Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Cálculo del ROI de las campañas de concienciación sobre la seguridad

Campaña de concienciación sobre la seguridad

sobre el autor

Compartir esta entrada

A continuación se explica cómo calcular el retorno de la inversión (ROI) de la formación de su personal en la campaña de concienciación sobre seguridad.

Un estudio del Departamento de Cultura, Medios de Comunicación y Deporte (DCMS) reveló que el 39% de las empresas británicas sufrieron un ciberataque en 2022. El coste de estas infracciones no es insignificante. El informe del DCMS calculó que el impacto financiero de un solo ciberataque costaba a una empresa de tamaño medio 19.400 libras. Si tenemos en cuenta que las organizaciones se ven amenazadas a diario por los ciberataques, esto es motivo de preocupación.

La formación para la concienciación sobre la seguridad es una de las medidas que pueden reducir la probabilidad de que se produzca o progrese un ataque. Esto se traduce en una reducción de los costes de un ataque. Pero, ¿merece la pena el riesgo de un ataque por realizar una formación de concienciación en materia de seguridad?

Elementos que deben incluirse al calcular el retorno de la inversión de una campaña de concienciación sobre la seguridad

Antes de embarcarse en el cálculo de si la formación en seguridad merece la pena, es necesario hacer un inventario de los elementos incluidos. Un ataque a la ciberseguridad y/o una violación de datos tiene muchas partes móviles, cada una con costes tangibles e intangibles.

He aquí un vistazo a algunos de los costes más probables de un ciberataque:

La pérdida financiera directa de un ciberataque

El impacto directo de un ciberataque depende tanto del tipo de ciberataque como de la organización. Por ejemplo, un ataque de ransomware puede implicar el pago de un rescate (aunque el pago no es una estrategia recomendada). Sin embargo, cabe señalar que los importes de los rescates han aumentado en los últimos años.

Un informe de Nordlocker descubrió un aumento del 78% en el pago medio del ransomware, lo que eleva el rescate a la asombrosa cifra de 541.010 dólares (478.000 euros).

Los costes de un ciberataque también pueden incluir los daños a los sistemas informáticos, el tiempo empleado en remediar el ataque y las demandas colectivas: en el Reino Unido, el número de demandas colectivas tras un ciberataque aumentó un 120% entre 2018 y 2020.

El coste medio de un ciberataque debe tenerse en cuenta a la hora de calcular la rentabilidad de una campaña de concienciación sobre seguridad. Sin embargo, esto también debería reflejar el número medio de ataques al año. Según el informe del DCMS, el 31% de las empresas y el 26% de las organizaciones benéficas estiman que fueron atacadas al menos una vez a la semana.

Tiempo y trabajo para contener una brecha

Una de las consecuencias de un ciberataque es la dificultad para localizar la cadena de explotación y contener los daños. Un informe de IBM sobre el coste de una filtración de datos descubrió que el tiempo medio para contener una filtración en 2022 era de 277 días. Durante este tiempo, los costes se acumulan.

Debe incluir el tiempo de inactividad del sistema informático, la asistencia técnica y las pérdidas de productividad estimadas en el cálculo de la rentabilidad de una campaña de concienciación sobre la seguridad.

Daño a la reputación

El daño a la reputación es intangible y, por tanto, difícil de cuantificar. Sin embargo, son muchos los factores que entran en juego después de un ciberataque que da lugar a una reputación negativa. Entre ellos, una pérdida general de confianza que afecta a los clientes, al precio de las acciones y al ecosistema de socios.

Esta pérdida de confianza se agudiza cuando los clientes abandonan una empresa después de una infracción. Un estudio de YouGov y Okta reveló que el 88% de los clientes dejarán de utilizar una empresa si consideran que no se puede confiar en ella para proteger sus datos.

El daño a la reputación es difícil de cuantificar y, por tanto, de añadir a una ecuación, pero es posible que tenga algunos datos sobre la pérdida de clientes por las soluciones de inteligencia empresarial (BI).

Incumplimiento y multas

Varias normativas de protección de datos, como la PCI-DSS y el GDPR, exigen o fomentan enérgicamente el uso de la formación en materia de concienciación sobre la seguridad. Por lo tanto, si puede demostrar que su organización utiliza la formación en materia de concienciación sobre la seguridad, cualquier acción normativa posterior deberá tenerlo en cuenta.

