El error humano sigue siendo una de las principales causas de brechas de ciberseguridad, pero responsabilizar a los empleados de forma aislada supone ignorar el verdadero origen del problema: una cultura organizativa que aún no protege adecuadamente a las personas. Así lo advierte, SoSafe, la empresa líder europea en concienciación en ciberseguridad y gestión del riesgo humano, que propone aplicar aprendizajes de sectores como la aviación —donde se han rediseñado entornos, procesos y culturas tras analizar incidentes— para reforzar la ciberresiliencia empresarial.
En muchos entornos corporativos, los fallos humanos son interpretados como errores individuales, cuando en realidad suelen ser síntomas de sistemas mal diseñados. Decisiones bajo presión, falta de información, sobrecarga operativa o instrucciones poco claras convierten el día a día en un campo minado. Para SoSafe, seguir esperando que las personas no cometan errores en entornos donde casi se les empuja a cometerlos es un enfoque ineficaz y peligroso.
«Cuando ocurre una brecha, lo primero que preguntamos es ‘quién ha fallado’, en lugar de analizar ‘qué ha fallado en la organización'», destaca Arnaud Loubatiere, Country Director Southern Europe de Sosafe. «Una cultura de seguridad sólida no parte de la desconfianza, sino de la responsabilidad compartida. Proteger a las personas para que puedan proteger a la empresa debería ser la prioridad».
El caso de la aviación ofrece un modelo replicable. Tras décadas atribuyendo los accidentes a fallos humanos, el sector entendió que era necesario rediseñar las condiciones en las que se trabajaba. Hoy, ese aprendizaje permite anticipar incidentes, generar sistemas más seguros y capacitar mejor a los profesionales. SoSafe sostiene que en ciberseguridad debe ocurrir lo mismo: si el sistema no está preparado para el fallo humano, no es un sistema seguro.
«Las personas no son la primera línea de riesgo: son la primera línea de defensa. Pero para que puedan actuar como tal, necesitan trabajar en entornos que les den las herramientas, los procesos y la confianza para hacerlo bien», explica Arnaud Loubatiere, Country Director Southern Europe de Sosafe. A lo que el ejecutivo añade; «El verdadero cambio ocurre cuando dejamos de culpabilizar a los individuos y empezamos a rediseñar las organizaciones».
Para SoSafe, la clave está en adoptar una visión sistémica: identificar los puntos donde la cultura, los procesos o la comunicación fallan, y reforzarlos desde dentro. No se trata solo de formar a las personas, sino de preparar los escenarios donde esas personas puedan tomar buenas decisiones. Un enfoque centrado únicamente en el error humano perpetúa el miedo, pero no resuelve la raíz del problema.
El diseño organizativo y la cultura de empresa son, hoy más que nunca, pilares esenciales de la ciberseguridad. En un entorno donde los ataques son cada vez más sofisticados, SoSafe anima a las compañías a revisar sus sistemas en base a una reflexión de su principal ejecutivo Arnaud Loubatiere, que señala que «hay que ayudar a las personas a acertar sin necesidad de que se vean expuestas al fallo porque construir culturas de seguridad no se basa en señalar con el dedo, sino en diseñar estructuras donde sea más fácil actuar correctamente».
Cargando ...
