{"id":28421,"date":"2025-08-16T14:52:41","date_gmt":"2025-08-16T20:52:41","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28421"},"modified":"2025-08-18T14:54:53","modified_gmt":"2025-08-18T20:54:53","slug":"no-blame-cybersecurity-culture","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/28421\/","title":{"rendered":"Sin culpables: como la seguridad psicol\u00f3gica ayuda a mejorar la ciberseguridad"},"content":{"rendered":"<p>Las empresas con una postura de ciberseguridad madura e inversiones significativas en protecci\u00f3n de datos tampoco son inmunes a los incidentes cibern\u00e9ticos. Los atacantes pueden aprovechar <a href=\"https:\/\/securelist.com\/cve-2018-8453-used-in-targeted-attacks\/88151\/\" target=\"_blank\" rel=\"noopener\">las vulnerabilidades de d\u00eda cero<\/a> o <a href=\"https:\/\/securelist.com\/gopuram-backdoor-deployed-through-3cx-supply-chain-attack\/109344\/\" target=\"_blank\" rel=\"noopener\">poner en riesgo una cadena de suministro<\/a>. Los miembros del personal pueden <a href=\"https:\/\/thehackernews.com\/2025\/06\/fbi-warns-of-scattered-spiders.html\" target=\"_blank\" rel=\"noopener nofollow\">ser v\u00edctimas de estafas sofisticadas<\/a> dise\u00f1adas para transgredir las defensas de la empresa. El propio equipo de ciberseguridad puede cometer un error <a href=\"https:\/\/securelist.com\/compromise-assessment-cases\/114332\/\" target=\"_blank\" rel=\"noopener\">al configurar las herramientas de seguridad<\/a> o durante un <a href=\"https:\/\/securelist.com\/incident-response-interesting-cases-2023\/110492\/\" target=\"_blank\" rel=\"noopener\">procedimiento de respuesta a incidentes<\/a>. Sin embargo, cada uno de estos incidentes representa una oportunidad para mejorar los procesos y sistemas, haciendo que tus defensas sean a\u00fan m\u00e1s efectivas. Esto no es solo un llamamiento a la acci\u00f3n; es un enfoque pr\u00e1ctico que ha tenido bastante \u00e9xito en otros campos, como la seguridad de la aviaci\u00f3n.<\/p>\n<p><a href=\"https:\/\/www.ecfr.gov\/current\/title-14\/chapter-I\/subchapter-A\/part-5\" target=\"_blank\" rel=\"noopener nofollow\">Casi todas las personas en la industria de la aviaci\u00f3n<\/a>, desde el equipo de ingenier\u00eda de dise\u00f1o de aeronaves hasta los auxiliares de vuelo, deben compartir informaci\u00f3n para evitar incidentes. Esto no se limita a bloqueos o fallos del sistema; la industria tambi\u00e9n informa de problemas potenciales. Estos informes se analizan constantemente y las medidas de seguridad se ajustan en funci\u00f3n de los resultados. Seg\u00fan <a href=\"https:\/\/commercial.allianz.com\/news-and-insights\/expert-risk-articles\/how-aviation-safety-has-improved.html\" target=\"_blank\" rel=\"noopener nofollow\">las estad\u00edsticas de Allianz Commercial<\/a>, esta implementaci\u00f3n continua de nuevas medidas y tecnolog\u00edas ha dado lugar a una reducci\u00f3n significativa de los incidentes fatales, de 40 por mill\u00f3n de vuelos en 1959 a 0,1 en 2015.<\/p>\n<p>Tambi\u00e9n se reconoci\u00f3 hace mucho tiempo que este modelo simplemente no funciona si las personas tienen miedo de informar sobre incumplimiento de procedimientos, problemas de calidad y otras causas de incidentes. Es por eso por lo que los est\u00e1ndares de la aviaci\u00f3n incluyen requisitos para <a href=\"https:\/\/skybrary.aero\/articles\/national-reporting-systems\" target=\"_blank\" rel=\"noopener nofollow\">la notificaci\u00f3n no punitiva<\/a> y una <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=celex:32014R0376\" target=\"_blank\" rel=\"noopener nofollow\">cultura justa<\/a>, lo que significa que la notificaci\u00f3n de problemas e infracciones no debe conducir a un castigo. En la ingenier\u00eda de DevOps, existe un principio similar que se denomina <a href=\"https:\/\/www.pluralsight.com\/resources\/blog\/tech-operations\/how-conduct-blameless-postmortems-incident\" target=\"_blank\" rel=\"noopener nofollow\">cultura libre de culpa<\/a>, que usan al analizar incidentes importantes. Este enfoque tambi\u00e9n es fundamental en la ciberseguridad.<\/p>\n<h2>\u00bfCada error tiene un nombre?<\/h2>\n<p>Lo contrario de una cultura libre de culpa es la idea de que \u201ccada error tiene un nombre\u201d, lo que significa que la culpa es de una persona espec\u00edfica. Seg\u00fan este enfoque, todo error puede dar lugar a medidas disciplinarias, incluido el despido. Este principio se considera nocivo y no conduce a una mejor seguridad.