Sin embargo, a la hora de calcular el ROI de una campaña de concienciación en materia de seguridad, hay que tener en cuenta el coste típico de una multa por incumplimiento en su sector.

Puede encontrar el nivel de multas que podría afectar a su empresa tras una infracción en la Oficina del Comisionado de Información (ICO). Por ejemplo, el GDPR y el DPA 2018 del Reino Unido establecen la multa máxima de 17,5 millones de libras esterlinas o el 4% de la facturación global anual.

Primas de seguro

Según un estudio de la aseguradora Hiscox, el 63% de las empresas británicas tiene previsto contratar un ciberseguro como parte de su estrategia. Además, las primas pueden bajar si se reduce el riesgo formando a los empleados en materia de seguridad.

Añada el coste del ciberseguro a la rentabilidad de una campaña de concienciación sobre la seguridad como parte de los costes generales de su estrategia de seguridad.

Otros costes del retorno de la inversión son:

  • El coste del paquete de formación y cualquier característica añadida, como la formación de simulación de phishing.
  • Gastos de administración para el funcionamiento del programa.
  • Tiempo perdido por la realización de ejercicios de concienciación sobre seguridad por parte de un empleado.

Cómo calcular el ROI de la formación en ciberseguridad

Una vez que tenga los datos, puede introducirlos en una ecuación de retorno de la inversión. Afortunadamente, alguien ya ha investigado cómo generar una ecuación para la formación en materia de concienciación sobre la seguridad.

La ecuación del retorno de la inversión en su forma más simple es la siguiente:

ROI = Cálculo del ROI de las campañas de concienciación sobre seguridad

Dónde:

R = Rendimiento (Beneficio)

I = Inversión (Coste)

Sin embargo, como se ha visto, el cálculo de la R e I de la seguridad es más complicado, ya que hay costes intangibles como el daño a la reputación.

Afortunadamente, la gente del sector de la seguridad ha estudiado la complejidad de calcular la rentabilidad de la inversión en formación en seguridad. Michael Coden, por ejemplo, utiliza una investigación del Instituto Tecnológico de Massachusetts (MIT).

Un estudio del MIT basa el cálculo de los costes de los incidentes de ciberseguridad en los pasos que conducen a un incidente de ciberseguridad. Esta investigación se ha utilizado para desarrollar un marco conocido como STACHT. Utilizando este marco, Coden ha desarrollado una ecuación para el ROI de los proyectos de ciberseguridad (como las campañas de formación en materia de seguridad) que incluye:

Captura3

Dónde:

Probabilidad de Compromiso (PC) = amenazas multiplicadas por vulnerabilidades

Impacto de un compromiso (IC) = activo multiplicado por las pérdidas si se produce un compromiso

La ecuación de Coden se utiliza por proyecto e indica el probable retorno de la inversión basado en estimaciones.

Una visión más cualitativa de la rentabilidad de las campañas de concienciación sobre la seguridad

Tenga en cuenta que el cálculo de la rentabilidad de la formación en materia de concienciación sobre la seguridad puede no reducirse a introducir datos en una ecuación. En su lugar, basta con elaborar una lista de los posibles costes e impactos de un ciberataque para demostrar que la formación en materia de seguridad merece la pena.

Los seres humanos siguen siendo el centro de atención de los ciberdelincuentes; si hay alguna forma de romper este ciclo, se reducirá naturalmente el riesgo y los costes.

Un informe de Osterman describe la formación en ciberseguridad como "esencial" para prevenir los ciberataques. El informe destaca la eficacia de la formación en materia de seguridad, con datos que muestran, por ejemplo, que sólo el 11% de los empleados podía detectar un correo electrónico de phishing antes de la formación, pero después de ésta, el 64% era capaz de detectar intentos de phishing. Pruebas como ésta pueden ser muy eficaces a la hora de calcular el beneficio de realizar una campaña de concienciación sobre seguridad.

Cyber Security Awareness para Dummies | Formación de concienciación sobre la seguridad para proveedores de terceros

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes