Enagás y Kymatio: una visión práctica sobre la gestión del riesgo humano

En el marco de la participación de Kymatio en Madrid Tech Show, una de las conversaciones más valiosas fue la compartida junto a Rafael Bolívar, CISO de Enagás. Más allá del contexto del evento, su intervención dejó una visión especialmente útil sobre cómo abordar el riesgo humano desde una perspectiva realista, práctica y conectada con las necesidades del negocio.

Su aportación fue especialmente relevante porque aterriza una preocupación común en muchas organizaciones: cómo pasar de la concienciación tradicional a un modelo más útil, más medible y más alineado con la realidad operativa de la compañía.

El límite del modelo tradicional de concienciación

Uno de los mensajes más claros que dejó la sesión es que el enfoque clásico de formación en ciberseguridad ya no resulta suficiente.

Durante años, muchas organizaciones han confiado en cursos largos, plataformas complejas y contenidos excesivamente teóricos. El problema no es solo que estos formatos generen poca atención, sino que con frecuencia no consiguen conectar con el día a día del empleado ni traducirse en cambios reales de comportamiento.

Cuando la concienciación se percibe como una obligación más, desconectada del contexto de trabajo y de la experiencia personal, su impacto es limitado.

Traducir la cultura de seguridad al comportamiento digital

En el caso de Enagás, esta reflexión adquiere un valor especial. En entornos industriales, la cultura de seguridad física forma parte del ADN de la organización. Existen hábitos, protocolos y niveles de atención muy interiorizados porque forman parte de la operativa diaria.

El reto está en trasladar esa misma conciencia preventiva al ámbito digital.

No se trata de incorporar más complejidad ni de saturar con mensajes técnicos, sino de conseguir que la ciberseguridad se entienda como una extensión natural de la cultura de seguridad ya existente en la organización.

Cuando lo personal también protege a la empresa

Otro de los aspectos más interesantes de la conversación fue la forma de abordar la concienciación desde una lógica mucho más cercana y humana.

La ciberseguridad genera una respuesta distinta cuando el empleado entiende que no solo afecta a la empresa, sino también a su propia vida cotidiana. Cuando los ejemplos conectan con situaciones personales, como fraudes, mensajes sospechosos o intentos de engaño que podrían afectar a cualquier persona, la conversación deja de sentirse lejana o puramente corporativa.

Ese cambio es importante porque convierte la sensibilización en algo útil, comprensible y relevante. Y cuando eso sucede, también mejora la capacidad de proteger a la organización.

La importancia de la continuidad frente a las acciones puntuales

La experiencia compartida durante la sesión también refuerza una idea clave: la eficacia no suele venir de grandes acciones aisladas, sino de la continuidad.

Frente a modelos basados en una única formación anual, el valor está en mantener una presencia constante, ligera y bien integrada en la rutina de los usuarios. Un enfoque basado en microlearning y recordatorios periódicos permite reforzar conceptos, mantener la atención y consolidar hábitos sin generar rechazo ni fatiga.

Este tipo de dinámica facilita además la incorporación de nuevas temáticas, adaptándose a cambios regulatorios o a nuevos escenarios de riesgo sin necesidad de rediseñar por completo la estrategia.

Medir, demostrar y priorizar

Uno de los puntos más relevantes para cualquier responsable de seguridad es la trazabilidad.

Gestionar el riesgo humano no consiste solo en lanzar acciones de concienciación, sino en poder demostrar qué se ha hecho, con qué alcance, con qué seguimiento y con qué resultado. Esa capacidad de medición resulta clave para auditoría, cumplimiento normativo y reporting a dirección.

Pero también lo es para algo igual de importante: priorizar.

Cuando una organización dispone de datos que le permiten identificar áreas, perfiles o colectivos con mayor exposición, puede orientar mejor sus esfuerzos y tomar decisiones más informadas. Esto permite invertir de forma más eficiente y centrar los recursos en aquellos puntos donde el impacto puede ser mayor.

De la concienciación a la gestión del riesgo humano

La principal conclusión que deja esta conversación entre Enagás y Kymatio es que el riesgo humano no puede seguir tratándose únicamente como una cuestión formativa.

Hoy, las organizaciones necesitan avanzar hacia un enfoque más estructurado, donde la concienciación forme parte de una estrategia más amplia de medición, seguimiento y toma de decisiones.

Eso implica entender el comportamiento humano no solo como un elemento de sensibilización, sino como una dimensión crítica del riesgo de negocio.

Una visión práctica para organizaciones que quieren madurar

La intervención de Rafael Bolívar aportó precisamente eso: una visión práctica, aterrizada y creíble sobre lo que realmente necesita una organización para madurar en la gestión del riesgo humano.

No se trata de añadir más ruido, sino de construir una aproximación útil para el empleado, sostenible para la organización y defendible para los responsables de seguridad.

Ese es también el enfoque con el que en Kymatio trabajamos la gestión del riesgo humano: ayudar a las organizaciones a pasar de la actividad a la evidencia, y de la concienciación aislada a una estrategia continua y conectada con el negocio.

‍

‍

¿Quieres conocer cómo abordar el riesgo humano con una visión más práctica?

Si quieres descubrir cómo medir, priorizar y gestionar el riesgo humano desde una perspectiva más operativa y alineada con el negocio, puedes solicitar una demo de Kymatio.

‍