En resumen
Después de un incidente mayor, las organizaciones típicamente refuerzan sus controles. Pero ese refuerzo raramente dura. Con el tiempo, la urgencia se desvanece, los recursos se redirigen y los controles se relajan. Hasta el siguiente incidente.
Por qué importa
El período más peligroso para una organización no es inmediatamente después de un incidente. Es dos o tres años después, cuando la urgencia se ha desvanecido pero las vulnerabilidades han vuelto.
Después de un incidente mayor, las organizaciones típicamente refuerzan sus controles. Hay una investigación, hay consecuencias, hay nuevos procedimientos, hay más supervisión. La organización está, por un tiempo, más segura que antes del incidente.
Pero ese refuerzo raramente dura. Con el tiempo, la urgencia se desvanece. Los recursos que se asignaron al refuerzo se redirigen a otras prioridades. Los nuevos procedimientos se vuelven rutinarios y luego se vuelven opcionales. Los controles adicionales se perciben como excesivos y se relajan. Hasta el siguiente incidente.
El ciclo de la complacencia
Este ciclo —incidente, refuerzo, complacencia, incidente— es uno de los patrones más documentados en la gestión de seguridad. Se llama el ciclo de la complacencia y se observa en industrias tan distintas como la aviación, la industria nuclear, la seguridad corporativa y la salud pública.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El mecanismo es siempre el mismo: la ausencia de incidentes se interpreta como evidencia de que los controles son suficientes, lo que reduce la percepción del riesgo, lo que reduce la inversión en controles, lo que aumenta la vulnerabilidad, lo que eventualmente produce el siguiente incidente.
La complacencia no es irresponsabilidad. Es la respuesta natural de las organizaciones a la ausencia de señales de alarma. El problema es que la ausencia de incidentes no es evidencia de que el riesgo ha desaparecido. Es evidencia de que todavía no ha ocurrido.
Cómo interrumpir el ciclo de la complacencia
- ▸Mantén la visibilidad del riesgo incluso cuando no hay incidentes — los near misses son señales valiosas.
- ▸Realiza evaluaciones periódicas de vulnerabilidad que no dependan de que ocurra un incidente.
- ▸Establece indicadores adelantados que detecten el aumento del riesgo antes del incidente.
- ▸Documenta el costo de los incidentes pasados y mantenlo visible.
- ▸Crea mecanismos que mantengan la urgencia incluso en períodos de calma.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.