En muchas organizaciones ocurre algo que rara vez se reconoce abiertamente: la saturación constante de advertencias. Alertas críticas, reportes urgentes, evaluaciones de riesgo, vulnerabilidades recién descubiertas, incidentes globales, actualizaciones regulatorias… todo aparece marcado como prioridad máxima. Y cuando todo parece urgente, nada lo es realmente.
Ese fenómeno silencioso podría tener un nombre: la fatiga del riesgo.
Y aunque puede aparecer en varias áreas, en ciberseguridad se amplifica.
No es que los directivos no se interesen. Tampoco es desidia. Es que el ruido termina opacando la señal. Cuando cada semana se presentan escenarios apocalípticos, métricas difíciles de interpretar o reportes sin contexto, los líderes comienzan a desconectarse. Escuchan sin escuchar. Asienten sin procesar. Y toman decisiones basadas más en intuición que en información.
La ironía es que la ciberseguridad no ha perdido relevancia; lo que ha perdido es atención generada por quienes nos dedicamos a esto. No porque sea menos importante, sino porque el mensaje se ha desgastado a fuerza de repetirse sin propósito claro.
Hace poco facilité un ejercicio de simulación de crisis para uno de los directores generales de una de las empresas más grandes de México. En cierto momento, compartió una reflexión que sintetiza lo que muchas organizaciones viven: “Si la ciberseguridad no viene con absoluta claridad, y se deja al negocio decidir qué resolver, nunca la vamos a privilegiar. Mis métricas van en otra dirección.”
Tiene razón: cuando la conversación sobre riesgo digital no se traduce al lenguaje del negocio, la ciberseguridad compite contra indicadores comerciales, metas operativas y prioridades financieras. Y pierde. No porque no importe, sino porque no está presentada de manera que permita priorizarla.
Por eso, la posición del director general se vuelve determinante. Cuando la cabeza de la organización reconoce que la ciberseguridad es parte de la continuidad, de la reputación y de la sostenibilidad, ese mensaje permea de inmediato. No se trata solo de identificar riesgos, sino de asegurar que se ejecuten las acciones necesarias para mitigarlos.
Los responsables de ciberseguridad y tecnología viven este dilema todos los días. Deben advertir sin sonar alarmistas, explicar sin abrumar y pedir recursos sin perder credibilidad. La fatiga del riesgo también los alcanza: no solo por la cantidad de alertas que deben gestionar, sino porque deben traducirlas continuamente para ejecutivos que llegan saturados de ruido.
Cuando un CISO presenta un reporte con 40 riesgos, pierde a su audiencia en el renglón dos. Pero cuando presenta tres, claramente conectados con impacto financiero, continuidad o cliente, la conversación cambia. Ese puente entre lo técnico y lo estratégico es responsabilidad compartida: de quien comunica… y de quien pide claridad.
Te interesa: IA, ciberseguridad y talento: los retos de la transformación digital
Este fenómeno afecta también, y con frecuencia con mayor intensidad, a las pequeñas y medianas empresas. Las PYMES suelen operar sin un responsable de ciberseguridad o seguridad de la información formal, con estructuras limitadas y procesos que crecieron más rápido que su resiliencia. Ahí, la fatiga no surge por exceso de advertencias, sino por la creencia equivocada de que “no somos un blanco relevante”. Cuando finalmente enfrentan un riesgo, no saben por dónde empezar, y cualquier recomendación parece un gasto, no una decisión estratégica.
El problema no es la falta de voluntad, sino la falta de traducción. La ausencia de un lenguaje común entre negocio y tecnología. La fatiga del riesgo no nace del exceso de información, sino de la falta de sentido.
Una alerta sin contexto, sin explicar qué proceso afecta, qué cliente está en riesgo, qué costo tendría un incidente o qué decisión se espera del ejecutivo, se convierte en ruido. Y el ruido, con el tiempo, genera indiferencia.
La responsabilidad es compartida. Los líderes necesitan pedir priorización y claridad; los responsables de ciberseguridad deben ofrecer narrativa, contexto y enfoque estratégico. La conversación deja de desgastarse cuando ambas partes construyen un puente que vuelve entendible lo que antes era inentendible.
En varios comités donde participo, he visto cómo cambia la dinámica cuando, en lugar de mostrar listas interminables, el equipo de ciberseguridad responde tres preguntas simples:
- ¿Qué está realmente en riesgo?
- ¿Cuánto nos costaría no atenderlo?
- ¿Qué necesitamos decidir hoy?
Con eso, la fatiga se disipa. La conversación se vuelve útil. La atención regresa.
La confianza entre directivos y responsables de ciberseguridad se convierte entonces en un activo estratégico. Cuando existe, la organización reacciona con claridad. Cuando no existe, cada alerta se interpreta como ruido, exageración o una solicitud de presupuesto disfrazada.
La fatiga del riesgo no es un síntoma menor. Es un riesgo estratégico que afecta la capacidad de una empresa para priorizar, decidir y prevenir. La solución no está en reducir alertas, sino en elevar la claridad; no en minimizar el riesgo, sino en traducirlo.
La verdadera resiliencia surge cuando el ruido se transforma en narrativa, y esa narrativa en decisiones que importan. Ahí, justo donde técnica y negocio se encuentran, es donde realmente se construye la capacidad de escuchar lo que hace la diferencia.
Sobre el autor:
Correo: [email protected]
LinkedIn: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
Síguenos en Google Noticias para mantenerte siempre informado
