Acerca del estudio sobre security awareness de Hornetsecurity
La formación en security awareness es un mecanismo de defensa esencial para las organizaciones frente a una plétora de ciberamenazas en evolución. Implica educar a los empleados sobre diversas prácticas de ciberseguridad, identificar riesgos potenciales y enseñar las acciones adecuadas para mitigar dichas amenazas.
En Hornetsecurity, reconocemos la importancia primordial de la formación en materia de concienciación sobre seguridad para protegerse contra estas amenazas. Como defensores digitales, entendemos que la educación y la concienciación continuas son esenciales para cualquier organización que se esfuerce por proteger sus activos y su información.
En nuestro compromiso por reforzar los conocimientos sobre seguridad, hemos cubierto ampliamente diversas facetas de la ciberseguridad en nuestra Base de conocimientos. Sin embargo, la eficacia de la formación en materia de concienciación sobre seguridad sigue siendo un área crítica que exige una exploración más profunda.
Para evaluar la eficacia actual de la formación sobre concienciación en materia de seguridad, realizamos una amplia encuesta dirigida a un grupo diverso de profesionales de IT de todos los sectores. Nuestro objetivo era evaluar su comprensión de los protocolos de formación en seguridad, la aplicación de estas prácticas en sus organizaciones y el impacto global en la postura de ciberseguridad.
Distribuimos el estudio por todo el mundo y obtuvimos más de 150 respuestas que ofrecen una visión completa de cómo las organizaciones afrontan los retos y las oportunidades que presenta la formación en seguridad.
A continuación encontrará un análisis detallado de nuestros resultados, en el que se destacan las principales ideas y tendencias que se desprenden del estudio. Los interesados en una visión más detallada pueden consultar los resultados completos del estudio en . Profundicemos en los datos y descubramos lo que nos dicen sobre el estado actual de la formación para la concienciación en materia de seguridad.
1 de cada 4 organizaciones (25,7%) no ofrece formación sobre security awareness a sus usuarios finales
Una de las revelaciones más notables de nuestro estudio sobre formación en security awareness es que aproximadamente una de cada cuatro organizaciones (25,7%) no imparte formación en materia de concienciación sobre seguridad informática a sus usuarios finales. Este importante descuido en la formación en ciberseguridad pone de manifiesto una vulnerabilidad crítica dentro del mundo corporativo, especialmente en las empresas más pequeñas.
Los datos de nuestro estudio indican una clara tendencia relacionada con el tamaño de la empresa y la probabilidad de impartir dicha formación. Mientras que las grandes empresas parecen reconocer la necesidad de educar a sus empleados sobre las amenazas a la ciberseguridad y actuar en consecuencia, las más pequeñas van notablemente a la zaga. En concreto, entre las empresas de 1 a 50 empleados, casi el 30% no ofrece ningún tipo de formación sobre seguridad informática. Este porcentaje mejora ligeramente a medida que aumenta el tamaño de la empresa, ya que el 32,4% de las empresas con 51 a 200 empleados también descuidan esta formación.
La tendencia muestra una ligera mejora en las medianas empresas de 201 a 500 empleados, donde sólo el 21,4% no imparte formación sobre seguridad. Es en las empresas más grandes, en particular las que tienen entre 501 y 999 empleados, donde la formación en materia de seguridad es más constante, ya que todas las empresas encuestadas de este grupo imparten formación. Entre las mayores empresas encuestadas, las que tienen más de 1.000 empleados, casi el 95% ofrece formación en seguridad, y sólo una pequeña parte (5,9%) no lo hace.
La disparidad en la disponibilidad de formación suscita importantes preocupaciones sobre la vulnerabilidad de las organizaciones más pequeñas a las ciberamenazas. Sin los conocimientos básicos que proporciona la formación para la concienciación en materia de seguridad, los empleados de estas empresas más pequeñas corren un riesgo potencialmente mayor de ser presa de ciberataques, poniendo en peligro tanto sus datos personales como los de la organización.
Esta brecha subraya la necesidad crítica de que todas las organizaciones, especialmente las que tienen de 51 a 200 y de 201 a 500 empleados, inviertan en programas integrales de concienciación sobre seguridad que doten a cada empleado de los conocimientos y herramientas necesarios para defenderse de las ciberamenazas.
