Este texto es el desarrollo de una conversación que mantuve hace un tiempo con un compañero de trabajo. La idea surgió durante un café rápido, pero con los años he llegado a pensar que apuntaba a un problema estructural que merece ser formulado con algo más de calma.
Durante años he pensado que el problema de la ciberseguridad estaba en los detalles. Si tuviera que concretarlo hoy un poco más, diría que el problema no está tanto en los detalles como en lo que hemos hecho con ellos: la excepción ha dejado de ser la excepción.
Todas las organizaciones están llenas de pequeños casos particulares. El usuario que necesita permisos de administrador local; el enésimo grupo en Active Directory que contiene solo a unas pocas personas; la aplicación que utiliza un puerto no estándar; la base de datos heredada que requiere un esquema de copias distinto; el departamento que necesita ejecutar software no incluido en la whitelist; el directivo al que hay que habilitar el uso de dispositivos USB; el servidor que no se puede parchear para no romper compatibilidad; la excepción puntual en el firewall; el tratamiento de datos personales que requiere una excepción a las políticas de minimización o retención porque “el proceso lo necesita”.
La naturaleza y cantidad de excepciones es innumerable.
Una detrás de otra. Cientos de excepciones, todas ellas peticiones legítimas. Responden a necesidades reales del negocio y suelen formularse desde contextos de presión, urgencia o dependencia operativa. El problema no está en la intención, sino en el efecto acumulado.
Cada excepción introduce una tensión entre el beneficio que se busca y el riesgo que se genera. En muchos casos, quienes toman la decisión son plenamente conscientes del beneficio, pero no necesariamente del riesgo asociado, o al menos no en toda su magnitud. Y, sobre todo, suelen tener muy claro aquello a lo que no están dispuestos a renunciar, aunque ese “no renunciar” tenga implicaciones directas en la superficie de exposición.
Aquí es donde se hace visible la discrepancia entre lo que el negocio pide y lo que la ciberseguridad (y la función de privacidad) puede proteger y gobernar de forma consistente. Repetimos que la ciberseguridad debe habilitar el negocio, pero rara vez verbalizamos que también debe hacer explícito el riesgo que se introduce cuando se fuerza una excepción.
La realidad es que negocio, seguridad y privacidad no son ámbitos separados, sino partes del mismo sistema de decisión. Cuando la tensión entre necesidad y riesgo no se gestiona de forma consciente, las excepciones se conceden, los controles se adaptan y el riesgo se acepta de manera implícita, sin una comprensión clara de su impacto agregado.
La ciberseguridad debe habilitar el negocio. Pero cuanto más específica, excepcional y compleja es una necesidad —técnica, operativa o relacionada con el tratamiento de datos personales—, más difícil es protegerla y gobernarla de forma consistente. Cuando esa relación no se entiende, el riesgo deja de percibirse como algo que se decide y se gestiona, y pasa a materializarse como una consecuencia diferida, que rara vez se atribuye a las decisiones que la hicieron posible.
Speak Your Mind