Hay una verdad que parece poco obvia que muchos equipos de sistemas aprenden tarde: Si le decís que no a un usuario, va a encontrar la forma. No era tan poco obvia, pero lo evadimos.
Ya sea conectando su propio dispositivo, usando un servicio en la nube no autorizado o pidiendo ayuda a ese amigo que sabe, el resultado suele ser el mismo: Se rompe la política, se crea un agujero de seguridad y el área técnica queda como la traba en lugar de la solución.
La experiencia demuestra que prohibir no es una política de seguridad efectiva. En cambio, las organizaciones que adoptan un enfoque de acompañamiento logran un equilibrio entre control y flexibilidad. Un buen sysadmin o CTO en lugar de limitarse (¿quizás para demostrar autoridad o sapiencia?) no se limita a decir que no, sino que ofrece una alternativa segura y gestionada.
Ejemplos claros de esto son las políticas BYOD, que permiten el uso de dispositivos personales bajo ciertas condiciones, o el acceso segmentado a la red WiFi para visitantes y contratistas.
La clave está en entender que la seguridad no puede existir en contra de las personas, sino con ellas. Cada restricción técnica debería venir acompañada de una opción viable que mantenga la productividad y reduzca el riesgo.
En la práctica, esto se traduce en medidas como:
- Autenticación multifactor obligatoria, pero con soporte accesible.
- Sandboxes o entornos aislados para pruebas de código.
- Accesos temporales gestionados para tareas excepcionales.
- Políticas de red con segmentación y monitoreo, en lugar de bloqueos absolutos.
Así, cuando el área técnica se posiciona como facilitadora en lugar de guardiana, la relación con los usuarios cambia, las personas avisan antes de implementar algo, consultan más, y los incidentes disminuyen.
La seguridad deja de ser una lista de no se puede y se convierte en un sistema de sí, pero de forma segura.