BG Beter Geregeld ICT
Security zonder IT-afdeling · 2 min leestijd · 12 diciembre 2025

Formación en concienciación sobre seguridad: qué funciona y qué es una pérdida de tiempo

El vídeo anual de 60 minutos sobre seguridad es una pérdida de tiempo. 10 minutos trimestrales con contenido específico sí dan resultado. Aquí el programa que ha demostrado ser eficaz.

Las personas olvidan el 80 % de lo que escuchan en una formación anual en menos de 2 semanas. Por eso, cualquier enfoque es mejor que el clásico "ver el vídeo y listo".

Qué sí funciona

  • Breve y frecuente: 10-15 minutos por trimestre, no 60 minutos al año.
  • Contextual: ejemplos de phishing recientes detectados internamente, no ejemplos genéricos de 2019.
  • Interactivo: simulaciones de phishing que los empleados experimentan en primera persona. Herramientas como Knowbe4, Cofense, KnowBe4.
  • Retroalimentación inmediata: quien hace clic recibe feedback al momento (de forma amable), sin correos de reprimenda colectiva.
  • Por rol: el equipo de finanzas recibe formación sobre fraude de facturas; RRHH recibe formación sobre ingeniería social aplicada a nuevas incorporaciones.

Qué no funciona

  • Obligar a "ver un vídeo de 60 minutos antes del Q4" una vez al año.
  • Pruebas orientadas principalmente al cumplimiento ("demostrar que hemos hecho formación") en lugar de al aprendizaje real.
  • Una cultura de culpa tras los simulacros de phishing.
  • Contenido genérico sin conexión con el contexto propio de la empresa.

Incorporación de nuevos empleados

Cada nuevo empleado recibe una sesión introductoria de 30 minutos con los fundamentos de seguridad, seguida de un breve repaso a los 30 días. Se retiene mucho mejor que una dosis masiva el primer día.

Métricas medibles

  • Tasa de clics en phishing: medir el valor inicial y fijarse como objetivo reducirlo a la mitad en 6 meses.
  • Tasa de notificación: ¿cuántos simulacros de phishing se reportan? Objetivo: > 70 % notificados en menos de 2 horas.
  • Tiempo de respuesta ante incidentes: en un incidente real, ¿con qué rapidez lo notifican las personas? Una métrica más valiosa que solo los simulacros.

Véase también: cómo reconocer el phishing, pilar de seguridad.

Onderwerpen

#mkb #security #awareness #training

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Monitorización de disponibilidad para pymes: no te enteres por tus clientes

Tu web está caída y te enteras por un cliente. Hay una forma mejor. Así configuras la monitorización de disponibilidad en tu pyme sin departamento de IT, sin acabar ahogado en falsas alarmas.

6 min
Security zonder IT-afdeling

Gestión de parches para pymes sin músculo MDM

Los parches hay que aplicarlos. Pero ¿cómo lo garantizas si no tienes Intune ni Jamf? Aquí tienes la configuración mínima y pragmática.

2 min
Security zonder IT-afdeling

MFA para todo tu SaaS, no solo M365: la operación de puesta al día

M365 y Google tienen MFA fácil. Dropbox, Slack, GitHub, Trello también. Pero esas otras herramientas SaaS sueltas… ahí suele faltar MFA. Aquí tienes el plan de puesta al día.

2 min
Security zonder IT-afdeling

Gestión de riesgos de proveedores para pymes: una clasificación práctica

Cada suscripción SaaS implica un riesgo que delegas en un tercero. ¿Cómo decides cuáles de tus 30 proveedores merecen atención especial?

2 min
Security zonder IT-afdeling

Red de invitados en la oficina: ¿cómo separar a los visitantes de tu red corporativa?

Que los visitantes se conecten a tu WiFi es normal. Que estén en el mismo segmento de red que tu NAS, no lo es. La segmentación básica la tienes lista en 10 minutos.

2 min
← Alle artikelen in "Security zonder IT-afdeling"