Sólo el 7,5% de las organizaciones ofrece una formación adaptable y basada en los resultados de las pruebas periódicas de concienciación en materia de seguridad
A la pregunta «¿Con qué frecuencia participan los usuarios de su organización en cursos de concienciación sobre seguridad informática?», sólo el 7,5% de las organizaciones informaron de que sus programas de formación son adaptables y se basan en los resultados periódicos de las pruebas de concienciación sobre seguridad. Este bajo porcentaje sugiere que la formación adaptativa, que puede ajustarse dinámicamente a la evolución del panorama de la ciberseguridad y a las necesidades específicas de una organización, no está muy extendida.
A pesar de los beneficios demostrados de los entornos de aprendizaje adaptativo, que pueden mejorar significativamente el compromiso y la retención de conocimientos, la mayoría de las organizaciones siguen confiando en programas de formación más tradicionales y menos flexibles. Nuestro estudio revela que el 29% de las organizaciones mantiene un programa de formación mensual, mientras que el 22,4% realiza formación sólo una vez al año. Estos resultados sugieren una posible laguna en la formación continua necesaria para combatir eficazmente el entorno de amenazas en rápida evolución.
Además, los propios participantes cuestionan la eficacia de los programas de formación existentes. Aproximadamente tres de cada diez encuestados describen la formación en materia de seguridad informática impartida por su empresa como «poco atractiva» o «nada atractiva». Esta falta de compromiso es crítica, ya que afecta directamente a la eficacia de la formación impartida. Además, alrededor de una cuarta parte de los encuestados expresaron su preocupación por que su formación actual sobre ciberseguridad no sea lo suficientemente frecuente (27,1%) ni lo suficientemente atractiva (23,4%).
Además de estos retos, el 22,4% de los encuestados indicó que los usuarios no disponen de tiempo suficiente para completar la formación en seguridad, lo que pone de relieve un obstáculo importante para fomentar una cultura de seguridad bien informada y proactiva dentro de las organizaciones. Sin embargo, casi todos (96%) están de acuerdo en que el tiempo invertido en administrar y completar estas sesiones de formación merece la pena, lo que subraya el valor reconocido del personal formado para mitigar los riesgos de ciberseguridad.
Curiosamente, al considerar las mejoras, el 53,3% de los usuarios finales solicitaron más recursos postformación, lo que indica un deseo de apoyo continuo más allá de las sesiones de formación iniciales. Otras áreas de mejora incluían hacer el contenido más atractivo (40%) y aumentar la frecuencia (35%) y la claridad (30%) del contenido de la formación.
Estos datos subrayan la necesidad crítica de que las organizaciones se replanteen su enfoque de la formación en seguridad informática, centrándose en hacerla más adaptable, atractiva y frecuente para preparar mejor a sus trabajadores frente a las ciberamenazas actuales.
El 78,5% (o 4 de cada 5) de las organizaciones considera que la formación en concienciación sobre seguridad es al menos «moderadamente» eficaz para combatir las ciberamenazas
Un hallazgo significativo de nuestra encuesta es que una gran mayoría, concretamente el 78,5%, de las organizaciones considera que su formación sobre concienciación en seguridad informática es al menos «moderadamente» eficaz para combatir las ciberamenazas. Esto indica que cuatro de cada cinco empresas confían en la capacidad de sus programas de formación para dotar a los empleados de las habilidades y conocimientos necesarios para reconocer y defenderse de los incidentes cibernéticos.
Este nivel de eficacia subraya el papel fundamental que desempeña la formación integral en materia de seguridad dentro de la estrategia de ciberseguridad de una organización. Destaca que, cuando se aplica correctamente, dicha formación puede reforzar significativamente las defensas de una organización al convertir a cada empleado en un participante vigilante en la detección y prevención de las ciberamenazas.
El reconocimiento de la eficacia de la formación es crucial, especialmente en un panorama en el que las ciberamenazas son cada vez más sofisticadas y frecuentes. Es probable que las organizaciones que perciben que su formación es eficaz sigan invirtiendo en estos programas, aumentando potencialmente su solidez y adaptabilidad a las nuevas amenazas.
Además, es probable que esta percepción positiva de la eficacia de la formación fomente el compromiso continuo con la educación en ciberseguridad en todos los niveles de la organización, promoviendo una cultura que priorice y valore las prácticas sólidas de ciberhigiene. Esta cultura no sólo mejora la postura de seguridad inmediata de la empresa, sino que también crea un marco resistente frente a futuros retos de seguridad.
1 de cada 4 encuestados afirma que su empresa ha sufrido una brecha o incidente de ciberseguridad
Resulta alarmante que uno de cada cuatro encuestados haya declarado que su empresa ha sufrido una brecha o incidente de ciberseguridad, lo que pone de manifiesto una vulnerabilidad significativa en muchas organizaciones. Más preocupante aún es la cronología de estas brechas: la mitad de estos incidentes se produjeron en los últimos tres años, y el 22,5% tuvo lugar solo en el último año.
