En resumen
"Fue el factor humano." Esa frase aparece en casi todos los reportes de incidente que he leído. Y en casi todos los casos, es la forma más elegante de no decir nada.
Por qué importa
El factor humano no es una explicación. Es una pregunta disfrazada de respuesta. Y mientras la tratemos como respuesta, seguiremos construyendo sistemas que fallan de la misma manera.
"Fue el factor humano." Esa frase aparece en casi todos los reportes de incidente que he leído. El guardia no siguió el protocolo. El operador cometió un error. El empleado tomó una mala decisión. Y ahí termina el análisis. Como si nombrar al humano como causa fuera suficiente para cerrar el caso.
No lo es. Decir que un incidente ocurrió por factor humano es como decir que un avión cayó porque dejó de volar. Es técnicamente cierto y completamente inútil. La pregunta que importa no es quién falló, sino por qué el sistema permitió que esa falla tuviera consecuencias.
James Reason y el queso suizo
En 1990, el psicólogo James Reason publicó su modelo de accidente organizacional, conocido popularmente como el modelo del queso suizo. La idea es que los sistemas complejos tienen múltiples capas de defensa, cada una con agujeros. Un accidente ocurre cuando los agujeros de todas las capas se alinean y permiten que una trayectoria de falla llegue hasta el resultado final.
Lo que Reason demostró es que los errores humanos raramente son la causa raíz de un incidente. Son el último eslabón de una cadena que incluye diseño deficiente, procedimientos ambiguos, supervisión insuficiente, cultura que normaliza atajos y presiones organizacionales que empujan hacia la falla. El humano que comete el error es visible. Todo lo que lo llevó ahí es invisible, hasta que alguien decide buscarlo.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Lo que se pierde cuando culpamos al individuo
Cuando el análisis termina en "el empleado falló", la organización aprende exactamente nada. Despide al empleado, contrata a otro, y el sistema que produjo la falla sigue intacto, esperando al siguiente humano que cometa el mismo error en las mismas condiciones.
He visto esto en investigaciones de fraude, en accidentes de seguridad física, en brechas de información. La persona que ejecutó la acción es reemplazada. La vulnerabilidad que la hizo posible permanece. Y seis meses después, el incidente se repite con un nombre diferente en el reporte.
Las preguntas correctas
- ▸¿Qué condiciones del sistema hicieron que este error fuera probable, no solo posible?
- ▸¿Cuántas personas en la misma posición habrían tomado la misma decisión?
- ▸¿Qué señales previas existían que el sistema no detectó o ignoró?
- ▸¿Qué cambio en el diseño, el proceso o la supervisión habría interrumpido la cadena de falla?
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.