Marc Sureda
La instrucción de los empleados en materia de protección de la información se mantiene como un elemento fundamental para mitigar los riesgos informáticos en el entorno corporativo. Sin embargo, la irrupción de nuevas herramientas tecnológicas ha expuesto ciertas carencias en la preparación de las plantillas de trabajadores. Los datos recopilados en la edición para el año 2025 del estudio sobre concienciación y formación en ciberseguridad de la compañía Fortinet (fundamentado en las consultas realizadas a cerca de dos mil responsables de tecnología y seguridad a nivel global), detallan cómo las corporaciones se enfrentan a estos nuevos retos y las deficiencias organizativas que aún persisten.
Históricamente, las agresiones externas han motivado la principal inversión en planes formativos. En la actualidad, más del 40% de las entidades encuestadas reconoce que los incidentes previos o las vulnerabilidades sufridas por otras compañías de su mismo ámbito económico son el motor principal para ampliar la instrucción de sus trabajadores. No obstante, el estudio señala un cambio de tendencia relevante al mostrar que los riesgos de origen interno cobran una importancia creciente. Más de una cuarta parte de las empresas señala ya las amenazas provenientes desde dentro de la propia organización como un motivo determinante para instaurar programas educativos, una proporción que ha experimentado un crecimiento notable en el último periodo analizado.
El impacto de las nuevas herramientas en la percepción del riesgo
La utilización de modelos de inteligencia artificial por parte de actores maliciosos ha incrementado la inquietud en el tejido empresarial. Cerca del 90% de las organizaciones confirma que las amenazas basadas en estas nuevas tecnologías han elevado la percepción de los empleados sobre la necesidad de recibir formación. Paradójicamente, este aumento en la sensibilización no garantiza una capacidad de respuesta efectiva frente a los incidentes. Apenas un 40% de los directivos de seguridad estima que su personal cuenta con la preparación adecuada para detectar y notificar ataques orquestados mediante IA.
Para paliar esta situación, las corporaciones están intensificando la enseñanza sobre el manejo seguro de soluciones de generación de contenido automatizado, prestando especial atención al control de la información confidencial. La práctica totalidad del tejido empresarial dispone ya de normativas internas relativas al uso de estas herramientas o se halla en fase de despliegue, si bien el desafío radica en la aplicación uniforme de dichas directrices. Esta necesidad de adaptación también ha modificado los temarios de los cursos, donde la protección de los datos comparte ahora prioridad con los riesgos derivados del uso de los diferentes modelos de lenguaje.
A pesar de los retos emergentes, los resultados de la instrucción corporativa son cuantificables y objetivos. Dos tercios de las empresas afirman haber logrado una disminución, entre moderada y significativa, de las brechas de seguridad y las intrusiones tras la puesta en marcha de planes de concienciación. Para evaluar este impacto, los departamentos técnicos han dejado de lado las asunciones básicas para centrarse en parámetros medibles, evaluando la disminución real de los incidentes, las opiniones recogidas de forma directa entre los propios trabajadores y los diagnósticos exactos extraídos de las auditorías de los sistemas corporativos. Esta medición se complementa con la combinación de clases presenciales, módulos telemáticos y simulaciones prácticas, configurando estrategias destinadas a cambiar los hábitos a largo plazo en lugar de impartir conocimientos de forma aislada.
El principal obstáculo para alcanzar la plena eficacia de estas iniciativas reside en los bajos índices de participación. Una reducida proporción de corporaciones logra que la totalidad de su plantilla finalice los cursos requeridos, lo que lleva a casi un 70% de los encargados de la seguridad a calificar como insuficiente el nivel general de conocimientos de sus trabajadores. Para subsanar esta deficiencia, los especialistas recomiendan exigir responsabilidades en la culminación de los programas y transitar hacia formatos educativos más concisos y asiduos. Las píldoras formativas periódicas se perfilan como un método idóneo para mantener los conocimientos actualizados, especialmente ante la rápida mutación de las amenazas en la red.
Finalmente, se constata una paulatina transformación en la cultura corporativa respecto a la protección de los activos digitales. Los directivos asumen en su mayoría que la salvaguarda de la información ha dejado de ser una tarea exclusiva de los departamentos técnicos para convertirse en una obligación compartida por todas las áreas de la compañía. La integración de normativas corporativas que regulen los comportamientos de riesgo, sumada a una instrucción continua y adaptada al panorama actual, es la vía mediante la cual el tejido empresarial busca consolidar su resiliencia frente a la constante evolución del riesgo cibernético.