Estos datos apuntan a una tendencia preocupante de aumento de los incidentes cibernéticos, lo que pone de relieve la urgencia de contar con medidas de seguridad sólidas y actualizadas. La frecuencia de estas brechas subraya la continua evolución de las ciberamenazas y la necesidad crítica de que las organizaciones mejoren continuamente sus protocolos de ciberseguridad.
También refuerza la importancia de una formación eficaz de concienciación sobre seguridad informática para dotar a los empleados de los conocimientos y herramientas necesarios para proteger a sus organizaciones contra estas amenazas crecientes.
4 de cada 5 (78,5%) organizaciones creen que la formación en seguridad informática ha evitado directamente que su organización sufriera un incidente de ciberseguridad
Un convincente 78,5% de las organizaciones cree que la formación en concienciación sobre seguridad informática les ha evitado directamente sufrir un incidente de ciberseguridad. Este alto porcentaje demuestra la eficacia de la formación no solo como herramienta educativa, sino como medida preventiva crucial para proteger los activos y la información de la organización.
Además, un abrumador 91,6% de los encuestados está de acuerdo en que dicha formación ha dotado a sus usuarios finales de las habilidades necesarias para detectar amenazas a la seguridad en diversos medios, no solo en el correo electrónico. Esta amplia aplicabilidad es vital en el diverso panorama digital actual, en el que las amenazas pueden surgir de múltiples fuentes, incluidas las redes sociales, las aplicaciones móviles y la navegación web.
Estos resultados subrayan el importante retorno de la inversión que ofrece la formación en seguridad informática. Al capacitar a los empleados para identificar y responder a las amenazas de forma proactiva, las organizaciones mejoran su postura general de seguridad y reducen la probabilidad de incidentes cibernéticos perjudiciales.
4 de cada 10 (39,3%) creen que la formación sobre seguridad informática utilizada en su organización no está actualizada
Una parte significativa de los trabajadores, concretamente el 39,3 %, considera que la formación sobre seguridad informática que imparten sus organizaciones no está actualizada, especialmente en lo que respecta a las capacidades necesarias para combatir los ciberataques impulsados por IA. Esta preocupación es aún más pronunciada entre quienes desempeñan funciones de toma de decisiones de IT, con un 45% que se hace eco de este sentimiento.
Estas estadísticas revelan una brecha crítica en los programas actuales de educación en ciberseguridad, que pueden no abordar plenamente la naturaleza sofisticada de las amenazas modernas impulsadas por IA. A medida que los ciberdelincuentes emplean cada vez más tecnologías avanzadas, incluida la inteligencia artificial, para ejecutar ataques más complejos, se hace imperativo que la formación en seguridad evolucione en consecuencia.
Estos datos exigen una revisión y actualización urgentes de los planes de formación para incorporar los últimos conocimientos y estrategias de defensa contra las amenazas potenciadas por la IA, garantizando que todos los empleados estén equipados no solo con una concienciación general sobre ciberseguridad, sino también con conocimientos específicos sobre las vulnerabilidades tecnológicas emergentes.
Más de la mitad (52,3%) de los encuestados afirma que «los usuarios prefieren ignorar o eliminar» las amenazas identificadas por correo electrónico sin denunciarlas
Nuestro estudio pone de manifiesto una tendencia preocupante: más de la mitad de los encuestados (52,3%) señalaron que los usuarios tienden a ignorar o eliminar las amenazas identificadas en el correo electrónico sin informar debidamente de ellas. Este comportamiento pone de manifiesto una importante laguna en los protocolos de gestión de amenazas, en los que la detección inicial no se traduce en una acción informativa para los equipos de seguridad informática.
Además, un considerable 38,3% de los encuestados indicó que los usuarios a menudo no recuerdan la formación en seguridad que reciben. Esto apunta a posibles deficiencias en las estrategias de compromiso y retención de los programas de formación. La falta de contenidos formativos memorables e impactantes podría estar provocando estos fallos en las prácticas adecuadas de respuesta e información sobre amenazas.
Estos resultados sugieren la necesidad de que las organizaciones mejoren sus métodos de formación en ciberseguridad, quizás incorporando contenidos más atractivos, repetitivos e interactivos que refuercen la importancia de informar sobre las amenazas y garanticen una retención más prolongada de las prácticas de seguridad cruciales.
