Durante años, el ámbito de la ciberseguridad se ha enfrentado a una contradicción incómoda.
Se suele afirmar que los empleados constituyen el mayor riesgo al que se enfrentan las organizaciones; sin embargo, la mayoría de las empresas aún no han establecido los sistemas, las estructuras de apoyo ni los modelos operativos necesarios para ayudar a las personas a actuar de forma segura en sus entornos de trabajo.

Esa tensión constituye el núcleo del problema al que se enfrentan muchos responsables de seguridad de la información (CISO). Según Estudio de MetaCompliance, el 68 % afirma que los empleados constituyen el mayor riesgo de ciberseguridad de su organización. Al mismo tiempo, el 75 % considera que sus empleados no comprenden del todo el papel que desempeñan en la prevención de incidentes, mientras que el 77 % admite que carece de un modelo claro para reducir el riesgo cibernético de origen humano.
Es evidente que se reconoce la importancia del riesgo cibernético relacionado con el factor humano; lo que falta es la confianza en cómo gestionarlo de forma eficaz.
¿Por qué persiste la culpa?
Cuando se produce un incidente cibernético, es natural que las organizaciones se centren en el momento concreto en el que se produjo el fallo.
Un empleado hizo clic en un enlace malicioso. Alguien compartió información confidencial con la persona equivocada. Un «deepfake» eludió los controles internos.
El individuo pasa a ser el centro de atención porque las acciones humanas son más fáciles de identificar que las deficiencias operativas que subyacen a ellas. Esto da lugar a una narrativa más sencilla en la que el problema se enmarca en torno a decisiones erróneas, en lugar de en torno a la cultura, el diseño de los procesos, las prioridades contrapuestas o la fragmentación de la responsabilidad en toda la empresa.
Muchas organizaciones siguen actuando, además, según lo que podría describirse como la «lógica del eslabón más débil». Se considera que las personas son impredecibles en comparación con los controles técnicos, por lo que los programas de seguridad se centran, naturalmente, en reducir los errores de los empleados mediante la formación, la sensibilización y la aplicación de las políticas.
El reto radica en que los empleados no trabajan en entornos controlados y no todos se enfrentan a los mismos riesgos o presiones que sugieren la mayoría de los programas de formación en concienciación sobre seguridad. Un empleado del departamento financiero que gestiona facturas se enfrenta a amenazas muy diferentes a las de un desarrollador que utiliza herramientas de inteligencia artificial, un alto directivo que viaja con frecuencia o un equipo de atención al cliente que gestiona datos confidenciales a gran velocidad.
Las decisiones en materia de seguridad se toman en el transcurso del trabajo diario, mientras los empleados deben conciliar prioridades contrapuestas; a menudo, estas decisiones se toman en cuestión de segundos, bajo presión y sin disponer de toda la información necesaria.
En parte, esa es la razón por la que la culpa ha persistido durante tanto tiempo. Los errores humanos se perciben como algo tangible e inmediato, mientras que las deficiencias organizativas son más difíciles de cuantificar y, a menudo, afectan a varios equipos.
Por qué culpar a alguien no reduce el riesgo
Echar la culpa rara vez modifica el comportamiento de forma significativa o duradera. La mayoría de los empleados no generan riesgos de forma intencionada. De hecho, muchos intentan actuar correctamente, aunque trabajan en entornos en los que resulta difícil mantener un comportamiento seguro.
Cuando las organizaciones se centran en las actividades de sensibilización en materia de seguridad sin tener en cuenta las condiciones generales en las que trabajan los empleados, la formación en seguridad se convierte en algo que las personas simplemente completan, en lugar de algo que realmente les ayude a tomar decisiones en momentos de alto riesgo.
Nuestra investigación sugiere que los CISO son cada vez más conscientes de esta desconexión. El 81 % considera que la formación en concienciación sobre seguridad fracasa porque resulta demasiado genérica como para resultar relevante a nivel personal, mientras que el 83 % afirma que podría reducir el riesgo cibernético humano más rápidamente si dispusiera de mejores métodos para priorizar quién necesita qué tipo de intervención y en qué momento.
Al mismo tiempo, solo el 24 % de las organizaciones aplica un enfoque maduro e integrado de gestión de riesgos humanos, y ninguna ha indicado que ofrezca contenidos dinámicos de sensibilización adaptados a los riesgos específicos a los que se enfrentan los empleados en su día a día.
Esa brecha es importante porque la concienciación tiene un alcance limitado si los sistemas que la rodean no cambian.
Es posible que los empleados comprendan los principios de seguridad en teoría, pero aplicarlos en situaciones reales resulta mucho más difícil cuando la carga de trabajo es elevada, los procesos no están claros o las presiones operativas priman la rapidez sobre la prudencia.
La culpa también genera consecuencias culturales no deseadas. Los empleados se muestran más reacios a informar de errores o a plantear sus inquietudes si temen las críticas o las repercusiones. Con el tiempo, esto debilita la confianza entre los equipos de seguridad y el resto de la plantilla, lo que dificulta la detección de riesgos.
La ciencia del comportamiento que subyace al riesgo cibernético humano
Uno de los cambios más importantes que se están produciendo en el ámbito de la ciberseguridad es el creciente reconocimiento de que el comportamiento se ve influido por el entorno.
