Por: Marcos Polanco. Director Ejecutivo de Gobierno Corporativo y CISO de Scitum TELMEX.
En muchas organizaciones, la ciberseguridad no falla por falta de controles, sino por cómo está diseñado el sistema en el que realmente operan las personas, los procesos, la tecnología, la infraestructura y la cultura. Adoptar un enfoque sociotécnico reduce la fricción operativa, acelera la toma de decisiones y aumenta la resiliencia. Para el liderazgo (CISO, CTO, CIO y áreas de negocio), el reto no es comprar más, sino orquestar mejor, menos ruido y más decisiones con contexto.
Durante años hemos respondido a un entorno cada vez más complejo, reforzando, sobre todo, la dimensión tecnológica. Y sí, sin herramientas, controles y automatización no hay ciberseguridad. El problema aparece cuando implementamos la tecnología como si, por sí sola, resolviera desafíos organizacionales, operativos y humanos. Entonces la seguridad se convierte en una fricción: más complejidad, más puntos de falla y mayor distancia entre lo diseñado y lo que realmente ocurre en la operación diaria.
Debemos cambiar nuestra pregunta de “¿qué herramienta nos falta?”, a “¿cómo debe operar el sistema completo para decidir mejor bajo presión?”. Ese giro implica pensar la ciberseguridad como un sistema sociotécnico, no como una colección de soluciones tecnológicas.
Cinco dimensiones, una sola orquestación
Un sistema sociotécnico integra elementos sociales y técnicos interdependientes; su desempeño depende de la optimización conjunta del sistema y, especialmente, la calidad de las interacciones entre sus partes. Mejorar una pieza sin ajustar las demás suele trasladar el problema. En ciberseguridad, esa interdependencia es constante y cotidiana.
En la práctica, la seguridad emerge de cómo interactúan cinco dimensiones: personas (criterio, experiencia, sesgos y límites; tomando decisiones con presión e información incompleta); procesos (priorización, escalamiento y respuesta ante incidentes); tecnología (detección, visibilidad y automatización, cuyo valor depende de su integración y uso); infraestructura (redes, dispositivos, oficinas, accesos, turnos y restricciones de operación); y cultura (valores, supuestos compartidos, incentivos, hábitos e interacciones y normas implícitas que condicionan lo que se hace, más allá de lo que dictan las políticas).
Estas dimensiones no pueden analizarse de manera aislada sin perder la visión sistémica. A veces falta una herramienta, pero, más a menudo, lo que falla es la orquestación: roles ambiguos, procesos que no encajan con la operación, eventos sin contexto y fricción entre áreas.
Diseñar para la realidad humana
Es frecuente escuchar que “las personas son el eslabón débil”. Phishing, errores de configuración o decisiones equivocadas ocurren, pero culpar al individuo oculta el diseño del sistema. Muchos entornos están diseñados esperando humanos perfectos: atención permanente, decisiones complejas y cumplimiento estricto en condiciones cambiantes.
El enfoque sociotécnico asume la realidad humana y diseña para ella. Implica reducir carga cognitiva con automatización bien pensada, clarificar autoridad y responsabilidades, priorizar lo relevante sobre el ruido y fortalecer el criterio —no solo el cumplimiento—. Cuando el sistema acompaña, las personas mejoran; cuando el sistema castiga buscan como evitarlo.
Procesos que coordinan la acción bajo incertidumbre
Desde esta perspectiva, los procesos no existen para “cumplir” ni para producir evidencia, sino para coordinar la acción bajo escenarios llenos de incertidumbre. Deben ser comprensibles, ejecutables y evolutivos; retroalimentados por la experiencia —incluidos los análisis postmortem— y por auditorías.
Un proceso útil da estructura sin rigidez y acelera las decisiones en lugar de burocratizarlas. Su función es reducir ambigüedad, clarificar escalamiento y facilitar traspasos fluidos entre equipos.
Tecnología como habilitador
La tecnología no pierde relevancia: cambia de papel. Debemos cambiar nuestra pregunta común de “¿qué tecnología compramos?” a “¿qué fricción queremos eliminar?”. La tecnología valiosa convierte datos en decisiones, integra contexto, reduce alertas irrelevantes y automatiza lo repetitivo liberando capacidad humana para ponerla donde más valor aporta.
Cuando la tecnología se evalúa por su contribución al flujo de decisión —y no por el volumen de alertas o la lista de controles—, disminuye el ruido operativo y aumenta la calidad de las respuestas.
El liderazgo que crea resiliencia
Este cambio redefine el liderazgo. En un modelo sociotécnico, el CISO, CTO y CIO no solo seleccionan herramientas o administran controles, diseñan el sistema de respuesta. Orquestar interdependencias significa producir decisiones de calidad bajo presión, tolerar el error sin normalizarlo (y aprender de él), equilibrar automatización y juicio humano, alinear incentivos operativos con objetivos de seguridad y reducir la fricción organizacional que degrada los tiempos de contención.
La medida del éxito también cambia. Además de métricas técnicas, importan indicadores sistémicos: latencia de decisión (tiempo entre detectar y actuar), claridad de escalamiento, calidad de los traspasos entre equipos y aprendizaje incorporado después de incidentes. En síntesis: menor ruido, mejores decisiones con contexto.
Para los ejecutivos de negocio, la implicación es directa: la ciberseguridad se vuelve una disciplina de diseño organizacional aplicada a la resiliencia. El objetivo no es “más seguridad” como fin, sino reducir tiempo de decisión, contener el impacto y recuperar sin paralizar la operación.
Si el análisis de riesgos rumbo a 2026 deja algo claro es que no estamos ante una carencia de controles o conocimiento tecnológico, sino ante un problema de enfoque. Ver la ciberseguridad como sistema sociotécnico es una respuesta práctica a un contexto donde la complejidad ya supera a los enfoques puramente técnicos.
Tres preguntas para el comité directivo:
- ¿Dónde se toman decisiones críticas bajo presión y quién tiene autoridad real?
- ¿Qué fricción degrada la respuesta (ruido, silos, aprobaciones, incentivos)?
- ¿Qué parte del diseño asume ‘humanos perfectos’ y castiga el error en lugar de aprender?
Bien entendido, este enfoque no reemplaza la tecnología: la ubica en su lugar correcto; no sustituye a las personas: potencia su impacto; no elimina procesos: los hace ejecutables. Y, sobre todo, ofrece un camino más realista y sostenible para responder, adaptarse y aprender en un entorno donde los riesgos siguen evolucionando.
