La cultura de seguridad es uno de los mecanismos más importantes para influenciar el comportamiento de los empleados, aunque tiende a ser un aspecto de la seguridad organizacional al cual no se da la importancia correspondiente.

“Un error común en nuestra industria es que los entrenamientos de sensibilización cambiarán, es decir, mejorarán el comportamiento relacionado con la seguridad”, dijo Kai Roer, cofundador de la compañía emergente europea CTLRe (y columnista de Help Net Security).

“Esta idea proviene de la teoría económica racional, con la que hace cien años los economistas trataban de explicar cómo las personas hacían sus compras según las influencias del entorno. Unas décadas después esta teoría fue desacreditada por científicos conductistas, quienes demostraron que hacemos decisiones basándonos en nuestras emociones y en la presión social, no en nuestro conocimiento.”

Por ejemplo, a pesar de saber que es ilegal acelerar demasiado un automóvil, la gente lo sigue haciendo. “¿Por qué, entonces, nuestra industria sigue invirtiendo en programas de entrenamientos de sensibilización en vez de construir soluciones que mejoren la seguridad?” Roer y el doctor Gregor Petrič`, el director del Centro para la Metodología e Informática, Universidad de Ljubljana, han estado analizando las respuestas de más de 10,000 empleados de 38 compañías en Noruega y Suecia, a los cuales se les ha preguntado sobre su conocimiento en seguridad, comportamiento, actitudes, obediencia, entre otras cosas.

Basado en esas respuestas se ha creado el primer reporte anual sobre la cultura de seguridad, y muestra unos patrones interesantes. “A primera vista, una mujer de más de 50 años, trabajando en un banco noruego y quien ha estado trabajando por más de 5 años en el banco tiende a ser un empleado más seguro con menos riesgos”, dice Roer. “Sin embargo, observando detrás de los números, podemos notar que las mujeres reportan una menor competencia de seguridad y riesgo que los hombres, mientras que también reportan mayor cumplimiento de las reglas. ¿Esto significa que las mujeres son empleados más seguros? O, ¿los hombres son más honestos en sus informes de comportamientos?”

Otro descubrimiento interesante es que la edad definitivamente importa. “He escuchado en el pasado que las personas más jóvenes son mejores usando la tecnología que nosotros, que ya no somos tan jóvenes, y algunos han sugerido que esto significa que ellos tienen mejor cultura en seguridad (ellos conocen más sobre tecnología, así que saben más sobre seguridad – ¿ven un patrón aquí?)”, dijo Roer. “Pero en nuestra investigación podemos ver que los comportamientos más seguros vienen con la edad, como también un mejor entendimiento de las normas y el cumplimiento con los comportamientos sociales.”

También se ha encontrado que hay una fuerte correlación entre normas y comportamientos, mientras más entiendan e interioricen las normas de la organización (políticas, cuestiones regulatorias y reglas informales), mejoran los comportamientos de seguridad. “Esto nos lleva a creer que un programa de seguridad con un enfoque en normas más concisas y claras nos va a llevar a una mejor seguridad. De nuevo todo esto está basado en investigaciones científicas sociales realizadas por más de 60 años”, dijo Roer.

Los resultados han mostrado las diferencias de la cultura de seguridad en diferentes industrias. Roer también dice que además de lo que encontraron acerca de edad (él tenía el prejuicio de que los “millenial” tenían comportamientos más seguros), él estaba sorprendido por la comparación de los datos entre los países. “Tenía el prejuicio que la cultura organizacional en Suecia cumplía mejor las reglas y leyes que en Noruega y, por lo tanto, esperaba que en Suecia la puntuación en cultura de seguridad fuera más alta que en Noruega en general”, dijo Roer. Pero la investigación mostró lo contrario. “Hay muchas razones por la cual puede pasar esto, que examinaremos a continuación.”

Muchos recursos se están invirtiendo en entrenar a los empleados a tener comportamientos más seguros, mientras que las infracciones están siendo rastreadas a un tipo de interacción humana en específico.

“Desde que empecé a trabajar en la industria de la seguridad de la información, nos hemos estado quejando acerca de la falta de resultados de los programas de sensibilización de seguridad, pero la idea de entrenar a la gente para cambiar su comportamiento es errónea. Nuestra investigación muestra claramente que en lo que necesitamos enfocarnos es en construir buenas reglas de comportamiento, y después informar a los empleados y asegurar que se cumplan estas reglas”, dice Roer.

“En psicología social llamamos a esto presión de los pares, existe en todos los grupos de personas y todos estamos abiertos a esta influencia, de hecho, la mayoría de nosotros obedecemos a estas señales sin darnos cuenta, solo adaptamos nuestro comportamiento a los que percibimos como comportamientos preferidos en el grupo. Muchos estudios han demostrado el poder de la influencia social, y la manera de construir programas para influenciar en los demás. La cultura de seguridad es en gran parte comportamiento social y creo que deberíamos adoptar y aplicar métodos que están funcionando bien en otros campos, en vez de insistir en hacer cosas que no funcionan.”

Estas son algunas recomendaciones para mejorar la cultura de seguridad dentro de otras compañías:

• Conoce tu cultura – usa una herramienta para hacer un mapa de ella.
• Asegura una organización sin discriminación de género – “Nuestro estudio muestra que los hombres y las mujeres tienen grandes diferencias en la forma que entienden y trabajan con lo relacionado a la seguridad y los riesgos. Un buen balance de ambos géneros para toda la organización, desde la alta dirección hasta los puestos más bajos, puede ser crucial para un buen manejo de riesgos.”
• Abandonar los programas de sensibilización y concentrarse en facilitar y reforzar buenos comportamientos usando lo que conocemos de psicología social: normas, presión, relaciones sociales, compañeros, etc.