En resumen
La transparencia es un valor en las organizaciones modernas. Pero en seguridad corporativa, la transparencia sin criterio puede convertirse en el manual de instrucciones para quien quiere explotar tus vulnerabilidades.
Por qué importa
La transparencia es un valor. La discreción también. En seguridad, la sabiduría está en saber cuándo aplica cada uno.
La transparencia es un valor en las organizaciones modernas. Los empleados quieren saber qué pasa. Los stakeholders exigen información. La cultura de apertura se asocia con confianza y con buen gobierno. Y todo eso es correcto.
Pero en seguridad corporativa, la transparencia sin criterio puede convertirse en el manual de instrucciones para quien quiere explotar tus vulnerabilidades. Y esa paradoja raramente se discute.
Qué información no debería ser transparente
Hay una distinción fundamental entre transparencia sobre resultados y transparencia sobre métodos. Comunicar que se detectaron y resolvieron incidentes de seguridad es transparencia sobre resultados: refuerza la cultura de cumplimiento y demuestra que el sistema funciona. Comunicar exactamente cómo se detectaron esos incidentes es transparencia sobre métodos: le dice a quien quiera evadir el sistema exactamente qué debe evitar.
Un comunicado interno que describe en detalle cómo se detectó un fraude es, simultáneamente, un tutorial para el siguiente fraude. La intención es correcta. El efecto puede ser el opuesto.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El principio de necesidad de saber
El principio de necesidad de saber —need to know— no es una práctica de desconfianza. Es un principio de diseño de información: cada persona recibe la información que necesita para hacer su trabajo, no más. En seguridad, esto significa que los detalles de los métodos de detección, las vulnerabilidades conocidas y los procedimientos de respuesta deben tener acceso restringido, no por secretismo, sino por diseño.
Cómo comunicar sin comprometer
- ▸Comunica el qué, no el cómo — los resultados de la seguridad pueden ser transparentes; los métodos, no.
- ▸Diferencia audiencias — lo que el consejo necesita saber no es lo mismo que lo que el operador necesita saber.
- ▸Usa el nivel de detalle mínimo necesario para el propósito de la comunicación.
- ▸Revisa las comunicaciones de seguridad antes de distribuirlas — ¿qué le dice esto a alguien que quiere explotar el sistema?
- ▸Protege especialmente la información sobre puntos ciegos y vulnerabilidades conocidas.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.