Hace unas semanas publiqué en LinkedIn una idea que se me ha venido repitiendo en las conversaciones con CISOs y comités de seguridad de las empresas colombianas. Es tan sencilla y tan incómoda que vale la pena decirla en voz alta y sentarnos a desarrollarla en detalle.
Las horas de capacitación no son una métrica de seguridad.
Y sin embargo, ahí siguen: encabezando la mayoría de los reportes ejecutivos de los programas de concientización que se están corriendo en el país. “Capacitamos al 92% del personal”, “completamos 4 horas de e-learning por colaborador”, “aplicamos el módulo obligatorio del Decreto 1377”. Frases perfectamente cumplidas. Insuficientes para responder la pregunta que hoy está haciendo el comité.
La pregunta le cambió al comité de seguridad colombiano
Durante mucho tiempo, la relación entre el área de seguridad y el comité ejecutivo (o el CFO puntualmente) fue una conversación bastante predecible en las empresas del país: se pedía un reporte de cumplimiento y se entregaba un reporte de cumplimiento. Horas, asistentes, porcentaje de finalización. Casilla marcada. Nadie preguntaba más.
En este 2026, la cosa cambió. No en todas las empresas, ojo, pero sí en las que le vienen apostando en serio a un programa de awareness. La pregunta que aparece ahora, en distintos formatos, es siempre la misma:
“¿Y de dónde sacamos que esto sí sirve?”
Es una pregunta legítima, y de cara al comité el reporte de horas no le alcanza a nadie para responderla. Se puede completar el 100% de una capacitación sin que le cambie el comportamiento a una sola persona del equipo. Se puede tener el Decreto 1377 formalmente cubierto y, aun así, terminar apareciendo en el próximo expediente sancionatorio de la Superintendencia de Industria y Comercio (SIC). El cumplimiento formal y la protección real son cosas distintas, y el comité ya lo intuye.
Tres métricas de comportamiento que están cerrando presupuestos
En los programas que venimos acompañando desde SMARTFENSE con clientes colombianos este año, las conversaciones más productivas con el CFO se están dando alrededor de tres métricas puntuales. Ninguna es nueva conceptualmente; lo nuevo es que hoy son las que efectivamente están moviendo presupuesto en el país.
1. Reportes de phishing real
No es cuántas personas hicieron la capacitación, sino cuántas están reportando los correos sospechosos que les llegan a la bandeja. Esa es la métrica que le muestra al comité si el reflejo entrenado se está activando en el mundo real. Y tiene una gracia adicional: se puede medir sin depender del contenido específico de la capacitación. Basta con tener un canal de reporte funcional y una línea base de referencia.
En profundidad, mover el reflejo del equipo hacia el reporte real es un tema editorial en sí mismo. Este artículo del blog sobre el cambio de comportamiento desarrolla el marco que estamos aplicando en los programas colombianos que hoy están dando resultados.
2. Tasa de clic en simulaciones de phishing
Si se simula phishing internamente, ¿la tasa de clic va bajando entre trimestres? Ojo con el momento en que se mide: no en el primer mes, cuando todo el mundo anda atento porque acaba de terminar el curso. En el sexto mes, cuando el efecto novedad ya se apagó y quedó puesto el reflejo entrenado. Ese es el número que importa.
Es uno de los indicadores que se puede correr en cualquier organización, y como muestran los resultados de campañas de simulación bien diseñadas, la aguja se mueve trimestre a trimestre cuando el programa está bien armado. Antes de eso no, y ahí muchos programas colombianos se están quedando cortos.
3. Tiempo de reporte de incidentes
Cuando alguien identifica algo sospechoso, ¿cuánto se toma en avisar? Un programa efectivo no solamente aumenta el porcentaje de gente que reporta: también le acorta el tiempo al equipo entre el clic (o el casi-clic) y el aviso al área de seguridad. Ese tiempo es plata, y el CFO lo entiende sin que uno tenga que traducirle nada técnico.
Si la métrica le define el reporte, también le define el programa
La consecuencia práctica de esta conversación con el comité es sutil pero importante.
El orden convencional venía siendo: primero escogemos el contenido de la capacitación, y después miramos cómo lo medimos. El orden que le está funcionando a las empresas colombianas que hoy están moviendo la aguja es exactamente al revés: primero se define el reporte ejecutivo que se le va a mostrar al comité, y desde ahí se decide el contenido y la cadencia del programa.
Suena obvio. En la práctica cuesta, porque implica desarmar programas que llevan años funcionando de una manera y volverlos a armar de otra. Un análisis extenso sobre qué métricas de awareness sí importan de verdad desarrolla este punto a fondo para el rol del CISO.
Dónde queda el Decreto 1377 en todo esto
Nada de lo anterior elimina la obligación regulatoria, ojo. El Decreto 1377 sigue vigente, la SIC lo sigue aplicando en el país, y la evidencia de capacitación sigue siendo un requisito auditado. La diferencia es de argumento, no de práctica: el cumplimiento se vuelve consecuencia del programa bien armado, no el objetivo central.
Cuando el comportamiento del equipo cambia, el cumplimiento le aparece solo a la empresa. Cuando el cumplimiento es el único objetivo, el comportamiento no siempre le acompaña.
Un programa de concientización que arranca por la métrica de comportamiento le cubre el Decreto 1377 automáticamente. Uno que arranca por el Decreto 1377 no siempre le cubre el comportamiento.
Cómo empezar si el reporte de horas todavía es el estándar
Si estás en una organización colombiana y el reporte que hoy se le está mostrando al comité sigue centrado en horas y asistencias, hay un cambio pequeño que suele desatar el resto: antes del próximo trimestre, agrégale dos números al reporte que ya vienes enviando.
- La tasa de clic en la última simulación de phishing.
- El número de reportes de phishing real que recibió el equipo de seguridad en los últimos 90 días.
Nada más. Sin tocarle el resto del reporte todavía.
Esos dos números le van a generar preguntas al CFO. Las preguntas van a abrir la conversación de comportamiento vs. cumplimiento. Y esa conversación es la que le abre el presupuesto a la empresa para hacer las cosas distinto en el siguiente ciclo. En profundidad, así se estructura un reporte board-level que responde la pregunta correcta en dos minutos.
Hablémoslo
Si estás construyendo un programa de concientización en una empresa colombiana este año y te interesa revisar cómo cambia el reporte ejecutivo cuando se centra en comportamiento, hablémoslo con calma. En SMARTFENSE venimos acompañando programas de este tipo con clientes en Colombia y tengo material concreto que te puedo compartir.
Escríbeme por LinkedIn o conocé la plataforma SMARTFENSE que estamos usando con empresas colombianas para armar programas centrados en comportamiento.
Deja un comentario