Una política de seguridad bien redactada es inútil si nadie la entiende, recuerda o aplica. Este es uno de los desafíos más comunes en ciberseguridad: el área técnica redacta lineamientos complejos, llenos de siglas y referencias a normativas, pero los usuarios finales no saben cómo traducir eso en acciones concretas. La brecha no está en el conocimiento, sino en la comunicación.
Para que una política sea efectiva, debe ser comprensible. Esto significa que cualquier persona dentro de la organización, sin importar su perfil técnico, debe poder entender qué se espera de ella y por qué. No se trata de simplificar en exceso, sino de usar un lenguaje funcional, claro y enfocado en el comportamiento. En lugar de decir “proteger la confidencialidad, integridad y disponibilidad de los activos digitales”, es más útil decir “no compartas contraseñas, no uses redes públicas sin protección y reporta accesos sospechosos”.
Otro error común es tratar las políticas como documentos que solo se entregan al momento de la firma del contrato. Para que tengan impacto, deben formar parte de una narrativa viva dentro de la cultura organizacional. Esto implica comunicarlas con frecuencia, en distintos formatos, y vinculadas a ejemplos reales. Las personas recuerdan historias, no párrafos legales.
Una buena práctica es utilizar analogías. Por ejemplo, explicar la política de control de acceso como una llave que solo abre ciertas puertas, o hablar del cifrado como una caja fuerte digital. Estas comparaciones ayudan a que el mensaje aterrice en algo familiar. También puedes reforzar las políticas con infografías, videos cortos o píldoras informativas en canales internos.
El tono también importa. Si el mensaje se percibe como una imposición técnica, probablemente genere rechazo o indiferencia. Pero si se comunica desde el valor que aporta —proteger la reputación de la empresa, evitar pérdidas económicas, cuidar a los clientes— entonces se convierte en una responsabilidad compartida. Comunicar con empatía y propósito siempre logra mayor adhesión.
Involucrar a otras áreas también es clave. Recursos Humanos, Comunicación Interna o incluso líderes de equipo pueden ayudar a traducir las políticas a la realidad operativa de cada área. A veces una regla que en TI parece sencilla, en el área comercial resulta impráctica o contradictoria. Escuchar esas voces ayuda a ajustar el mensaje y mejorar su implementación.
En TBSEK insistimos en que comunicar políticas no es solo tarea del CISO, sino una estrategia organizacional. No basta con publicar un PDF en la intranet. Hay que diseñar una experiencia de aprendizaje continuo, donde cada persona entienda su rol en la protección del entorno digital. La seguridad no empieza en el firewall, empieza en la claridad con la que comunicamos lo que está en juego.
Acciones inmediatas
- Reescribe las políticas clave en lenguaje claro y con ejemplos cotidianos
- Usa analogías visuales o narrativas que conecten con el día a día de los usuarios
- Refuerza los mensajes a través de diversos canales: correo, carteles, video, charlas
- Solicita retroalimentación de distintas áreas sobre la aplicabilidad de las políticas
- Capacita a los líderes para que sean voceros de buenas prácticas en su equipo
- Haz de la comunicación de seguridad un esfuerzo continuo, no un evento aislado
