Cando falla a coherencia: unha lección clave para a ciberseguridade

img
Empresas
Administración Pública

En moitos incidentes de ciberseguridade non falla a tecnoloxía máis avanzada nin a ausencia de normativa.
O que falla, con demasiada frecuencia, é algo máis básico: a coherencia entre o que se declara e o que realmente se fai.

Organizacións que afirman estar protexidas, sistemas que “cumpren”, procedementos documentados…
pero que non se aplican nin se manteñen de forma consistente no día a día.

En ciberseguridade, esa distancia entre intención e realidade constitúe un risco en si mesma.

Declaracións formais fronte á realidade operativa

É habitual atopar situacións como:

  • “Temos autenticación multifactor”, pero non está aplicada a todos os accesos críticos.
  • “Cumprimos co ENS”, pero os controis non se revisan nin se manteñen.
  • “Existe monitorización”, pero as alertas non se analizan a tempo.
  • “Dispoñemos de copias de seguridade”, pero nunca se probaron as restauracións.


Estas situacións raramente responden a mala fe.
Adoitan deberse a unha ambivalencia operativa: sabemos o que debería facerse, pero non se sostén no tempo.

A diferenza entre intención e compromiso

En ciberseguridade, como en calquera ámbito crítico, a intención non é suficiente.

  • A vontade de protexer non substitúe aos controis efectivos.
  • A documentación non substitúe á operación real.
  • O cumprimento formal non garante protección se non existe seguimento.


A seguridade constrúese no cotián: revisións periódicas, probas reais, corrección de desviacións e responsabilidades claras.

O custo oculto da incoherencia

Manter sistemas cunha protección meramente “teórica” xera efectos acumulativos:

  • Fatiga nos equipos técnicos.
  • Normalización de excepcións.
  • Falsa sensación de seguridade.
  • Dificultade para reaccionar cando ocorre un incidente.


Moitas brechas non sorprenden polo ataque, senón porque o fallo xa existía e era coñecido.

A navalla de Ockham aplicada á ciberseguridade

Un principio útil tamén neste ámbito:

A explicación máis sinxela adoita ser a correcta:
se un control non se aplica, non se revisa ou non se proba, na práctica non existe.

Antes de engadir novas capas, ferramentas ou marcos complexos, convén asegurar o esencial:

  • controis básicos ben implantados,
  • procesos claros,
  • responsabilidades definidas.


Da crítica á construción: como mellorar a coherencia

Falar de coherencia non é suficiente.
É necesario introducir mecanismos sinxelos que a sosteñan no tempo.

1. Sistema de coherencia mínima operativa (CMO)

Un principio base:

Un control só existe se alguén pode demostrar, en menos de cinco minutos, que está vivo.

Para cada control crítico deben existir, como mínimo:

  • unha persoa responsable identificada,
  • unha última verificación realizada con data real,
  • un resultado claro (correcto, con desviacións ou pendente).


Se algún destes elementos falla, o control debe considerarse en risco, aínda que estea documentado.

2. Matriz “declarado vs sostido”

Unha ferramenta sinxela pero potente para comités de seguridade e gobernanza.

  • Declarado: o que a organización afirma que fai.
  • Sostido: o que realmente se mantén en operación.


A incoherencia non se penaliza; visibilízase.
O que se ve pode xestionarse. O que se oculta, cronifícase.

3. Revisión periódica de coherencia (non de cumprimento)

Non se trata dunha auditoría formal, senón dunha revisión honesta e práctica:

  • Que controis existen só no papel?
  • Que controis funcionan pero ninguén revisa?
  • Que controis xeran máis fricción ca protección?


O resultado adoita ser menos controis, pero máis reais e sostibles.

4. Indicadores de coherencia (KCI)

Ademais dos KPIs técnicos, convén introducir indicadores que midan aliñamento:

  • porcentaxe de controis críticos revisados en prazo,
  • número de excepcións activas sen data de peche,
  • porcentaxe de alertas analizadas dentro do tempo definido.


Non miden perfección, miden coherencia operativa.

5. Regra de ouro da gobernanza consciente

Unha idea clave para calquera organización:

Se un control non se revisa, non se proba ou non ten responsable, non é un control: é unha suposición.

Esta regra reduce complexidade e incrementa madurez real.

Que constrúe unha ciberseguridade efectiva

Desde unha perspectiva práctica e institucional, tres ideas clave:

  • Quero: identificar con honestidade os riscos reais.
  • Elixo: priorizar activos e servizos críticos.
  • Comprométome: manter controis vivos, medidos e revisados.


A ciberseguridade eficaz non é espectacular, pero é constante.

Conclusión

A seguridade non se demostra en documentos nin en declaracións públicas,
senón na coherencia sostida entre o que se di, o que se fai e o que se mantén no tempo.

Para administracións públicas, empresas e cidadanía,
esta coherencia é a base dunha protección real e fiable.