La mayoría de los equipos de seguridad revisa su cumplimiento de concientización una vez al año, justo antes de la auditoría. Arman la planilla, juntan los certificados, calculan el porcentaje y respiran tranquilos. El problema es que ese número ya venció. La formación que tu gente completó hace doce meses dejó de estar vigente en algún momento, probablemente sin que nadie lo notara, y la planilla siguió mostrando el mismo verde de siempre.
Cuando llega el auditor en noviembre, el cumplimiento que figura en el documento y el cumplimiento real de la organización son dos cosas distintas. Y la brecha no se abrió ese día. Se venía abriendo desde mucho antes.
¿Qué significa que el cumplimiento de concientización es continuo?
El cumplimiento de concientización es la proporción de tu universo de empleados que tiene formación vigente en un momento dado. La palabra que importa es vigente. No alcanza con haber capacitado a alguien alguna vez: esa formación tiene una fecha a partir de la cual deja de contar, y desde ahí la persona vuelve a figurar como pendiente.
Las normas que te exigen concientización lo entienden así. Tanto la ISO/IEC 27001 como los marcos regulatorios más recientes hablan de un programa sostenido en el tiempo, no de un curso que se dictó una vez y se archivó. La auditoría es una foto puntual, pero la obligación que esa foto verifica es permanente. Por eso medir el cumplimiento una sola vez al año deja sin cubrir los otros once.
Sirve compararlo con algo más físico. A nadie se le ocurriría mostrarle a un inspector el certificado de revisión de un extintor firmado hace tres años y dar por hecho que el equipo sigue en condiciones. Entendemos que esa garantía caduca y que el control se repite en intervalos. Con la concientización pasa lo mismo, solo que su vencimiento no deja una etiqueta a la vista. La gente sigue trabajando, los sistemas siguen andando, y la única señal de que la cobertura caducó aparece cuando alguien va a buscarla y ya no está.
¿Por qué se cae en marzo y no el día de la auditoría?
Porque la concientización vence en silencio. Pensemos en una organización que capacitó a todo su personal en marzo del año pasado y cerró el período con un cumplimiento impecable. Doce meses después, esa formación llega a su fecha de caducidad. De un día para el otro, buena parte del universo que figuraba como cubierto deja de estarlo, aunque nadie haya hecho nada distinto.
A eso se le suma el movimiento normal de cualquier empresa. Cada persona que ingresó después de la última campaña entra al universo sin formación. Cada cambio de rol expone a alguien a riesgos que su capacitación anterior no contemplaba. El número real de cumplimiento baja semana a semana, de forma gradual, mientras el documento que armaste en su momento sigue intacto en una carpeta.
La auditoría no rompe nada. Solo enciende la luz en una habitación que ya estaba desordenada.
¿Qué queda expuesto mientras el cumplimiento está vencido?
La parte incómoda no es el casillero rojo en la auditoría. Es lo que pasa en los meses en que la cobertura no está y nadie lo registra. Quien recibió formación hace más de un año conserva una parte de lo aprendido, pero las señales se vuelven borrosas justo cuando los ataques cambian de forma. Y las personas que entraron después de la última campaña nunca tuvieron esa base.
El resultado es una organización que se cree cubierta y opera, durante una porción del año, con una protección que ya caducó. No es algo que se note en el día a día, porque no deja un aviso. Se nota el día que alguien aprovecha esa ventana, o el día que el auditor pide la evidencia y la fecha no acompaña.
¿Por qué los planes manuales siempre llegan tarde?
Una planilla es una foto, y una foto envejece. Para cuando terminas de armar el plan anual (definir el universo, asignar los cursos, cargar las fechas) ya pasaron semanas, y la realidad que intentabas capturar cambió. Excel no sabe que la formación de una persona venció ayer ni que entraron quince empleados nuevos esta mañana. Tampoco te avisa. Sigue mostrando lo que cargaste la última vez que lo abriste.
El plan manual además mide lo que es fácil de contar, no lo que importa. Cuenta cursos completados sobre cursos asignados y celebra el porcentaje, sin preguntarse si ese universo es el correcto ni si la formación que suma sigue vigente. Persigue la completitud de una lista cerrada cuando el cumplimiento real depende de la continuidad sobre un universo que se mueve todos los días.
El resultado es predecible. El esfuerzo se concentra en las semanas previas a la auditoría, se cierra el período con un buen número, y el reloj vuelve a correr en contra desde el día siguiente. Es mucho trabajo para un cumplimiento que dura poco.
Y ese trabajo lo paga el equipo de seguridad, que dedica varias semanas al año a reconstruir a mano un estado que cambió mientras lo reconstruía: cruzar listas de personal, revisar quién hizo qué, perseguir a los que faltan, rehacer la planilla. Es tiempo de gente cara puesto en una tarea administrativa que, además, queda desactualizada apenas se entrega. La sensación de control que da cerrar el período con buen número es real mientras dura, y dura hasta el primer vencimiento.
¿Cómo se ve el cumplimiento cuando se mide como un estado vivo?
Cambia el momento en que miras el número. En lugar de calcularlo una vez al año, lo tienes disponible todos los días: qué porcentaje de tu universo tiene formación vigente hoy, quiénes acaban de vencer, quiénes ingresaron y todavía no fueron capacitados. El cumplimiento deja de ser un sprint previo a la auditoría y pasa a ser un indicador que miras igual que cualquier otra métrica de seguridad.
Así entendemos el cumplimiento de concientización en SMARTFENSE, como parte del riesgo humano que se mide con conducta observada y no con una declaración anual. Medir la vigencia persona por persona, en tiempo real, tiene un efecto colateral importante: cuando llega el auditor, no hay que reconstruir nada. La evidencia de que el programa estuvo activo todo el año ya está, porque se fue generando sola mientras el programa funcionaba.
Esa es la diferencia entre demostrar que cumpliste y demostrar que vienes cumpliendo. La primera se arma a las apuradas; la segunda se sostiene.
El cumplimiento que dura todo el año
El cumplimiento de concientización no se gana en noviembre con un esfuerzo de último momento. O se sostiene durante los doce meses, o no existe el día que alguien lo mira de cerca. La planilla anual da una sensación de control que la realidad desmiente apenas pasa el primer vencimiento.
Si quieres ver cómo se mide el cumplimiento de tu programa como un estado vivo, y no como una foto que envejece sola, puedes conocer la plataforma o escribirnos para una demo sobre tus propios datos.
Deja un comentario