Introducción: la paradoja del reglamento

“Llevamos más de 13 años con un reglamento de gestión de seguridad de la información que, más allá de establecer reglas básicas de gestión, nos está llevando hacia un isomorfismo institucional, donde todos aprueban las condiciones y controles del reglamento, sin embargo, todos los años tenemos eventos de inseguridad que de alguna manera cuestionan todo este enfoque”. Esta observación, fruto de dos décadas y media de trabajo en consultoría de seguridad, capacitación, auditoría e informática forense, sintetiza el problema central de este position paper: la estandarización homogénea no es sinónimo de resiliencia. Por el contrario, cuando todos los profesionales leen los mismos libros, obtienen las mismas certificaciones y aplican listas de verificación idénticas, se genera una fragilidad silenciosa que los atacantes explotan.

Bolivia carece aún de políticas nacionales de ciberseguridad. Esa ausencia, lejos de ser una debilidad absoluta, elimina el “techo gubernamental” que en otros países fuerza un isomorfismo coercitivo adicional. Sin embargo, el RGSI ha operado como un poderoso mecanismo isomórfico normativo y mimético. El resultado es una falsa sensación de seguridad: se pasa la auditoría, se llena el checklist, pero los incidentes se repiten. Este artículo propone que la salida no es abandonar los estándares, sino construir una homeostasis organizacional que combine lo mejor del isomorfismo (legitimidad, lenguaje común) con dosis deliberadas de heterodoxia (innovación adversarial, disidencia estructurada).

El documento se organiza como sigue: primero definimos el trípode conceptual isomorfismo–heterodoxia–homeostasis; luego presentamos evidencia empírica extraída de 25 años de práctica; analizamos el caso boliviano; proponemos mecanismos concretos de heterodoxia controlada; desarrollamos un análisis GAMO y finalizamos con recomendaciones para el CISO como homeostato.

Marco conceptual: isomorfismo institucional, heterodoxia y homeostasis

DiMaggio & Powell (1983) definieron el isomorfismo institucional como la tendencia de las organizaciones de un mismo campo a volverse estructuralmente similares por presiones coercitivas, miméticas y normativas. En ciberseguridad, esto se traduce en la adopción masiva de ISO 27001, NIST, CISSP, y la repetición acrítica de metodologías. La heterodoxia es el contrapeso: enfoques no canónicos, disidencia profesional, herramientas marginales y perfiles cognitivamente diversos. La homeostasis, tomada de la cibernética de Cannon (1932), es la capacidad de un sistema para mantenerse estable mediante ajustes dinámicos, no mediante rigidez.

La tesis central es que la ciberseguridad resiliente no es isomórfica ni caótica: es homeostática. El desafío está en diseñar mecanismos que eviten tanto la petrificación (exceso de isomorfismo) como el caos (exceso de heterodoxia).

Lo que la estandarización no resolvió: 25 años de experiencia

Desde la consultoría, la capacitación, la auditoría y la informática forense se ha observado un patrón recurrente: los cursos de seguridad repiten los mismos índices (SANS, EC-Council, ISACA); las certificaciones se convierten en filtros de RRHH más que en medidas de competencia real; los informes periciales siguen plantillas calcadas. Este isomorfismo profesional genera lo que denominamos ceguera epistémica: lo que no está en el libro no existe.

• Capacitación uniforme: Todos los programas de formación se centran en las mismas top 10 vulnerabilidades OWASP, ignorando amenazas emergentes locales.
• Auditoría ritualizada: Se evalúa el cumplimiento de controles, no la eficacia real frente a adversarios creativos.
• Pericia forense estandarizada: Las herramientas (FTK, EnCase) se usan de manera mecánica, sin explorar scripts alternativos que podrían detectar artefactos no convencionales.

La evidencia empírica muestra que los eventos de seguridad que cuestionan el enfoque suelen aprovechar vectores no contemplados en los manuales canónicos. Por ello, la heterodoxia no es un lujo académico: es una necesidad operativa.

El monocultivo defensivo y el caso boliviano

En Bolivia, la ausencia de una política nacional de ciberseguridad ha generado un vacío que el RGSI ha llenado como único estándar explícito. Sin embargo, el reglamento —diseñado originalmente con criterios genéricos— se ha vuelto una camisa de fuerza. Todas las entidades supervisadas adoptan idénticos controles, sin considerar su sector, tamaño o perfil de riesgo. El resultado es un monocultivo defensivo: si un adversario descubre una falla en un control universalmente aplicado, toda la economía formal queda expuesta simultáneamente.

El caso de la banca boliviana es paradigmático: todas las entidades usan los mismos firewalls de marcas dominantes, las mismas herramientas SIEM y los mismos procedimientos de respuesta. Un ataque dirigido que evade esas herramientas tendría un éxito sistémico. La solución no es más regulación isomórfica, sino simulaciones adversariales heterodoxas que rompan la predecibilidad.

Heterodoxia controlada: simulaciones adversariales frugales

La propuesta central de este paper es institucionalizar la heterodoxia como un mecanismo homeostático. En particular, las simulaciones adversariales heterodoxas (SAH) consisten en ejercicios donde los equipos rojos no conocen los procedimientos internos ni usan las herramientas estándar; se les permite emplear cualquier técnica no convencional —ingeniería social inversa, honeypots camuflados, scripts escritos ad hoc— para descubrir puntos ciegos.

• Presupuesto de exploración: destinar entre 5% y 10% del presupuesto de seguridad a proyectos no estandarizados.
• Diversidad cognitiva: integrar perfiles atípicos (psicólogos, sociólogos, exdelincuentes) en los equipos de ciberseguridad.
• Rotación de estándares: no aferrarse a un solo marco; alternar entre NIST, CIS Controls y el propio RGSI cada 18 meses.
• Auditorías de pensamiento grupal: revisar periódicamente “¿qué estamos asumiendo sin evidencia?”.

En Bolivia, estas prácticas pueden implementarse con recursos frugales: scripts personalizados, ejercicios de mesa con roles adversariales y colaboración con universidades para generar disidencia académica.

Análisis epistemológico GAMO

El fenómeno de la homeostasis isomorfismo-heterodoxia se puede desplegar en las cuatro dimensiones GAMO, como se muestra en las tarjetas a continuación.

G

GNOSEOLÓGICA

¿Qué conocimiento produce?

El equilibrio homeostático revela que el conocimiento de seguridad no puede ser estático: debe incluir saberes locales y contra-conocimientos adversariales.

→ La formación debe incorporar disidencia y casos de fracaso por exceso de isomorfismo.

A

AXIOLÓGICA

¿Qué valores compromete?

La homogeneización valora el cumplimiento y la predictibilidad, pero desvalora la creatividad defensiva y la adaptación local.

→ Se requiere un cambio cultural que premie la disidencia fundamentada.

M

METODOLÓGICA

¿Cómo se estudia o aplica?

Las metodologías isomórficas (checklists, auditorías de cumplimiento) deben complementarse con metodologías heterodoxas (red teaming libre, análisis de escenarios extremos).

→ Incorporar SAH como práctica obligatoria en los programas de auditoría.

O

ONTOLÓGICA

¿Qué tipo de fenómeno es?

La ciberseguridad no es un sistema cerrado ni puramente técnico: es un sistema complejo adaptativo, donde la rigidez isomórfica genera fragilidad.

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Más historias

• Articulos
• Doctorado
• Nacionales
• Novedades

• Articulos
• Doctorado
• Nacionales
• Novedades

• Articulos
• Doctorado
• Nacionales
• Novedades