2LRN4 security awareness platform
← Volver a la base de conocimientos

El problema de respaldo

Por qué los programas de concienciación en seguridad y privacidad rara vez fracasan por el e-learning, sino por la falta de implicación de la dirección, y cómo conseguir que la dirección se sume.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En resumen

  1. La implicación de la dirección es uno de los predictores más sólidos y demostrados de forma más consistente del comportamiento seguro de los empleados. Así se desprende de un metaanálisis de 95 estudios empíricos, de varios estudios sistemáticos de la literatura y de investigaciones realizadas entre profesionales experimentados de la concienciación. Por eso, un programa de concienciación no es un producto que se despliega, sino un proceso de cambio del que la dirección constituye una pieza fundamental.
  2. Esa implicación funciona en gran medida de forma indirecta, a través de la cultura y el comportamiento ejemplar. Los empleados se orientan por lo que sus responsables hacen y no por lo que dicen. Por eso, el apoyo simbólico, como un anuncio único por parte de la dirección, cambia poco, mientras que la participación visible, el comportamiento ejemplar y el gobierno sí lo hacen. Además, la dirección gestiona la oportunidad de aprender, es decir, el presupuesto, el tiempo dentro de la jornada laboral y la prioridad. Precisamente esa oportunidad falta en cuanto la concienciación se entiende como "desplegar sin más un e-learning".
  3. A una dirección no se la convence con el miedo, sino con tres vías a la vez: el deber legal de diligencia de la directiva NIS2 y su transposición nacional, que hace al propio órgano de gobierno responsable y obligado a formarse; una petición de comportamiento concreta y pequeña en lugar de una vaga solicitud de apoyo; y un informe en el lenguaje de los riesgos en lugar de en porcentajes de finalización.

Quien ve fracasar un programa de concienciación en privacidad y seguridad suele buscar la causa cerca del programa mismo. Quizá el e-learning era demasiado aburrido, la comunicación demasiado escasa o los empleados estaban demasiado ocupados. A veces la causa reside, efectivamente, en el propio programa, por ejemplo cuando la seguridad y la privacidad se meten en el mismo saco aunque requieran un enfoque distinto, como mostramos en La diferencia entre la concienciación en seguridad y en privacidad. En la práctica, sin embargo, a todo eso suele precederle algo distinto: una dirección que resume la concienciación como "no es más que desplegar un e-learning" y que, en consecuencia, no le dedica más presupuesto, tiempo y atención que a una licencia de software cualquiera.

Este informe recopila lo que dice la investigación científica sobre el papel de la dirección en los programas de concienciación, por qué ese papel pesa tanto y cómo, como profesional, puedes lograr que una dirección reticente se sume.

Metodología

Tipo
Estudio de la literatura basado en investigación revisada por pares y en la directiva europea NIS2.
Fuentes
Un metaanálisis de 95 estudios empíricos, tres estudios sistemáticos de la literatura, investigación de campo entre profesionales de la concienciación e investigación sobre órganos de gobierno del MIT Sloan y la Bentley University.
Fecha de referencia
Junio de 2026.
Pregunta principal
¿En qué medida determina la implicación de la dirección si un programa de concienciación en privacidad y seguridad triunfa o fracasa, y cómo se convence a una dirección que ve la concienciación como el despliegue de un e-learning?

Subpreguntas

  1. ¿Qué entiende la investigación por implicación de la dirección y qué formas se distinguen en ella?
  2. ¿Cómo de fuerte es la relación entre la implicación de la dirección y el comportamiento seguro de los empleados, en comparación con otros factores?
  3. ¿A través de qué mecanismo influye la dirección en ese comportamiento?
  4. ¿Es la implicación de la dirección un factor crítico de éxito para el propio programa de concienciación?
  5. ¿Qué ocurre en la práctica cuando esa implicación falta?
  6. ¿Qué formas de implicación tienen un efecto demostrable y cuáles se quedan en lo simbólico?
  7. ¿Con qué argumentos y medidas se convence a una dirección reticente?