3 de cada 10 encuestados (28%) afirman que el hecho de no recibir feedback sobre las amenazas de las que reportan contribuye a que los usuarios finales no sigan los protocolos de formación
Una de las preocupaciones más destacadas de nuestro estudio es que el 28% de los encuestados cree que la falta de información sobre las amenazas notificadas disuade a los usuarios finales de seguir los protocolos de formación. Esto pone de relieve un descuido crítico en las estrategias de respuesta de ciberseguridad de muchas organizaciones.
Cuando los usuarios informan de posibles amenazas a la seguridad pero no reciben reconocimiento ni respuesta, puede crearse una sensación de indiferencia hacia la importancia de sus acciones. Sin comprender los resultados de sus informes, los usuarios pueden sentir que sus esfuerzos pasan desapercibidos o no son apreciados, lo que conduce a una disminución de los comportamientos de seguridad proactivos.
Esta falta de información subraya la necesidad de que las organizaciones establezcan canales de comunicación sólidos que no sólo fomenten la notificación de amenazas a la seguridad, sino que también cierren el círculo proporcionando información oportuna y constructiva. Reforzando el valor de cada informe, las organizaciones pueden mejorar el cumplimiento de los protocolos de seguridad y fomentar una cultura más consciente de la seguridad.
Algo más de la mitad de los encuestados (56,2%) afirma que su organización utiliza ciberseguros
Según nuestra encuesta, una ligera mayoría de los encuestados, el 56,2%, indicó que sus organizaciones han adoptado el ciberseguro. Esto refleja un creciente reconocimiento de los riesgos asociados a las ciberamenazas y la compleja naturaleza de la defensa contra ellas.
El ciberseguro sirve como red de seguridad, proporcionando protección financiera contra las pérdidas derivadas de incidentes cibernéticos como la violación de datos, la interrupción de la actividad empresarial y los daños en la red. El hecho de que algo más de la mitad de las organizaciones encuestadas estén invirtiendo en este tipo de seguro pone de relieve su valor percibido en el panorama empresarial moderno, donde las amenazas digitales son cada vez más comunes.
Sin embargo, la tasa de adopción también sugiere que casi la mitad de las organizaciones todavía podrían estar subestimando las posibles repercusiones financieras de las ciberamenazas, o quizás confían más en medidas preventivas como la formación en seguridad y las defensas técnicas. Esta estadística podría suscitar un mayor debate sobre el equilibrio entre invertir en medidas de seguridad proactivas y asegurarse frente a posibles consecuencias.
3 de cada 4 (77,1%) encuestados afirman que su organización dispone de un proceso para hacer frente a los correos electrónicos de phishing o a las amenazas a la seguridad informática
Nuestra encuesta revela que un sólido 77,1% de los encuestados confirma que su organización ha establecido procesos para gestionar eficazmente los correos electrónicos de phishing y otras amenazas a la seguridad informática. Esta significativa mayoría indica una fuerte concienciación y una postura proactiva en la lucha contra las ciberamenazas a nivel organizativo, lo que demuestra que la mayoría de las empresas están tomando las medidas necesarias para prepararse y responder a estos retos de seguridad comunes.
Sin embargo, sigue habiendo una parte notable de la plantilla que desconoce o carece de estos protocolos críticos. En concreto, el 12,5% de los encuestados indicó que su organización no dispone de un proceso definido para hacer frente a tales amenazas, y el 10,4% no está seguro de si existe tal proceso.
Esta falta de claridad o ausencia de procedimientos no sólo expone a estas organizaciones a un mayor riesgo, sino que también pone de manifiesto un área de mejora inmediata. Subraya la necesidad de una comunicación y formación claras sobre la existencia y ejecución de procesos de respuesta ante amenazas para garantizar que todos los empleados estén preparados y puedan actuar con eficacia ante posibles incidentes cibernéticos.
1 de cada 5 (21,5%) considera que la formación sobre seguridad informática es «poco eficaz» o «nada eficaz»
A pesar del positivismo general hacia la formación en seguridad informática, nuestra encuesta indica que no todos los comentarios son favorables. Aproximadamente uno de cada cinco encuestados, el 21,5%, califica la formación de su organización de «poco eficaz» o «nada eficaz». Esta minoría significativa apunta a posibles deficiencias en las metodologías de formación actuales que se están aplicando en diversos sectores.
