El 74% de las brechas de seguridad tienen un componente humano, según el reporte de Verizon DBIR 2024. Phishing, credenciales comprometidas, error de configuración, uso indebido de accesos: en casi todas hay un ser humano en el centro. Y sin embargo, la mayoría de los programas de concientización en ciberseguridad se diseñan como si el problema fuera de información, no de comportamiento.

Se lanza el módulo. Se registra el porcentaje de completación. Se envía el informe al comité. Y al mes siguiente, alguien hace clic en el mismo tipo de enlace malicioso que entrenaron hace tres semanas.

Suena básico. Sigue pasando.

El error de diseño detrás de casi todos los programas

La mayoría de los programas están construidos sobre un supuesto que la psicología lleva décadas desmintiendo: que si una persona sabe que algo es peligroso, dejará de hacerlo. No funciona así con el cinturón de seguridad, no funciona con el tabaco, y no funciona con los correos de phishing.

El conocimiento no genera comportamiento. El comportamiento se genera con práctica repetida, consecuencias inmediatas y contexto relevante. Un módulo de e-learning de 20 minutos que se hace una vez al año cumple con el checkbox de cumplimiento normativo. No mueve la aguja del riesgo.

Hay tres patrones de fallo que vemos recurrentemente:

• Contenido genérico y desconectado de la realidad operativa. Si el ejemplo de phishing habla de un banco que el empleado jamás usa, o si el escenario de ingeniería social no se parece en nada a cómo trabaja su área, el cerebro lo archiva como irrelevante.
• Frecuencia insuficiente y picos de actividad. Hacer todo el entrenamiento en octubre (Mes de la Ciberseguridad) y no volver a tocarlo hasta el año siguiente es el equivalente a ir al gimnasio una vez al año y esperar estar en forma.
• Retroalimentación que llega tarde o no llega. Si alguien cae en una simulación de phishing y el aviso llega tres días después, el momento de aprendizaje ya pasó. La conexión causa-efecto se rompió.

¿Qué hacer al respecto?

El primer paso es cambiar la métrica de éxito. Si tu KPI principal es la tasa de completación de módulos, estás midiendo administración, no riesgo. Las métricas que importan son: tasa de clics en simulaciones de phishing a lo largo del tiempo, velocidad de reporte de incidentes sospechosos, y comportamiento post-capacitación en auditorías de acceso.

El segundo paso es segmentar. Finanzas no tiene el mismo perfil de amenaza que Operaciones o que el equipo de Desarrollo. Un programa único para toda la organización es un programa diseñado para no molestar a nadie y no cambiar nada. Los mensajes, escenarios y frecuencias deben variar por rol y nivel de exposición.

El tercer paso es incorporar el refuerzo al flujo de trabajo, no añadirlo como una carga aparte. Avisos contextuales en el momento de un comportamiento de riesgo, simulaciones no anunciadas, y conversaciones en equipo después de un incidente real o público son más efectivos que cualquier plataforma de e-learning.

Finalmente, involucra a los líderes de área. Si el director de Finanzas habla de seguridad en sus reuniones semanales, el equipo entiende que es una prioridad real. Si solo viene del área de TI, es otro trámite más.

La pregunta que vale hacerse

¿Puedes decir, con datos, que tu programa de concientización ha reducido el riesgo humano en los últimos 12 meses? No la tasa de completación. El riesgo. Si la respuesta no es clara, probablemente sabes qué hay que revisar primero.

Si quieres evaluar la efectividad real de tu programa de concientización o rediseñarlo con foco en comportamiento y riesgo, podemos ayudarte. Contáctanos en https://tbsek.mx/contacto/.