El 68% de los CISO siguen identificando a los empleados como su mayor riesgo para la seguridad
El 79% está cambiando hacia una gestión del ciberriesgo humano basada en el comportamiento, pero los avances no siguen el ritmo de la evolución de las amenazas
Londres, 13 de mayo de 2026 - Los CISO de la región EMEA están dando por finalizada la formación tradicional sobre concienciación en materia de seguridad, ya que una nueva investigación revela que el 78% cree que su enfoque de la educación sobre concienciación en materia de seguridad necesita evolucionar urgentemente. La investigación de MetaCompliancela empresa de gestión del ciberriesgo humano que está transformando la forma en que las organizaciones construyen culturas de seguridad resistentes, pone de relieve la preocupación generalizada entre los CISO de que los métodos actuales no están consiguiendo abordar el ciberriesgo humano.
El estudio, que encuestó a 200 CISO del Reino Unido, Suecia, Alemania y Francia, descubrió que el 81% de los CISO afirman que los programas de concienciación sobre seguridad fracasan porque tratan el ciberriesgo humano como una cuestión de formación y no como un reto más amplio de gestión de riesgos. Al mismo tiempo, el 68% de las empresas identifican a los empleados como su mayor riesgo para la seguridad, lo que pone de manifiesto una vulnerabilidad persistente y sin resolver en el corazón de la seguridad empresarial.
A pesar de la continua inversión en programas de concienciación -con organizaciones que destinan, de media, el 15% de los presupuestos anuales de seguridad a la educación en materia de concienciación y el 79% que imparten formación al menos cada dos semanas- los resultados siguen siendo desiguales. Una cuarta parte (25%) de las organizaciones afirman que tienen dificultades para captar la atención de los empleados, mientras que el 24% no consigue integrar el comportamiento seguro en el trabajo diario, y otro 24% lucha por alinear a las partes interesadas en todas las funciones. Esto refuerza que el reto es tanto organizativo como de comportamiento.
Esta desconexión está siendo impulsada por un enfoque anticuado. Mientras que muchos CISO creen que sus organizaciones han ido más allá de la concienciación de «marcar casillas» - con algunos describiendo su enfoque como dirigido por el comportamiento (33%) o integrando la gestión del riesgo humano (24%) - este progreso percibido no se está traduciendo en un cambio significativo.
James Mackay, Consejero Delegado de MetaCompliance, afirmó: «La confianza está aumentando, pero eso no significa que el riesgo esté disminuyendo. Muchas empresas confunden la formación completa en seguridad con la seguridad real, cuando las vulnerabilidades humanas subyacentes no han cambiado.
«Esto crea una peligrosa desconexión. Las empresas se sienten más seguras, pero los empleados siguen siendo la mayor fuente de riesgo. Al mismo tiempo, las amenazas son cada vez más sofisticadas, con la IA acelerando la escala y la precisión de los ataques de ingeniería social. Esto está dejando a las organizaciones cada vez más expuestas si no se aborda esta brecha».
En consecuencia, los CISO reclaman un modelo más estratégico. Casi cuatro de cada cinco (79%) quieren avanzar hacia la gestión del riesgo humano, un enfoque que se centra en identificar a los individuos de alto riesgo y adaptar las intervenciones en función del comportamiento, así como en fomentar una cultura de seguridad colectiva en toda la organización. Otro 83% cree que las intervenciones específicas reducirían el riesgo con mayor rapidez, mientras que el 80% afirma que los mensajes de seguridad son más eficaces cuando se transmiten en el flujo de trabajo.
Este cambio se produce cuando las organizaciones se enfrentan a una presión cada vez mayor para modernizar sus defensas debido a la evolución del panorama de las amenazas. En los próximos 12 meses, las organizaciones esperan centrarse en aumentar la frecuencia de las intervenciones (27%), demostrar un retorno de la inversión mensurable (25%) y adaptar las intervenciones a las personas de alto riesgo (24%), sobre todo en respuesta a la ingeniería social basada en IA (24%).
James Mackay añade: «El ciberriesgo humano debe tratarse como cualquier otro riesgo empresarial: medible, dirigido y gestionado continuamente. Eso significa ir más allá de la concienciación para lograr un auténtico cambio de comportamiento. Las organizaciones tienen que dar la vuelta al guión de cómo están gestionando la ciberseguridad, utilizando la focalización y el conocimiento en tiempo real para llegar a las personas adecuadas, con el mensaje adecuado, en el momento adecuado. Así es como se reduce el ciberriesgo humano a escala».
ENDS
Metodología
La investigación fue llevada a cabo por Censuswide, entre una muestra de 200 CISOs en empresas con más de 250 empleados (mayores de 30 años) en Francia, Alemania, Suecia y el Reino Unido (50 CISOs en cada mercado). Los datos se recogieron entre el 17.02.2026 y el 23.02.2026. Censuswide es miembro de la Sociedad de Investigación de Mercados (MRS) y del Consejo Británico de Sondeos (BPC), y firmante del Compromiso Global de Calidad de Datos. Nos adherimos al Código de Conducta de la MRS y a los principios de ESOMAR
Acerca de MetaCompliance
MetaCompliance es la empresa de gestión del riesgo humano que está transformando la forma en que las organizaciones construyen culturas de seguridad resistentes. Su plataforma inteligente lista para la empresa combina la educación personalizada en ciberseguridad, el análisis del comportamiento y la automatización para medir, mitigar y gestionar el riesgo humano a escala. Con la confianza de más de seis millones de usuarios en todo el mundo, MetaCompliance ayuda a las empresas globales a reducir el riesgo e incorporar un cambio de comportamiento duradero. www.metacompliance.com
***
Contactos de prensa
- MetaCumplimiento
- Liz Adams, Vicepresidenta de Marketing - [email protected]