Por Juan Pablo Carsi, líder del Comité de Ciberseguridad.
Por qué debemos pasar de la cultura del miedo a la cultura de la seguridad
¿Por qué seguimos tratando a los colaboradores como la principal amenaza si son, en
realidad, la defensa más subutilizada de la empresa?
Durante años, la narrativa corporativa en ciberseguridad ha sido casi apocalíptica:
“¡No abras ese correo!”, “¡No compartas esa información!”, “¡Te pueden hackear!”.
El resultado: trabajadores paralizados, desconectados o resignados.
Hemos construido una cultura basada en la culpa, no en la conciencia. Y lo irónico es que esa estrategia, supuestamente orientada a proteger, termina generando el efecto contrario: la gente se desconecta emocionalmente de la seguridad.
El mito del usuario culpable
La mayoría de los incidentes no ocurren porque alguien “no quiso aprender”, sino porque nadie se tomó el tiempo de explicar el porqué detrás de las políticas.
Los manuales están llenos de mandatos, pero vacíos de sentido.
Hablar de ciberseguridad solo con miedo es como enseñar a nadar mostrando películas de tiburones: puede que nadie se meta al agua, pero eso no significa que aprendieron a flotar.
Y cada vez que llega una nueva ola de ataques, la empresa se hunde igual.
Reescribir el guion: del miedo al compromiso
Una cultura de seguridad sostenible no se impone; se cultiva.
Las organizaciones que lo logran comparten tres rasgos:
Nada genera más compromiso que ver que la ciberseguridad es parte del trabajo bien hecho, no un obstáculo.
El liderazgo también educa
Las iniciativas de cultura digital fracasan cuando se delegan únicamente al área de TI o al CISO.
Cuando la alta dirección no predica con el ejemplo -cuando sigue reenviando correos sin revisar, usa contraseñas genéricas o ignora los reportes de riesgo- el mensaje es claro: la seguridad es opcional.
Una forma efectiva de romper ese ciclo es que los líderes participen activamente en los programas de concienciación: abran los webinars, compartan casos, comenten buenas prácticas.
La seguridad no necesita sermones; necesita modelos.
Pequeñas acciones, grandes transformaciones
Empieza con gestos simples:
• Usar un lenguaje cercano en las comunicaciones internas.
• Reforzar con microcápsulas o simulaciones breves en lugar de capacitaciones eternas.
• Contar historias de incidentes reales de la propia organización, mostrando lo que se aprendió.
El cambio ocurre cuando la gente deja de pensar “me están vigilando” y empieza a decir “me están cuidando”.
La ciberseguridad no mejora cuando se grita más fuerte, sino cuando se escucha mejor.
Y eso solo sucede cuando cambiamos el miedo por entendimiento.
Porque al final, ningún firewall es más poderoso que una persona consciente y comprometida.
