Un(a) estudiante reclamó alguna vez por su nota argumentando que había respondido la mayoría de las preguntas a un examen de carrera, en ciclo avanzado.
Sin embargo, su argumento es una falacia ya que no se puede inferir que, a más preguntas respondidas se debe obtener una mayor nota. Hay diversos y muchos factores que considerar.
Sabemos que la nota obtenida en cada examen siempre es una función de la calificación otorgada a todas y cada una de las respuestas a las preguntas formuladas en cada examen, tomando como base el puntaje propuesto para cada pregunta. Así, la calificación varía de acuerdo con la exactitud o la calidad de la respuesta formulada, dependiendo del contexto en que se desarrolla la materia evaluada. La exactitud está representada por la capacidad de memoria del estudiante al repetir un texto palabra por palabra, o por proporcionar el resultado correcto a un problema matemático. La calidad es el nivel de comprensión y dominio que el estudiante demuestra haber alcanzado en la materia. La calidad de las respuestas es algo que se debe evaluar en forma de conocimiento adquirido y aplicado correctamente.
Haciendo una extrapolación –forzada si gustan- hacia la seguridad de la información, tendemos a exagerar –por encontrar un término amable- nuestra posición frente a cuánta seguridad de la información o controles de seguridad tenemos implementados (o hemos logrado implementar) en la plataforma tecnológica de nuestra responsabilidad, pero no tenemos una base concreta para sustentar la calidad de esta seguridad y la continuidad de nuestra confianza en el ecosistema de seguridad desplegado.
Bueno, es posible que me equivoque en esa apreciación pero, ¿serán suficientes las auditorías internas para evaluar esta calidad? Por seguridad, díganme que primero han sincerado los recursos y capacidades asignados o comprometidos en garantizar la disponibilidad de la plataforma tecnológica desplegada, la integridad de los datos que almacenamos, procesamos o transmitimos, y la confidencialidad de estos datos; a continuación han sincerado los criterios que determinan la (su) confianza en las medidas de seguridad desplegadas; y luego evalúan los resultados de los indicadores implementados para establecer que la seguridad de la información no se ha visto comprometida. Porque sí han sincerado los recursos y capacidades, han establecido criterios de evaluación, han implementado los indicadores necesarios y apropiados, realizan mediciones según han planificado y toman las acciones correctivas necesarias ¿verdad?