La mayoría de los ataques no empiezan con un hacker, sino con un clic mal hecho. Según el DBIR 2025 de Verizon, más del 60% de las brechas de datos se originan en errores humanos. Y ahí está el punto: la ciberseguridad no se trata solo de tecnología, sino de cultura. Cuando una organización entiende que cada colaborador -desde el director hasta el practicante- es parte del sistema de defensa, la seguridad deja de ser un protocolo y se convierte en una forma de trabajar. No se trata de miedo, sino de hábito: cuidar la información es cuidar el negocio.
En ese sentido, el liderazgo cumple un papel determinante. No basta con invertir en sistemas; hay que inspirar comportamientos. “Una premisa es segura, el fortalecimiento del factor humano puede reducir significativamente la exposición a los ciberataques y proteger los datos y activos más valiosos para la organización”, afirmó Ingrid Delgado, Customer Education & Awareness Manager de SISAP. Cuando la dirección asume la ciberseguridad como parte de su estrategia, el compromiso baja en cascada y el riesgo disminuye. Así se construyen empresas más seguras, no solo desde los servidores, sino desde la conciencia colectiva.
De acuerdo con lo reportado en el informe del DBIR, el ciberataque denominado ransomware está presente en el 44% de las brechas a nivel global, con una media de pago cercana a US$ 115 mil. El estudio recogió datos regionales a través de organizaciones especializadas en ciberseguridad como SISAP, identificando 1,476 incidentes asociados a errores humanos, de los cuales 1,449 provocaron exposición de datos, siendo el 98% responsabilidad de personal interno. Esto evidencia que la inversión en tecnología, aunque necesaria, no es suficiente: el riesgo humano sigue siendo un factor crítico para las organizaciones colombianas.
Gestión del riesgo humano: un enfoque integral
La tecnología adquirida no es suficiente para proteger a una organización, aunque la inversión en hardware y software es importante, existe un riesgo latente que poco se considera dentro de una estrategia de ciberseguridad: el riesgo humano.
La gestión del riesgo humano evoluciona, no se trata únicamente de una concientización activa y pruebas controladas para los usuarios; es un enfoque integral que administra los riesgos originados por el comportamiento, las decisiones y la interacción entre humanos. Debe reconocerse al humano como una vulnerabilidad potencial en el contexto de ciberseguridad extendiéndose a los riesgos operativos y por supuesto estratégicos.
Más allá de la concientización, la gestión del riesgo humano requiere un enfoque completo que incluya:
- Políticas y procedimientos claros y conocidos por todos los colaboradores
- Fomento de responsabilidad individual en la ciberseguridad
- Monitoreo de comportamientos inusuales y potencialmente peligrosos
- Control de acceso a los recursos según el nivel necesario de permisos y privilegios
- Capacitación constante
Implementar una cultura de ciberseguridad centrada en el riesgo humano plantea retos importantes para las organizaciones. Entre ellos destacan la falta de recurso para programas continuos; la resistencia al cambio al recibir los nuevos lineamientos de ciberseguridad; las amenazas externas dependiendo del giro de negocio de la organización, que puede hacerlos un blanco más apetecible para los ciberdelincuentes; y lo más importante a resolver, la falta de compromiso de la dirección, que limita la adopción de medidas de seguridad por parte de los colaboradores.
Los ejecutivos de alto nivel, por el acceso que poseen a información sensible requieren una formación más especializada que incluya la gestión de decisiones estratégicas, el conocimiento de planes de respuesta a incidentes y su rol en la comunicación interna y externa durante una brecha de datos. Solo con el liderazgo activo de la dirección es posible consolidar una estrategia sólida de ciberseguridad.
“Una premisa es segura, el fortalecimiento del factor humano puede reducir significativamente la exposición a los ciberataques y proteger los datos y activos más valiosos para la organización. El compromiso de la dirección marca la diferencia al impulsar una cultura de ciberseguridad sólida y en constante evolución. Esta madurez no solo brinda confianza a socios y clientes, sino que también se convierte en una ventaja competitiva que acelera el cumplimiento de las metas estratégicas y el crecimiento sostenible de la organización.” afirmó Ingrid Delgado, Customer Education & Awareness Manager de SISAP.