Lo cierto es que no en pocas empresas el análisis de riesgos de ciberseguridad vive en un mundo, y la formación de usuarios en otro. Los primeros generan matrices de impacto y probabilidad muy sofisticadas, mientras que la segunda se traduce en cursos genéricos que cambian poco año tras año, con el consiguiente desajuste, pues se invierte mucho en entender dónde están los riesgos, pero no se actúa con la misma precisión sobre los comportamientos que los materializan.
Y esto se debe en primer lugar a que los análisis de riesgos describen eventos como “phishing exitoso”, “pérdida de credenciales”, “fuga de información por canales no autorizados” o “caída de un servicio crítico por error de configuración” por impacto, probabilidad y controles existentes, pero sin embargo, casi nunca se explicita qué hacen o dejan de hacer las personas para que esos riesgos existan.
Se asume que el usuario es una especie de ruido de fondo, algo a lo que se le da formación una vez al año y se espera que su comportamiento cambie por arte de magia, cuando el mapa de riesgos debería traducirse a comportamientos concretos, pues la formación no tiene un blanco claro sobre el que actuar.
Por eso, el primer cambio de enfoque consiste en reformular cada riesgo en términos de conductas observables: qué acciones, decisiones o hábitos de usuarios, mandos y directivos lo hacen más probable o aumentan su impacto.
Y para eso, podemos iniciar la conversación haciéndose tres preguntas sencillas:
- ¿Qué tiene que hacer mal una persona para que este riesgo se materialice?
- ¿Qué tendría que hacer bien para reducir drásticamente su probabilidad o su impacto?
- ¿En qué contexto real de trabajo ocurre esa conducta (tipo de tarea, herramienta, presión de tiempo, interacción con clientes, etc.)?
Por ejemplo, detrás del enunciado “phishing exitoso” hay una cadena de comportamientos: no revisar el remitente, no desconfiar de la urgencia o la promesa del mensaje, no verificar por un canal alternativo, introducir credenciales en un sitio dudoso, no reportar el intento.
En segundo lugar, no todos los comportamientos peligrosos merecen la misma atención, pues igual que se priorizan riesgos por impacto y probabilidad, puede priorizarse una “matriz de comportamientos” que consista en:
- Impacto: si este hábito sale mal, ¿qué puede pasar en términos de negocio, reputación o cumplimiento?
- Probabilidad: ¿con qué frecuencia se da ese comportamiento en la organización?
- Exposición: ¿cuánta gente está en esa situación a diario (por ejemplo, personal de atención al cliente frente a equipos puramente internos)?
De este análisis debería salir una lista corta de conductas críticas que el plan de formación debe atacar primero de forma que, en lugar de montar un programa genérico de “concienciación en ciberseguridad”, debemos centrarnos en unas pocas conductas, como por ejemplo: “Este año queremos reducir tres comportamientos de alto riesgo como son los clics en enlaces sospechosos, el uso de canales no autorizados para datos sensibles y el uso compartido de cuentas”.
Una vez identificados los comportamientos prioritarios, es necesario convertirlos en objetivos formativos concretos y medibles. Siguiendo el ejemplo, tendríamos:
- “Reducir la tasa de clic en campañas de phishing simulado por debajo del X%”.
- “Aumentar el porcentaje de intentos de phishing reportados por los usuarios”.
El lenguaje cambia de “saber” a “hacer” porque lo importante no es lo que el usuario recuerda en un test al final del curso, sino lo que hace o no hace en su contexto real, por eso conviene diseñar estrategia y diferenciar principalmente entre:
- Riesgos ligados a procesos (gestión de datos, accesos, shadow IT, cambios de configuración) que necesitan talleres por rol, casos prácticos basados en situaciones reales de la organización y walkthroughs guiados de los procesos correctos.
- Riesgos que se manifiestan en segundos (phishing, ingeniería social, uso de contraseñas débiles) en los que funciona mejor los micro‑contenidos, las simulaciones periódicas, los nudges contextuales y los mensajes breves en el momento de uso.
Una vez lo tenemos, debemos cerrar el círculo y volver al lenguaje del análisis de riesgos y preguntarse: ¿se ha reducido el riesgo residual?, lo que pasa por definir indicadores y revisarlos, de forma que nos permita saber si allí donde estamos poniendo los esfuerzos, es realmente el control correcto.
En conclusión, en ciberseguridad no falta conocimiento técnico, falta traducir el riesgo a decisiones humanas, por lo que debemos atacar al mapa de riesgos, que es quien nos dice dónde te pueden atacar, para convertir cada uno de esos puntos en comportamientos concretos a modificar mediante formación específica, medible y alineada con la realidad diaria de la organización.