En resumen
Durante la Segunda Guerra Mundial, los ingenieros analizaban los aviones que regresaban con daños para reforzar esas zonas. Abraham Wald señaló el error: deberían reforzar las zonas sin daños.
Por qué importa
Los mejores programas de seguridad no solo aprenden de lo que salió mal. Aprenden de lo que podría haber salido mal y no salió. Esa diferencia define la madurez del sistema.
Durante la Segunda Guerra Mundial, el ejército de los Estados Unidos analizaba los aviones que regresaban de combate para identificar dónde habían recibido más daños y reforzar esas zonas. La lógica parecía impecable: mira dónde te golpean y protege esas partes.
El estadístico Abraham Wald señaló el error: los aviones que estaban siendo analizados eran los que habían sobrevivido. Los que habían sido derribados no estaban disponibles para el análisis. Las zonas sin daños en los aviones supervivientes no eran las zonas más resistentes. Eran las zonas cuyo daño era fatal: los aviones que recibían impactos ahí no regresaban.
El sesgo del superviviente en seguridad corporativa
En seguridad corporativa, aprendemos de los incidentes que detectamos, investigamos y documentamos. Pero los incidentes más sofisticados son exactamente los que no detectamos. Los fraudes que nunca se descubren no aparecen en ningún análisis de causas raíz. Las vulnerabilidades que nadie explotó no aparecen en ningún reporte de incidentes.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El resultado es que nuestros programas de mejora están sistemáticamente sesgados hacia los problemas que ya somos capaces de ver, y ciegos a los problemas que más deberían preocuparnos.
Si tu análisis de incidentes solo incluye los incidentes que detectaste, estás aprendiendo de los supervivientes. Los que te derribaron no están en la muestra.
Cómo corregir el sesgo
- ▸Incluye en tu análisis los "casi incidentes" — las situaciones que casi salieron mal revelan vulnerabilidades que los incidentes reales no siempre muestran.
- ▸Realiza ejercicios de red team — pide a alguien externo que intente encontrar las vulnerabilidades que tú no estás viendo.
- ▸Analiza los incidentes de organizaciones similares — lo que le pasó a otro en tu industria puede estar a punto de pasarte a ti.
- ▸Pregunta qué no estás midiendo — las métricas que no tienes son tan importantes como las que sí tienes.
- ▸Haz auditorías de lo que no ocurrió — ¿por qué no ha habido incidentes en cierta área? ¿Es porque está bien protegida o porque nadie está mirando?
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.