Te puedes pasar la vida intentando explicarlo, sin mucho éxito. Hasta que llega un experto y lo pone por escrito, clarito clarito.

Cuántas veces me he encontrado en la situación de encontrar un problema grave (pero grave grave, de los de “cualquiera-con-dos-dedos-de-frente-podría-tener-acceso-a-TODO“), y que la reacción oficial sea “Si no lo decimos, estamos a salvo”. A veces hasta me han acusado de “poner en peligro la empresa” por comunicar un problema de seguridad… ¡al Departamento de Seguridad!

¿Cómo sabes que no ha pasado “algo” ya? ¿Cómo puedes asumir que nadie se ha dado cuenta del problema antes?

La tendencia ahora es tratar los problemas de seguridad como si no existiesen. Si no amenazan el puesto de trabajo de los gerentes y directivos, no pasa nada. Si no sale la empresa en las noticias, no pasa nada.

Y todo ello gracias al famoso “compliance” que no sirve para nada más que demostrar un grado de “due diligence” para cubrirnos las espaldas en caso de que algo pase. Y ese algo va a pasar, tarde o temprano.

El cumplir con políticas internas, normas externas, y marcos regulatorios, no hace que la postura de seguridad de una organización sea mejor. Tampoco comprar productos sin ton ni són.

Esto lo único que hace es perpetuar el modelo de seguridad CYA (“Cover Your Ass“), y la sustitución del “sentido común” por la “due diligence“.