Esta información sugiere que, aunque la formación esté muy extendida, su ejecución y la calidad de su contenido podrían no cumplir los estándares necesarios para equipar plenamente a los empleados contra las ciberamenazas. La percepción de ineficacia podría deberse a que los materiales están obsoletos, a la falta de compromiso o a que la formación no es lo suficientemente completa como para abarcar los nuevos tipos de ciberamenazas, incluidas las impulsadas por tecnologías sofisticadas como la IA.
Abordar estas preocupaciones es crucial para mejorar el impacto general de los programas de formación en seguridad. Mejorar el compromiso, actualizar los contenidos con regularidad y adaptar las sesiones de formación a las necesidades y riesgos específicos de la organización puede ayudar a aumentar la eficacia percibida y garantizar que todos los empleados estén bien preparados para defender sus entornos digitales.
Algo más de uno de cada tres encuestados (35,9%) califica de «insuficientes» las políticas de seguridad informática de su organización
Los resultados de nuestra encuesta revelan opiniones encontradas sobre la idoneidad de las políticas de seguridad informática en las organizaciones. Algo más de un tercio de los encuestados, el 35,9%, considera que las políticas de ciberseguridad vigentes «no son suficientes» para proteger eficazmente a su organización frente a las amenazas actuales. Este porcentaje significativo de trabajadores que expresan su preocupación sugiere la necesidad de una reevaluación y una posible mejora de estas políticas para hacer frente con mayor eficacia a las ciberamenazas en evolución.
Por el contrario, un más optimista 45,3% de los encuestados cree que las políticas de seguridad informática de su organización son «apropiadas», lo que indica que estas políticas cumplen las normas necesarias para proteger adecuadamente contra posibles incidentes cibernéticos. Esta perspectiva pone de relieve que, si bien muchas organizaciones van por buen camino, sigue existiendo una brecha notable que es necesario abordar para garantizar la confianza universal en las medidas de ciberseguridad.
Estos puntos de vista contrapuestos subrayan la importancia de evaluar y adaptar continuamente las políticas de seguridad para adaptarlas a los últimos avances en ciberseguridad y al panorama de las amenazas. El refuerzo de estas políticas no sólo podría responder a las preocupaciones de quienes se sienten desprotegidos, sino también mejorar el marco general de seguridad de las organizaciones.
Perfil de los encuestados sobre concienciación en materia de seguridad
Nuestra exhaustiva encuesta sobre formación en concienciación sobre seguridad informática obtuvo respuestas de un grupo diverso de profesionales de IT, que reflejaban una amplia gama de funciones, niveles de experiencia y tamaños de organizaciones en varias regiones del mundo.
Funciones y responsabilidades
La mayoría de nuestros encuestados están profundamente arraigados en el sector de IT, con un 32,6% que se identifican como profesionales de IT y un 16% como administradores de sistemas. Los proveedores de servicios gestionados (MSP) constituyen el 13,2% de los participantes, lo que pone de relieve la implicación de las empresas externas de servicios informáticos en las prácticas de ciberseguridad. Además, el 10,4% desempeña otras funciones relacionadas con las IT, mientras que el 9% no tiene ningún control sobre las operaciones de IT. En particular, los puestos directivos como CIO, CTO y CISO están representados por el 6,2% de los encuestados, lo que proporciona información desde los niveles más altos de la estrategia y la gobernanza de IT.
Experiencia sobre el terreno
La experiencia de los participantes varía mucho: el 36,1% tiene entre 1 y 5 años de experiencia, lo que indica una mano de obra joven y en evolución en el campo de las IT. Tanto la categoría de más de 21 años como la de 6 a 10 años están representadas por el 19,4%, lo que muestra una contribución significativa de profesionales con mucha experiencia. Los que tienen entre 11 y 15 años y entre 16 y 20 años de experiencia representan el 14,6% y el 10,4%, respectivamente.
Tamaño de la organización
En la encuesta predominan los encuestados de organizaciones más pequeñas, con un 51,4% procedente de empresas con 1-50 empleados. Las medianas empresas con 51-200 empleados representan el 23,6%, seguidas del 9,7% de organizaciones con 201 a 500 empleados. Las organizaciones más grandes están menos representadas, con un 3,5% de 501 a 999 empleados y un 11,8% de más de 1.000 empleados.
Distribución geográfica
Desde el punto de vista geográfico, la mayoría de las respuestas proceden de Europa (50%) y Norteamérica (42,4%), lo que supone una sólida representación de las perspectivas de seguridad informática de estas regiones. Asia, Australia y África también están representadas, aunque en menor medida, con el 2,1%, el 1,4% y el 0,7% de las respuestas, respectivamente.
