Sign in

Política firmada sin leer

Política firmada sin leer

Un riesgo invisible

Un gesto automático que desactiva la conciencia

En Comillas, como en tantas instituciones, cada cierto tiempo recibimos un correo con un asunto solemne del tipo: “Nueva política de trabajo remoto. Léala y fírmela antes del viernes.” Diez minutos después, los acuses de recibo ya están llegando. Nadie pregunta, casi nadie la abre. La firma llega antes que la lectura. Es un gesto rutinario, casi automático, que se hace por inercia. Pero ¿qué ocurre cuando esa firma no implica comprensión, sino simple trámite?

Este pequeño acto administrativo encierra un gran problema: convierte lo que debería ser un compromiso consciente en una simple formalidad. En el fondo, la seguridad deja de ser una cultura compartida para convertirse en una casilla más del cumplimiento.

Cuando el cumplimiento sustituye a la conciencia

Las normas internacionales de seguridad de la información, como la ISO 27001:2022 o el Esquema Nacional de Seguridad (ENS), insisten en que las políticas deben ser “conocidas, comprendidas y aplicadas”. No basta con que existan o estén firmadas. Sin embargo, en la práctica, muchas organizaciones confunden evidencia documental con cultura de seguridad real.

En el campus esto se traduce en escenas cotidianas: alguien reenvía un archivo con datos personales a su correo personal “para trabajar desde casa”, otro comparte por WhatsApp una foto del laboratorio con pantallas visibles, y nadie recuerda que la política de uso de información lo prohíbe. No por rebeldía, sino porque nadie interiorizó esas reglas.

Firmar sin leer genera una falsa sensación de seguridad. Parece que todo está bajo control, pero en realidad desactiva la reflexión y erosiona la confianza en los mecanismos que deberían protegernos.

Políticas que no conectan con las personas

A veces el problema no está en quien firma, sino en cómo se redacta la política. Documentos largos, llenos de fórmulas jurídicas y frases impersonales como “el usuario deberá abstenerse de realizar acciones no autorizadas por los lineamientos establecidos”. ¿Quién podría sentirse identificado con eso?

Una política así no guía, ni inspira, ni enseña; solo cumple. En cambio, una buena política es como una brújula sencilla: te orienta incluso cuando no tienes el texto delante. Habla el idioma de las personas, no el de los auditores.

Imagina una versión que diga: “No uses tu correo personal para enviar información de estudiantes o proyectos. Si necesitas acceder desde fuera, utiliza las herramientas seguras aprobadas por el STIC.” Es corta, comprensible y deja claro el porqué.

De documento estático a cultura viva

El verdadero valor de una política no se mide por el número de firmas, sino por el número de decisiones correctas que genera. Una política viva se nota cuando, ante una duda, el personal recuerda de forma natural qué hacer; cuando una estudiante detecta un intento de fraude y lo comunica a los canales oficiales del STIC; cuando un profesor borra los metadatos antes de publicar un informe con datos sensibles.

Eso ocurre cuando la política se integra en la cultura. Para conseguirlo, hay que comunicar, no solo distribuir. Comunicar significa conversar, contextualizar, escuchar. Las mejores universidades lo logran implicando a su comunidad: breves sesiones en departamentos, cápsulas formativas de cinco minutos en clase o vídeos con ejemplos reales. No se trata de añadir más normas, sino de conectar mejor con quienes deben aplicarlas.

Cómo revitalizar nuestras políticas en Comillas

En el contexto universitario, donde conviven perfiles diversos (PDI, PAS y alumnado), las políticas deben traducirse a situaciones reales del campus. Un texto genérico no funciona igual para quien trabaja en gestión administrativa, investiga en laboratorio o imparte docencia a distancia.

Algunas claves prácticas:

  • Contextualizar: relacionar cada norma con ejemplos del día a día en Comillas.
  • Simplificar: eliminar tecnicismos y redactar con lenguaje claro.
  • Explicar el porqué: cada control debe tener sentido, no parecer capricho.
  • Revisar tras cada incidente: una política que no aprende de sus fallos, envejece.
  • Difundir de forma continua: mejor pequeños recordatorios periódicos que un gran correo anual.

El papel del liderazgo y la coherencia

Cuando la dirección, el profesorado o los equipos de gestión aplican las normas con naturalidad, el resto las asume como parte del trabajo bien hecho. La coherencia es la mejor campaña de sensibilización. Si la política dice que no se deben usar servicios externos para almacenar información y los responsables lo cumplen, el mensaje se refuerza. Si no, se diluye.

Sabemos que aprendemos más por modelado que por instrucción: imitamos lo que vemos. Una política coherente empieza por quienes la representan.

¿Y si cambiamos la pregunta?

En lugar de “¿Quién ha firmado la política?”, podríamos empezar a preguntar: “¿Quién la ha entendido y la aplica?”. Ese simple cambio de enfoque transforma la seguridad en una responsabilidad compartida.

Imagina dentro de unos meses un escenario distinto: recibes la nueva política digital de seguridad, la abres y descubres que no son treinta páginas, sino seis; que explica con ejemplos cómo actuar si pierdes un dispositivo, si sospechas un correo fraudulento o si trabajas desde casa. La lees en cinco minutos, la entiendes y, por primera vez, sientes que firmar tiene sentido.

Esa sería una política viva, coherente con los principios del ENS y de ISO 27001: comunicación clara, comprensión y aplicación.

Mirando al futuro

El reto no es tener más políticas, sino hacer que vivan en nuestra forma de trabajar. Cada vez que alguien pregunta antes de compartir un documento, cifra un archivo o reporta un correo sospechoso, la política cobra vida. En ese gesto cotidiano está la verdadera madurez de la seguridad universitaria.

Temas que podrían explorarse en futuros artículos

Podríamos profundizar próximamente en tres líneas muy conectadas con este tema:

  • Cómo transformar las políticas de seguridad en narrativas comprensibles para toda la comunidad universitaria.
  • El papel del liderazgo emocional en la cultura de ciberseguridad.
  • Herramientas digitales que facilitan la comprensión y el seguimiento de las políticas del STIC.

Acciones rápidas para revitalizar tu compromiso con la seguridad

  • Abrir y leer la última política del STIC que hayas firmado.
  • Anotar una duda o mejora y remitirla por los canales oficiales del STIC.
  • Comentar con tu equipo un ejemplo práctico de esa política en tu trabajo.
  • Evitar reenviar información institucional a correos personales.
  • Programar un recordatorio trimestral para revisar las políticas vigentes.
  • Reflexionar sobre qué parte de tu trabajo depende de la confianza digital… y cómo puedes reforzarla hoy mismo.