Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Cómo medir el Human Risk: 7 métricas clave

    Conozca las 7 métricas esenciales que utilizan los CISO para medir y cuantificar el riesgo humano. Obtenga marcos procesables para evaluar las ciberamenazas y reducir la exposición con estrategias de medición probadas.

    by Andrew Williams

    Key Points

    • El riesgo humano representa el 95%+ de las violaciones de la seguridad, por lo que la medición es fundamental para la protección de las organizaciones
    • Los CISO necesitan una visibilidad clara de los niveles de exposición al riesgo y de la eficacia de la defensa antes de implantar soluciones
    • Siete métricas clave proporcionan una visión completa de los riesgos cibernéticos relacionados con los empleados en toda su organización
    • La plataforma de Mimecast ofrece visibilidad en tiempo real, información sobre el comportamiento e intervenciones adaptativas para reducir el riesgo humano

    Comprender el Human Risk en la ciberseguridad

    El riesgo humano en ciberseguridad se refiere a la posibilidad de que los comportamientos de los empleados aumenten la probabilidad de que se produzca una violación de la seguridad o un fallo en el cumplimiento. Aunque las organizaciones invierten mucho en controles técnicos de seguridad, el elemento humano sigue siendo el componente más impredecible y vulnerable de cualquier estrategia de seguridad.

    Las investigaciones demuestran sistemáticamente que el error humano está implicado en más del 95% de los ciberataques que tienen éxito. Ya sea haciendo clic en un enlace malicioso, cayendo víctima de la ingeniería social o compartiendo inadvertidamente información sensible, las acciones de los empleados a menudo proporcionan el punto de entrada que los ciberdelincuentes necesitan para comprometer los sistemas y datos de la organización.

    El reto de la medición para los CISO

    Antes de implantar cualquier programa de gestión de riesgos humanos, los CISO deben evaluar primero la exposición global de su organización a los ciberriesgos. Esto significa comprender no sólo qué amenazas existen, sino también si las defensas actuales cubren adecuadamente esa exposición. Y lo que es más importante, los responsables de la seguridad deben determinar cómo saben que se está gestionando eficazmente el riesgo humano.

    La formación tradicional sobre concienciación en seguridad a menudo sólo proporciona métricas de finalización, lo que deja a los CISO incapaces de cuantificar qué reducción de riesgos conseguirían aumentando la inversión en programas de concienciación. Sin marcos de medición adecuados, es imposible demostrar el valor empresarial de las iniciativas sobre riesgos humanos o identificar dónde son más necesarias las intervenciones.

    La plataforma integral de Mimecast aborda este reto proporcionando visibilidad en tiempo real del comportamiento humano, métricas de riesgo cuantificables y formación adaptativa que responde a las necesidades reales de los usuarios. Al correlacionar los datos de comportamiento a través de los canales de comunicación y vincularlos a la inteligencia sobre amenazas, las organizaciones pueden por fin medir y gestionar eficazmente su superficie de riesgo humano.

    Informe mundial de inteligencia sobre amenazas 2025

    Explore las últimas ciberamenazas mundiales, descubra los principales acontecimientos que darán forma a la ciberseguridad en 2025 y obtenga información práctica para reforzar sus defensas.
    Obtenga el informe

    1. Comportamientos de riesgo observables y sus patrones

    La base de la medición del riesgo humano reside en la identificación y el seguimiento de los comportamientos de riesgo observables en toda su organización. Más allá de las pruebas de phishing simuladas, las organizaciones necesitan visibilidad de las acciones del mundo real que las exponen a las ciberamenazas.

    Entre los comportamientos clave a seguir se incluyen:

    • Interacciones de correo electrónico de phishing: Supervise los intentos de phishing reales y simulados, rastreando no sólo los clics sino también cómo interactúan los usuarios con los mensajes sospechosos.
    • Uso de TI en la sombra: Identifique las aplicaciones y servicios no autorizados que los empleados utilizan sin la aprobación de TI.
    • Prácticas de manejo de datos: Rastree comportamientos como el reenvío de correos electrónicos confidenciales a cuentas personales o la subida de archivos confidenciales a servicios en la nube no autorizados.
    • Acciones de riesgo repetidas: Centrarse en pequeñas cohortes de usuarios que realicen sistemáticamente comportamientos de alto riesgo a través de múltiples canales.

    El patrón más preocupante suele surgir cuando los mismos empleados incurren repetidamente en comportamientos de riesgo. Las investigaciones demuestran que un pequeño porcentaje de usuarios suele representar una cantidad desproporcionada del riesgo organizativo. La plataforma de Mimecast destaca en la correlación de estos comportamientos a través de diferentes herramientas y canales de comunicación, proporcionando una visión global de cómo las acciones individuales contribuyen a la exposición general de la organización.

