Hacia un modelo de frugalidad adaptativa en ciberseguridad bajo restricción regulatoria
La ciberseguridad en entornos regulados ha sido abordada históricamente desde una lógica de acumulación de controles, generando saturación operativa y cognitiva. Este artículo propone un modelo de frugalidad adaptativa estructurado en tres niveles: frugalidad basada en valor, por alcance y por prelación. Se argumenta que la efectividad no depende de la cantidad de controles, sino de su orden, contexto y capacidad de absorción organizacional.
Del control por acumulación a la prelación como principio de efectividad
Hacia un modelo de frugalidad adaptativa en ciberseguridad bajo restricción regulatoria
Del control por acumulación a la prelación como principio de efectividad
La ciberseguridad en entornos regulados ha sido abordada históricamente desde una lógica de acumulación de controles, generando saturación operativa y cognitiva. Este artículo propone un modelo de frugalidad adaptativa estructurado en tres niveles: frugalidad basada en valor, por alcance y por prelación. Se argumenta que la efectividad no depende de la cantidad de controles, sino de su orden, contexto y capacidad de absorción organizacional. A partir de la experiencia boliviana en la implementación de PCI DSS desde 2012 —coincidente con la migración a EMV— se analizan las brechas entre cumplimiento formal y protección real. El modelo de prelación ofrece una ruta para reencaminar la adopción regulatoria sin eliminar controles, priorizando secuencialmente su implementación según madurez y reducción marginal del riesgo.
Cybersecurity in regulated environments has historically been approached through a logic of control accumulation, generating operational and cognitive saturation. This article proposes a model of adaptive frugality structured in three levels: value-based frugality, scope-based frugality, and prelation-based frugality. It argues that effectiveness does not depend on the number of controls but on their order, context, and organizational absorption capacity. Drawing from the Bolivian experience implementing PCI DSS since 2012 —coinciding with the migration to EMV— the gaps between formal compliance and real protection are analyzed. The prelation model offers a pathway to redirect regulatory adoption without eliminating controls, sequentially prioritizing their implementation based on maturity and marginal risk reduction.
Introducción: el síndrome de la acumulación
La ciberseguridad en entornos regulados ha sido históricamente abordada bajo una lógica de acumulación de controles, evidencias y mecanismos de monitoreo. Este enfoque, fuertemente influenciado por marcos normativos y estándares internacionales, ha generado un fenómeno de saturación operativa y cognitiva que limita la efectividad real de las estrategias de protección. La premisa implícita de que "más controles generan más seguridad" ha derivado en estructuras complejas, costosas y, en muchos casos, poco sostenibles.
Este artículo propone una reinterpretación del concepto de frugalidad en ciberseguridad, desplazándolo desde una visión tradicional centrada en la reducción de costos hacia un enfoque de optimización del valor bajo restricciones. Se plantea una evolución conceptual en tres niveles: frugalidad basada en valor, frugalidad por alcance y frugalidad por prelación. A través de este recorrido, se argumenta que la efectividad en ciberseguridad no depende de la cantidad de controles implementados, sino de su orden, contexto y capacidad de ser absorbidos por la organización.
Marco GAMO: gnoseología, axiología, metodología, ontología
Frugalidad basada en valor
El primer nivel de frugalidad se centra en la relación entre recurso y beneficio. En este enfoque, la organización busca maximizar el retorno de sus inversiones en seguridad, priorizando aquellos controles que generan mayor reducción de riesgo con menor consumo de recursos. Este modelo es especialmente relevante en contextos con limitaciones presupuestarias, donde la eficiencia se convierte en un factor crítico.
Sin embargo, esta visión presenta una limitación importante: asume que todos los elementos del sistema pueden ser evaluados únicamente en términos de costo-beneficio, sin considerar su interdependencia ni su rol en estructuras más amplias. Esto puede llevar a decisiones que optimizan localmente, pero no globalmente.
Frugalidad por alcance
El segundo nivel introduce una dimensión estructural: el alcance. Inspirado en prácticas como la delimitación del entorno de datos de tarjetas en el estándar PCI DSS, este enfoque propone concentrar los esfuerzos de seguridad en aquellos componentes del sistema que realmente procesan o afectan activos críticos. La frugalidad por alcance no elimina controles, sino que reduce la superficie sobre la cual deben aplicarse con máxima rigurosidad. Esto permite disminuir la complejidad operativa y enfocar los recursos en zonas de alto impacto. La segmentación, la tokenización y la eliminación de almacenamiento innecesario son ejemplos de esta lógica.
Frugalidad por prelación · núcleo del modelo
El tercer nivel, y núcleo de esta propuesta, es la frugalidad por prelación. En este enfoque, todos los controles son reconocidos como potencialmente útiles, pero su implementación se organiza en función de su impacto en la reducción de riesgo y de la capacidad organizacional para sostenerlos. A diferencia de enfoques como Lean, donde el exceso se considera desperdicio, la prelación asume que el exceso puede tener valor diferido. El problema no es la existencia de múltiples controles, sino su implementación simultánea y desordenada.
