Construyo plataformas de concienciación desde hace más de quince años y dirijo el equipo de ingeniería de SMARTFENSE. Desde ese lugar veo un patrón que se repite en casi todas las organizaciones con las que trabajamos: el CISO hace un trabajo serio, arma su informe, lo lleva al comité de dirección, y aun así sale de la reunión sin haber movido una decisión.
El problema no está en el CISO ni en el dato. Está en el camino que recorre ese dato hasta llegar a la mesa: cuándo se arma, con qué frescura llega y en qué formato. Eso es arquitectura, y por eso me toca a mí pensarlo.
Te cuento lo que vemos del lado de quien construye la plataforma: por qué el reporte de awareness para el comité de dirección llega tarde, qué necesita realmente el comité, y qué resolvimos para que la respuesta llegue en vivo. La parte humana sigue siendo del CISO. Nosotros nos ocupamos de la parte mecánica.
¿Qué pregunta un comité de dirección cuando pide “el dato de ciberseguridad”?
Lo aprendimos escuchando a los CISO que usan la plataforma. Cuando el comité pide el dato, no pide un dato. Pide una decisión que ya viene resuelta. Necesita contestar tres cosas que ya tiene en la cabeza, aunque no las verbalice así:
- Dado lo que invertimos, ¿estamos mejor, igual o peor que hace seis meses?
- Si el comité pone más recursos sobre la mesa, ¿qué se mueve y cuánto?
- ¿Qué pasa si no hacemos nada durante el próximo ciclo?
Si el informe deja al comité en condiciones de responder eso en treinta segundos, el CISO se gana el respaldo. Si entrega veinte láminas con tasas de clic y barras de colores, el comité se queda con una intuición vaga y una respuesta tibia. No es por falta de comprensión: es que el formato del informe no deja material para decidir.
La inversión que vale la pena al armar el informe es imaginar primero la respuesta que el comité necesita y después construir el dato que la sostiene. Lo que se conoce como “el informe trimestral” no es un objeto único. Es la última capa de una pirámide donde abajo hay veinte dashboards operativos y arriba tiene que haber una sola decisión clara.
¿Qué tres respuestas necesita oír el comité y casi nunca recibe?
Hay tres respuestas que rara vez llegan completas a la sala. La primera es dónde estamos hoy. No la tasa de clic de la última simulación de phishing ni el porcentaje de cursos completados, sino riesgo humano agregado, con un criterio explícito de qué entra al cálculo y cómo evolucionó respecto de hace tres y seis meses. Expresado como número compuesto y con tendencia, el comité deja de discutir indicadores sueltos y empieza a pensar en política.
La segunda es dónde concentrar el esfuerzo. El comité no aprueba “fortalecer awareness”. Aprueba “destinar X presupuesto a las cinco áreas con más exposición durante los próximos noventa días”. Con una lista priorizada de áreas, su exposición y el efecto esperado del refuerzo, el comité tiene una decisión binaria. Con un mapa de calor general, tiene otra reunión.
La tercera es el contrafactual. ¿Qué pasa con el riesgo si no hacemos nada? Esa proyección obliga a pensar la concienciación como un activo que se deprecia, no como un gasto puntual. Es la pregunta que más cuesta hacerse, porque implica reconocer que la decisión de no decidir también tiene costo. Y es la que más mueve la aguja del presupuesto.
Si el informe no responde a esas tres, la conversación board-level no avanza. No es un problema de dato. Es un problema de marco.
¿Por qué los CISO no entregan ese reporte hoy?
La capacidad la tienen. Lo que les falta es tiempo, y el dato les llega viejo.
Cuando miramos cómo se arma hoy un informe para el comité, encontramos siempre el mismo flujo artesanal. El viernes anterior a la reunión, alguien del equipo exporta el reporte de la plataforma de awareness, lo cruza con la lista activa de personal, limpia bajas, arma tablas dinámicas, busca un dato externo creíble para contextualizar, lo pega en tres láminas, anticipa dos preguntas y reza por la tercera. Entre cuatro y seis horas si todo está a mano. Más, si la última campaña tuvo cambios de alcance.
El resultado, en el mejor caso, refleja la foto de hace dos semanas. Pero el comité opera al ritmo del negocio: si la semana de la reunión hubo un incidente o cambió el panorama, el informe ya no sirve. Y nadie va a rearmar los gráficos a las once de la noche del domingo.
Esto no es una crítica al CISO. Es la descripción de un proceso manual que se justificaba cuando el comité aceptaba esperar el ciclo trimestral. Hoy la demanda se mueve al ritmo de la conversación y deja atrás al calendario. Esa distancia entre cómo se construye el informe y cómo lo necesita el negocio es un problema de arquitectura de datos, y es exactamente el tipo de problema que se resuelve en la plataforma, no en la planilla.
