Seguridad vs privacidad
Si bien son dos términos que en ocasiones se confunden, su significado es diferente. El contenido de un e-mail que envía o recibe un empleado de una organización puede formar parte de la vida personal del individuo; es decir, de su privacidad. Ese mismo contenido podría afectar la seguridad de la información de la organización en la que se desempeña.
Entonces, ¿Cómo proceder? Buscando un equilibrio entre la seguridad informática de la organización y la privacidad del individuo. Respecto a este punto, es muy importante contemplar el aspecto legal (por ejemplo, La Ley de Datos Personales).
Ética vs legalidad
¿Es ético espiar a una organización para protegerla de un delito informático? ¿Es ético investigar a un empleado para disminuir riesgos en ciberseguridad? ¿Alcanza con redactar y aplicar normas en personas que no se comportan de manera ética?
En este caso, el objetivo consiste en lograr que las cuestiones normativas reflejen la ética de las personas, siendo compartidas y apoyadas por ellas. En la práctica, si bien ambas cosas son importantes, tener una ética fortalecida es imprescindible, ya que favorece la capacidad de respuesta ante situaciones legales no previstas.
Seguridad vs usabilidad
En un extremo, se podría restringir al máximo el control de acceso a un archivo, haciendo que sólo pueda leerlo o modificarlo quien lo creó. Esto aumentaría la seguridad, pero afectaría a la usabilidad (es decir, la facilidad de uso) de la información allí contenida.
Para solucionar esta disyuntiva, en ciberseguridad se recurre al principio del mínimo privilegio, proporcionándole al usuario acceso sólo a lo necesario e indispensable, un límite que no suele ser fácil de definir.
Política inclusiva vs política exclusiva
Cada opción tiene elementos a favor y en contra. Una política inclusiva (es decir, mencionar lo qué está permitido) puede ser demasiado restrictiva y necesitar de actualización permanente, mientras que una política exclusiva (es decir, mencionar lo que no está permitido) podría ser demasiado laxa o malinterpretada.
La política ideal debería buscar un equilibrio entre ambas posturas, procurando reforzar la seguridad, pero sin pecar de una demasiada rigidez que sea contraproducente.
Otras comparaciones
Confidencialidad vs integridad; protección de datos vs privacidad de datos; etc.; son otros ejemplos que pueden abordarse, contemplando los riesgos asociados, el grado de madurez de los controles y otros factores. En definitiva, la decisión dependerá de cada organización.
