Cálculo del ROI de las campañas de concienciación sobre seguridad
Publicado el: 2 Nov 2022
Última modificación: 8 Sep 2025
He aquí cómo calcular el retorno de la inversión (ROI) de educar a su personal en una campaña de concienciación sobre seguridad.
Un estudio del El Departamento de Cultura, Medios de Comunicación y Deporte (DCMS) descubrió que el 39% de las empresas británicas sufrieron un ciberataque en 2022. El coste de estas brechas no es insignificante. El informe del DCMS calculó que el impacto financiero de un solo ciberataque costaba a una empresa mediana 19.400 libras. Si tenemos en cuenta que las organizaciones se ven amenazadas a diario por los ciberataques, esto es motivo de preocupación.
La formación sobre concienciación en materia de seguridad es una de las medidas que pueden reducir la probabilidad de que se produzca o progrese un ataque. Esto se traduce en una reducción de los costes de un ataque. Pero, ¿vale el riesgo de un ataque el precio de realizar una formación de concienciación sobre seguridad?
Elementos a incluir al calcular el ROI de una campaña de concienciación sobre seguridad
Antes de embarcarse en el cálculo de «¿merece la pena la formación en seguridad?» es necesario hacer un inventario de los elementos incluidos. Un ataque a la ciberseguridad y/o una violación de datos tiene muchas partes móviles, cada una con costes tangibles e intangibles.
He aquí un vistazo a algunos de los costes más probables de un ciberataque:
La pérdida financiera directa de un ciberataque
El impacto directo de un ciberataque depende tanto del tipo de ciberataque como de la organización. Por ejemplo, un ataque de ransomware puede implicar el pago de un rescate (aunque el pago no es una estrategia recomendada). Sin embargo, cabe señalar que los importes de los rescates han ido en aumento en los últimos años.
Un informe de Nordlocker descubrió un aumento del 78% en el pago medio por ransomware, lo que eleva el rescate a la asombrosa cifra de 541.010 dólares (478.000 euros).
Los costes de un ciberataque también pueden incluir los daños a los sistemas informáticos, el tiempo empleado en remediar el ataque y las demandas colectivas: en el Reino Unido, el número de demandas colectivas tras un ciberataque aumentó un 120% entre 2018 y 2020.
El coste medio de un ciberataque debería tenerse en cuenta a la hora de calcular el ROI de una campaña de concienciación sobre seguridad. Sin embargo, esto también debería reflejar el número medio de ataques al año. Según el informe de la DCMS, el 31% de las empresas y el 26% de las organizaciones benéficas estiman que fueron atacadas al menos una vez a la semana.
Tiempo y trabajo para contener una brecha
Una de las consecuencias de un ciberataque es la dificultad para localizar la cadena de exploits y contener los daños. Un Un informe de IBM sobre el coste de una violación de datos reveló que el tiempo medio para contener una violación en 2022 era de 277 días. Durante este tiempo, los costes se acumulan.
Debe incluir el tiempo de inactividad del sistema informático, el soporte informático y las pérdidas de productividad estimadas en el cálculo de la rentabilidad de una campaña de concienciación sobre seguridad.
Daños a la reputación
El daño a la reputación es intangible y, por tanto, difícil de cuantificar. Sin embargo, son muchos los factores que entran en juego tras un ciberataque que tiene como resultado una reputación negativa. Entre ellos se incluye una pérdida general de confianza que afecta a los clientes, al precio de las acciones y al ecosistema de socios.
Esta pérdida de confianza se agudiza cuando los clientes abandonan una empresa tras una infracción. A El estudio de YouGov y Okta reveló que el 88% de los clientes dejarán de utilizar una empresa si consideran que no se puede confiar en que proteja sus datos.
El daño a la reputación es difícil de cuantificar y, por tanto, de añadir a una ecuación, pero es posible que disponga de algunos datos sobre la pérdida de clientes a causa de las soluciones de inteligencia empresarial (BI).
Incumplimiento y multas
Varias normativas de protección de datos, incluidas la PCI-DSS y la GDPR, obligan o recomiendan encarecidamente el uso de la Formación en Concienciación sobre Seguridad. Por lo tanto, si puede demostrar que su organización utiliza la Formación para la Concienciación sobre la Seguridad, cualquier acción posterior de aplicación de la normativa deberá tenerlo en cuenta.
