Igualmente, las áreas de telecomunicaciones y sistemas no quieren ser intervenidas, pues esto podría impactar en su disponibilidad. El responsable de la seguridad quisiera poner sensores y dispositivos de protección que ayuden a detectar abusos o derechamente ataques a los sistemas, pero no puede concretarlo porque resulta invasivo.

Sumado a estos verdaderos "tira y afloja", las empresas en muchas oportunidades incentivan la implementación de proyectos terminados, que poseen programas de seguridad de fácil ejecución, con el riesgo de que no sean suficientemente efectivos, especialmente si dichos proyectos no han sido producidos por las áreas de seguridad.

Para hacer que la seguridad funcione, en términos de que la exposición a las amenazas disminuya, existen algunas condiciones que deben ser cumplidas:

1. Liderazgo y gobernabilidad dentro de la empresa: Esto implica tener entidades y personas con responsabilidades claras, poder de decisión en cuanto a contener cambios y asignar recursos para los requerimientos propios de los procesos de expansión.

2. Compartir el diagnóstico del riesgo: En la medida que estemos de acuerdo en dónde está el riesgo, los desacuerdos van a quedar limitados a quienes los enfrentan y cómo. Para compartir un diagnóstico del riesgo, es necesario conocer la amenaza en detalle, comprenderla y tener antecedentes objetivos de cómo fue concebida esta amenaza. Esta información debe ser compartida dialógicamente para alinear a la organización.

3. Acordar una línea base: Referida a un conjunto de controles de seguridad que la organización acuerda en mantener y que, de alguna manera, son compartidos con gran parte de la industria. Esta línea base establece el nivel higiénico de seguridad de la organización.

4. Medidas a corto plazo y largo plazo:Comprender que en seguridad existe un trabajo de largo plazo, donde están nuestras políticas y procesos y otro de corto plazo, gatillado por la necesidad inmediata de hacerse cargo de las amenazas emergentes.

5. Compartir una aproximación de protección: Una vez que conocemos el problema, debemos buscar una forma común de identificar los controles más efectivos. Esto implica conocer la amenaza para así determinar la forma de contrarrestarla.

6. Contar con una mirada que nos permita identificar controles de seguridad que sean costo-efectivos y se complementen entre sí, además de conocer la naturaleza de los controles de seguridad y su vigencia frente al peligro, para complementar los controles que pueden haber quedado obsoletos.

Con esta pauta seremos capaces de estar alineados institucionalmente, con lo cual contaremos con un modus operandi definido, que servirá como herramienta de combate al riesgo en todas las áreas. Por así decirlo, aseguraremos la seguridad, para que la empresa, al igual que un cuerpo saludable, tenga la inmunidad necesaria para hacer frente a cualquier amenaza.