<\/p>\n<ul>\n<li>Los miembros del personal temen asumir la responsabilidad y tienden a <a href=\"https:\/\/web.archive.org\/web\/20220329080055\/https:\/www.tessian.com\/resources\/psychology-of-human-error-2022\/\" target=\"_blank\" rel=\"noopener nofollow\">distorsionar los hechos durante las investigaciones de incidentes<\/a> o incluso a destruir pruebas.<\/li>\n<li>La evidencia distorsionada o parcialmente destruida complica la respuesta y empeora el resultado general porque los equipos de seguridad no pueden evaluar r\u00e1pida y correctamente el alcance de un incidente dado.<\/li>\n<li>Centrarse en una persona a la que culpar durante la revisi\u00f3n de un incidente evita que el equipo se enfoque en c\u00f3mo cambiar el sistema para prevenir incidentes similares.<\/li>\n<li>Los miembros del personal temen denunciar las infracciones de las pol\u00edticas de seguridad y de TI, lo que hace que la empresa pierda oportunidades para corregir los fallos de seguridad <em>antes de que<\/em> provoquen un incidente cr\u00edtico.<\/li>\n<li>No tienen ninguna motivaci\u00f3n para discutir problemas de ciberseguridad, formarse entre s\u00ed o corregir los errores de sus colegas.<\/li>\n<\/ul>\n<p>Para permitir que cada empleado contribuya realmente a la seguridad de la empresa, necesitas un enfoque diferente.<\/p>\n<h2>Los principios b\u00e1sicos de una cultura justa<\/h2>\n<p>Ya sea que la llames \u201cnotificaci\u00f3n no punitiva\u201d o \u201ccultura libre de culpa\u201d, los principios b\u00e1sicos son los mismos:<\/p>\n<ul>\n<li>Todos cometemos errores. Aprendemos de nuestros errores; no los penalizamos. Sin embargo, es fundamental distinguir entre un error honesto y una infracci\u00f3n maliciosa.<\/li>\n<li>Al analizar los incidentes de seguridad, es necesario considerar el contexto general, la intenci\u00f3n del miembro del personal y cualquier problema sist\u00e9mico que pueda haber contribuido a la situaci\u00f3n. Por ejemplo, si hay una alta rotaci\u00f3n de empleados temporales en tiendas minoristas, lo que impide darles cuentas individuales, podr\u00edan recurrir a compartir un \u00fanico inicio de sesi\u00f3n para un terminal de punto de venta. \u00bfTiene la culpa el administrador de la tienda? Probablemente no.<\/li>\n<li>M\u00e1s all\u00e1 de solo revisar los datos t\u00e9cnicos y los registros, debes tener conversaciones exhaustivas con todas las personas involucradas en un incidente. Para esto, debes crear un entorno productivo y seguro donde las personas se sientan c\u00f3modas compartiendo sus puntos de vista.<\/li>\n<li>El objetivo de la revisi\u00f3n de un incidente debe ser mejorar el comportamiento, la tecnolog\u00eda y los procesos en el futuro. Con respecto a estos \u00faltimos en el caso de incidentes graves, deben dividirse en dos: <em>respuesta inmediata<\/em> para mitigar el da\u00f1o y <em>an\u00e1lisis post mortem<\/em> para mejorar los sistemas y procedimientos.<\/li>\n<li>Lo m\u00e1s importante es ser abierto y transparente. Los miembros del personal deben saber c\u00f3mo se manejan los informes de problemas e incidentes, y c\u00f3mo se toman las decisiones. Deben saber exactamente a qui\u00e9n acudir si ven un problema de seguridad o incluso si sospechan que hay uno. Necesitan saber que tanto sus supervisores como los especialistas en seguridad les apoyar\u00e1n.<\/li>\n<li>Confidencialidad e integridad. Informar de un problema de seguridad no deber\u00eda crear problemas a la persona que lo inform\u00f3 ni a la persona que pueda haberlo causado, siempre que ambas hayan actuado de buena fe.<\/li>\n<\/ul>\n<h2>C\u00f3mo implementar estos principios en tu cultura de seguridad<\/h2>\n<p><strong>Asegura el compromiso de las personas en puestos de liderazgo.<\/strong> Una cultura de seguridad no requiere una inversi\u00f3n directa masiva, pero s\u00ed necesita un apoyo congruente de los equipos de recursos humanos, seguridad de la informaci\u00f3n y comunicaciones internas. Los miembros del personal tambi\u00e9n deben ver que la alta direcci\u00f3n respalda activamente este enfoque.<\/p>\n<p><strong>Documenta el enfoque.