Cómo las organizaciones se mantienen a la vanguardia a través de la cultura de seguridad
La verdadera pregunta aquí es cuán maduras son las organizaciones en su enfoque de la cultura de seguridad. Alrededor del 22 % de los profesionales de la seguridad optaron por describir su cultura como «reforzamos la adopción a través de la responsabilidad de los directores, el apoyo entre compañeros y la retroalimentación». Esto indica un enfoque integral. Alrededor de un 21 % confía en los flujos de trabajo, identificándose con la afirmación de que «el comportamiento seguro se mantiene en los flujos de trabajo reales (verificación, informes, escalación)».
Desglosándolo aún más, vemos que otras empresas llevan a cabo principalmente formación de concienciación y procesos de reconocimiento de políticas para combatir las ciberamenazas (20 %). Otras definen comportamientos seguros específicos para cada rol y tarea en flujos de trabajo clave (19 %). Un 18 % adicional gestiona su ciberseguridad como un sistema holístico, utilizando señales y mediciones continuas para una mejora constante. Esto demuestra que muchos profesionales de la seguridad han adoptado mecanismos de defensa conductual, utilizando diferentes combinaciones de máquinas y personas para supervisar y analizar el rendimiento de la seguridad.
¿Qué afirmación describe mejor la madurez de tu enfoque de cultura de seguridad actual, si es que la hay?
Los mayores desafíos para escalar la cultura de seguridad
Cuando se les preguntó sobre las mayores barreras para escalar la cultura de seguridad, los profesionales de la seguridad identificaron tres desafíos principales:
- Consistencia del comportamiento (entre sedes, unidades de negocio, filiales)
- Credibilidad de las pruebas y las mediciones (prueba de impacto fiable)
- Capacidad de refuerzo de los directores (tiempo y capacidad)
¿Cuál es el mayor desafío a la hora de extender la cultura de seguridad en toda tu organización, si es que hay alguno? (Selecciona hasta 3)
La prominencia de la consistencia del comportamiento indica que la dificultad no consiste tanto en entender las amenazas, sino en garantizar que se aplican las mismas medidas y comportamientos de seguridad por igual entre las diferentes entidades. La credibilidad de las mediciones es particularmente reveladora. Si a las organizaciones les cuesta producir pruebas de impacto fiables, se hace más difícil justificar una inversión sostenida, especialmente a nivel directivo. Esto crea un ciclo en el que la defensa conductual se reconoce como importante, pero no se financia ni se amplía de forma consistente. Superar esta barrera requiere un cambio de madurez, pasando de la «concienciación» a un modelo de rendimiento sofisticado en el que el riesgo humano se rastrea a través de inteligencia creíble y se trata como un resultado de seguridad medible.
La capacidad de refuerzo de los directores pone de relieve un problema diferente pero igualmente estructural. El cambio de comportamiento no se consolida solo con la concienciación. Si los directores no tienen el tiempo o la confianza para reforzar los comportamientos seguros, las iniciativas relativas a la cultura de seguridad podrían no avanzar y quedarse en la fase de comunicación en lugar de convertirse en parte del día a día laboral.
También es destacable la relevancia del rol a escala, ya que muestra lo complejas que son las organizaciones modernas. La formación genérica puede aumentar la concienciación de base, pero rara vez aborda los riesgos específicos a los que se enfrentan las diferentes funciones, geografías o perfiles de riesgo.
Otros desafíos son las brechas en la cobertura de los empleados (los de primera línea o los que no trabajan en la oficina), la complejidad de la localización (regiones, idiomas y normas culturales) y el mantenimiento de la coherencia entre entidades (sedes, unidades de negocio, filiales).
Los datos sugieren que las organizaciones en España se encaminan hacia modelos de defensa adaptativa, pero necesitan bucles de refuerzo más sólidos, expectativas de comportamiento más claras y medidas más consistentes para ser capaces de traducir esa concienciación en un rendimiento constante y duradero.
Pon la Guía en Práctica:
Escalar la Cultura
Prioridad 2 (a corto plazo):
Establecer un modelo de rendimiento:
Pasa de las métricas de casillas de verificación a un modelo de inteligencia basado en datos que agrega señales de comportamiento de concienciación, exposición y respuesta.
Contextualizar el aprendizaje:
Convierte las políticas largas y «aburridas» en experiencias de aprendizaje interactivas y relevantes para el rol (5 minutos frente a 2 semanas) para resolver la barrera de la «relevancia del rol» y reducir la carga cognitiva.
Informes 
Guías 
Blog 
Glosario 
Casos de éxito 
Todos los eventos 
Human Firewall Conference 
Danger Lab 
Por qué SoSafe 
Trabaja en SoSafe 
Novedades de producto 
Contacto 