Casi toda empresa tiene, en algún cajón digital, una "política de seguridad de la información": cuarenta páginas de lenguaje solemne que alguien firmó al entrar y nadie ha vuelto a abrir. Existe, cumple el requisito de "tener una política"… y no cambia el comportamiento de nadie. Es cumplimiento de papel: la ilusión de una regla sin la realidad de una regla. Una política que nadie cumple no solo es inútil —es peligrosa, porque da una falsa sensación de estar protegido—.
Por qué las políticas fracasan
Las razones se repiten. La política es demasiado larga, así que nadie la lee. Es irreal —pide contraseñas imposibles de recordar, prohíbe herramientas que la gente necesita— así que la gente la evade para poder trabajar (y de paso nace el shadow IT). Explica el qué pero no el porqué, así que se siente arbitraria y se ignora. Y no tiene dueño ni se refuerza, así que envejece pegada en un servidor mientras la realidad cambia. Una política que choca con cómo trabaja la gente siempre pierde contra cómo trabaja la gente.
Qué hace que una política sí se cumpla
- Corta y clara: si no se puede leer en unos minutos, no se leerá. Mejor un puñado de reglas nítidas que un tratado.
- Realista: que se pueda cumplir sin heroísmos ni sabotear el trabajo. Una regla imposible no se cumple a medias; se ignora del todo.
- Con el porqué: la gente cumple lo que entiende. "Usa gestor de contraseñas porque así no reutilizas ni memorizas claves débiles" pesa más que un mandato seco.
- Comunicada y reforzada: una política no se "publica", se enseña, se recuerda y se ejemplifica desde arriba.
- Con dueño y revisión: alguien responsable de mantenerla viva y ajustarla cuando la realidad cambia.
Las políticas mínimas que casi todos necesitan
No hace falta un manual; hace falta cubrir lo que de verdad mueve la aguja. Para la mayoría de las organizaciones, el conjunto mínimo útil es un puñado corto: una política de contraseñas y MFA (cómo se autentican y por qué el segundo factor), una de uso aceptable (qué se puede y qué no con los equipos y la red), una de manejo de datos (qué información es sensible y cómo se trata, ligada a la clasificación), una de dispositivos (equipos propios y personales, el BYOD), y una de qué hacer ante un incidente (a quién avisar y cómo, antes de que ocurra). Cinco reglas claras que la gente conoce y sigue protegen más que cincuenta que nadie recuerda. Empieza por esas, bien hechas, antes de soñar con un tratado.
Menos reglas, más cumplidas
El giro mental que lo cambia todo: el objetivo no es tener políticas, es cambiar comportamientos. Desde esa óptica, tres reglas que la gente de verdad sigue valen más que cuarenta que ignora. Vale más una política de contraseñas de un párrafo que todos respetan que un manual exhaustivo que vive en el olvido. El cumplimiento real no se mide en páginas escritas, sino en conductas cambiadas.
La idea que se queda
Una política de seguridad que nadie cumple es peor que ninguna, porque simula protección. Las que sí se cumplen son cortas, realistas, explican el porqué, se comunican y tienen dueño —y siempre ganan a los tratados de cuarenta páginas—. El objetivo no es tener políticas, sino cambiar comportamientos, y ahí menos es más. La cara más humana del cumplimiento en cristiano.