La prelación introduce una lógica secuencial, donde los controles se activan progresivamente a medida que la organización incrementa su madurez. Este modelo permite resolver una tensión clave en entornos regulados: la imposibilidad de eliminar controles sin afectar el cumplimiento. En lugar de eliminar, se prioriza. En lugar de simplificar por reducción, se simplifica por orden.
Economía de la atención e infosaturación por monitoreo
Un elemento transversal a los tres niveles es la gestión de la atención. En sistemas de monitoreo intensivo, la generación indiscriminada de logs y alertas produce un fenómeno de infosaturación que reduce la capacidad de respuesta del equipo de seguridad. Siguiendo la lógica de la economía de la atención planteada por Herbert A. Simon, una abundancia de información genera escasez de atención. La prelación permite abordar este problema al priorizar la generación y análisis de información en función de su relevancia, reduciendo el ruido y mejorando la señal.
Caso Bolivia: PCI DSS, EMV y la oportunidad de reencaminar
A partir de 2012, Bolivia decidió migrar del sistema de banda magnética a tarjetas con chip bajo el estándar EMV, coincidiendo con los primeros requerimientos formales de PCI DSS. La banca boliviana inició inversiones en terminales punto de venta (POS), certificación de aplicaciones y adecuación de centros de datos. Sin embargo, la adopción del estándar PCI DSS se concentró en el cumplimiento anual de cuestionarios de autoevaluación (SAQ) y escaneos de vulnerabilidad, sin una verdadera integración con la estrategia de seguridad.
Se generó una brecha entre cumplimiento formal y protección real: muchas entidades aprobaron sus evaluaciones pero mantuvieron arquitecturas frágiles, almacenamiento innecesario de datos sensibles y equipos de seguridad saturados con tareas de evidencia más que de defensa activa. La complejidad operativa aumentó, pero la reducción efectiva del riesgo no fue proporcional. El isomorfismo sectorial llevó a que todas las organizaciones adoptaran los mismos controles superficiales sin considerar su contexto.
La experiencia boliviana evidencia que la adopción de estándares como PCI DSS puede estancarse en una lógica de "checklist" cuando no existe un modelo de secuenciación adaptativa. La frugalidad por prelación ofrece una hoja de ruta para reencaminar: identificar los controles de mayor impacto marginal (ej. reducción de superficie de datos, segmentación real, eliminación de almacenamiento de CVV) e implementarlos antes que controles de monitoreo avanzado que requieren madurez previa. Esta aproximación no solo es más eficiente, sino que construye una base sólida para fases posteriores.
Implicaciones para entornos regulados
La propuesta de frugalidad adaptativa ofrece una alternativa viable para organizaciones sujetas a regulación estricta. Al no eliminar controles, se mantiene el cumplimiento normativo. Al priorizar su implementación, se mejora la efectividad operativa. Este enfoque también permite evitar el isomorfismo sectorial, donde todas las organizaciones adoptan las mismas prácticas sin considerar su contexto. La prelación introduce diversidad estratégica, dificultando la anticipación por parte de actores adversarios.
| Enfoque tradicional | Frugalidad por prelación |
|---|---|
| Implementación simultánea de todos los controles | Secuenciación según madurez y reducción marginal del riesgo |
| Saturación operativa y cognitiva | Equilibrio entre carga de trabajo y capacidad de absorción |
| Cumplimiento como fin | Cumplimiento como punto de partida para protección real |
| Isomorfismo sectorial | Diversidad estratégica basada en contexto |
Conclusiones
La ciberseguridad en entornos regulados enfrenta el desafío de equilibrar cumplimiento, eficiencia y efectividad. La frugalidad adaptativa, entendida como una evolución desde el valor hacia el alcance y finalmente hacia la prelación, ofrece un marco conceptual para abordar este desafío. La experiencia boliviana con PCI DSS y la migración a EMV demuestra que la adopción de estándares puede estancarse en una lógica de checklist, pero también puede reencaminarse mediante un enfoque de prelación que priorice controles de alto impacto según la madurez organizacional.
Definiciones operativas
Bibliografía
Simon, H. A. (1971). Designing organizations for an information-rich world. Computers, Communications, and the Public Interest, 37-72.
PCI Security Standards Council. (2022). PCI DSS v4.0: Requirements and Security Assessment Procedures. PCI SSC.
EMVCo. (2011). EMV Integrated Circuit Card Specifications for Payment Systems. EMVCo, LLC.
Rosales Uriona, G. E. (2024). Innovación adversarial en sistemas complejos: bases para una teoría de la asimetría en ciberseguridad. Documento de trabajo, UCB San Pablo.
BCB - Banco Central de Bolivia. (2012). Resolución sobre migración al estándar EMV y seguridad en transacciones electrónicas. La Paz, Bolivia.
Radjou, N., Prabhu, J., & Ahuja, S. (2012). Jugaad Innovation: Think Frugal, Be Flexible, Generate Breakthrough Growth. Jossey-Bass.
Autor / Redactor / Director