    En lugar de tratar cada incidente de forma aislada, una medición eficaz requiere comprender los patrones de comportamiento a lo largo del tiempo. Esta visión longitudinal ayuda a identificar si los comportamientos de riesgo son incidentes aislados o indicativos de problemas de cultura de seguridad más amplios que requieren una intervención específica.

    2. Perfiles de riesgo de los usuarios individuales y exposición a los ataques

    No todos los empleados se enfrentan al mismo nivel de riesgo cibernético. Los ejecutivos, los contratistas y el personal de primera línea tienen diferentes perfiles de riesgo en función de sus funciones, niveles de acceso y atractivo para los atacantes. Una medición eficaz del riesgo humano requiere construir puntuaciones de riesgo dinámicas y personalizadas que reflejen estas diferencias individuales.

    Los factores críticos a medir incluyen:

    • Volumen y frecuencia de los ataques: Realice un seguimiento de la frecuencia con la que determinados usuarios son objeto de ataques de phishing, ingeniería social u otros.
    • Susceptibilidad basada en roles: Evalúe el riesgo en función del departamento, la antigüedad y el cargo, ya que los empleados más nuevos suelen carecer de conocimientos de seguridad, mientras que los ejecutivos se enfrentan a ataques más sofisticados.
    • Tendencias de la puntuación de riesgo: Supervise cómo cambian los niveles de riesgo individuales a lo largo del tiempo en respuesta a la formación, los cambios de función o los factores externos.

    La plataforma de Mimecast construye estos perfiles de riesgo dinámicos utilizando una combinación de datos de exposición a amenazas y telemetría de comportamiento. Por ejemplo, un director financiero que reciba numerosos intentos de compromiso del correo electrónico empresarial y haga clic ocasionalmente en enlaces sospechosos recibiría una puntuación de riesgo más alta que un desarrollador junior que rara vez recibe ataques dirigidos.

    La idea clave es que el riesgo no es estático. El perfil de riesgo de un empleado puede cambiar rápidamente en función de factores como los cambios en su puesto de trabajo, el aumento de los ataques dirigidos o circunstancias personales que afecten a su toma de decisiones. La evaluación periódica y el ajuste de las puntuaciones de riesgo individuales garantizan que las intervenciones de seguridad se dirijan a las personas adecuadas en el momento oportuno.

    3. Niveles de acceso a datos y sistemas críticos

    La ecuación del riesgo cambia drásticamente cuando los empleados con acceso a datos sensibles o sistemas críticos adoptan comportamientos arriesgados. Que un empleado subalterno haga clic en un enlace de phishing es preocupante; que un administrador de bases de datos tenga el mismo comportamiento representa un riesgo exponencialmente mayor para la organización.

    Las métricas esenciales relacionadas con el acceso incluyen:

    • Exposición a activos críticos: Mapa en el que los empleados tienen acceso a información personal identificable (IPI), propiedad intelectual, código fuente o sistemas financieros.
    • Comportamiento de los usuarios con privilegios: Rastree la frecuencia y los tipos de acciones de riesgo realizadas por usuarios con derechos de acceso elevados.
    • Análisis de intersecciones: Identificar dónde se solapan los altos riesgos de comportamiento con los altos privilegios de acceso

    Los enfoques de seguridad tradicionales suelen tratar la gestión del acceso y el riesgo de comportamiento como cuestiones separadas. Sin embargo, la medición del riesgo humano más eficaz combina estas perspectivas para identificar a los empleados que suponen el mayor impacto potencial para la seguridad de la organización.

    La capacidad de Mimecast para integrar datos contextuales sobre los niveles de acceso con observaciones de comportamiento en tiempo real proporciona a los equipos de seguridad la visibilidad que necesitan para priorizar sus esfuerzos de respuesta. Cuando un usuario privilegiado muestra un comportamiento preocupante, la plataforma puede activar automáticamente protocolos adicionales de supervisión o intervención.

    Ayudamos a mitigar las amenazas en evolución, desde la ingeniería social y las amenazas internas hasta el error humano, antes de que se produzca el daño. Obtenga más información sobre cómo puede obtener visibilidad en tiempo real de los comportamientos de riesgo en el correo electrónico y los canales de colaboración.


    Pruebe nuestra plataforma integrada de gestión de Human Risk →

    4. Eficacia de la formación y de las intervenciones de concienciación en materia de seguridad

    Los programas tradicionales de formación para la concienciación sobre la seguridad proporcionan tasas de finalización y resultados de pruebas, pero estas métricas no responden a la pregunta fundamental: ¿está la formación cambiando realmente el comportamiento y reduciendo el riesgo?

