En 2025, el 95% de las violaciones de datos se atribuyen a errores humanos y el 74% de los CISOs identifica el error humano como su principal preocupación. Estas cifras revelan que más que sancionar, las empresas deben mejorar la capacitación y la cultura de seguridad. En esta entrevista, Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity SpA, y Ex-Instructor Oficial de Carnegie Mellon para CSIRTs, comenta esta situación.
Índice de temas
¿Qué tan común es que las brechas de seguridad en las empresas se originen en errores humanos?
Es conocido que, si bien los errores humanos que impactan la seguridad de la empresa son los más frecuentes, son también los “menos” reconocidos y analizados, en contrario a la visibilidad que se puede lograr por temas técnicos o de plataformas.
Acciones comunes como abrir un mail desconocido, hacer clic en enlaces de dudosa procedencia, compartir contraseñas expone a ciberataques. La vinculación de incidentes con malas decisiones o descuidos de personas dentro de la organización es más frecuente de lo esperable. No todas las causas son tecnológicas y juegan un rol muy importante las debilidades en la cultura interna y el nivel de conciencia de seguridad del personal en sus labores cotidianas.
En ciberseguridad, ¿es más efectivo capacitar o castigar cuando un empleado cae, por ejemplo, en un phishing?
A pesar de trabajar por años en estos temas, igual podemos “caer” en pruebas de phishing simulado y no necesitamos que nos castiguen; pero sí levantar la alerta de mantenernos más pendientes de las reglas que ya son bastante conocidas, respecto de cómo identificar elementos maliciosos.
En la vorágine de una entrega de propuesta y reuniones, llega un recordatorio de la cena organizada por el aniversario de la empresa… para confirmar con un clic y… clic, “caí”, pero mejor que sea así, en una simulación, una prueba y no un ataque real, así que gustoso a repasar -una vez más- las reglas de detección de phishing (había una letra distinta en el nombre del dominio).
Ya sea en una simulación o por un ataque real de phishing, lo más importante no es castigar, sino convertir ese error en una oportunidad para aprender (o repasar) las políticas corporativas y “estar atentos”, bajar la desidia y sentirse parte del proceso de protección. Todos estamos expuestos a engaños digitales, se debe potenciar la formación y participación, relegando las sanciones para las recurrencias de aquellos que “reman contra la corriente” del cambio cultural en la organización. Así, no solo se previenen futuros incidentes, sino que se construye una cultura de seguridad más humana, consciente y participativa.
¿Cómo debe ser un programa de capacitación en ciberseguridad para ser realmente efectivo?
Un programa de capacitación en ciberseguridad efectivo debe incorporar las competencias blandas. La capacitación y la concientización deben madurar “de la mano”, integrando la mayor variabilidad de canales de difusión existentes o innovadores. Por lo tanto, este programa de Difusión, Capacitación y Concientización debe ser cercano, participativo, estratificado y diseñado con empatía hacia quienes lo reciben.
Más que sólo imponer reglas corporativas sin considerar la idiosincrasia y realidades particulares de los usuarios, debe adaptarse a su entorno, roles y formas de trabajo. Es clave que las personas se identifiquen con los casos presentados, que los contenidos reflejen situaciones reales y que se promueva el diálogo en lugar de la instrucción unilateral.
Cuando se atienden las necesidades particulares de cada equipo y se construye el aprendizaje en conjunto, la seguridad deja de ser una norma impuesta y se convierte en una responsabilidad compartida, asumida con convicción.
Por favor, hagan el ejercicio de encuestar en forma anónima la real utilidad de las campañas de ciberseguridad que hayan realizado. ¡Se sorprenderán! Contrastar aquel 97% de participación logrado en la última campaña asincrónica de ciberseguridad versus la realidad personal haciendo otras labores, mientras el video avanza y van dando clic en “Siguiente”, muchas veces, hasta terminar (y logrando así completar la supuesta concientización), cuando en realidad no pusieron atención a lo exigido.
¿Cree que las normativas en ciberseguridad tenderán a exigir capacitación obligatoria en las empresas?
En países donde la ciberseguridad se está convirtiendo en una política de Estado, y especialmente en sectores regulados como la banca, la energía o la salud, la capacitación y concientización obligatorias en temas de seguridad digital ya está en marcha. No es sólo una recomendación, sino una exigencia formal que busca proteger a las organizaciones desde su base humana.
Lo ideal sería que esta visión se extendiera por toda la región, entendiendo que formar a las personas no implica sólo enseñarles a usar herramientas, sino también ayudarlas a desarrollar habilidades blandas como el criterio, la responsabilidad y la capacidad de reconocer riesgos, insistiendo permanentemente en ello.
Cada vez más normativas locales están incluyendo estos requisitos, no sólo para el personal interno, sino también para terceros y proveedores, estableciendo compromisos claros en los contratos. Además, la capacitación formal está comenzando a definir los perfiles profesionales necesarios en ciberseguridad, lo que permite a las empresas construir equipos más preparados y alineados con los desafíos actuales.
¿Qué recomendaciones daría a una organización respecto a capacitar o castigar en ciberseguridad?
- Privilegiar la capacitación y la concientización como parte de un proceso de gestión del cambio cultural: Las vulnerabilidades humanas no se resuelven con castigos, sino con formación continua, empatía y acompañamiento. Capacitar no es solo enseñar, es transformar hábitos y construir una cultura de seguridad donde las personas se sientan parte activa de la solución.
- Diseñar programas que conecten con las realidades de los distintos equipos y niveles organizacionales: La capacitación/concientización debe ser cercana, participativa y adaptada a los distintos roles dentro de la organización. Incluir simulaciones, casos reales y espacios de conversación permite que los colaboradores se identifiquen con los riesgos y actúen con mayor conciencia.
- Reservar las sanciones para casos de reincidencia o negligencia evidente: No se trata de eliminar las sanciones, sino de aplicarlas con criterio. Cuando una persona persiste en malas prácticas a pesar de haber sido capacitada y advertida, es válido establecer consecuencias claras. Sin embargo, siempre como última instancia, no como primera reacción.
El cambio cultural en ciberseguridad no se logra con el látigo; un poco de caramelo y participación real pueden hacer el gran cambio.
