Un responsable de seguridad abre su tablero de concienciación y ve un 100%. Todos los cursos asignados están completos, sin excepciones. Es el número que quería mostrar en el comité, el que da tranquilidad y cierra la conversación. El problema es que ese 100% no responde la pregunta que importa: 100% ¿de quiénes?
Porque un porcentaje siempre es una división, y lo que decide si miente o no es el número de abajo. Si ese denominador está mal armado, puedes capacitar a diez personas de doscientas y mostrar un cumplimiento perfecto. La planilla no está fallando. Está midiendo con exactitud la lista equivocada.
¿Qué mide realmente tu porcentaje de cumplimiento?
Casi todos los tableros miden completitud: la proporción de cursos completados sobre los cursos asignados. Es un número honesto dentro de su propia frontera. Te dice qué parte de la tarea que definiste llegó a término.
Lo que ese número no mide es el alcance: qué parte de tu universo real de personas quedó dentro de esa tarea. El alcance es la proporción entre a quiénes asignaste formación y a quiénes deberías habérsela asignado. Y ahí es donde se juega casi todo, porque una organización cumple con la concienciación cuando cubre a su gente, no cuando termina una lista.
La trampa es que la completitud es fácil de medir y el alcance no. Contar cursos terminados es cuestión de leer una base de datos. Saber si el universo que cargaste coincide con la organización de hoy exige cruzar sistemas, revisar altas, mirar áreas que quizá ni aparecieron en la planilla. Como es más difícil, se mide lo primero y se lo presenta como si fuera lo segundo.
¿Por qué capacitar a 10 de 200 puede mostrar 100%?
Pensemos en el caso extremo, que sirve para ver el mecanismo con claridad. Una empresa de doscientas personas arma su campaña anual y carga en la plataforma a diez: las de un área, o las que alguien recordó, o las que estaban en una planilla vieja. Esas diez completan la formación. El tablero muestra 100%.
El número es cierto y es inútil al mismo tiempo. Diez de diez completaron; ciento noventa nunca entraron en la cuenta. El cumplimiento real es del 5%, pero como esas ciento noventa personas jamás fueron asignadas, no figuran como pendientes. Un pendiente es alguien a quien le pediste algo y todavía no lo hizo. Al que nunca le pediste nada no aparece en ningún lado.
Ese es el punto ciego de medir solo completitud: el porcentaje habla de la lista que armaste, no de la organización que tienes que proteger. Cuanto más chica y prolija sea la lista, mejor se ve el número. Es exactamente al revés de lo que uno esperaría de una buena métrica.
¿Quién queda afuera del universo que armaste a mano?
Nadie deja gente afuera a propósito. El universo se recorta solo, en silencio, por la forma en que se construye. Una lista cargada a mano es una foto de a quién te acordaste el día que la armaste, y siempre hay ausencias previsibles.
Quedan afuera los que entraron después de la campaña, que a veces son decenas en unos pocos meses. Quedan afuera las áreas menos visibles para seguridad: operaciones, planta, la fuerza comercial que trabaja fuera de la oficina, los equipos que no viven frente a una casilla de correo pero igual tocan datos y sistemas. Quedan afuera los contratistas y terceros con acceso, que rara vez entran en la planilla de empleados aunque representen un riesgo idéntico. Y quedan afuera los que cambiaron de rol y hoy manejan información que su capacitación anterior no contemplaba.
El resultado es un universo que se parece a la organización, pero recortado justo por los bordes donde suele estar el riesgo. La formación se concentra donde ya había atención, y los huecos coinciden con los lugares menos mirados. El porcentaje, mientras tanto, sigue mostrando verde, porque solo conoce la lista.
¿Cómo se ve el cumplimiento cuando el universo se define solo?
La diferencia empieza antes de contar a nadie, en el origen mismo del universo. En lugar de cargar una lista a mano una vez al año, el universo se deriva de la fuente que ya tienes viva, el directorio de la organización, y se actualiza cuando entra alguien nuevo o cambia de rol. Deja de ser una decisión que se toma en enero y pasa a ser un reflejo de quién trabaja hoy en la empresa.
Con esa base, el cumplimiento se lee con dos números en vez de uno. El alcance te dice qué parte de tu gente está efectivamente dentro del plan; la completitud te dice qué parte de ese plan ya terminó. Un 100% de completitud sobre un 30% de alcance deja de ser una buena noticia y se vuelve lo que siempre fue: una señal de que faltan siete de cada diez personas.
Así entendemos el cumplimiento de concienciación en SMARTFENSE, como parte del riesgo humano que se mide sobre toda la organización y no sobre una muestra elegida a mano. Es lo mismo que exige cualquier auditor y lo que la ISO/IEC 27001 tiene en mente cuando habla de concienciación: no un curso dictado a algunos, sino un programa que cubre a todos los que corresponde.
Sirve compararlo con una encuesta. Si preguntas solo a las diez personas que ya te iban a dar la razón y reportas el resultado como si hablara de las doscientas, el número que obtienes es impecable y no significa nada. Con el cumplimiento pasa igual: una muestra cómoda nunca es lo mismo que el total.
El número que importa no es cuántos completaron
Un porcentaje de cumplimiento solo vale tanto como el universo sobre el que se calcula. Medir completitud sin medir alcance da una sensación de control que se sostiene hasta el día en que alguien pregunta por los que faltan, y para entonces la respuesta ya debería haber estado. Este es el mismo mecanismo por el que el cumplimiento se cae en marzo sin que nadie lo note: un número que se mira poco y de lejos.
Si quieres ver el cumplimiento de tu programa con los dos números a la vista, el alcance y la completitud, sobre tu universo real y no sobre una lista, puedes conocer la plataforma o escribirnos para una demo sobre tus propios datos.
Deja una respuesta