La ciberseguridad y el cumplimiento normativo siempre han destacado en una cosa: transformar la incertidumbre en una estructura.
Tomamos algo abstracto, como una amenaza, y lo convertimos en algo manejable. Asignamos probabilidad e impacto, definimos responsabilidades, implementamos controles y realizamos un monitoreo continuo. Con el tiempo, esta disciplina ha transformado el riesgo cibernético, de algo intangible a algo que las organizaciones pueden gestionar activamente.
El agotamiento laboral no figura en la mayoría de los registros de riesgos, a pesar de ser generalizado, cuantificable y cada vez mejor comprendido. Afecta el desempeño en puestos donde pequeños descuidos tienen consecuencias desproporcionadas. Esto no es un descuido, sino que refleja una deficiencia en la forma en que las organizaciones definen el riesgo.
La suposición de la que no hablamos
La mayoría de los modelos de seguridad y cumplimiento se basan en una suposición implícita: que las personas que los operan funcionan a pleno rendimiento cognitivo.
Consecuentemente.
Sólo en el Reino Unido, Los problemas de salud mental cuestan actualmente a las empresas 51 millones de libras esterlinas al año., con más de 22 millones de días laborales perdidos cada año debido al estrés, la ansiedad y la depresión. Casi La mitad de los líderes de recursos humanos identifican ahora el agotamiento laboral como el mayor riesgo empresarial para 2026.. En puestos tecnológicos, Hasta el 82% de los empleados afirman sentirse al borde del agotamiento..
En ese contexto, la suposición de un rendimiento humano consistentemente alto empieza a parecer menos un punto de partida y más una vulnerabilidad.
Como lo expresó la especialista en salud mental Maria Drakoula: "Las organizaciones dan por sentado un desempeño perfecto por parte de los empleados, lo cual, en principio, constituye un riesgo para la seguridad en sí mismo".
La mayoría de los sistemas de seguridad están diseñados para una plantilla que opera a pleno rendimiento. Esa plantilla no existe.
El agotamiento, replanteado como riesgo.
Si las organizaciones trataran el agotamiento con la misma rigurosidad que otros riesgos operativos, creo que la conversación sería muy diferente. Y comenzaría, como todas las conversaciones sobre riesgos, con la probabilidad.
En todos los ámbitos de la tecnología y la seguridad, el agotamiento laboral no es un problema marginal ni un pico periódico; es un fenómeno persistente. Investigación de ISACA Se descubrió que el 73% de los profesionales de TI europeos han experimentado estrés o agotamiento laboral, mientras que una investigación independiente encontró que El 91% de los CISO reportan niveles de estrés moderados o altos.En el Reino Unido, aproximadamente Cuatro de cada cinco empleados afirman estar al borde del agotamiento., con mayores concentraciones en puestos técnicos.
Esto no es un riesgo extremo. Forma parte del entorno operativo.
El impacto es más concreto de lo que suele pensarse. El agotamiento afecta a tres aspectos fundamentales para la seguridad: la atención, el criterio y la motivación. Cuando estos se deterioran, también lo hace la eficacia de los controles. No de forma drástica al principio, sino de manera gradual: alertas omitidas, decisiones más lentas, pequeños errores, incumplimiento de los procesos.
El efecto acumulativo es medible. La productividad puede disminuir hasta en un 35% en condiciones de mala salud mental.Los empleados pierden casi cinco horas semanales debido a la ineficiencia relacionada con el estrés. Presentismo: personas que trabajan estando enfermas; esto cuesta a las organizaciones entre dos y tres veces más que la ausencia.
Nada de esto encaja cómodamente en la categoría de "bienestar". En efecto, se trata de una degradación del factor humano dentro del entorno de control.
El agotamiento no se manifiesta de forma aislada. Los picos de presión, los ciclos de auditoría y los incidentes graves son manejables. Pero cuando estas condiciones persisten, dejan de ser excepcionales y se convierten en un problema estructural. Los equipos de seguridad, en particular, operan bajo una carga constante: alertas continuas, picos de auditoría periódicos y modelos de respuesta reactiva. Con el tiempo, esto genera patrones recurrentes, fatiga por alertas, sobrecarga cognitiva y atajos en los procesos. El sistema puede seguir superando las auditorías y parecer conforme a la normativa, pero se vuelve menos fiable.
Qué significaría tomar esto en serio
Reconocer el agotamiento como un riesgo de primer orden no requeriría un nuevo marco de referencia. Bastaría con utilizar el que ya existe.
Un registro de riesgo de agotamiento laboral no desentonaría junto con otros riesgos operativos. Describiría, en términos sencillos, las condiciones que generan exposición: intensidad sostenida de la carga de trabajo, herramientas fragmentadas, picos derivados de auditorías y equipos con recursos insuficientes. Realizaría un seguimiento de los indicadores principales, no solo de las ausencias o la rotación de personal, sino también de señales que los líderes operativos ya conocen:
- Acumulación de tareas pendientes y alertas sin resolver
- aumento de las tasas de error o del retrabajo
- jornada laboral extendida más allá del contrato
- disminución de la participación en procesos críticos
Los controles que aparecen a continuación también resultan sorprendentemente familiares:
- Modelado de carga de trabajo y capacidad alineado con los ciclos de riesgo conocidos.
- Ajuste y priorización de alertas para reducir el ruido.
