Por un momento imaginad la siguiente situación: estáis en una reunión despachando temas con vuestros superiores y de repente os plantean la siguiente cuestión:

Como ya sabes, este último trimestre (por decir una temporada cualquiera) es cuando tenemos más actividad, crees que tenemos que tomar alguna medida en previsión del aumento de incidentes de seguridad ? De entrada pongo cara de póquer y tras poner a trabajar mi pobre neurona obtengo las siguientes posibles respuestas:

1. por supuesto, más actividad más incidencias de seguridad (actitud conservadora y de curarse en salud)
2. no no para nada, puedes dormir tranquilo, la seguridad de la compañía no se verá afectada (actitud inconsciente o de quedar como un crack)
3. algo me había planteado pero tengo que trabajarlo más, por cierto, tu como lo ves? (actitud de supervivencia, conocer las expectativas de la otra parte)
4. que corbata más bonita ¿es nueva?

Me temo que la mayoría de nosotros escogeríamos la opción 4, o en su defecto la 3 . Bromas aparte no tenemos claro si la cantidad y tipología de incidentes de seguridad tienen relación directaestacionalidad de la actividad de una organización ? El ámbito de este planteamiento se circunscribe al interior de la organización. Lo que pueda llegar desde el «espacio exterior» es imprevisible y mucho más complejo aunque una época de mucha actividad puede ser sin duda la más indicada en el supuesto de querer causar un gran impacto, pasar desapercibido, etc. 

En primer lugar acotaremos a qué tipos de incidentes nos referimos. Para nada nos referimos a las incidencias típicas relativas a la disponibilidad, la integridad y la confidencialidad que generalmente están motivadas por una mayor actividad (caídas de sistemas por falta de dimensionamiento, errores operativos por parte de los usuarios puesto que todo es para ayer, etc.). Normalmente se deben a errores involuntarios, falta de planificación, situaciones imprevistas, etc. 

En esta entrada nos queremos referir a incidentes de seguridad que de una forma u otra son causados de forma voluntaria o premeditada aprovechando los periodos de mayor o menor actividad de una organización. A priori, como antes hemos adelantado, se puede pensar que los momentos de mucho frenesí son los más proclives a este tipo de incidentes. Efectivamente, esto es así. En este tipo de situaciones los malos malotes (recordemos que hablamos de personal interno) pueden enmascarar o camuflar sus fechorías más fácilmente. 

Por otro lado, las épocas de relativa tranquilidad también pueden ser un buen momento para ocasionar desagradables sorpresas. En estos casos, tanto la desidia, el aburrimiento, la falta de trabajo, etc. pueden motivar una mayor dedicación por parte del personal a estos menesteres. No obstante, podríamos asegurar que el grueso de las incidencias se da en épocas de mayor actividad. 

Para finalizar os exponemos un caso real y reciente vivido por un gran amigo. Ha sido precisamente una época de poca actividad la que ha supuesto un «incidente» de gran envergadura. Esto ha comportado, nada más y nada menos, que el desmantelamiento completo de toda una división de una determinada empresa (por motivos obvios no diremos nombres). En esencia ha sido el resultado de una de esas amenazas que en la mayoría de los análisis de riesgos se contemplan, en el mejor de los casos, a vista de satélite (básicamente por la dificultad de control). Al grano: Un directivo decepcionado, que no descontento, con la política comercial del grupo ha decidido montar su propia empresa llevándose la cartera de clientes y, aún más importante, la representación en exclusiva de la práctica totalidad de productos que comercializaban. Este asunto se ha ido gestando con el tiempo, no ha sido de un día para otro. Esta situación no es nada novedosa pero tiene cierta relación con la estacionalidad, puesto que, con la voluntad de causar el menor daño posible, se ha producido en la época de menor actividad. Como es natural, la sorpresa ha sido mayúscula, como no podía ser de otra forma, teniendo en cuenta los controles y medidas de seguridad existentes para gestionar estos casos. 

Efectivamente, la empresa en cuestión no disponía de un Plan de Continuidad de Negocio. A partir de ahora ya no le hará falta ......  

Resumiendo, siempre hay que permanecer alerta. Tampoco se pueden olvidar aquellos «comportamientos» que todavía no son conocidos, por tanto no pueden ser llamados incidentes, y que se están produciendo permanentemente por carencia de controles y medidas de seguridad. 

CITA DEL DÍA: «No hay mejor incidencia que aquella que se conoce»