01 · HallazgoLa implicación de la dirección no es una condición marginal, sino un factor principal

La investigación sobre por qué los empleados se comportan o no de forma segura es extensa. El resumen más completo es el metaanálisis de Cram, D'Arcy y Proudfoot (2019) en MIS Quarterly, en el que 95 estudios empíricos y 401 variables analizadas se redujeron a diecisiete categorías de factores que predicen el cumplimiento de las políticas de seguridad. El hilo conductor de este y de estudios de revisión posteriores es que los factores decisivos no son técnicos, sino organizativos: la actitud y las normas personales de los empleados, el entorno social en el que trabajan y la cultura de la organización. Resulta llamativo que el instrumento clásico de muchos directivos, premiar y castigar, sea precisamente uno de los predictores más débiles.

Un estudio sistemático de la literatura que abarca el período de 2001 a 2023 llega al mismo núcleo: el apoyo de la alta dirección y la cultura de la organización figuran, junto con la eficacia percibida de las medidas, entre los factores determinantes del comportamiento de cumplimiento (García de Blanes-Sebastián et al., 2025). Y en el estudio de revisión de Khando y colegas (2021), que examinó específicamente las maneras de aumentar la concienciación en seguridad de los empleados, la participación de la dirección aparece como uno de los factores con mayor efecto sobre esa concienciación.

Si los directivos no están implicados, los demás miembros de la organización tampoco lo están.

Hallazgo de Khando y colegas (2021)

Surge la misma imagen cuando no se pregunta a la literatura, sino a las personas que construyen los programas de concienciación. Alyami y colegas (2023, 2024) entrevistaron a profesionales experimentados en Estados Unidos, el Reino Unido, Irlanda y Oriente Medio, y de ahí dedujeron once factores críticos de éxito para la eficacia de los programas de seguridad, educación, formación y concienciación, ordenados a lo largo del ciclo de vida de un programa de este tipo. El apoyo de la dirección y la disponibilidad de recursos los atraviesan como condición previa: sin esa base, los demás factores de éxito, como la adaptación a medida y la evaluación continua, sencillamente no llegan a cuajar.

La conclusión de este primer hallazgo es así clara. La implicación de la dirección no es, en la investigación, un complemento deseable, sino uno de los factores principales que determinan si un programa de concienciación cambia el comportamiento de los empleados.

De la participación de la dirección al comportamiento seguro La influencia actúa directamente y a través de la cultura Participación de la dirección Cultura de seguridad Actitud Norma social Control percibido en el empleado Comportamiento seguro efecto directo efecto indirecto, vía la cultura Representación conceptual. Según Hu, Dinev, Hart y Cooke (2012), Decision Sciences.

Figura 1 De la participación de la dirección al comportamiento seguro. La participación de la alta dirección repercute tanto de forma directa como a través de la cultura de seguridad en la actitud, la norma social y el control percibido de los empleados, y con ello en su comportamiento. Según Hu, Dinev, Hart y Cooke (2012).

02 · HallazgoLa implicación funciona a través de la cultura y el comportamiento ejemplar, no del correo de anuncio

¿Cómo funciona entonces, exactamente, esa influencia de la dirección? El estudio clásico al respecto es el de Hu, Dinev, Hart y Cooke (2012) en Decision Sciences. Estos autores integraron el papel de la alta dirección y la cultura de la organización en la teoría del comportamiento planificado y contrastaron ese modelo mediante encuestas y modelos de ecuaciones estructurales. El resultado: la participación de la alta dirección en las iniciativas de seguridad tiene una influencia tanto directa como indirecta en la actitud de los empleados hacia el cumplimiento, en la norma social que perciben y en la medida en que se sienten capaces de hacer lo correcto. Una parte importante de esa influencia discurre a través de la cultura de la organización: la dirección moldea la cultura, y la cultura moldea el comportamiento.

