Cómo medir el éxito de su programa de formación sobre concienciación en materia de seguridad
Publicado el: 26 Nov 2021
Última modificación: 24 Jul 2025
He aquí algunas formas de plasmar medida a medida su programa de formación en materia de concienciación sobre la seguridad.
Cuando se realiza una medición sobre algo nos proporciona datos. Ya se trate de la longitud de un trozo de cuerda o de que el comportamiento de un empleado, ante un correo electrónico de phishing, haya cambiado, estos datos nos dan una visión importante de una tarea o un proyecto.
El éxito, o no, de un programa de formación para la concienciación en materia de seguridad (SAT) puede medirse de más de un modo y, al hacerlo, proporciona información importante sobre la eficacia de la formación. Pero la forma de optimizar estas mediciones requiere un equipo interfuncional con visión de futuro.
¿Por qué molestarse en medir la eficacia de un programa de formación sobre concienciación en materia de seguridad?
Un reciente documento de Gartner inc., «Take 3 Steps to Prove That Your Security Awareness Program Is Really Working«, expone los porqués y los cómos a la hora de medir un programa de SAT. El documento, escrito para responsables de seguridad y riesgos, identifica tres razones clave por las que es importante medir la formación en materia de concienciación sobre seguridad:
- Si no puede mostrar pruebas de que el riesgo cibernético se reduce a través del programa, no conseguirá la aceptación del nivel C para continuar con la formación de concienciación sobre seguridad.
- La formación para la concienciación en materia de seguridad suele dejarse caer en una organización sin tener una visión clara de lo que se pretende conseguir. El resultado es un programa que no consigue los cambios de comportamiento necesarios para reducir el riesgo cibernético.
- La medición del éxito de una formación de concienciación sobre seguridad no puede basarse en variables únicas. Estos programas contienen muchos elementos y es necesario captarlos para mostrar el verdadero impacto de un programa de SAT.
Uno de los puntos principales del documento es que una visión clara debe establecer la base de un programa de concienciación sobre la seguridad. Sin esta visión clara de lo que se quiere conseguir, las mediciones carecerán de sentido. Dicho de otro modo, las mediciones son más eficaces si tienen un punto de partida como comparación. Sin embargo, esta visión debe estar directamente vinculada a los resultados empresariales. Una forma de establecer este punto de partida es utilizar un enfoque interfuncional, es decir, reunir a los equipos más allá de los límites de la organización para que aporten sus ideas sobre lo que es importante para mitigar el riesgo cibernético.
Esto alinea la visión de la ciberseguridad con los objetivos empresariales; este enfoque es un ejercicio continuo y una buena práctica, ya que los ciberataques causan continuos estragos en todos los sectores de la industria. Las decisiones empresariales y operativas están ahora intrínsecamente entrelazadas con la seguridad. La pandemia del Covid-19 y los mandatos de trabajo desde casa demostraron este punto, con el aumento del riesgo para la seguridad del trabajo desde casa; los trabajadores a domicilio ofrecen más oportunidades a los ciberdelincuentes de atacar la red de una empresa a través de sus empleados.
Pero una visión necesita medidas demostrables que demuestren que está cumpliendo su cometido. Mostrar a un nivel C o a la junta directiva lo bien que está progresando un programa requiere hechos concretos. Aquí es donde entra en juego la medición.
Tres formas de medir el éxito de un programa de formación sobre concienciación en materia de seguridad
El documento de Gartner menciona tres aspectos clave que demuestran que su programa de concienciación sobre seguridad está funcionando. Estas tres áreas pueden desglosarse en:
Genere
Genere una declaración de visión basada en la cultura de la seguridad: ¿qué es lo que su organización necesita del programa de concienciación sobre seguridad? ¿Qué comportamientos en materia de seguridad quiere ver surgir de la educación de los empleados en materia de seguridad?
Capture
Capture las métricas del comportamiento de seguridad: cree métricas de concienciación de seguridad que demuestren un cambio de comportamiento de seguridad significativo y positivo. Estas métricas pueden adoptar la forma de métricas tradicionales de concienciación sobre la seguridad a partir de encuestas y simulaciones de phishing, como ejemplos.
Demostrar
Demuestre la reducción de la exposición al riesgo: muestre al equipo de Cx cambios rastreables en el comportamiento de seguridad relacionados con resultados materiales en términos de reducción de la exposición al riesgo cibernético.
Captura de métricas y cambios de comportamiento
La visión de la seguridad es el pivote sobre el que gira la captación de métricas y pruebas de comportamiento. Esta visión constituye entonces la prueba necesaria para demostrar al equipo de Cx que la Formación de Sensibilización sobre Seguridad funciona. Hay muchas formas de medir las métricas de seguridad, y MetaCompliance ha hablado de las mediciones de la Formación de Concienciación sobre Seguridad en una entrada anterior del blog.
La medición proporciona datos cuantificables que sirven de base para una evaluación del retorno de la inversión (ROI). Pero una simple ecuación de ROI no capta el impacto positivo y continuo de un programa de concienciación sobre seguridad bien desarrollado. La visión de seguridad central de una organización debe mapearse para validar los resultados finales que ven reducido el riesgo cibernético general de una organización. Esta visión de una organización segura debe mapearse en un pensamiento que dé prioridad a la seguridad y en un cambio de comportamiento asociado.
Para ayudarle en su ejercicio de medición, el documento de Gartner habla de «Signature behaviours», que describe como «Signature behaviors are those that clearly reflect positive intent and support by end-users for realising the security awareness vision.»
Gartner relaciona algunos ejemplos de prácticas de seguridad deseadas con comportamientos de seguridad característicos:
Póngalo en práctica: Todos los usuarios finales utilizan contraseñas seguras
Comportamiento: Siempre utilizamos frases de contraseña para construir nuestras contraseñas utilizadas para acceder a nuestras cuentas de trabajo.
Practique: Compruebe los enlaces antes de hacer clic en ellos
Comportamiento: Estamos alerta e informamos de los correos electrónicos sospechosos al servicio de asistencia informática
Como parte de su visión de la seguridad, trabaje con su equipo interfuncional para desarrollar un conjunto de comportamientos característicos que puedan utilizarse para demostrar el éxito del programa de formación sobre concienciación en materia de seguridad.
La prueba del pastel a través de una mejor seguridad
En última instancia, una empresa quiere ver que su inversión en un programa de concienciación sobre la seguridad se refleja en una disminución de las posibilidades de que sus datos sean vulnerados. Al evaluar los comportamientos de las firmas frente a los tipos de amenazas, una organización puede enriquecer una simple ecuación de rentabilidad con un valor añadido.
La prueba de la formación en seguridad está en el pudín. Con el tiempo, un programa de formación en sensibilización sobre seguridad bien planificado y eficaz mostrará una reducción de los ciberataques. Pero una visión sólida es donde todo esto comienza.
