Least Agency Ratio
El Privilegio Mínimo no basta: limita el acceso, no el comportamiento.
La Proporción de Agencia Mínima mide la brecha entre lo que un agente puede acceder y cuán acotadas están sus decisiones autónomas. Parte de una constatación incómoda: el Privilegio Mínimo —restringir a qué datos accede— es necesario pero insuficiente. Un agente con acceso legítimo a la nómina, bajo una inyección, puede abusar de ese acceso lícito. La Agencia Mínima limita el comportamiento —qué secuencias de acción, bajo qué condiciones, con qué supervisión—, no solo el acceso.
El Privilegio Mínimo le da al empleado la llave de una sola sala. La Agencia Mínima le dice además qué puede hacer dentro de esa sala, en qué orden y vigilado por quién. Tener la llave correcta no impide usarla mal — la agencia mínima gobierna el uso, no solo la puerta.
Asumir que el acceso acotado equivale a comportamiento acotado es el error que las auditorías agénticas destaparon: el daño no vino de accesos indebidos, sino de accesos lícitos usados mal. Sin medir la proporción de agencia, la junta cree estar protegida por permisos que no gobiernan lo que realmente importa: la acción.
VDA trata la agencia mínima como KPI de gobierno, no como ajuste técnico: por cada agente, qué tan acotado está su comportamiento frente a su acceso. Complementa —no reemplaza— al Least Privilege: una capa cierra la puerta, la otra gobierna lo que pasa adentro.