Cuando la coherencia falla: una lección clave para la ciberseguridad

img
Empresas
Administración pública

En muchos incidentes de ciberseguridad no falla la tecnología más avanzada ni la ausencia de normativa.
Lo que falla, con demasiada frecuencia, es algo más básico: la coherencia entre lo que se declara y lo que realmente se hace.

Organizaciones que afirman estar protegidas, sistemas que “cumplen”, procedimientos documentados…
pero que no se aplican ni se mantienen de forma consistente en el día a día.

En ciberseguridad, esa distancia entre intención y realidad constituye un riesgo en sí misma.

Declaraciones formales frente a realidad operativa

Es habitual encontrar situaciones como:

  • “Tenemos autenticación multifactor”, pero no está aplicada a todos los accesos críticos.
  • “Cumplimos con el ENS”, pero los controles no se revisan ni se mantienen.
  • “Existe monitorización”, pero las alertas no se analizan a tiempo.
  • “Disponemos de copias de seguridad”, pero nunca se han probado las restauraciones.


Estas situaciones rara vez responden a mala fe.
Suelen deberse a una ambivalencia operativa: sabemos qué debería hacerse, pero no se sostiene en el tiempo.

La diferencia entre intención y compromiso

En ciberseguridad, como en cualquier ámbito crítico, la intención no es suficiente.

  • La voluntad de proteger no sustituye a los controles efectivos.
  • La documentación no sustituye a la operación real.
  • El cumplimiento formal no garantiza protección si no existe seguimiento.


La seguridad se construye en lo cotidiano: revisiones periódicas, pruebas reales, corrección de desviaciones y responsabilidades claras.

El coste oculto de la incoherencia

Mantener sistemas con una protección meramente “teórica” genera efectos acumulativos:

  • Fatiga en los equipos técnicos.
  • Normalización de excepciones.
  • Falsa sensación de seguridad.
  • Dificultad para reaccionar cuando ocurre un incidente.


Muchas brechas no sorprenden por el ataque, sino porque el fallo ya existía y era conocido.

La navaja de Ockham aplicada a la ciberseguridad

Un principio útil también en este ámbito:

La explicación más simple suele ser la correcta:
si un control no se aplica, no se revisa o no se prueba, en la práctica no existe.

Antes de añadir nuevas capas, herramientas o marcos complejos, conviene asegurar lo esencial:

  • controles básicos bien implantados,
  • procesos claros,
  • responsabilidades definidas.


De la crítica a la construcción: cómo mejorar la coherencia

Hablar de coherencia no basta.
Es necesario introducir mecanismos simples que la sostengan en el tiempo.

1. Sistema de coherencia mínima operativa (CMO)

Un principio base:

Un control solo existe si alguien puede demostrar, en menos de cinco minutos, que está vivo.

Para cada control crítico deben existir, como mínimo:

  • una persona responsable identificada,
  • una última verificación realizada con fecha real,
  • un resultado claro (correcto, con desviaciones o pendiente).


Si uno de estos elementos falla, el control debe considerarse en riesgo, aunque esté documentado.

2. Matriz “declarado vs sostenido”

Una herramienta sencilla pero potente para comités de seguridad y gobernanza.

  • Declarado: lo que la organización afirma que hace.
  • Sostenido: lo que realmente se mantiene en operación.


La incoherencia no se penaliza; se visibiliza.
Lo que se ve puede gestionarse. Lo que se oculta, se cronifica.

3. Revisión periódica de coherencia (no de cumplimiento)

No se trata de una auditoría formal, sino de una revisión honesta y práctica:

  • ¿Qué controles existen solo en papel?
  • ¿Qué controles funcionan pero nadie revisa?
  • ¿Qué controles generan más fricción que protección?


El resultado suele ser menos controles, pero más reales y sostenibles.

4. Indicadores de coherencia (KCI)

Además de KPIs técnicos, conviene introducir indicadores que midan alineación:

  • porcentaje de controles críticos revisados en plazo,
  • número de excepciones activas sin fecha de cierre,
  • porcentaje de alertas analizadas dentro del tiempo definido.


No miden perfección, miden coherencia operativa.

5. Regla de oro de la gobernanza consciente

Una idea clave para cualquier organización:

Si un control no se revisa, no se prueba o no tiene responsable, no es un control: es una suposición.

Esta regla reduce complejidad y aumenta madurez real.

Qué construye una ciberseguridad efectiva

Desde una perspectiva práctica e institucional, tres ideas clave:

  • Quiero: identificar con honestidad los riesgos reales.
  • Elijo: priorizar activos y servicios críticos.
  • Me comprometo: mantener controles vivos, medidos y revisados.


La ciberseguridad eficaz no es espectacular, pero es constante.

Conclusión

La seguridad no se demuestra en documentos ni en declaraciones públicas,
sino en la coherencia sostenida entre lo que se dice, lo que se hace y lo que se mantiene en el tiempo.

Para administraciones públicas, empresas y ciudadanía,
esa coherencia es la base de una protección real y fiable.