Las personas rara vez toman decisiones al margen de la carga de trabajo, la cultura, los incentivos, los estilos de comunicación o la presión operativa. La ciencia del comportamiento ha demostrado que los seres humanos tienden a recurrir, por defecto, a la comodidad, la rapidez y el hábito cuando se encuentran bajo estrés o sufren una sobrecarga cognitiva.
Esto es importante porque muchas organizaciones esperan que sus empleados detecten amenazas cada vez más sofisticadas, al tiempo que trabajan en entornos que dificultan la toma de decisiones con la debida prudencia.
La inteligencia artificial está agravando ese reto. Ahora se espera que los empleados sean capaces de detectar correos electrónicos de phishing muy personalizados y tácticas de ingeniería social en constante evolución, sin dejar de trabajar con rapidez y eficacia.
Nuestra investigación ha revelado que el 46 % de los CISO que se sienten menos seguros a la hora de gestionar el riesgo cibernético humano que hace 12 meses señalan la ingeniería social basada en la inteligencia artificial como un factor clave. Los ataques son cada vez más convincentes, más específicos y mucho más difíciles de detectar en el día a día del trabajo.
El 78 % de los CISO afirmaron que los responsables de la toma de decisiones de alto nivel no comprenden plenamente los riesgos de seguridad que plantean los empleados. Esa desconexión genera una situación complicada en la que la responsabilidad de reducir el riesgo cibernético humano recae sobre las personas, sin que se preste suficiente atención a los factores organizativos más amplios que determinan el comportamiento.
La realidad es que los empleados se ven muy influidos por los sistemas que les rodean. Si los flujos de trabajo son excesivamente complejos, los procesos de presentación de informes no están claros o se da prioridad sistemáticamente a la productividad frente a la seguridad, las personas adaptan naturalmente su comportamiento en consecuencia.
Adoptar un comportamiento seguro resulta más sencillo cuando las organizaciones lo hacen relevante y lo respaldan en el trabajo diario.
Cómo es un modelo basado en el apoyo
Las organizaciones con visión de futuro están empezando a abordar de forma diferente el riesgo cibernético relacionado con el factor humano.
En lugar de considerar a los empleados como una fuente de riesgo que hay que controlar, se les empieza a ver como participantes en un ecosistema de seguridad más amplio que necesita apoyo y refuerzo continuos.
Esto cambia por completo la forma en que las organizaciones conciben la formación en materia de concienciación sobre la seguridad.
En lugar de basarse en campañas amplias y genéricas que se aplican de manera uniforme en toda la empresa, los equipos de seguridad están adoptando enfoques más contextuales y basados en el comportamiento. De hecho, el 81 % de los CISO coinciden en que la solución radica en una mejor orientación, y no en una mayor formación, mientras que el 83 % afirma que podrían reducir el riesgo cibernético humano más rápidamente si dispusieran de mejores métodos para priorizar quién necesita qué intervención y en qué momento.
La formación se está adaptando cada vez más a las funciones específicas y se ajusta mejor a la exposición real al riesgo. Sin embargo, muchas organizaciones siguen teniendo dificultades en cuanto a la visibilidad, ya que el 76 % de los CISO afirman que aún no está claro qué medidas son las más eficaces para las distintas funciones o perfiles de riesgo.
Estas organizaciones también están prestando especial atención a la medición y la visibilidad. Quieren comprender dónde se concentra el riesgo cibernético humano, qué comportamientos generan mayor exposición y dónde se necesita apoyo adicional.
Es ahí donde la gestión de riesgos humanos está cobrando cada vez más importancia.
En MetaCompliance, observamos que las organizaciones van más allá de las simples campañas de sensibilización y se orientan hacia estrategias más maduras que combinan el análisis del comportamiento, las intervenciones específicas y la reducción cuantificable del riesgo. El enfoque pasa de demostrar que se ha completado la formación a comprender si los comportamientos seguros están mejorando con el tiempo.
Esto también exige una mayor coordinación entre los equipos de seguridad, recursos humanos, dirección y operaciones. El riesgo cibernético relacionado con el factor humano no puede recaer exclusivamente en los departamentos de seguridad, ya que el comportamiento de los empleados viene determinado por la cultura, los sistemas, la comunicación y las prioridades empresariales.
Las empresas que más progresan son aquellas que se plantean preguntas diferentes. En lugar de centrarse únicamente en por qué los empleados cometieron errores, analizan qué circunstancias propiciaron que esos errores se produjeran en primer lugar.
El riesgo cibernético relacionado con las personas requiere una mentalidad diferente
El riesgo cibernético relacionado con el factor humano no va a desaparecer. Es más, cada vez es más complejo y está más vinculado a las operaciones empresariales cotidianas.
Las organizaciones que sigan recurriendo a la culpa como respuesta principal ante las amenazas cibernéticas pueden tener dificultades para lograr avances significativos, ya que la culpa no ofrece una hoja de ruta para la mejora.
Las organizaciones que maduren más rápidamente serán aquellas que dejen de considerar a los empleados como un problema que hay que resolver y empiecen a abordar el riesgo cibernético humano como un reto organizativo compartido que debe gestionarse de forma colectiva.
Porque culpar a alguien no es una forma de control.
¿Desea conocer los resultados completos?
Descargue el informe completo Informe «Rethinking Human Cyber Risk» para descubrir cómo 200 directores de seguridad de la información (CISO) de toda Europa están replanteándose la concienciación en materia de seguridad, el riesgo conductual y el futuro de la gestión del riesgo humano.