seguridad en un proyecto de software federal que es excelente en su trabajo. Saben exactamente qué hacer para proteger esta aplicación y dicen: “Aquí están los 25 controles que vamos a realizar. Ah, y por cierto, necesitamos muchas pruebas. Nos aseguraremos de que esto no interrumpa su usabilidad, tenemos características que deben incluirse. Así que solo vamos a hacer estas 25 «. Tienen que obtener permiso en la cadena para hacerlo. Y las personas en la parte superior de la cadena no tienen forma de saber si esos son los 25 correctos. Solo saben que, si el número 26 necesitaba estar allí y no lo estaba, es su puesto el que está en juego. Entonces dicen: “¿Sabes qué? Es mejor si haces los 300”. Bueno, entonces, de repente, gran parte de su presupuesto de tiempo y atención se destina a algo que no ayudará a proteger sus sistemas.”
Un pasaje del libro señala: “Cuando los sistemas u organizaciones no funcionan como uno cree que deberían, generalmente no se debe a que las personas que los integran sean estúpidas o malvadas. Es porque operan según estructuras e incentivos que no son obvios desde el exterior.”
Sobre lo anterior, la autora explica que los incentivos para el personal de carrera de las agencias no giran en torno a los resultados si no en el cumplimiento de procesos impuestos. Obtener malos resultados puede provocar momentos incómodos ocasionales en una audiencia de supervisión, pero desviarse de un proceso puede provocar su despido. Por eso dedican tiempo y energía al cumplimiento, en lugar de a la optimización.
Este libro es esencial para tener presente temas esenciales que suelen ser pasados por alto en procesos de desburocratización o digitalización. Para desburocratizar y simplificar procesos es esencial que los implementadores y planificadores trabajen juntos, construyendo de forma iterativa a través de prueba y error, incorporando en el diseño terceros interesados y por sobre todo guiar el diseño centrado en los usuarios (o en ciudadanos y empresas).
El libro está disponible en ebook en este link: https://www.amazon.com/Recoding-America-Government-Failing-Digital-ebook/dp/B0B8644ZGY