¿Qué cambia cuando el CISO formula la pregunta en lenguaje natural?
Cambia el centro de gravedad de la conversación. El CISO deja de ser quien ejecuta el informe y pasa a ser quien decide qué pregunta valía la pena hacerse.
Imaginemos la escena, que ya ocurre con los primeros equipos que lo están probando. El comité está reunido. Alguien pregunta algo que no estaba en la agenda: “¿qué cinco áreas tienen el riesgo humano más alto y cuánto bajaría si reforzamos la simulación de phishing en ellas durante el próximo trimestre?”. El CISO formula esa misma pregunta a la plataforma en español plano y proyecta la respuesta dos minutos después. Áreas, exposición, efecto esperado, costo del refuerzo. La decisión se toma en la sala.
Lo importante no es la herramienta. Es la transferencia: el CISO recupera horas operativas, el comité recibe respuestas a la medida de sus preguntas, y la conversación board-level deja de ser un acto de traducción para volverse un diálogo en tiempo real.
Esa capa la construimos en SMARTFENSE y la llamamos Insight Agent. Es una de las capacidades que pensamos para programas maduros, y hoy está en su etapa de early adopters: la afinamos con los primeros equipos que la usan sobre sus propios datos. No reemplaza al CISO; le da la velocidad operativa que hoy no tiene. La pregunta sigue siendo de quien está sentado a la mesa. La diferencia es que ahora puede responderla ahí mismo.
Coincide con un mensaje que mantenemos en SMARTFENSE desde hace años, y que vale la pena leer en detalle: la IA no puede sustituir la guía humana en concienciación. Acelera, amplifica, libera tiempo. Sustituir es otra cosa.
¿Qué condiciones técnicas debe cumplir un agente de IA para servir al comité?
Si vas a apoyar el reporting en un agente, hay cuatro condiciones mínimas. Te las paso desde el lado del que diseña el sistema, porque son decisiones de arquitectura antes que de interfaz.
- Acceso al estado vivo del programa. El agente tiene que consultar los datos reales de la plataforma en el momento, no improvisar a partir de un modelo general. Si la respuesta al comité depende de números viejos, el problema sigue intacto.
- Dashboards construidos a demanda. La pregunta del comité rara vez encaja en un dashboard pre-armado. Si el agente solo navega entre visualizaciones predefinidas, todo termina otra vez en una planilla.
- Distribución automática al destinatario correcto. El resumen ejecutivo del trimestre debería llegar al comité sin que alguien lo arme y lo envíe a mano. La velocidad de respuesta importa menos que la velocidad de circulación.
- Contexto del programa de awareness, no un chatbot genérico. Un asistente que responde sobre todo es un asistente que no responde nada útil. Para el comité tiene que conocer la lógica del programa: campañas, audiencias, métricas, normativas, histórico.
Si la herramienta que estás evaluando cumple esos cuatro puntos, la diferencia operativa aparece rápido. Si cumple solo dos, vas a tener un chatbot prolijo y una planilla en paralelo.
¿Qué madurez tiene hoy la conversación entre el CISO y el comité?
La mayoría de las organizaciones está en uno de cuatro escalones. El primero es compliance: el comité solo escucha al CISO cuando hay auditoría. El segundo es KPIs operativos: el CISO presenta tasas trimestrales y el comité asiente. El tercero es narrativa de riesgo: el CISO arma una historia que conecta los datos con decisiones, pero el ciclo sigue siendo trimestral. El cuarto es conversación accionable: el comité pregunta y el CISO responde con datos vivos en la misma reunión.
Pocas organizaciones están en el cuarto. La mayoría se mueve entre el segundo y el tercero. El salto al cuarto no se da por madurez de la persona del CISO. Se da cuando se acorta el ciclo entre la pregunta del comité y la respuesta del programa, y ese ciclo es, otra vez, una cuestión de plataforma.
Esa es la conversación que SMARTFENSE quiere habilitar, y la razón por la que pensamos el Insight Agent en función de ella. Si quieres verlo en acción sobre tus propios datos, escríbenos para sumarte al programa de early adopters.
Para profundizar en el marco general, dos lecturas que recomiendo: tu programa de awareness, ¿está midiendo lo que importa? y decisiones basadas en datos reales con el reporte de correlación. La primera ayuda a reformular las métricas; la segunda muestra el lado operativo de cruzar datos.
Si tu CISO sale del comité con la sensación de no haber sido escuchado, mi sospecha como ingeniero es otra: lo escucharon bien, pero el informe llegó sin la frescura ni el formato para sostener una decisión. Esa parte del problema es de arquitectura, y esa sí la podemos arreglar.
Deja un comentario