Más del 60% de las brechas de datos en el mundo tienen origen en errores humanos, de acuerdo con el Data Breach Investigations Report 2025 de Verizon. Aunque la inversión tecnológica avanza a gran velocidad, la verdadera vulnerabilidad sigue siendo la misma: las personas. En Colombia, cada vez más empresas reconocen que la ciberseguridad no es solo un tema técnico, sino una cuestión de cultura organizacional y liderazgo.
Según datos recopilados por SISAP, uno de los principales aliados regionales del informe, en América Latina se registraron 1.476 incidentes asociados a errores humanos, de los cuales el 98% derivó en exposición de datos. La cifra evidencia un desafío estructural: el riesgo humano sigue siendo el punto más débil de la cadena de seguridad.
“Las empresas en Colombia aún perciben la ciberseguridad como algo que compete solo a los equipos de TI. Pero la realidad es que cualquier colaborador, sin importar su cargo, puede ser víctima o puerta de entrada para un atacante”, explica María Serrano, Cybersecurity Architect en SISAP.
Del patrocinio pasivo al liderazgo activo
Para Serrano, el liderazgo corporativo juega un rol determinante en la madurez cibernética de una organización. Cuando la alta dirección se limita a “patrocinar” iniciativas de seguridad sin involucrarse de forma activa, los programas de concientización suelen fracasar.
“Los altos ejecutivos no se preocupan tanto por cómo funciona un ataque, sino por cómo puede afectar la operación del negocio. Por eso, es clave mostrarles cifras y escenarios reales: ataques de ingeniería social, fraudes BEC o suplantaciones por correo que pueden costar miles de dólares”, señala.
El compromiso de los líderes no solo impulsa la adopción de políticas de seguridad, sino que transforma el lenguaje interno: se pasa de hablar de tecnología a hablar de riesgo, continuidad y resiliencia.
Gestión del riesgo humano: más allá de la capacitación
El enfoque moderno de ciberseguridad humana no se limita a entrenar a los empleados para no caer en phishing o usar contraseñas seguras. Se trata de gestionar el riesgo humano de forma integral, considerando los comportamientos, las decisiones y las interacciones cotidianas que pueden comprometer los activos digitales.
SISAP recomienda que los programas de ciberseguridad incluyan políticas claras, monitoreo de conductas inusuales, controles de acceso ajustados por nivel de privilegio y retroalimentación constante.
“Un error común es no conocer bien a la audiencia. No todos los empleados enfrentan los mismos riesgos. Un programa de concientización debe adaptarse a cada rol y tener métricas de impacto reales”, agrega Serrano.
“Cuando los colaboradores reportan incidentes sin miedo y comparten buenas prácticas, es señal de que la cultura de ciberseguridad realmente se ha interiorizado”.
El papel de la inteligencia artificial
De cara al futuro, la vocera anticipa que la inteligencia artificial será un arma de doble filo. Por un lado, facilitará la detección temprana de amenazas; por otro, potenciará ataques como los deepfakes o la ingeniería social automatizada.
“Nos encaminamos a una era donde la IA atacará y también defenderá. Las organizaciones deberán prepararse para identificar falsificaciones hiperrealistas y entrenar tanto a personas como a algoritmos para reconocerlas”, advierte.
Ciberseguridad como valor corporativo
Convertir la ciberseguridad en un valor medible dentro del clima organizacional es uno de los objetivos más ambiciosos que las empresas deberían adoptar. Integrar indicadores de seguridad en la gestión del talento permite vincular la reducción de riesgos con el desempeño del equipo, haciendo visible el impacto humano en la resiliencia corporativa.
“La ciberseguridad puede y debe medirse dentro de la gestión del talento. Tener programas con métricas claras, herramientas y personas dedicadas permite avanzar hacia una cultura ciberresiliente y sostenible”, concluye Serrano.