Sin embargo, a la hora de calcular la rentabilidad de una campaña de concienciación en materia de seguridad, debe tenerse en cuenta el coste típico de una multa por incumplimiento en su sector.
Puede encontrar el nivel de multas que podrían afectar a su empresa tras una infracción en la Oficina del Comisionado de Información (ICO). Por ejemplo, el GDPR y el DPA 2018 del Reino Unido fijan la multa máxima en 17,5 millones de libras esterlinas o el 4% de la facturación global anual.
Primas de seguro
Según un estudio de las aseguradoras Hiscox, el 63% de las empresas británicas tiene previsto contratar un seguro cibernético como parte de su estrategia. Además, las primas pueden bajar si reduce el riesgo formando a los empleados en concienciación sobre seguridad.
Añada el coste del ciberseguro a la rentabilidad de una campaña de concienciación sobre seguridad como parte de los costes generales de su estrategia de seguridad.
Otros costes de retorno de la inversión incluyen:
- El coste del paquete de formación y cualquier característica añadida, como la formación en simulación de phishing.
- Gastos de administración para el funcionamiento del programa.
- Tiempo perdido debido a que un empleado realiza ejercicios de formación sobre concienciación en materia de seguridad.
Cómo calcular el ROI de la formación en ciberseguridad
Una vez que tenga los datos, podrá introducirlos en una ecuación de rentabilidad. Afortunadamente, alguien ya ha investigado cómo generar una ecuación para la formación sobre concienciación en materia de seguridad.
Una ecuación de rentabilidad en su forma más simple tiene este aspecto:
ROI = Cálculo del ROI de las campañas de concienciación sobre seguridad
Dónde:
R = Rendimiento (Beneficio)
I = Inversión (Coste)
Sin embargo, como ha visto, calcular el R e I de la seguridad es más complicado, ya que existen costes intangibles como el daño a la reputación.
Afortunadamente, la gente del sector de la seguridad ha estudiado la complejidad de calcular el rendimiento de la inversión en formación en seguridad. Michael Coden, por ejemplo, utiliza investigaciones del Instituto Tecnológico de Massachusetts (MIT).
Un estudio del MIT basa el cálculo de los costes de los incidentes de ciberseguridad en los pasos que conducen a un incidente de ciberseguridad. Esta investigación se ha utilizado para desarrollar un marco conocido como STACHT. Utilizando este marco, Coden ha desarrollado una ecuación para el ROI de los proyectos de ciberseguridad (como las campañas de formación sobre concienciación en materia de seguridad) que incluye:
Dónde:
Probabilidad de un compromiso (PC) = amenazas multiplicadas por vulnerabilidades
Impacto de un compromiso (IC) = activo multiplicado por las pérdidas si se produce un compromiso
La ecuación de Coden se utiliza por proyecto e indica el ROI probable basado en estimaciones.
Una visión más cualitativa de la rentabilidad de las campañas de concienciación sobre seguridad
Tenga en cuenta que calcular el rendimiento de la inversión de realizar una formación sobre concienciación en materia de seguridad puede no reducirse a introducir datos en una ecuación. En su lugar, basta con elaborar una lista de los costes e impactos potenciales de un ciberataque para demostrar que la formación en materia de concienciación sobre la seguridad merece la pena.
Los seres humanos siguen estando en el punto de mira de los ciberdelincuentes; si hay alguna forma de romper este ciclo, esto conducirá naturalmente a una reducción del riesgo y de los costes.
Un El informe Osterman describe la formación en ciberseguridad como «esencial» para prevenir los ciberataques. El informe destaca la eficacia de la formación en seguridad, con datos que muestran, por ejemplo, que sólo el 11% de los empleados podía detectar un correo electrónico de phishing antes de la formación, pero después de ésta, el 64% era capaz de detectar intentos de phishing. Pruebas como ésta pueden ser muy eficaces a la hora de calcular el beneficio de llevar a cabo una campaña de concienciación en materia de seguridad.
