En resumen
Un director de seguridad presentó al comité directivo su reporte trimestral: "Cero incidentes en 90 días." El comité aplaudió. Nadie preguntó cuántos incidentes no se reportaron, cuántas vulnerabilidades no se detectaron, o qué habría pasado si alguien hubiera intentado algo.
Por qué importa
Lo que no se mide no se gestiona. Pero medir datos basura produce decisiones basura con apariencia de rigor. Elige tus métricas con el mismo cuidado con que eliges tus controles.
Contar incidentes que no ocurrieron no es gestión de riesgos. Es ausencia de evidencia. Y la ausencia de evidencia no es evidencia de ausencia. Un programa de seguridad que mide su éxito por lo que no pasó está midiendo su suerte, no su efectividad.
La diferencia entre KPIs y métricas reales
Un KPI (Indicador Clave de Desempeño) mide el rendimiento pasado. Útil para reportar. Insuficiente para gestionar. Las métricas reales de seguridad miden la capacidad del programa para detectar, prevenir y responder a amenazas activas. Esa capacidad no se mide contando días sin incidentes.
Qué medir en lugar de "días sin incidentes"
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
- ▸Tasa de detección: de los incidentes que ocurrieron, ¿qué porcentaje fue detectado por el programa de seguridad versus reportado por terceros o descubierto por accidente?
- ▸Tiempo de respuesta: desde que se detecta un incidente hasta que se activa el protocolo de respuesta. Ese número dice más sobre la efectividad operativa que cualquier contador de días.
- ▸Cobertura de controles: ¿qué porcentaje de los activos críticos tiene controles activos y verificados? No documentados. Verificados.
- ▸Resultados de pruebas de penetración: ¿cuántas vulnerabilidades identificó el último ejercicio de Red Team? ¿Cuántas se cerraron?
- ▸Retorno sobre inversión en seguridad: pérdidas evitadas versus costo del programa. Ese cálculo convierte la seguridad en lenguaje de negocio.
Por qué las métricas de vanidad persisten
Porque son fáciles de producir y difíciles de cuestionar. Nadie en el comité directivo va a preguntar "¿cómo sabes que no hubo incidentes?" Pero esa es exactamente la pregunta correcta. Un programa que no puede responderla no está gestionando riesgos. Está gestionando la percepción de que los gestiona.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.