Compliance como narrativa
Lo que realmente mide compliance
Compliance no mide seguridad. Mide auditabilidad.
La distinción importa porque optimizar para auditoría produce sistemas que:
- Documentan más de lo que previenen
- Formalizan procesos que ya nadie sigue
- Crean checkpoints que no pueden detectar el problema que buscan
No es mala fe. Es desalineación entre lo que se puede medir formalmente y lo que realmente reduce riesgo.
Patrones observables
- Controles que asumen que el atacante seguirá el flujo oficial
- Requisitos diseñados para un contexto que ya no existe
- Evidencia que prueba proceso, no resultado
- Métricas de cumplimiento sin correlación con incidentes
Dónde está la señal real
En muchos contextos, la información útil está en las excepciones, no en el cumplimiento promedio.
Un sistema que reporta 98% de cumplimiento puede ocultar que el 2% concentra el 80% del riesgo real.
La métrica de compliance no está diseñada para detectar eso. Está diseñada para demostrar que existe un proceso.
Cuando la métrica se convierte en objetivo
Compliance crea incentivos para:
- Generar evidencia documental sin cambio operativo
- Reportar problemas solo cuando son auditables
- Diseñar procesos que pasan auditoría pero no reducen exposición
No es que la gente sea deshonesta. Es que el sistema recompensa la forma sobre la sustancia cuando la sustancia no es medible formalmente.
Límite de aplicación: Contextos con alta carga regulatoria y dependencia de auditoría formal. En organizaciones pequeñas o sin presión de compliance externo, este patrón es menos relevante.