<\/strong> La filosof\u00eda de la cultura sin culpables debe reflejarse en los documentos oficiales de la empresa, desde las directivas de seguridad detalladas hasta una gu\u00eda breve y sencilla que todos los miembros del personal realmente leer\u00e1n y comprender\u00e1n. Este documento debe indicar claramente la posici\u00f3n de la empresa sobre la diferencia entre un error y una infracci\u00f3n maliciosa. Debe declarar formalmente que los miembros del personal no ser\u00e1n responsables personalmente de los errores honestos y que la prioridad colectiva es mejorar la seguridad de la empresa y evitar que se repitan en el futuro.<\/p>\n<p><strong>Crea canales para notificar problemas.<\/strong> Ofrece varias formas para que los miembros del personal notifiquen problemas: una secci\u00f3n dedicada en la intranet, una direcci\u00f3n de correo electr\u00f3nico espec\u00edfica o la opci\u00f3n de decirle a su supervisor inmediato. Idealmente, tambi\u00e9n debes tener una l\u00ednea directa an\u00f3nima para denunciar inquietudes sin temor.<\/p>\n<p><strong>Forma al personal. <\/strong>La formaci\u00f3n permite que el personal reconozca procesos y comportamientos inseguros. Usa ejemplos del mundo real de problemas que deber\u00edan informar y gu\u00edales a trav\u00e9s de diferentes situaciones de incidentes. Puedes usar <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">nuestra soluci\u00f3n en l\u00ednea Kaspersky Automated Security Awareness Platform<\/a> para organizar estas sesiones de formaci\u00f3n de concienciaci\u00f3n en ciberseguridad. Motiva al personal no solo a notificar incidencias, sino tambi\u00e9n a sugerir mejoras y pensar en c\u00f3mo prevenir problemas de seguridad en su trabajo diario.<\/p>\n<p><strong><br>\nForma a las personas en puestos de liderazgo.<\/strong> Cada gerente debe comprender c\u00f3mo responder a los informes de su equipo. Necesitan saber c\u00f3mo y d\u00f3nde enviar un informe, y c\u00f3mo evitar crear islas centradas en la culpa en un mar de cultura justa. Ense\u00f1a a los l\u00edderes a responder de una manera que haga que sus colegas sientan respaldo y seguridad. Sus reacciones a los incidentes y los informes de errores deben ser constructivas. Las personas en puestos de liderazgo tambi\u00e9n deben fomentar las discusiones sobre problemas de seguridad en las reuniones del equipo para normalizar el tema.<\/p>\n<p><strong>Desarrolla un procedimiento de revisi\u00f3n justo<\/strong> para los informes de incidentes y problemas de seguridad. Debes reunir un grupo diverso de personas de varios equipos para formar una \u201cjunta de revisi\u00f3n sin culpas\u201d. Ser\u00e1 responsable de procesar con prontitud los informes, tomar decisiones y crear planes de acci\u00f3n para cada caso.<\/p>\n<p><strong>Premia la proactividad.<\/strong> Elogia y recompensa p\u00fablicamente a los miembros del personal que informan sobre intentos de phishing o fallos recientes en las directivas o configuraciones, o que completan la formaci\u00f3n de concienciaci\u00f3n mejor y m\u00e1s r\u00e1pido que otros miembros de su equipo. Menciona a estas personas proactivas en las comunicaciones habituales de TI y seguridad, como los boletines.<\/p>\n<p><strong>Integra los resultados en los procesos de administraci\u00f3n de la seguridad.<\/strong> Las conclusiones y sugerencias de la junta de revisi\u00f3n deben priorizarse e incorporarse en el <a href=\"https:\/\/www.kaspersky.com\/blog\/cyber-resilience-101\/53464\/\" target=\"_blank\" rel=\"noopener nofollow\">plan de ciberresiliencia<\/a> de la empresa. Algunos resultados pueden simplemente influir en las evaluaciones de riesgos, mientras que otros podr\u00edan conducir directamente a cambios en las pol\u00edticas de la empresa o a la implementaci\u00f3n de nuevos controles t\u00e9cnicos de seguridad o la reconfiguraci\u00f3n de los existentes.<\/p>\n<p><strong>Usa los errores como oportunidades de aprendizaje.<\/strong> El <a href=\"https:\/\/www.kaspersky.com\/blog\/vr-interactive-simulation\/40188\/\" target=\"_blank\" rel=\"noopener nofollow\">programa de concienciaci\u00f3n en seguridad<\/a> ser\u00e1 m\u00e1s eficaz si usas ejemplos de la vida real de tu propia organizaci\u00f3n. No es necesario que nombres a personas espec\u00edficas, pero puedes mencionar equipos y sistemas, y describir escenarios de ataque.