La palabra clave en ese estudio es participación, y no es casualidad. Los investigadores establecen una distinción tajante entre la participación activa de la dirección y el apoyo a distancia. Una dirección que aprueba el programa y luego ya no se preocupa más por él presta apoyo. Una dirección que ella misma realiza la formación la primera, que habla de ello en las reuniones de trabajo y que pregunta por ella en las evaluaciones trimestrales participa. Solo esa segunda forma cambia lo que los empleados consideran normal.

La investigación sobre estilos de liderazgo lo confirma. Guhr, Lebek y Breitner (2019) vincularon el llamado modelo de liderazgo de rango completo con el comportamiento de seguridad de los empleados, y encontraron que un liderazgo inspirador e implicado no solo aumenta la disposición a seguir las reglas, sino también la disposición a contribuir de forma activa, por ejemplo notificando incidentes o llamando la atención a los compañeros. El liderazgo pasivo, que solo se pone en marcha cuando algo sale mal, no muestra esos efectos. Y en el estudio de revisión de Uchendu, Nurse, Bada y Furnell (2021) sobre la construcción de una cultura de seguridad, el apoyo de la dirección se desglosa en dos dimensiones: la importancia que la dirección concede a la seguridad y el compromiso que muestra de forma visible al respecto. Resultan necesarios tanto el pleno apoyo como la implicación de la cúpula, pues lo uno no funciona sin lo otro.

Para la práctica, esto significa que la forma habitual de entender la implicación de la dirección, un correo de anuncio al inicio de la campaña, no aporta prácticamente nada. Los empleados leen ese correo, observan a continuación el comportamiento de su propio responsable y se orientan por él. Un directivo que comparte su contraseña con su asistente de dirección le dice a la organización más sobre la importancia de la seguridad que diez campañas juntas.

Cuatro formas de implicación de la dirección El efecto demostrable está sobre todo en los tres peldaños superiores 1 · Apoyo palabras y presupuesto 2 · Participación participación activa en el programa 3 · Ejemplaridad hacer lo que la política pide 4 · Governance dirigir, supervisar, rendir cuentas simbólico efecto estructural en el comportamiento

Figura 2 Cuatro formas de implicación de la dirección, en orden ascendente de lo simbólico a lo estructural: apoyo (palabras y presupuesto), participación (implicación activa), comportamiento ejemplar (hacer uno mismo lo que la política exige) y governance (gobernar, supervisar y rendir cuentas). La investigación muestra que el efecto reside sobre todo en los tres peldaños superiores.

03 · ExplicaciónLa dirección gestiona la oportunidad, y esa no se compra a un proveedor

¿Por qué es entonces tan decisivo el papel de la dirección, si rara vez desarrolla o imparte la formación en sí? La respuesta se hace visible en cuanto se coloca al lado el modelo COM-B de la ciencia del comportamiento (Michie, van Stralen y West, 2011). El comportamiento seguro solo surge cuando coinciden tres cosas: la capacidad (conocimiento y habilidad), la motivación (la voluntad) y la oportunidad (el espacio físico y social para hacer lo correcto).

Un e-learning aporta la capacidad y, con un buen diseño, también una parte de la motivación. La oportunidad, sin embargo, un proveedor no la puede aportar, porque está casi por completo en manos de la dirección. La dirección determina si los empleados pueden realizar la formación dentro de la jornada laboral o si esta tiene que añadirse por la tarde. Determina si hay presupuesto para la repetición y la adaptación a medida, o solo para una licencia única. Y determina si la concienciación es un punto fijo en el orden del día de las reuniones de trabajo, o una obligación anual que los responsables de equipo despachan rápidamente. A través de la norma social y el comportamiento ejemplar del apartado anterior, determina además buena parte de la motivación.

