← Análisis
Ciberseguridad

La ilusión de control.

Muchas organizaciones creen que gestionan el riesgo porque gestionan los controles. Pero cuando la gobernanza opera sobre una realidad desactualizada, el cumplimiento deja de ser una garantía de entendimiento y se convierte en un ritual performativo.

2026-06-05 · 4 min lectura · J. Silva

El inventario de aplicaciones estaba completo. Los indicadores estaban en verde. Las auditorías no mostraban hallazgos relevantes. Semanas después apareció una aplicación conectada a información corporativa que no figuraba en ningún registro oficial. No era un error técnico ni una falla de configuración: era la consecuencia natural de un programa de control que operaba sobre una fotografía desactualizada.

El problema no era la ausencia de controles. Era la ilusión de que los controles describían la realidad.

Muchas organizaciones creen que gestionan el riesgo porque gestionan los controles. Tienen políticas, auditorías, procedimientos y cumplimiento. Pero no saben con precisión qué servicios externos procesan información, qué herramientas incorporaron las áreas de negocio o qué terceros conservan acceso a datos corporativos. Entonces el programa de control opera sobre una instantánea incompleta.

Cuando la gobernanza se limita a producir evidencia, corre el riesgo de convertirse en un ritual.

El enemigo no es la gobernanza. Es la gobernanza desconectada de la operación.

La gestión del riesgo requiere admitir que la organización no puede comprender su operación mediante fotografías ocasionales. Cuando la realidad cambia más rápido que los mecanismos de control, el cumplimiento deja de ser una garantía de entendimiento.

“Los controles que no ven la práctica real son performativos: sirven para demostrar, no para proteger.”

Esta es una tensión de gobierno, no solo de seguridad técnica. Un director que firma reportes de cumplimiento debería preguntarse si lo que se certifica corresponde al día a día de su compañía. Un responsable de riesgo debe cuestionar si sus métricas premian la burocracia en vez de la relevancia.

No propongo herramientas ni listas de controles. Propongo una pregunta más incómoda: ¿qué valor tienen nuestros controles cuando dependen de una realidad que ya no existe? Formular esa pregunta obliga a priorizar la discrepancia entre lo declarado y lo verdadero, medir la fricción entre políticas y práctica, y aceptar que buena parte de la amenaza moderna proviene de esa brecha.

Una organización puede sobrevivir con controles imperfectos.

Lo que no puede gestionar es una operación que ya no entiende.

Porque ningún control protege aquello cuya existencia ya se desconoce.