Las organizaciones invierten grandes recursos en definir políticas de seguridad, pero aún así muchos incidentes tienen un mismo origen: los empleados deciden ignorarlas o no cumplirlas. Desde compartir contraseñas hasta desactivar configuraciones de seguridad, estas conductas no siempre se deben a mala intención, sino a factores psicológicos que influyen en la manera en que las personas perciben y reaccionan ante las reglas. Comprender esa psicología es clave para transformar las políticas en comportamientos efectivos.
Uno de los principales factores es la percepción de riesgo. Si un empleado siente que una política es exagerada frente a lo que considera un riesgo improbable, tenderá a omitirla. En otras palabras, mientras no perciba la amenaza como cercana o real, la política se convierte en una molestia más que en una medida de protección. Este sesgo se conoce como “optimismo irreal”: la creencia de que las cosas malas le pasan a otros, pero no a uno mismo.
Otro elemento decisivo es la usabilidad. Si las políticas de seguridad complican las tareas diarias, los empleados buscarán atajos para poder trabajar con mayor rapidez. Forzar contraseñas largas y cambiarlas constantemente, por ejemplo, puede llevar a que se escriban en post-its pegados al monitor. En este caso, el problema no es la falta de compromiso del empleado, sino un diseño de políticas que no considera la experiencia del usuario.
La cultura organizacional también juega un papel central. En ambientes donde los líderes no predican con el ejemplo o donde la seguridad se percibe como una carga burocrática, los empleados sienten que cumplir las políticas no es realmente importante. En cambio, cuando la alta dirección demuestra coherencia entre el discurso y la práctica, la seguridad se integra como parte natural del trabajo y no como una imposición.
Un factor adicional es la motivación. Cumplir con la seguridad pocas veces genera una recompensa visible, mientras que ignorarla puede ahorrar tiempo y esfuerzo. Este desbalance crea la sensación de que seguir las políticas es un obstáculo sin beneficio inmediato. Las organizaciones que logran asociar la seguridad con reconocimiento, incentivos o con un propósito mayor, consiguen revertir esa percepción.
Finalmente, la falta de comunicación efectiva contribuye al problema. Muchas veces las políticas se presentan en documentos extensos, llenos de tecnicismos y sin ejemplos prácticos. En ese contexto, los empleados las ven como algo ajeno y poco relevante. Adaptar el lenguaje, simplificar las instrucciones y explicar con casos reales el impacto de no cumplirlas puede marcar una diferencia en la adopción.
Entender estos factores no significa justificar conductas riesgosas, sino reconocer que la seguridad también es un tema humano. Al diseñar políticas que equilibren la protección con la practicidad, que estén respaldadas por la cultura de la organización y que se comuniquen de manera clara, es mucho más probable que los empleados las adopten. La psicología no es un obstáculo para la ciberseguridad: es una herramienta para hacerla realmente efectiva.
Acciones inmediatas
- Evalúa si tus políticas de seguridad están alineadas con la experiencia diaria de los empleados.
- Comunica las políticas en un lenguaje claro, con ejemplos prácticos y relevantes.
- Refuerza la cultura organizacional con líderes que prediquen con el ejemplo.
- Integra incentivos o reconocimientos para quienes cumplen consistentemente con las políticas.
- Capacita periódicamente para que los empleados perciban la amenaza como real y cercana.
En TBSEK ayudamos a transformar la seguridad en un hábito organizacional, entendiendo tanto la parte técnica como la humana. Si quieres rediseñar tus políticas para que realmente se cumplan, contáctanos aquí.