    Las métricas significativas de la eficacia de la formación se centran en:

    • Mejoras de comportamiento tras la formación: Medir los cambios reales de comportamiento tras las intervenciones de formación, no sólo la retención de conocimientos.
    • Reducción de las acciones de riesgo repetidas: Rastrear si los usuarios dejan de tener los mismos comportamientos de riesgo tras la formación específica.
    • Respuesta a las intervenciones en tiempo real: Evaluar la eficacia con la que los usuarios responden a los codazos y microintervenciones "justo a tiempo" durante situaciones de riesgo reales.

    La limitación de las métricas tradicionales de finalización de la formación queda clara si se tiene en cuenta que los CISO no pueden cuantificar qué reducción de riesgos conseguirían aumentando el gasto en programas de formación de concienciación. Sin la medición de los resultados del comportamiento, es imposible demostrar el rendimiento de la inversión o racionalizar las inversiones en formación.

    La plataforma de Mimecast aborda esta carencia ofreciendo una educación contextualizada y justo a tiempo que responde al comportamiento real del usuario. Cuando un usuario hace clic en un enlace sospechoso, recibe una formación inmediata y pertinente en lugar de un contenido genérico de concienciación. Este enfoque permite medir el cambio real de comportamiento en lugar de limitarse a completar la formación.

    El beneficio de las políticas adaptativas

    Las políticas adaptativas mejoran la detección de riesgos humanos al adaptar las medidas de seguridad al comportamiento, el perfil de riesgo y la exposición a las amenazas de un individuo, en lugar de aplicar una formación uniforme en toda la organización. Este método permite a los equipos de seguridad realizar intervenciones precisas para los usuarios de alto riesgo y, al mismo tiempo, suavizar las restricciones para las personas de menor riesgo, optimizando la asignación de recursos y mejorando la eficacia general. 

    La gestión de los datos sensibles y de los datos de riesgo de identidad son componentes críticos de este enfoque adaptativo. Al integrar soluciones como Incydr para supervisar el manejo de datos sensibles y soluciones de terceros como Entra para el riesgo de identidad, las organizaciones obtienen una visibilidad más profunda de los comportamientos de los usuarios. Por ejemplo, las alertas Incydr activadas por el uso indebido o el intercambio no autorizado de archivos sensibles contribuyen directamente a los perfiles de riesgo globales. Estas integraciones garantizan que las políticas adaptativas estén informadas por fuentes de datos diversas y procesables, lo que permite respuestas adaptadas a los riesgos en evolución. 

    Las investigaciones demuestran que la formación específica reduce los índices de clics en phishing hasta en un 25% entre los usuarios de alto riesgo. Además, la agregación de datos procedentes de fuentes como el comportamiento del correo electrónico, los movimientos de datos confidenciales, los patrones de acceso y las interacciones de suplantación de identidad proporciona una visibilidad inigualable del riesgo humano organizativo. Esta metodología basada en datos permite medir y mitigar con precisión los riesgos, al tiempo que posibilita respuestas de seguridad automatizadas para gestionar proactivamente las amenazas a escala.

    5. Visibilidad y contexto a través de los canales de comunicación

    Las organizaciones modernas se comunican a través de múltiples plataformas, correo electrónico, Slack, Microsoft Teams, Zoom y otras. Sin embargo, la mayoría de las soluciones de seguridad sólo ofrecen visibilidad en un canal, lo que crea peligrosos puntos ciegos en la evaluación de riesgos humanos.

    La visibilidad integral requiere medición:

    • Indicadores de comportamiento multiplataforma: Rastree las acciones de los usuarios en todos los canales de comunicación para identificar patrones coherentes.
    • Análisis contextual de mensajes: Supervise no sólo lo que reciben los usuarios, sino también el contexto de los mensajes, como ediciones, eliminaciones y patrones de reenvío.
    • Vulnerabilidades específicas del canal: Identificar las brechas de seguridad que existen entre las diferentes herramientas de comunicación.

    Los sistemas de seguridad desconectados crean escenarios en los que un usuario puede parecer de bajo riesgo en la supervisión del correo electrónico mientras realiza comportamientos de alto riesgo en las plataformas de colaboración. Esta visión fragmentada impide a las organizaciones comprender su verdadera exposición al riesgo humano.

    Mimecast centraliza las perspectivas de comunicación a través de múltiples canales, proporcionando a los equipos de seguridad una visión unificada del comportamiento humano. Esta visibilidad integral revela patrones de riesgo que serían invisibles al supervisar plataformas individuales de forma aislada.

    6. Impacto de las amenazas externas y sofisticación de los ataques

    El riesgo humano no existe en el vacío, debe medirse en su contexto frente a las amenazas reales. A medida que los atacantes aprovechan la inteligencia artificial para crear correos electrónicos de phishing, deepfakes y ataques de ingeniería social más sofisticados, la evaluación del riesgo humano debe tener en cuenta esta dinámica cambiante.

