El CISO presenta los resultados del programa de cultura al consejo directivo. El 94% de los empleados completó el módulo anual de ciberseguridad. El comité asiente. Tres semanas después, un empleado del área de operaciones cae en un simulacro de phishing y entrega sus credenciales. Era el mismo empleado que había completado el módulo dos meses antes.
El 94% era una métrica de asistencia. No de comportamiento.
El problema con las métricas de actividad
La mayoría de los programas de cultura en ciberseguridad se miden por lo que es fácil de contar: módulos completados, asistentes a sesiones, puntajes en evaluaciones de opción múltiple al final del curso. Esas métricas son útiles para reportar actividad. No son útiles para saber si algo cambió.
El comportamiento bajo presión es lo que define la cultura de seguridad de una organización. No lo que los empleados responden en un cuestionario con tiempo ilimitado y sin consecuencias. Un empleado puede saber perfectamente que no debe compartir contraseñas y hacerlo igual cuando un colega le pide acceso urgente a un sistema porque "se bloqueó su cuenta justo antes de la presentación con el cliente".
Medir ese comportamiento requiere observación directa o simulaciones bien diseñadas, no cuestionarios de satisfacción.
Las métricas que sí dicen algo
La primera es la tasa de reporte de incidentes por parte de empleados no técnicos. Si el programa de cultura está funcionando, los empleados detectan y reportan cosas sospechosas que antes ignoraban. Un aumento sostenido en el número de reportes internos —correos sospechosos, solicitudes inusuales, comportamiento extraño en sistemas— es señal de que la vigilancia activa está aumentando. La ausencia total de reportes no es señal de que todo está bien: es señal de que nadie está mirando o nadie sabe a quién avisar.
La segunda es la evolución de la tasa de clics en simulacros de phishing a lo largo del tiempo, por área y por perfil de empleado. Un solo simulacro da una fotografía. La evolución trimestral da una tendencia. Y la segmentación por área revela dónde el programa está funcionando y dónde no, lo que permite redirigir esfuerzo con precisión en lugar de hacer más de lo mismo para todos.
La tercera es el tiempo promedio entre que ocurre un evento de seguridad y el momento en que un empleado lo reporta. En organizaciones con cultura de seguridad débil, los eventos se reportan tarde —o no se reportan— porque el empleado no sabe si es relevante, no sabe a quién avisar o teme consecuencias por haber cometido un error. Reducir ese tiempo es un indicador directo de que la cultura está cambiando.
La cuarta es la calidad de los reportes, no solo la cantidad. Un empleado que reporta "recibí un correo raro" aporta menos que uno que reporta "recibí un correo que decía ser de recursos humanos, tenía un enlace a un dominio que no es el corporativo y me pedía verificar mis datos de nómina antes del cierre del mes". La segunda descripción indica comprensión real del riesgo, no solo disposición a reportar.
¿Qué hacer al respecto?
El primer cambio es rediseñar el tablero de métricas del programa de cultura. No para presentar cifras más impresionantes, sino para medir lo que realmente importa. Si el único dato que tienes es el porcentaje de completados, no sabes nada sobre el estado de tu cultura de seguridad. Y si no sabes el estado, no puedes mejorar con precisión.
El segundo cambio es hacer simulacros con mayor frecuencia y menor anuncio previo. Un simulacro de phishing anunciado con dos semanas de anticipación mide la capacidad de los empleados de estar alerta cuando saben que los están evaluando. Eso no es cultura. Cultura es lo que hacen cuando no saben que alguien está mirando.
El tercer cambio es separar las consecuencias del error de la penalización personal. Si un empleado sabe que reportar que cayó en un simulacro genera represalias, no va a reportar. El programa de cultura más efectivo es el que hace que reportar un error sea más fácil que ocultarlo, sin importar el área o el nivel jerárquico. Ese ambiente no se construye con módulos de capacitación: se construye con decisiones de liderazgo.
¿Cuánto tiempo tardó en promedio tu organización en reportar internamente el último incidente de seguridad real que ocurrió?
Acciones inmediatas
- Revisa las métricas que usas actualmente para reportar el programa de cultura al consejo y agrega al menos una métrica de comportamiento. Si solo tienes métricas de actividad, el consejo tiene una imagen incompleta del estado real. Una métrica de comportamiento —tasa de reporte, evolución de simulacros— cambia la conversación de "cuánto se hizo" a "qué cambió".
- Ejecuta un simulacro de phishing sin anuncio previo en el próximo mes y compara los resultados con el último simulacro anunciado. La diferencia entre ambas tasas de clics indica qué tan consolidado está el comportamiento vs. qué tan alto es el nivel de alerta puntual. Esa brecha es donde vive el riesgo real.
- Establece un canal de reporte de incidentes que sea simple, visible y sin fricción. Si reportar un evento sospechoso requiere llenar un formulario de ocho campos, abrir un ticket en el sistema de gestión de TI y esperar confirmación, los empleados no van a reportar. El canal más usado es siempre el más simple.
- Segmenta los resultados de tus simulacros y métricas de reporte por área de negocio. El promedio organizacional oculta las áreas con mayor vulnerabilidad. Un área con tasa de clics del 35% en un simulacro necesita una intervención diferente a un área con 4%. Sin esa segmentación, el programa aplica el mismo esfuerzo donde ya funciona y donde no funciona.
- Revisa si los líderes de área conocen las métricas de cultura de seguridad de sus equipos. Cuando un director sabe que su área tiene la tasa de reporte más baja de la organización, tiene un incentivo concreto para reforzar el mensaje con su equipo. Esa conversación no ocurre si las métricas solo viven en el reporte del CISO.
Si quieres diseñar un programa de cultura de ciberseguridad con métricas de impacto real y no solo de actividad, contáctanos en https://tbsek.mx/contacto/.
