Recursos Humanos y la ciberseguridad: Por donde empezar?
La ciberseguridad esta en boca de todos, y con tantas brechas y robos de datos no es para menos. Claramente ya no es solo una cuestión tecnológica. De hecho, el eslabón más fuerte (o más débil) en cualquier organización es su gente. (En el 2023 el factor humano en las brechas de seguridad ascendía a un 75%) Un empleado cae en un engaño online en una situación de distracción y todo el sistema se ve comprometido.
Estar seguros ya no es solo un conjunto de reglas técnicas, sino una cultura arraigada en cada nivel de la organización. Y en esa transformación, el departamento de RH y su comunicación juegan un papel clave.
El desafio : Crear una Cultura de Seguridad desde las Bases
RH es la puerta de entrada a la empresa. Desde el proceso de selección, hasta la incorporación de nuevos empleados, este departamento es el primer contacto que tienen los trabajadores con la cultura organizacional. Y lo que se aprende en los primeros días, suele deja una huella.
Recuerdo que durante mi tiempo en 42 Network, la seguridad era una parte esencial de nuestra rutina diaria. Desde las penalizaciones por prestar tus tarjetas (para abrir puertas o prestar lockers🤭), hasta lo gamificado que resultaba interceptar la computadora de un compañero si la dejaba sin bloquear (o cambiarle los colores) ; todo formaba parte integral de la cultura organizacional, donde la seguridad estaba completamente incorporada en cada acción.
Cuando un empleado es recibido con un proceso de onboarding que enfatiza la importancia de la seguridad, es más probable que internalice estos valores a largo plazo. Pero si la seguridad se presenta como una simple “obligación”, es obvio que se percibirá como una carga más y no como un valor esencial.
📌 ¿Cómo puede RH impulsar la cultura de seguridad?
Les comparto un punto de partida que me ha servido bastante.
✅ Incorporación y formación: Integrar la seguridad desde el primer día, con sesiones interactivas que expliquen por qué es importante y no solo el “qué hacer y qué no hacer”. Piensen en sus propias experiencias, sino ponemos el cuerpo solemos olvidarlo.
✅ Políticas claras y accesibles: Documentos llenos de tecnicismos no generan impacto y la verdad que terminan aburriendo. Hacer un check list no es suficiente. RH puede ayudar resumiendo políticas claras, concisas y atractivas. (Usar colores no nos hace menos profesionales)
✅ Evaluación y refuerzo: No basta con un solo curso. La seguridad debe reforzarse periódicamente con talleres, simulaciones de phishing y retroalimentación constante. Hacerlo parte de la dinámica diaria.
✅ Identificación de riesgos humanos: Este departamento maneja datos clave sobre comportamiento organizacional y puede detectar patrones de riesgo antes de que se conviertan en problemas.
Según el SANS Institute, el departamento de Recursos Humanos no solo ayuda a establecer la seguridad en el onboarding, sino que también guía a la empresa en la creación de hábitos seguros y una mentalidad proactiva en seguridad digital (SANS Institute, 2023).
Comunicacion: Facilitando el Cambio de Comportamiento en seguridad
El mejor programa de seguridad es inútil si nadie lo entiende o lo recuerda. Aquí es donde entra en juego el poder de la comunicación efectiva.
El equipo de seguridad puede conocer todas las amenazas y estrategias técnicas, pero sin una estrategia de comunicación clara, sus mensajes pueden perderse en el ruido organizacional.
Un mensaje mal transmitido se ignora; un mensaje bien diseñado cambia comportamientos.
📌 ¿Cómo podemos comunicar mejor la seguridad?
✅ Mensajes efectivos y recordables: La seguridad no debe ser vista como algo aburrido. Una comunicación clara, con toques de humor o storytelling, es mucho más efectiva que un simple boletín técnico.
✅ Uso de múltiples canales: No todos leen los correos electrónicos corporativos, por mas que te los curres, esa es la verdad. Integrar seguridad en redes internas, reuniones, videos y carteles hace que el mensaje llegue a más personas.
✅ Campañas de concienciación: No se trata solo de informar, sino de crear una experiencia. Campañas interactivas, juegos de seguridad y recompensas pueden aumentar el compromiso de los empleados.
✅ Repetición estratégica: Según estudios en psicología cognitiva (mi marco teorico por excelencia) los mensajes deben repetirse en intervalos de tiempo estratégicos para maximizar la retención. (Hoxhunt, 2023).
El Enfoque Psicológico: Cómo Cambiar comportamientos en seguridad
Para que una cultura de seguridad sea efectiva, no basta con imponer reglas. Se necesita entender cómo las personas procesan la información y cambian sus hábitos. Aquí es donde la psicología es clave (y por supuesto como verán, la parte que más me gusta).
📌 Principios psicológicos aplicados a la seguridad:
✅ Refuerzo positivo: Premiar buenos comportamientos en seguridad (en lugar de solo penalizar los errores) crea un ambiente donde las personas quieren participar. No es necesario infantilizar a los empleados, hay excelentes estrategias en internet para que esto sea adoptado de una manera profesional.
✅ Efecto de familiaridad: Cuanto más se expone alguien a un mensaje, más lo interioriza. Un mensaje de seguridad visto repetidamente en diferentes formatos será más efectivo.
✅ Simulación de escenarios reales: En lugar de teoría, permitir que los empleados experimenten ataques simulados los ayuda a reaccionar de forma más intuitiva en situaciones reales. Los Escape Room digitales y hasta caseros suelen ser excelente formas de incorporar esto. (En youtube encuentran ejercicios simples de aplicar por ejemplo en una oficina pequeña, no hay excusa)
✅ Identidad de grupo: Si la seguridad se promueve como un valor de equipo, las personas la adoptan más fácilmente. “Aquí en CodigoyCalma, todos protegemos nuestra información”.
Construir una cultura de seguridad requiere estrategia, comunicación y refuerzo psicológico, y pequeñas y medianas empresas pueden aplicar cambios en esta dirección sin pensar en altas inversiones.
🔹 RR.HH. moldea la cultura y refuerza hábitos de seguridad desde el inicio.
🔹 La comunicacion efectiva asegura que los mensajes sean claros, memorables y accionables.
🔹 La psicología aplicada ayuda a cambiar comportamientos y reducir riesgos humanos.
Si queremos organizaciones realmente seguras, debemos ir más allá de la tecnología y centrarnos en lo que realmente importa: las personas. 🚀
📢 ¿Tu empresa ya involucra a RR.HH. en la seguridad? y ¿Profesionales del comportamiento humano?
Referencias:
- SANS Institute. (2023). Building the Human Risk Dream Team. Recuperado de: https://www.sans.org/blog/building-the-human-risk-dream-team/
- Hoxhunt. (2023). How to Create Behavior Change with Security Awareness Training. Recuperado de: https://hoxhunt.com/guide/how-to-create-behavior-change-with-security-awareness-training/