sábado, 20 de enero de 2018

El viaje del héroe en la gestión de riesgos


El concepto de "El viaje del héroe" fue definido por Joseph Campbell a quien le dio por estudiar mucha mitología durante toda su vida y descubrió un patrón, una serie de principios, que gobiernan la narración de las historias e incluso la conducta de la vida. Según Christopher Vogler en su libro "El viaje del escritor", basado en los estudios de Campbell sobre El Viaje del Héroe:
"resulta difícil eludir la sensación de que, en efecto, el viaje del héroe existe en alguna parte, existe de algún modo como una realidad eterna...".
La cuestión con este Viaje del Héroe, con esta estructura eterna, es que cualquier historia, cualquiera, tiene un hilo narrativo basado en una serie de etapas que son las que marco en negrita en el siguiente párrafo:


Los héroes se nos presentan en el mundo ordinario, donde reciben la llamada a la aventura. Y aunque inicialmente se muestra reticentes y rechazan la llamada, sin embargo, un mentor, los anima a cruzar el primer umbral. Ahí encontrarán pruebas, aliados y enemigos. Para posteriormente aproximarse a la caverna más profunda, atravesando un segundo umbral, donde empezará su odisea o calvario. Y se apoderarán de su recompensa para ser perseguidos en el camino de regreso al mundo ordinario. Al cruzar el tercer umbral, experimentarán una resurrección, vivencia que les transforma, y retornarán con el elixir, una bendición o un tesoro del que se beneficiará el mundo ordinario.

Para verlo en ejemplo práctico, si tomamos La Guerra de las Galaxias (Episodio IV) nos encontramos a nuestro héroe, Luke Skywalker, en el mundo ordinario siendo un granjero en un planeta perdido de la mano de dios. Y recibe la llamada a la aventura a través de un mensaje de la princesa Leia oculto en R2-D2. Pero rechaza la llamada porque debe quedarse ayudando a sus tíos en la granja. Y entonces aparece el mentor que es Obi  Wan para darle a Luke la espada láser que perteneció a su padre. Y finalmente atraviesa el primer umbral, empujado por la muerte de sus tíos, cuando los soldados del imperio queman su granja. En la cantina conoce a enemigos y a aliados que le acompañarán en el viaje, como Han Solo. Y a partir de la cantina comienzan las pruebas de Luke para ser un Jedi. El héroe se aproxima a la caverna más profunda, en este caso Luke y sus aliados se ven en la Estrella de la Muerte donde van a tener que rescatar a la princesa Leia. Y entonces sucede la odisea o calvario, ese duro momento cuando Luke, Leia y demás compañeros se encuentran atrapados en el triturador y no sabemos si saldrán vivos de ahí y tampoco si Luke morirá ahogado al ser atrapado por el monstruo en el agua. Una vez que el héroe sobrevive al calvario puede hacerse con la recompensa, en este caso, los planos de la Estrella de la Muerte, que pueden permitir encontrar el punto flaco de la nave para reventarla. Y ya, casi al final de nuestra historia en la que - como diría gritando una abuela vecina mía cuando la llaman a cenar ("espera hija que está ya en la cumbre la película") - nos situamos en el camino de regreso, cuando a Luke y Leia les toca huir de un Darth Vader muy cabreado que les persigue. Y de ahí a la batalla final que, tras ser ganada por el héroe, experimenta la resurrección. Para poder retornar con el elixir que es su aportación para restablecer el equilibrio en la galaxia. Cualquier novela, película, cómic, historia, tiene una estructura similar. No tiene que ser en orden secuencial, no tiene que ser una etapa detrás de otra, algunas pueden darse en paralelo. Algunas pueden ser tan breves o sutiles que parece que no están. Pero desde que integré en mi estructura mental que cualquier historia tiene estas etapas, soy capaz de vez el hilo secuencial en cualquier historia. Incluso en una Tesis Doctoral sobre "Modelos de elementos finitos explícitos para explosiones en estructuras reticuladas de hormigón armado con aplicaciones al estudio del colapso en edificios". En esta tesis está el camino del héroe. En más de un sentido. Y hoy me ha vuelto a pasar. Me hallaba esta tarde empollando la metodología de gestión de riesgos de privacidad publicada por el CNIL y de repente me he dado cuenta "¡es el viaje del héroe!".  Yo lo veo claro:
Resulta que un riesgo es un hipotético escenario que describe el modo en que las fuentes de riesgo pueden explotar una o varias vulnerabilidades en los activos de apoyo que contienen los datos personales. Y eso en un contexto de amenazas  que permite que ocurra un evento temido sobre datos personales, lo cual genera impactos en la privacidad de los datos de las personas físicas. Ahí están las etapas del viaje del héroe:
  • Tenemos a nuestro héroe: el dato de carácter personal
  • Que está en su mundo ordinario: bajo el control de su titular que no divulga el dato a cualquiera.
  • Y es llamado a la aventura: por ejemplo, una empresa desarrolladora y propietaria de una aplicación informática que le puede decir al titular del dato si tiene gases. (podría llegar a pasar. ¿Por qué no?)
  • Pero rechaza la aventura: el dato que no se siente seguro en manos de un tercero, siendo además información sensible como el de flatulencias de su titular.
  • Y aparece el mentor: el clausulado de información y consentimiento de la aplicación es muy largo, tiene muchas palabras legales. Sí. Parece serio y dice que velan por la seguridad. Y de esta manera el dato cruza el primer umbral y decide ponerse en manos de la empresa
  • Y así conoce a los aliados, los activos de apoyo en los que va a quedar bien almacenado que, en este caso, es el servidor de la empresa. Y conoce a los enemigos: las vulnerabilidades que pueden explotar los activos de apoyo a través de un parche desactualizado del sistema operativo que permite un inyección de código malicioso.
  • Y nuestro héroe se aproxima a la caverna más profunda cuando es ubicado, por error, en una base de datos a la que tiene acceso todo el personal de la empresa. Y justo en ese momento, aparece una fuente de riesgo, un trabajador muy cabreado con la empresa que ha discutido con su superior y quiere irse a la competencia. Y se da cuenta de que tiene acceso a esos datos compartidos con él por error y se empieza a fraguar en su cabeza la idea que puede venderlos si los extrae de la base de datos. Y ahí llegamos a la odisea o calvario de nuestro héroe, cuando se produce un evento temido que es el acceso ilegítimo al dato personal, es decir, el acceso ilegítimo a nuestro héroe por parte del trabajador cabreado.
  • Y entonces, en una revisión periódica programada por la empresa para los casos en que se producen cambios significativos en los sistemas de información, justo en el camino de regreso de nuestro héroe, cuando el trabajador cabreado se dispone ya a secuestrarle al día siguiente, la persona responsable de seguridad se da cuenta de que los permisos de la base de datos están mal otorgados y establece una medida de control, lo cual evita que se produzca un impacto en la organización con el robo del dato: nuestro héroe. Quien sobrevive a su secuestro por parte del trabajador cabreado. Y así nuestro héroe se hace con la recompensa que es el haber sobrevivido a un contexto de amenazas que hubieran provocado un serio impacto en nuestro héroe que hubiera percibido una clara invasión en su sensación de privacidad.  Y todo gracias a una revisión periódica programada.
  • Y así, tras librarse por los pelos de ver expuesta su privacidad, nuestro héroe experimenta la resurrección y vuelve con el elixir que es sentirse seguro en manos de la empresa propietaria de la aplicación y la gestión del riesgo residual.
Es El Viaje del Héroe. Yo lo veo claro

No hay comentarios:

Publicar un comentario