Rendimiento basado en principios en la gestión de la seguridad de la información: de la conformidad documental a la eficacia real

shield
Ciudadanía
Administración pública

Durante años, la gestión de la seguridad de la información se ha centrado en demostrar cumplimiento: políticas aprobadas, procedimientos documentados, auditorías superadas. Sin embargo, numerosos incidentes recientes evidencian una realidad incómoda: cumplir no siempre significa proteger.

En este contexto, cobra especial relevancia el enfoque de rendimiento basado en principios (Principled Performance), que propone desplazar el foco desde el cumplimiento meramente formal hacia la capacidad real de la organización para sostener la seguridad en el tiempo.

Este enfoque no sustituye a los marcos normativos existentes, sino que los refuerza, dotándolos de coherencia operativa.

¿Qué es el rendimiento basado en principios?

El rendimiento basado en principios (Principled Performance) es un enfoque de gestión que prioriza:

  • Principios claros y compartidos.
  • Responsabilidades explícitas.
  • Evidencias de funcionamiento continuo.
  • Capacidad de adaptación ante cambios y riesgos reales.


Frente a modelos centrados en listas de controles, este enfoque se pregunta:

¿Funciona el control cuando se necesita?
¿Se revisa, se prueba y tiene un responsable claro?

Si la respuesta es negativa, el control no existe en la práctica, aunque esté documentado.

Por qué el cumplimiento tradicional no es suficiente

En muchos entornos GRC y ENS se repiten patrones conocidos:

  • Controles declarados que no se revisan periódicamente.
  • Procedimientos que existen, pero nadie mantiene.
  • Evidencias generadas solo para la auditoría.
  • Responsabilidades difusas o implícitas.


Estos problemas no son tecnológicos ni normativos, sino de coherencia operativa.

El resultado es una seguridad frágil, dependiente de personas concretas y vulnerable al cambio organizativo.

Alineación con ENS, ISO 27001 y marcos GRC

El enfoque de rendimiento basado en principios es plenamente compatible con los principales marcos de referencia:

  • ENS: refuerza los principios de proporcionalidad, gestión continua y responsabilidad.
  • ISO/IEC 27001: encaja con la mejora continua y la evaluación de la eficacia de los controles.
  • GRC: aporta una visión integrada entre riesgo, cumplimiento y operación real.


No introduce nuevos requisitos, pero eleva el nivel de exigencia práctica.

Principios clave del rendimiento basado en principios
 

  1. Responsabilidad explícita

    Cada control debe tener un responsable claramente identificado, con capacidad real de actuación.
     
  2. Revisión periódica

    Si un control no se revisa, se degrada. La revisión debe ser sencilla, pero constante.
     
  3. Evidencia viva

    La evidencia no debe generarse solo para auditorías, sino como subproducto natural de la operación.
     
  4. Proporcionalidad

    No todos los controles requieren el mismo nivel de formalismo, pero todos deben ser efectivos.
     
  5. Enfoque en riesgo

    La prioridad no es “cumplir todo”, sino proteger lo que realmente importa.


Checklist práctico de madurez

Este checklist permite evaluar si la organización aplica realmente un enfoque de rendimiento basado en principios:

  • ¿Cada control tiene un responsable claramente definido?
  • ¿Existen revisiones periódicas documentadas del control?
  • ¿Las evidencias se generan de forma continua?
  • ¿El control ha sido probado en escenarios reales?
  • ¿Se revisa su adecuación cuando cambia el contexto?
  • ¿Está alineado con riesgos actuales y no históricos?


Si varias respuestas son negativas, el control es nominal, no operativo.

El papel de la automatización y la IA

La automatización y la IA pueden apoyar este enfoque, pero con límites claros:

  • Ayudan a recopilar evidencias.
  • Facilitan la correlación de eventos.
  • Reducen carga operativa.


Sin embargo, no sustituyen la responsabilidad humana ni la toma de decisiones. El rendimiento basado en principios rechaza las “cajas negras” que nadie entiende ni gobierna.

Beneficios del enfoque

Adoptar el rendimiento basado en principios permite:

  • Reducir esfuerzo en auditorías sin perder control.
  • Mejorar la resiliencia organizativa.
  • Detectar fallos antes de que se conviertan en incidentes.
  • Alinear seguridad, negocio y cumplimiento.
  • Evitar la falsa sensación de seguridad documental.


Conclusión

La seguridad eficaz no es espectacular ni depende de más normativa o más herramientas. Es consistente.

El enfoque de rendimiento basado en principios (Principled Performance) nos recuerda que:

Un control que no se revisa, no se prueba o no tiene responsable, en la práctica no existe.

Avanzar hacia este modelo es un paso necesario para organizaciones que quieren cumplir, pero sobre todo proteger, en entornos cada vez más complejos y cambiantes.