En resumen
Ante cualquier problema de seguridad, la opción de añadir llega primero a la mente. Más cámaras, más guardias, más software. La opción de quitar — eliminar accesos, simplificar procesos — casi nunca aparece. Eso tiene un nombre.
Por qué importa
La pregunta que casi nadie hace en una revisión de seguridad: ¿qué podemos eliminar? No qué podemos mejorar, no qué podemos agregar — qué podemos quitar sin incrementar el riesgo real.
Hay un robo en el almacén. La respuesta inmediata: instalar más cámaras. Hay un fraude en el proceso de compras. La respuesta: agregar un nivel de aprobación. Hay un incidente de seguridad de la información. La respuesta: implementar un nuevo software de monitoreo. En todos los casos, la solución es sumar. Nadie propone quitar.
Esto no es descuido. Es un sesgo cognitivo documentado que los investigadores llaman ceguera a la sustracción: la tendencia sistemática a ignorar las soluciones que implican eliminar, simplificar o reducir, incluso cuando esas soluciones son más eficientes y menos costosas que las que implican agregar.
Lo que demuestran los estudios
En experimentos con estructuras de Lego y problemas de diseño, los participantes pasaban por alto consistentemente la solución sustractiva — quitar una pieza — incluso cuando era objetivamente más rápida y barata que agregar piezas nuevas. El patrón se repetía incluso cuando se les advertía explícitamente que existían soluciones de ambos tipos.
En seguridad corporativa, este sesgo tiene consecuencias directas en el presupuesto, la complejidad operativa y la efectividad real de los controles. Cada capa que se agrega sin evaluar qué se puede eliminar crea un sistema más costoso, más difícil de operar y, paradójicamente, más vulnerable.
El costo oculto de la acumulación de controles
Un sistema de seguridad con demasiados controles tiene problemas que rara vez aparecen en los reportes de riesgo. El personal aprende a ignorar las alertas porque hay demasiadas. Los procedimientos se vuelven tan complejos que nadie los sigue completamente. Los recursos se distribuyen entre tantos controles que ninguno recibe atención suficiente.
La paradoja es que más controles pueden generar más vulnerabilidades. No porque los controles sean malos, sino porque la complejidad que crean supera la capacidad del equipo para operarlos correctamente. Un sistema simple bien ejecutado es más seguro que un sistema sofisticado mal operado.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Dónde aplicar el pensamiento sustractivo
- ▸Accesos a sistemas: ¿cuántos usuarios tienen acceso a información o funciones que no necesitan para su trabajo? Eliminar accesos innecesarios reduce la superficie de ataque sin costo adicional.
- ▸Pasos en procesos críticos: cada paso adicional en un proceso es una oportunidad para el error humano o la manipulación. Simplificar el proceso de aprobación de pagos puede ser más efectivo que agregar un nivel de revisión.
- ▸Reportes y métricas: ¿cuántos reportes de seguridad genera tu área que nadie lee completamente? Eliminar los que no generan decisiones libera tiempo para los que sí importan.
- ▸Proveedores y terceros con acceso: cada tercero con acceso a tus sistemas o instalaciones es un vector de riesgo. Reducir ese número es más efectivo que agregar controles sobre cada uno.
Cómo contrarrestar el sesgo
El antídoto es estructural: incluir explícitamente la pregunta sustractiva en cualquier proceso de revisión de seguridad. No como una opción — como un requisito. Antes de aprobar cualquier nuevo control, la propuesta debe responder: ¿qué control existente se puede eliminar o simplificar a cambio?
Esa pregunta no siempre tendrá respuesta. Pero hacerla sistemáticamente cambia la dirección del pensamiento. Y en seguridad corporativa, la dirección del pensamiento determina la calidad de las decisiones.
Pasos a la acción
- ▸Revisa tu inventario de controles actuales y clasifica cada uno en tres categorías: esencial (eliminar incrementa el riesgo significativamente), útil (reduce el riesgo pero no es crítico), y decorativo (existe pero no hay evidencia de que reduzca el riesgo). Los decorativos son candidatos inmediatos.
- ▸En tu próxima reunión de revisión de seguridad, agrega una pregunta fija a la agenda: ¿qué podemos eliminar o simplificar este mes? Hazla obligatoria, no opcional.
- ▸Mide la complejidad de tus procesos críticos: número de pasos, número de aprobaciones, número de sistemas involucrados. Establece una meta de reducción anual, igual que tienes metas de reducción de incidentes.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.