Con ello, el razonamiento "no es más que desplegar un e-learning" encaja en su sitio. Quien razona así compra, de las tres condiciones para el cambio de comportamiento, solo la primera y deja precisamente sin atender las dos condiciones que únicamente la propia organización puede aportar. Y eso no es un detalle. El metaanálisis de Prümmer, van Steen y van den Berg (2024), que también citamos en nuestro informe sobre las simulaciones de phishing, muestra que la formación solo cambia el comportamiento de forma perceptible cuando es activa, repetida y adaptada al público destinatario. La repetición cuesta tiempo dentro de la jornada laboral, la adaptación a medida cuesta presupuesto y las formas de trabajo activas requieren la atención de los responsables. Las formas de formación que demostradamente funcionan son, por tanto, precisamente las formas que sin la implicación de la dirección son las primeras en recortarse.

Bada, Sasse y Nurse (2015) ya describieron por qué las campañas de concienciación tan a menudo no cambian el comportamiento: transmiten información sin cambiar el entorno, son puntuales en lugar de continuas y no se anclan en la organización. Cada uno de esos tres factores de fracaso surge, en el fondo, de una decisión, o de su ausencia, a nivel de dirección.

Conviene hacer aquí una salvedad. La mayor parte de la investigación en este campo es correlacional: muestra relaciones fuertes y consistentes, pero no demuestra en sentido estricto que la ausencia de implicación de la dirección sea la causa del fracaso. Lo que sí está establecido es que la implicación de la dirección figura entre los predictores más sólidos del éxito, y que su ausencia socava precisamente los mecanismos de los que depende el cambio de comportamiento: la cultura, la norma social y la oportunidad de aprender. Para la práctica, esa distinción importa menos de lo que parece. Al fin y al cabo, la cuestión no es quién tiene la culpa cuando un programa fracasa, sino qué condiciones hay que organizar de antemano para que tenga éxito.

¿Quién aporta qué? El modelo COM-B y la dirección Un e-learning aporta la capacidad; solo la dirección puede aportar la oportunidad Capacidad poder conocimiento y habilidad aportado por la formación y el e-learning Motivación querer moldeada también por normas y ejemplaridad en parte en manos de la dirección Oportunidad tener el espacio tiempo laboral, presupuesto, repetición y prioridad casi del todo en manos de la dirección Comportamiento seguro Representación conceptual. Según Michie, van Stralen y West (2011).

Figura 3 El modelo COM-B con el papel de la dirección. El e-learning aporta la capacidad. La motivación se forma en parte por las normas y el comportamiento ejemplar de los responsables. La oportunidad, es decir, el tiempo, el presupuesto y la prioridad, está casi por completo en manos de la dirección. Según Michie, van Stralen y West (2011).

04 · EnfoqueAsí convences a la dirección

Los hallazgos anteriores conducen a una conclusión incómoda pero útil: convencer a la dirección no es una actividad marginal junto al programa de concienciación, sino su primera fase. La investigación, complementada con el estudio sobre órganos de gobierno del MIT Sloan y la Bentley University realizado entre administradores y consejeros (Proudfoot, Cram, Madnick y Coden, 2023), apunta a cinco pasos.