    Los factores externos clave que hay que medir incluyen:

    • Respuestas de los empleados a las nuevas amenazas: Realice un seguimiento de cómo reaccionan los usuarios ante nuevas técnicas de ataque como el phishing con código QR, los contenidos generados por IA o los sofisticados intentos de compromiso del correo electrónico empresarial.
    • Tendencias de sofisticación de los ataques: Supervise la complejidad y personalización de las amenazas dirigidas a su organización.
    • Alineación amenaza-vulnerabilidad: Evalúe hasta qué punto las tendencias de ataque actuales se alinean con las vulnerabilidades humanas de su organización.

    La aparición de amenazas generadas por la IA cambia fundamentalmente la ecuación del riesgo humano. "Los programas de formación tradicionales que se centran en identificar los correos electrónicos" obviamente sospechosos pierden eficacia cuando los atacantes pueden generar suplantaciones casi perfectas de comunicaciones legítimas.

    La integración por parte de Mimecast de la inteligencia sobre amenazas en tiempo real con la puntuación humana de riesgos garantiza que las evaluaciones de riesgos reflejen la realidad actual de los ataques. Cuando surgen nuevas técnicas de amenaza, la plataforma ajusta automáticamente los cálculos de riesgo para tener en cuenta estos retos en evolución.

    7. Requisitos de cumplimiento y gobernanza

    Los marcos normativos como GDPR, HIPAA y PCI DSS no sólo exigen controles técnicos de seguridad, sino que obligan a supervisar el comportamiento humano que podría conducir a infracciones del cumplimiento. Muchas organizaciones descubren sus lagunas de cumplimiento sólo después de que se produzca un incidente.

    Las métricas críticas relacionadas con el cumplimiento incluyen:

    • Infracciones de las políticas en la comunicación: Rastree los casos en los que los empleados infringen las políticas de tratamiento de datos en todas las plataformas de comunicación.
    • Preparación para la auditoría: Mantener registros exhaustivos y auditables de los datos de riesgo de los usuarios y de los esfuerzos de intervención.
    • Lagunas en el flujo de trabajo de gobernanza: Identifique las áreas en las que el comportamiento humano crea riesgos de cumplimiento que no abordan los procesos actuales.

    El coste de los incumplimientos va mucho más allá de las multas reglamentarias. Las organizaciones se enfrentan a daños en su reputación, responsabilidad legal y pérdida de confianza de los clientes cuando un error humano conduce a la violación de datos o de la privacidad.

    La plataforma de Mimecast admite métricas de riesgo auditables y gestión de datos en todos los canales de comunicación, lo que ayuda a las organizaciones a demostrar el cumplimiento de los requisitos normativos al tiempo que identifica de forma proactiva posibles infracciones antes de que se conviertan en incidentes.

    Reflexiones finales: Human Risk es un riesgo empresarial

    Medir el riesgo humano no es sólo una iniciativa de ciberseguridad, es una capacidad empresarial crítica que afecta a todos los aspectos de las operaciones organizativas. Desde la protección de la propiedad intelectual hasta el mantenimiento de la confianza de los clientes, la gestión de los riesgos humanos afecta a todas las partes interesadas de la organización.

    El principio fundamental sigue siendo simple: Los responsables de TI y de cumplimiento no pueden gestionar lo que no miden, y no pueden medir lo que no pueden ver. Los enfoques tradicionales que se centran en herramientas de seguridad individuales o en programas de formación aislados no consiguen proporcionar la visibilidad integral que necesitan las organizaciones modernas.

    La inversión en una plataforma centralizada como Mimecast unifica la visibilidad del riesgo en todos los canales de comunicación, permite intervenciones basadas en datos y proporciona las métricas que los líderes empresariales necesitan para tomar decisiones de seguridad informadas. Al implantar una medición exhaustiva de los riesgos humanos, las organizaciones pueden pasar por fin de una respuesta reactiva a los incidentes a una gestión proactiva de los riesgos.

    Las siete métricas esbozadas en este artículo proporcionan un marco para comprender y cuantificar el riesgo humano, pero una aplicación satisfactoria requiere las herramientas y plataformas adecuadas para recopilar, analizar y actuar en función de estos datos. A medida que las ciberamenazas siguen evolucionando y apuntando a las vulnerabilidades humanas, las organizaciones que inviertan en una medición exhaustiva de los riesgos humanos estarán mejor posicionadas para proteger sus activos, cumplir con las obligaciones de conformidad y mantener la continuidad del negocio en un panorama digital cada vez más peligroso.

    Related Articles

    Security Awareness Training
    Racionalización de las estrategias de ciberseguridad: El papel de la gestión de Human Risk
    Security Awareness Training
    Resumen de Human Risk: Bombas de correo electrónico, ataques basados en navegadores y empresas de drones
    Security Awareness Training
    Human Risk Roundup: Un gusano autorreplicante, una detención en el Reino Unido y un susto por una cuenta de Facebook

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top