Confío pero verifico. Tensión creativa frente a los dilemas de control.
- 26/07/2016
- Internacional
Por Jeimy Cano, Ph.D, CFE
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS
Una frase se ha acuñado con el tiempo en la práctica de seguridad de la información y ahora se reitera en el dominio de la ciberseguridad: “Confío pero verifico” (CpV).
Una expresión que buscan disminuir el “dilema de control” que se genera frente la inevitabilidad de la falla y que generalmente los CEO o ejecutivos de primer nivel manejan desde el “marco de debido cuidado” que la empresa ha definido para cada uno de sus temas de responsabilidad.
CpV revela la vulnerabilidad inherente que cada organización identifica y gestiona, para mantener una tensión creativa que le permita movilizarse para anticipar nuevos vectores de ataque y mantener las condiciones actuales de seguridad y control que den respuesta al “dilema de control” que los ejecutivos de primer nivel advierten con sus inquietudes y preocupaciones.
CpV es una práctica generalmente aceptada por los entes de control, en la cual la mente del auditor busca elementos que permitan alimentar la “razonabilidad” de los controles y la efectividad de los mismos. Esta forma de pensamiento demanda del auditado someterse al escrutinio de su práctica de seguridad y control en el ejercicio de sus actividades, particularmente focalizado en las fallas o vulnerabilidades que se han materializado o en hallazgos relevantes que inquietan a los ejecutivos.
CpV es fijar la mirada en el complemento, en aquello que la práctica de seguridad y control no se concentra, en aquellos objetos o elementos de análisis que posiblemente no han sido priorizados por la organización. Allí es posible ver tendencias alternas contrarias que pueden estar ocurriendo, sin ser percibidas, aumentando el nivel de exposición validado previamente por los ejecutivos de la empresa.
CpV es entender que el nivel de protección es limitado, que la inseguridad es la maestra permanente de la práctica de seguridad y control, y que en cualquier momento la realidad del entorno superará la capacidad de la empresa para distinguir elementos de riesgos clave que pueden comprometer los activos de la organización.
CpV es buscar en medio del ruido de la dinámica de la organización la frecuencia de la inevitabilidad de la falla, para establecer un marco de alertas tempranas que permitan un margen de maniobra para la empresas y así, actuar de forma proactiva, aún frente a situaciones inesperadas o imprevistas.
CpV es entender que existe un ecosistema de relaciones digitales donde se encuentra inmersa la organización, donde emergen realidades híbridas, es decir, aquellas que no solo afectan los temas tecnológicos, sino que comprometen activos físicos; ahora digitalmente modificados, los cuales hacen la diferencia tanto en la ventaja competitiva de la organización, como en la experiencia del cliente.
CpV es asumir la cultura organizacional como un referente natural de la práctica de seguridad y control, esto es, cómo las personas entienden, asumen y actúan frente a situaciones cambiantes e inestables propias de escenarios volátiles, inciertos, complejos y ambiguos como los actuales. Ellas son la ecuación irresoluble que introduce la cuota de inestabilidad que permanece frente al mejor esfuerzo de la empresa para aumentar la confiabilidad de sus operaciones y disminuir su “dilema de control”.
“Confío pero verifico” no es una desconfianza ciega de un tercero o la gerencia de la empresa sobre una temática en particular, sino la oportunidad real y concreta para mantener una práctica de seguridad y control renovada desde las posibilidades y no desde las probabilidades.
Referencias
Bullard, J. (2016) Security in the M&A process: Have you done your technical due diligence? Recuperado de: https://www.helpnetsecurity.com/2016/07/19/merger-acquisition-security-due-diligence/
Hayes, N. y McClean, C. (2013) Cultivate a compliance and risk management culture for sustained performance. Forrester Research.
