En resumen
La mayoría de los programas de seguridad miden actividad, no efectividad. El número de capacitaciones realizadas, el número de auditorías completadas, el número de incidentes reportados. Ninguna de esas métricas responde la pregunta que más importa: ¿estamos más seguros?
Por qué importa
Medir lo que importa es más difícil que medir lo que es fácil. Pero es la única forma de saber si el programa de seguridad está produciendo el resultado para el que fue diseñado.
La mayoría de los programas de seguridad miden actividad, no efectividad. El número de capacitaciones realizadas, el número de auditorías completadas, el número de incidentes reportados, el porcentaje de empleados que firmaron la política de seguridad. Ninguna de esas métricas responde la pregunta que más importa: ¿estamos más seguros que el año pasado?
La diferencia entre medir actividad y medir efectividad es la diferencia entre saber que el programa existe y saber que el programa funciona.
Por qué medimos actividad en lugar de efectividad
La actividad es fácil de medir. La efectividad es difícil. Contar capacitaciones es simple. Medir si las capacitaciones cambiaron el comportamiento requiere diseño, seguimiento y análisis. Contar auditorías es simple. Medir si las auditorías detectaron riesgos que de otra forma habrían producido incidentes requiere contrafactuales que son difíciles de construir.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Pero la dificultad de medir la efectividad no es una razón para no intentarlo. Es una razón para invertir en el diseño de métricas que se aproximen a la efectividad real.
El programa de seguridad que solo puede demostrar que existe no puede demostrar que vale lo que cuesta. Y en un entorno de recursos limitados, los programas que no pueden demostrar su valor son los primeros en perder presupuesto.
Métricas que se aproximan a la efectividad
- ▸Tendencia de incidentes en el tiempo — ¿están bajando los incidentes que el programa intenta prevenir?
- ▸Tiempo de detección — ¿cuánto tiempo pasa entre que un incidente comienza y se detecta?
- ▸Tasa de reporte — ¿qué porcentaje de los incidentes se reportan a través de los canales formales?
- ▸Efectividad de los controles — ¿qué porcentaje de los intentos de fraude son detectados y detenidos?
- ▸Costo por incidente — ¿está bajando el costo promedio de los incidentes que ocurren?
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.