¿Cuántas empresas tienen políticas de seguridad que nadie lee o simplemente no las tienen?
Esta pregunta me ronda hace un tiempo. Se afianzó durante la última sesión de Hacker Leader Women de
Nación Hacker ⚜️
, donde reflexionamos sobre nuestro roadmap en ciberseguridad. Y cuanto más investigo sobre GRC (Gobernanza, Riesgo y Cumplimiento) más convencida estoy de que el problema más urgente no es técnico. Es cultural.
Cuando pensamos en ciberseguridad, lo primero que viene a la mente son firewalls, ransomware, hackers oscuros frente a pantallas. Y si bien las amenazas son reales, hay un riesgo que se ignora sistemáticamente: la persona que hace clic sin pensar, el proceso que nadie actualiza, la política de seguridad enviada por correo que nadie leyó.
La tecnología puede ser impecable, pero si la cultura organizacional no la acompaña, el sistema tiene una grieta enorme, y esa grieta tiene nombre: factor humano.
En Perú, los números de 2025 son contundentes. Según cita un artículo del diario la República, sólo en el primer trimestre de ese año ingresaron 9.193 denuncias por delitos informáticos a la Fiscalía Especializada en Ciberdelincuencia, un promedio de 102 casos diarios a nivel nacional. La tendencia es creciente: desde 2021, las denuncias por delitos informáticos aumentaron un 129% en cuatro años.
Pero lo que estos números no muestran, es cuántos de esos incidentes se originaron en un error humano evitable: un clic en un link falso, una contraseña compartida, un proceso sin protocolo.
Ahí es donde entra la cultura de seguridad.
Construir cultura de seguridad no es mandar un correo con las políticas de la empresa una vez al año. Es un proceso sostenido que involucra tres dimensiones que GRC aborda de forma integrada:
- Gobernanza: quién toma las decisiones sobre seguridad, con qué criterio y con qué responsabilidad.
- Gestión de riesgos: identificar qué puede salir mal antes de que salga mal, no como ejercicio burocrático, sino como hábito organizacional.
- Cumplimiento: no solo cumplir normas porque hay que cumplirlas, sino entender por qué existen y cómo protegen a las personas detrás de los datos.
Recommended by LinkedIn
Todo esto con una base que no cambia: la triada de la seguridad (Confidencialidad, Integridad y Disponibilidad). Tres principios que recuerdan que proteger información no es solo un tema técnico, sino una responsabilidad compartida.
Por eso es importante fomentar una cultura de seguridad sostenible que priorice el monitoreo continuo, la comunicación clara y un equilibrio entre habilidades técnicas e interpersonales.
No alcanza con tener las herramientas correctas, hace falta que las personas las entiendan, las usen y las hagan propias.
Me pareció importante escribir este artículo y lo escribo desde la investigación, y desde la convicción de que, en Perú y en muchos países de la región, falta esta conversación en las organizaciones.
La próxima vez que alguien en una organización haga clic en un link sospechoso, el problema no será el malware. Será lo que no se construyó antes de ese clic.
Seguiré compartiendo lo que investigo y analizo sobre GRC: marcos de referencia, gestión de riesgos y como podríamos construir una cultura de seguridad real. Con perspectiva propia, sin tecnicismos innecesarios.
Si estás en ciberseguridad, IT, cumplimiento normativo, o simplemente quieres construir organizaciones más seguras, me encantaría conectar y escuchar tu perspectiva 🤝
