Los desafíos de la cibercultura en las empresas

Buenos Aires, 30 de julio de 2025 / KPMG. En el entorno empresarial digital e interconectado de estos tiempos las organizaciones están adoptando rápidamente la Inteligencia Artificial (IA) como su principal aliado. Si bien esto las expone a nuevos riesgos, también crea innumerables oportunidades como son mejorar las operaciones y la eficiencia, desbloquear valor y aumentar la ventaja competitiva. Algunas empresas con visión de futuro están experimentando con IA temas de seguridad cibernética para la detección y respuesta a los nuevos riesgos. Sin embargo, un aspecto que tiene un gran potencial, pero que está un poco inexplorado, es cómo la IA puede ayudar a impulsar una cultura de seguridad cibernética dentro de las empresas, especialmente cuando se trata de la gestión de riesgos humanos (HRM) cibernéticos. Esto es esencial ya que la forma en que las personas gestionan la tecnología es la ventana a través de la cual los actores de amenazas pueden infiltrarse y atacar. Un estudio de Verizon descubrió que el 68 por ciento de las violaciones a los sistemas de seguridad involucraron un elemento humano no malicioso como, por ejemplo, alguien que fue víctima de un ataque de ingeniería social o cometió un error.

Por su parte, Pablo Almada, socio líder de Industrial Cybersecurity, agrega que “la ciberseguridad ya no es solo una cuestión tecnológica, sino cultural. Impulsar comportamientos seguros en el lugar de trabajo requiere integrar la Inteligencia Artificial como aliada estratégica y comprender que el factor humano es clave para construir organizaciones resilientes.

Una nueva cultura

KPMG junto con Cybersecurity at Massachusetts Institute of Technology (MIT)-Sloan (CAMS), parte de la División de Investigación de Ciberseguridad de Sloan Management School, se propusieron analizar y comprender la cultura de la ciberseguridad, sus desafíos y cómo la IA podría tener impacto. Para ello se realizó una encuesta a 40 líderes en ciberseguridad, expertos en la materia y ejecutivos intersectoriales de diversas industrias y foros. Se preguntó sobre el nivel actual de cultura de ciberseguridad en las organizaciones, las opiniones sobre el potencial de la IA para influir en los comportamientos. También se hizo un estudio cualitativo a través de ocho entrevistas en profundidad con ejecutivos cibernéticos, incluidos directores ejecutivos (CEO)/cofundadores, vicepresidentes (VP), directores de seguridad de la información (CISO), líderes de automatización e inteligencia artificial cibernética y profesionales de recursos humanos cibernéticos en múltiples regiones. El resultado se volcó en el informe “Una nueva era de cultura de ciberseguridad. Cómo aprovechar la IA para promover un comportamiento seguro en el lugar de trabajo”. “Una cultura de ciberseguridad sólida se da cuando las personas hacen lo correcto, comprenden por qué la ciberseguridad es beneficiosa para la empresa, animan y desafían a los demás, y admiten cuando algo sale mal”; afirma Akhilesh Tuteja Líder Global de Cibersegurida  KPMG International

Niveles de madurez

Una de las conclusiones del estudio indica que las barreras y los desafíos para crear una cultura cibernética en toda la empresa se presentan de muchas formas. La encuesta mostró cuatro temas generales: 1) el factor del comportamiento humano, 2) las tecnologías emergentes, 3) los sistemas interconectados y 4) la medición de la cultura de la ciberseguridad. Según la definición de la doctora Keri E. Pearlson del MIT, los cinco niveles de madurez de esta cultura son:

Nivel 1. La ciberseguridad es un criterio para los sistemas y la gestión de IT. Hay actividades como programas de orientación y capacitación para asesorar a los empleados.

Nivel 2. La gerencia ha identificado los comportamientos seguros que busca en los empleados y ha puesto en marcha algunas actividades adicionales más allá de los programas tradicionales de capacitación y concientización para dar forma a la cultura.

Nivel 3. Hay un líder de la cultura de la ciberseguridad que es responsable de crear, administrar y madurar la cultura. Los empleados participan en parte debido a los ejemplos que da el liderazgo.

Nivel 4. La ciberseguridad es una prioridad máxima de la gerencia y los líderes demuestran activamente cómo "la ciberseguridad es parte del trabajo de todos". Los empleados participan activamente en hacer cosas que ayudan a respaldar e impulsar la seguridad.

Nivel 5. Los procesos que impulsan la cultura de la ciberseguridad se adaptan naturalmente para responder al cambiante panorama de la ciberseguridad. Los empleados están muy comprometidos con mantener la seguridad y resiliencia de la organización, y a menudo crean sus propios programas y actividades de seguridad.

La conducta humana

Los dos principales desafíos de la cultura de la ciberseguridad en las empresas están alineados con las conductas humanas. La preocupación número uno es la “resistencia al cambio” y la segunda, “la gestión de los factores de riesgo humanos y la creación de una cultura de ciberseguridad sólida”. A menudo, el enfoque de una organización en relación con la cultura de ciberseguridad está aislado y se convierte en responsabilidad exclusiva de un departamento como IT. Cuando las organizaciones se centran principalmente en las soluciones tecnológicas en lugar de en las conductas humanas, puede hacer que los empleados se sientan desempoderados y tengan dificultades para tomar las decisiones correctas sobre ciberseguridad. De manera similar, los CISO suelen tener la tarea de impulsar esta cultura, pero a menudo no tienen la esfera de influencia, la autoridad o el apoyo para cambiar la cultura. Solo hace falta una infracción para que todos observen al CISO por no haberla prevenido. Además, muchos empleados trabajan desde sus casas, viajan para atender a clientes, están con clientes o en otros escenarios que no requieren trabajar en un escritorio o en una oficina. Estas personas interactúan con los riesgos de ciberseguridad de diferentes maneras a través de distintos sistemas y dispositivos. Como resultado, las organizaciones requieren diferentes conjuntos de controles para influir en los comportamientos y en la cultura de seguridad en función de estos factores y perfiles de riesgo. Un enfoque único para crear una cultura segura simplemente no funcionará.

Recopilar métricas y medir la cultura de ciberseguridad puede ayudar a instalar debates en los directorios y a superar las brechas de comunicación, situaciones que impulsan liderazgos y un cambio de comportamiento más efectivos para reducir el riesgo humano cibernético. Sin embargo, más de la mitad de los encuestados admitieron que no miden la cultura de ciberseguridad de sus empresas.

Por consultas sobre temas de prensa contactar a:

Claudio Negrete Williams
Gerente Senior de Prensa
KPMG Argentina
Email: cnegretewilliams@kpmg.com.ar

Acerca de KPMG International

KPMG es una organización global de firmas miembro que prestan servicios profesionales independientes en las áreas de auditoría, impuestos y asesoramiento. Las firmas integrantes de la red KPMG operan en 143 países y territorios, con más de 265.000 socios y colaboradores que trabajan en todo el mundo. Cada firma integrante de la red global de KPMG es una entidad independiente y legalmente autónoma, describiéndose a sí misma como tal, respondiendo por sus propias obligaciones y responsabilidades. KPMG International Limited es una entidad privada inglesa limitada por garantía. KPMG International Limited  y sus entidades relacionadas no prestan servicios a los clientes. 

Acerca de KPMG Argentina

En Argentina somos un equipo multidisciplinario integrado por más de 1.500 profesionales que ofrecemos servicios de asesoramiento, impuestos y legales y auditoría. Contamos con oficinas en la Ciudad de Buenos Aires, Córdoba y Rosario, que nos permiten consolidar nuestra posición en el mercado y fortalecer la presencia en los centros estratégicos del país.