- automatización de tareas repetitivas y de bajo valor
- una propiedad más clara en sistemas fragmentados
- un cambio de auditorías basadas en picos a enfoques más continuos
El objetivo no es medicalizar el agotamiento profesional ni reducirlo a una métrica. Se trata de hacerlo visible, que la sociedad lo reconozca y que sea gestionable, que es precisamente lo que las organizaciones ya hacen con cualquier otro riesgo que tenga este nivel de prevalencia y consecuencias.
El agotamiento como multiplicador de riesgos
Creo que una de las razones por las que el agotamiento laboral sigue estando poco controlado es que rara vez se presenta como un fracaso aislado. Amplifica otros riesgos.
Como destaca Maria Drakoula, “el agotamiento deteriora la atención, el juicio y la motivación, abriendo la puerta no solo al error humano, sino también, en casos extremos, a comportamientos maliciosos”. En términos de seguridad, esto se traduce en modos de fallo bien conocidos:
- susceptibilidad a la ingeniería social, donde chocan la fatiga y la urgencia.
- configuraciones erróneas causadas por sobrecarga cognitiva o decisiones apresuradas
- La fatiga por alertas puede provocar que las amenazas pasen desapercibidas o sean desestimadas.
- Atajos en el control de acceso tomados bajo presión
- fallas en el cumplimiento de los procesos
Considerados individualmente, cada uno de estos elementos resulta familiar. En conjunto, forman un patrón. El agotamiento no introduce nuevos riesgos, sino que aumenta la probabilidad de los que ya existen.
Sistemas, no individuos
Tratar el agotamiento como un problema individual relacionado con la resiliencia, la capacidad de afrontamiento y el bienestar personal traslada el problema del sistema y la gobernanza a la persona. Esta es una decisión de diseño, y es errónea. Los factores que lo impulsan —modelos de auditoría que generan picos insostenibles, herramientas que fragmentan los flujos de trabajo y aumentan el esfuerzo manual, modelos operativos que presuponen una disponibilidad constante y enfoques de cumplimiento reactivos en lugar de continuos— se encuentran firmemente arraigados en la gobernanza.
Se trata de decisiones de diseño. Y las decisiones de diseño son controlables.
El trabajo remoto y distribuido también ha cambiado la forma en que se manifiesta el agotamiento, más que si se manifiesta o no. Como señala Maria Drakoula, «el aislamiento combinado con la tensión cognitiva crea condiciones propicias para que los errores se produzcan, se propaguen y permanezcan sin detectarse durante más tiempo». Desde una perspectiva de seguridad, esto no es tanto un problema cultural como de detección y resiliencia. El riesgo no reside en que las personas trabajen de forma remota, sino en que el sistema cuenta con menos puntos naturales de interrupción y corrección.
El problema de diseño más amplio
Esto se relaciona con un argumento más amplio sobre cómo las organizaciones gestionan el riesgo en general. Las mismas organizaciones que jamás se plantearían realizar una auditoría de seguridad anual y llamarla gestión continua del riesgo, gestionan su capital humano de la misma manera: una encuesta anual de compromiso, una semana de bienestar y un ciclo de formación puntual.
La lógica del monitoreo continuo, que se aplica a la seguridad de la información, la privacidad de los datos y la gobernanza de la IA, también se aplica aquí. El desempeño humano es un control. Se degrada. Necesita modelarse, no solo observarse. Cuando La seguridad de la información, las obligaciones de privacidad y la gobernanza de la IA se gestionan como un sistema conectado y continuo. En lugar de realizar ejercicios puntuales aislados, las organizaciones se vuelven realmente más difíciles de desestabilizar. Extender esa misma lógica al factor humano del entorno de control no supone un salto significativo. Es el mismo principio, aplicado de forma coherente.
La pregunta para el liderazgo
Los responsables de seguridad ya son responsables de la eficacia de los controles, el cumplimiento normativo y la resiliencia operativa. El agotamiento laboral se relaciona con los tres aspectos. Sin embargo, rara vez se manifiesta dentro de las mismas estructuras de gobernanza, lo que genera una dependencia crítica del desempeño humano, que en gran medida se da por sentado en lugar de gestionarse activamente.
La pregunta más útil no es: ¿cómo reducimos el agotamiento? Sino: ¿en qué aspectos de nuestro entorno de control dependemos de un rendimiento humano sostenido que no podemos modelar ni gestionar de forma estructurada?
Responder a esa pregunta con honestidad es lo que realmente implica la gestión continua de riesgos. No se trata de una revisión anual. No es una iniciativa de bienestar. Es una dependencia estructurada, gestionada y supervisada, como todas las demás del sistema.
La ciberseguridad ha evolucionado aprendiendo a diseñar sistemas que se mantienen resilientes ante los fallos, salvo en un aspecto. Seguimos diseñando como si la capa humana fuera estable, consistente e infinitamente adaptable. Pero no lo es.
Si el agotamiento profesional tuviera las mismas características que un riesgo cibernético tradicional (alta prevalencia, impacto cuantificable y aumento progresivo), ya estaría modelado, monitoreado y reconocido. El hecho de que no sea así no lo hace menos real.
Simplemente significa que la decisión de dejarlo sin gestionar es, en sí misma, una decisión arriesgada. Una decisión que la mayoría de las organizaciones no han tomado conscientemente.
Amplíe su conocimiento
Blog: La ciberseguridad se enfrenta a una crisis de salud mental: cómo solucionarla
