En resumen
El gerente presume un 95% en la auditoría de prevención. Al día siguiente sufre una intrusión. Los guardias sostenían la puerta con una piedra. Verde por fuera, rojo por dentro.
Por qué importa
Una auditoría que mide si el procedimiento existe no puede detectar si el procedimiento funciona. Son dos preguntas completamente distintas, y la segunda es la que importa.
Hay un tipo de reporte que produce una sensación de seguridad inversamente proporcional a la seguridad real que representa. Tiene columnas de verificación, porcentajes de cumplimiento y una calificación final que genera alivio en la dirección. Noventa y dos por ciento. Noventa y siete por ciento. Cien por ciento en algunos ítems.
Y en algún punto entre la fecha del reporte y la siguiente auditoría, ocurre el incidente que el reporte debería haber prevenido.
Esto es el síndrome de la sandía: verde por fuera, rojo por dentro. Y es uno de los problemas más persistentes en la gestión de seguridad corporativa.
La diferencia entre cumplimiento y desempeño
Las auditorías de seguridad típicas miden cumplimiento: ¿existe la política? ¿Está documentada? ¿Fue comunicada? ¿Hay evidencia de que se aplicó? Estas son preguntas sobre la existencia de los controles, no sobre su efectividad.
La diferencia es crítica. Un control puede existir completamente —estar documentado, comunicado y firmado— y ser completamente inefectivo en la práctica operativa real. La política dice que los sellos deben verificarse. El registro dice que se verificaron. Los sellos no se verificaron.
Por qué las organizaciones producen sandías
El síndrome de la sandía no es accidental. Es el resultado predecible de sistemas de incentivos mal alineados. Cuando el equipo de seguridad es evaluado por las calificaciones de auditoría, tiene incentivos para optimizar las calificaciones, no la seguridad real.
Esto genera comportamientos que son completamente racionales desde la perspectiva individual y completamente disfuncionales desde la perspectiva organizacional: preparar el área antes de la auditoría anunciada, documentar procesos que no se aplican, reportar cumplimiento de controles que en la práctica son cosméticos.
El auditor llega, revisa la documentación, observa el área preparada y produce un reporte impecable. Todos están satisfechos. La sandía está perfectamente verde.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Cómo auditar el rojo que está adentro
La auditoría que detecta el rojo interior tiene características específicas que la distinguen de la auditoría de cumplimiento.
- ▸Sin anuncio previo: la auditoría sorpresa evalúa el estado real de la operación, no el estado preparado.
- ▸Observación directa del proceso: no revisar el registro de que el proceso se siguió, sino observar el proceso mientras ocurre.
- ▸Entrevistas al personal operativo, no solo a los supervisores: las grietas reales son visibles para quien las vive todos los días.
- ▸Pruebas de efectividad: ¿el control detecta lo que debería detectar? ¿Responde como debería responder?
- ▸Análisis de los controles que nunca encuentran nada: un control que no detecta anomalías en seis meses no es evidencia de que no hay anomalías. Es evidencia de que el control no está funcionando.
El liderazgo que incentiva el rojo
Hay un factor que determina más que cualquier otro si una organización produce sandías: cómo responde el liderazgo cuando alguien reporta un problema.
Si la respuesta al reporte de una vulnerabilidad es buscar al responsable, sancionar al área o cuestionar la competencia del equipo, el sistema aprende rápidamente a no reportar vulnerabilidades. El rojo se esconde. La sandía se perfecciona.
Si la respuesta es tratar el hallazgo como información valiosa, reconocer al equipo que lo identificó y resolver el problema sin buscar culpables, el sistema aprende a reportar. El rojo se hace visible. Y lo que es visible puede corregirse.
Una auditoría sin hallazgos negativos no es evidencia de que no hay problemas. Es evidencia de que la auditoría no está buscando en los lugares correctos, o de que el sistema aprendió a esconder los problemas.
- ▸Cambia la métrica de éxito de la auditoría: no es la calificación, es la calidad de los hallazgos.
- ▸Incentiva el reporte de problemas, no la ausencia de problemas.
- ▸Realiza auditorías sorpresa en los puntos de mayor riesgo.
- ▸Separa la auditoría de cumplimiento de la auditoría de efectividad — son herramientas distintas para preguntas distintas.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.