Seguridad basada en evidencia: cómo tomar decisiones con datos en lugar de intuición

En los años noventa, la medicina basada en evidencia transformó la práctica médica al reemplazar la intuición clínica —"en mi experiencia, esto funciona"— con datos sistemáticos sobre qué tratamientos producen qué resultados. El cambio fue resistido, lento y profundamente valioso.

La seguridad corporativa está en el mismo punto de inflexión. Los datos existen: registros de incidentes, logs de sistemas, datos de acceso, patrones de transacciones. La pregunta es si se usan para tomar decisiones o si las decisiones siguen basándose en la intuición del gerente de seguridad más experimentado.

Por qué la intuición no es suficiente

La intuición es valiosa. Pero tiene límites documentados. Es susceptible a los sesgos cognitivos que ya hemos discutido: sesgo de confirmación, sesgo del superviviente, efecto halo. Es inconsistente: la misma persona toma decisiones distintas ante situaciones similares dependiendo de su estado de ánimo, su nivel de fatiga y el contexto. Y no escala: la intuición de un experto no puede reemplazarse cuando ese experto no está disponible.

La organización que toma decisiones de seguridad basadas en "lo que siempre hemos hecho" y "lo que me parece correcto" está dejando valor sobre la mesa. Y en seguridad, el valor que se deja sobre la mesa son incidentes que podrían haberse prevenido.

Cómo construir una práctica basada en evidencia

• ▸Define qué datos necesitas para tomar las decisiones más importantes.
• ▸Asegúrate de que esos datos se recopilan de forma consistente y confiable.
• ▸Analiza los datos periódicamente — no solo cuando hay un incidente.
• ▸Usa los datos para evaluar la efectividad de los controles existentes.
• ▸Documenta las decisiones y sus resultados — para aprender de ellas.