<\/p>\n<p><strong>Mide el rendimiento.<\/strong> Para garantizar que este proceso funcione y d\u00e9 resultados, debes usar m\u00e9tricas de seguridad de la informaci\u00f3n, as\u00ed como KPI de recursos humanos y comunicaciones. Rastrea el <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mean-time-to-respond-mttr\/\" target=\"_blank\" rel=\"noopener\">MTTR<\/a> para problemas identificados, el porcentaje de problemas descubiertos a trav\u00e9s de los informes del personal, los niveles de satisfacci\u00f3n del personal, la cantidad y la naturaleza de los problemas de seguridad identificados y la cantidad de empleados comprometidos en sugerir mejoras.<\/p>\n<h2>Excepciones importantes<\/h2>\n<p>Una cultura de la seguridad o una cultura sin culpables no significa que nunca nadie deba rendir cuentas. Los documentos de seguridad de la aviaci\u00f3n sobre notificaci\u00f3n no punitiva, por ejemplo, incluyen excepciones fundamentales. La protecci\u00f3n no se aplica cuando alguien se desv\u00eda consciente y maliciosamente de los reglamentos. Esta excepci\u00f3n evita que una persona con informaci\u00f3n privilegiada que haya filtrado datos a la competencia goce de total impunidad despu\u00e9s de confesar.<\/p>\n<p>La segunda excepci\u00f3n es cuando los reglamentos nacionales o de la industria requieren que los empleados individuales sean responsables personalmente de los incidentes y las infracciones. Incluso con este tipo de reglamento, es vital mantener el equilibrio. El enfoque debe permanecer en mejorar los procesos y prevenir incidentes futuros, no en encontrar qui\u00e9n tiene la culpa. Puedes crear una cultura de confianza si las investigaciones son objetivas y la rendici\u00f3n de cuentas solo se aplica donde es realmente necesario y justificado.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Las empresas deben crear una cultura de seguridad, pero esto es imposible cuando el personal tiene miedo de discutir incidentes o sugerir mejoras.<\/p>\n","protected":false},"author":2722,"featured_media":28422,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[6045,3565,6044,6046,107,2272,2190,5423,274],"class_list":{"0":"post-28421","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ciberresiliencia","9":"tag-ciso","10":"tag-concienciacion-en-ciberseguridad","11":"tag-concientizacion-sobre-seguridad","12":"tag-consejos","13":"tag-economia","14":"tag-educacion","15":"tag-estrategia","16":"tag-negocios"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/28421\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/no-blame-cybersecurity-culture\/29388\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/24502\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/12717\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/no-blame-cybersecurity-culture\/29336\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/no-blame-cybersecurity-culture\/31299\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/no-blame-cybersecurity-culture\/40262\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/no-blame-cybersecurity-culture\/13679\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/54075\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/no-blame-cybersecurity-culture\/23080\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/no-blame-cybersecurity-culture\/32564\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/no-blame-cybersecurity-culture\/29553\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/no-blame-cybersecurity-culture\/35254\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/no-blame-cybersecurity-culture\/34902\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/concientizacion-sobre-seguridad\/","name":"concientizaci\u00f3n sobre seguridad"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28421","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28421"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28421\/revisions"}],"predecessor-version":[{"id":28425,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28421\/revisions\/28425"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28422"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28421"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28421"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28421"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}