Cómo medir el ROI de la formación en concienciación sobre seguridad
Cómo pueden los CISO demostrar el valor de las simulaciones de phishing y la formación del personal
Introducción
Los presupuestos de ciberseguridad suelen ser ajustados, especialmente para las pequeñas y medianas empresas (pymes). Los ejecutivos quieren saber: ¿Está dando realmente frutos nuestra inversión en formación en concienciación sobre seguridad?
Aunque las simulaciones de phishing y la formación del personal parecen opciones obvias, demostrar su retorno de la inversión (ROI) puede resultar complicado.
En este artículo, desglosamos cómo medir el ROI de los programas de concienciación sobre seguridad, las métricas que importan y por qué las simulaciones de phishing basadas en IA pueden ofrecer un mejor valor a largo plazo.
💡 Este artículo tiene fines informativos y no constituye asesoramiento financiero ni jurídico.
Por qué es difícil medir el ROI en ciberseguridad
A diferencia de las campañas de marketing o las iniciativas de ventas, las inversiones en ciberseguridad tienen como objetivo evitar que sucedan cosas malas. Eso significa que el ROI se mide a menudo por las pérdidas evitadas, lo cual puede ser difícil de cuantificar hasta que se produce una filtración.
Según el Informe de IBM sobre el coste de una violación de datos de 2024, el coste medio global de una violación de datos es de 4,45 millones de dólares, siendo el phishing la segunda causa más común. Para las pymes, incluso una fracción de ese coste puede ser devastadora.
El reto es traducir la reducción del riesgo en ahorros cuantificables.
La fórmula del ROI para la formación en concienciación sobre seguridad
Un enfoque habitual para calcular el ROI en los programas de concienciación sobre ciberseguridad es:
ROI (%) = [(Estimated Losses Avoided – Program Costs) / Program Costs] × 100
Paso 1: Estima las pérdidas potenciales
- Costes de la filtración de datos: gastos legales, multas reglamentarias (p. ej., sanciones del RGPD), costes de recuperación, pérdida de negocio
- Interrupción operativa: tiempo de inactividad, pérdida de productividad
- Daño a la reputación: pérdida de clientes, disminución de la confianza
Ejemplo: si tu pérdida potencial estimada por un ataque de phishing es de 200 000 € y una formación eficaz puede reducir ese riesgo en un 70 %, tu cifra de pérdidas evitadas es de 140 000 €.
Paso 2: Calcula los costes del programa
- Suscripción al proveedor/plataforma (p. ej., licencia de AutoPhish)
- Tiempo de formación interna
- Gastos administrativos
Paso 3: Aplica la fórmula
Si tu programa de formación anual cuesta 20 000 € y evita 140 000 € en pérdidas, el ROI es:
ROI = [(140,000 – 20,000) / 20,000] × 100 = 600%
Métricas que importan
Para que los informes de ROI sean fiables, haz un seguimiento de tanto los indicadores adelantados como los atrasados:
Indicadores adelantados (preventivos)
- Tasas de clics en simulaciones de phishing
- Tasas de correos electrónicos sospechosos notificados
- Tasas de finalización de la formación
Indicadores atrasados (tras los incidentes)
- Número de incidentes de phishing por trimestre
- Tiempo medio de detección (MTTD) y de respuesta (MTTR)
- Multas regulatorias o pérdida de clientes tras los incidentes
Por qué es importante: Organismos reguladores como la ICO del Reino Unido y la ENISA esperan cada vez más que las organizaciones demuestren que han formado a sus empleados y gestionan los riesgos de forma proactiva.
Casos prácticos y datos del sector
- Informe comparativo de KnowBe4 de 2024: reveló que, tras la formación inicial y simulacros de phishing, el «porcentaje de usuarios propensos al phishing» bajó de un nivel de referencia más alto a solo el 18,9 % en 90 días, y a un 4,6 % tras 12 meses.
- ICO del Reino Unido contra Interserve (2022): se impuso una multa de 4,4 millones de libras tras un ataque de phishing. Se señalaron la falta de formación y la mala aplicación de parches como fallos clave. Demostrar un historial de simulaciones de phishing podría haber reducido la responsabilidad.
- Directrices de la FTC de EE. UU.: La FTC hace hincapié en la formación como medida de seguridad básica; no hacerlo puede dar lugar a medidas coercitivas.
Formación manual frente a simulaciones basadas en IA
| Característica | Manual/dirigida por consultores | Basada en IA (p. ej., AutoPhish) |
|---|---|---|
| Coste por campaña | Alto | Bajo (suscripción) |
| Frecuencia | Normalmente anual | Mensual o continua |
| Personalización | Limitada | Alta (basada en el sector y el puesto) |
| Realismo | Moderado | Alto (correos generados por IA) |
| Informes y análisis | Manual | Automatizados |
| Escalabilidad | Baja | Alta |
Por qué es importante: Con las simulaciones de phishing basadas en IA, puedes llevar a cabo campañas más frecuentes y realistas por una fracción del coste de un consultor, al tiempo que recopilas datos que respaldan directamente el cálculo de tu ROI.
Elaboración del caso de negocio
Al presentar el ROI a la dirección, destaca:
- Reducción del riesgo: Cuantifica la disminución de las tasas de éxito del phishing tras la formación.
- Cumplimiento normativo: Demuestra cómo la formación respalda las expectativas del RGPD/NIS2/FTC.
- Rentabilidad: Compara el coste del programa con los posibles costes de una violación de seguridad.
- Continuidad operativa: destaca la reducción del tiempo de inactividad debido a incidentes de seguridad.
Reflexiones finales
Medir el ROI de la formación en concienciación sobre seguridad no es solo un ejercicio contable: es una forma de demostrar que tu inversión está reduciendo el riesgo en el mundo real y protegiendo tus resultados.
Puntos clave:
- Usa una fórmula clara de ROI que incluya las pérdidas evitadas
- Realiza un seguimiento tanto de los indicadores de seguridad adelantados como de los atrasados
- Realiza simulaciones de phishing frecuentes y realistas para lograr el máximo impacto
- Documenta los resultados para el cumplimiento normativo y los informes a la dirección
Con plataformas como AutoPhish, las pymes pueden maximizar el impacto de la formación, minimizar los costes y generar pruebas claras del ROI, convirtiendo la concienciación en seguridad de algo «que está bien tener» en un activo empresarial de eficacia probada.