Lo tenemos documentado
La documentación es un elemento muy importante en las organizaciones. Sirve para establecer lineamientos, planear, registrar eventos, transferir información, etc. En los tiempos que corren, se crean cada vez más documentación. Ya sea por necesidad propia, normativa o contractual.
Se tienen políticas, procedimientos, registros, planes, matrices, formularios, manuales. Todos con su nombre, su código y versión que se aprueban, se firman y se archivan.
Estamos cubiertos
Entonces estamos cubiertos, porque lo tenemos documentado. En muchas ocasiones se cree que por el hecho de tener la documentación correspondiente ya todo va a funcionar. Pero esa cobertura es solo una ilusión.
Cuando preguntan cómo se hace determinada tarea se tienen páginas y páginas que detallan la forma de llevarla a cabo. Y por el simple hecho de existir ese papel o archivo ya estamos más tranquilos. Pareciera que el énfasis está en tener documentación.
Si hablamos de seguridad, tener documentado los controles no los hace efectivos frente a los atacantes, no es suficiente.
Los documentos y la realidad
¿La documentación que tenemos refleja la realidad?
Esta primera pregunta es clave para entender si al final vivimos en dos organizaciones distintas, una documentada, que vive en el papel; y otra funcional, donde se opera, aunque no siempre coincida con lo escrito.
¿Es útil lo que tenemos escrito?
No necesitamos la documentación si es únicamente para estar “cubiertos”, no refleja la realidad y, por lo tanto, no se usa.
Si debemos agendar tiempo en el calendario una vez al año para revisar un documento y luego nadie lo vuelve a ver hasta la próxima revisión, ese documento no es útil.
En seguridad de la información esta pregunta es crítica. De nada sirve un plan de respuesta a incidentes que nadie lee hasta el día que ocurre un ataque. Así como una matriz de riesgos, estos no se reducen en la revisión anual, sino que es una práctica constante.
La documentación viva
La documentación viva no necesita recordatorios para ser revisada (más allá de las revisiones obligatorias por cumplimiento). Está en constante escrutinio porque se usa en el día a día, se consulta, se ajusta y se mejora.
Es todo aquello escrito que permea en las personas, pasa a ser parte de la cultura y se retroalimenta permanentemente con la realidad. Pasa de ser un requisito a una herramienta, de esas que vale la pena mantener.
La documentación solo sobra sentido cuando está viva. Guía, ayuda, protege y evoluciona.