  1. Empieza por el deber de diligencia y no por la amenaza.Las imágenes de miedo sobre hackers hacen poco efecto en un órgano de gobierno; la conciencia de la propia responsabilidad, tanto más. La directiva NIS2 y su transposición nacional atribuyen la responsabilidad de las medidas de gestión expresamente al órgano de gobierno: este debe aprobar las medidas, supervisar su ejecución y puede ser considerado personalmente responsable en caso de negligencia. Los administradores están además obligados a formarse ellos mismos y se espera que ofrezcan a sus empleados una formación comparable (Directiva (UE) 2022/2555, artículo 20). La concienciación deja así de ser una oferta del CISO para convertirse en una tarea legal del órgano de gobierno en la que el CISO presta apoyo. Eso cambia por completo el tono de la conversación.
  2. No pidas apoyo, sino comportamiento."Contamos con el apoyo de la dirección" provoca asentimientos de cabeza y no cambia nada. Pide en su lugar tres o cuatro comportamientos concretos y pequeños que juntos sí marcan la diferencia: la dirección realiza la formación ella misma y la primera, habla de ello en un mensaje o reunión propios, fija el tema de manera permanente en su propio orden del día y pregunta con regularidad a los responsables por el avance en sus equipos. Estas son las formas de participación y comportamiento ejemplar cuyo efecto demuestra la investigación (Hu et al., 2012; Khando et al., 2021), y a un administrador le cuestan, a lo sumo, unas pocas horas al año.
  3. Convierte la oportunidad en una parte explícita de la decisión.No presentes a la dirección la adquisición de un e-learning, sino una decisión con tres componentes: el contenido (el programa), la oportunidad (tiempo de aprendizaje dentro de la jornada laboral, un ritmo de repetición y margen para la adaptación a medida por público destinatario) y el papel propio de la dirección (los comportamientos del paso 2). Quien deja aprobar solo el primer componente organiza el fracaso de los otros dos. Haz visible, además, el coste de la oportunidad en horas por empleado y año, para que el órgano de gobierno sepa sobre qué decide realmente.
  4. Informa en el lenguaje de los riesgos y no en porcentajes de finalización.El estudio sobre órganos de gobierno muestra que los administradores tienen dificultades con la ciberseguridad porque la información que reciben es demasiado técnica o demasiado superficial (Proudfoot et al., 2023). Un porcentaje de finalización del e-learning no le dice nada a un órgano de gobierno y refuerza precisamente la imagen de la concienciación como producto de marcar casillas. Informa en su lugar sobre indicadores que afecten al comportamiento y al riesgo, como el comportamiento de notificación ante mensajes sospechosos, los resultados por grupo de riesgo y los riesgos residuales que el órgano de gobierno acepta. Así la concienciación pasa a formar parte del diálogo sobre el riesgo en el que un órgano de gobierno se siente cómodo, y que también debe gobernar en virtud de NIS2 y su transposición nacional.
  5. Usa la ciencia como palanca.A "no es más que desplegar un e-learning" existe una respuesta corta y honesta: eso ya se ha probado e investigado, y así no funciona. La información puntual y pasiva apenas cambia el comportamiento; los programas con repetición, adaptación a medida e implicación visible de la dirección sí lo hacen (Prümmer et al., 2024; Bada et al., 2015; Cram et al., 2019). Quien como órgano de gobierno opta por el e-learning a secas opta, por tanto, a sabiendas por la variante cuya eficacia limitada está demostrada. Pocos órganos de gobierno quieren ver esa decisión negro sobre blanco en el acta.
La ruta de persuasión Cinco pasos para convertir a la dirección de espectadora en participante 1 Deber de diligencia NIS2: la dirección es responsable ella misma y obligada a formarse 2 Pedir comportamiento no respaldo, sino tres o cuatro conductas concretas y pequeñas 3 Decisión completa contenido, oportunidad y el propio papel de la dirección en una propuesta 4 Lenguaje de riesgo notificaciones y riesgos residuales en lugar de tasas de finalización 5 Ciencia el e-learning a secas es la variante cuyo efecto limitado está demostrado Convencer a la dirección no es una actividad secundaria del programa. Es la primera fase del programa.

Figura 4 La ruta de convencimiento en cinco pasos: del deber legal de diligencia, pasando por una petición de comportamiento concreta y una decisión completa, hasta un informe en el lenguaje de los riesgos, fundamentado con el estado de la ciencia.

05 · ConclusiónNo el e-learning, sino la resonancia

En nuestro informe sobre las simulaciones de phishing la conclusión era que el problema no reside en el empleado. La conclusión de este informe es su reflejo: el problema tampoco reside, por lo general, en el e-learning. Un programa de concienciación solo cambia el comportamiento cuando coinciden el conocimiento, la motivación y la oportunidad. De esos tres, el proveedor aporta solo el conocimiento y, a lo sumo, una parte de la motivación. El resto tiene que salir de la propia organización, y esa es la resonancia que el programa encuentra allí: el responsable que habla o no de ello, el tiempo que se reserva o no para ello y el directivo que hace o no, él mismo, lo que la política exige.

La investigación científica es al respecto sorprendentemente unánime. La implicación de la dirección figura entre los predictores más sólidos del comportamiento seguro, funciona a través de la cultura y el comportamiento ejemplar en lugar de a través de los anuncios, y su ausencia explica por qué tantos programas degeneran en una obligación anual de hacer clic. Para el profesional, esto significa que la conversación con la dirección no es un trabajo previo, sino el núcleo de la profesión. Y desde la directiva NIS2 y su transposición nacional, ese profesional está en esa conversación más fuerte que nunca: la cuestión ya no es si el órgano de gobierno quiere implicarse en la concienciación, sino si quiere cumplir su tarea legal con el enfoque cuya eficacia está demostrada.

Limitaciones

  • Este informe es un estudio de la literatura que resume investigación científica existente, y no contiene investigación propia nueva.
  • La mayor parte de la investigación citada es correlacional y mide en parte intenciones de comportamiento en lugar de comportamiento observado; con ello se han demostrado relaciones fuertes y consistentes, pero no una prueba causal en sentido estricto.
  • La investigación sobre la implicación de la dirección se centra en gran medida en el cumplimiento de las políticas de seguridad en sentido amplio; los estudios que contrastan específicamente el fracaso de los programas de concienciación con factores de la dirección son más escasos.
  • Los estudios citados se han realizado en países y sectores diversos, por lo que los efectos pueden variar según la organización y la cultura.

Fuentes

  1. Alyami, A., Sammon, D., Neville, K., y Mahony, C. (2023). The critical success factors for Security Education, Training and Awareness (SETA) program effectiveness: a lifecycle model. Information Technology & People, 36(8), 94–125. emerald.com/itp/article/36/8/94
  2. Alyami, A., Sammon, D., Neville, K., y Mahony, C. (2024). Critical success factors for Security Education, Training and Awareness (SETA) programme effectiveness: an empirical comparison of practitioner perspectives. Information and Computer Security, 32(1), 53–73. doi.org/10.1108/ICS-08-2022-0133
  3. Bada, M., Sasse, A. M., y Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  4. Cram, W. A., D'Arcy, J., y Proudfoot, J. G. (2019). Seeing the Forest and the Trees: A Meta-Analysis of the Antecedents to Information Security Policy Compliance. MIS Quarterly, 43(2), 525–554. doi.org/10.25300/MISQ/2019/15117
  5. Unión Europea (2022). Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn), artikel 20. eur-lex.europa.eu/eli/dir/2022/2555
  6. García de Blanes-Sebastián, M., et al. (2025). Factors influencing employee compliance with information security policies: a systematic literature review of behavioral and technological aspects in cybersecurity. Future Business Journal, 11, 28. doi.org/10.1186/s43093-025-00452-7
  7. Guhr, N., Lebek, B., y Breitner, M. H. (2019). The impact of leadership on employees' intended information security behaviour: An examination of the full-range leadership theory. Information Systems Journal, 29(2), 340–362. doi.org/10.1111/isj.12202
  8. Hu, Q., Dinev, T., Hart, P., y Cooke, D. (2012). Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture. Decision Sciences, 43(4), 615–660. doi.org/10.1111/j.1540-5915.2012.00361.x
  9. Khando, K., Gao, S., Islam, S. M., y Salman, A. (2021). Enhancing employees information security awareness in private and public organisations: A systematic literature review. Computers & Security, 106, 102267. doi.org/10.1016/j.cose.2021.102267
  10. Michie, S., van Stralen, M. M., y West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  11. Proudfoot, J. G., Cram, W. A., Madnick, S., y Coden, M. (2023). The Importance of Board Member Actions for Cybersecurity Governance and Risk Management. MIS Quarterly Executive, 22(4), 235–250. aisel.aisnet.org/misqe/vol22/iss4/6
  12. Prümmer, J., van Steen, T., y van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  13. Uchendu, B., Nurse, J. R. C., Bada, M., y Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. arxiv.org/abs/2106.14701
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos