2LRN4 security awareness platform
← Volver a la base de conocimientos

Medir lo que cuenta

Por qué los programas de concienciación informan sobre todo de la participación en lugar del conocimiento, el comportamiento y la reducción del riesgo, cómo dice la investigación que debe medirse y qué lugar lógico merecen los formatos atractivos como los juegos y las salas de escape.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En resumen

  1. La mayoría de los programas de concienciación informan de lo que resulta más fácil de contar: la participación y la finalización. Pero la finalización mide actividad, no resultados. Un programa de concienciación existe para reducir los riesgos de seguridad y privacidad en los que influye el comportamiento del empleado, y ese riesgo no baja porque alguien termine un módulo o juegue a un juego.
  2. El conocimiento, la actitud y el comportamiento son tres magnitudes distintas, y también se miden de forma distinta. Una prueba de conocimientos mide conocimiento, no comportamiento. La investigación muestra esa brecha en cifras. La formación eleva el conocimiento unas tres veces más que el comportamiento (tamaño del efecto d ≈ 1,02 frente a d ≈ 0,36). Quien solo mide la participación o el conocimiento se pierde justo lo que cuenta.
  3. El comportamiento sí se puede medir, y además a escala: no con un juego de tres horas para treinta personas, sino con señales observables como la conducta de notificación ante mensajes sospechosos, desglosada por grupo de riesgo y comunicada en el lenguaje del riesgo. Las dinámicas atractivas como los juegos y las escape rooms merecen ahí un lugar claro, como motor de implicación y conversación, no como prueba de que el riesgo ha bajado.

Hace poco vi la presentación de un juego de concienciación que una organización con casi ocho mil empleados había desarrollado por su cuenta. Tenía un aspecto magnífico y se notaba el mucho trabajo invertido. Grupos de unos treinta empleados lo juegan en tres horas, y mientras tanto surge exactamente la conversación sobre seguridad y privacidad que buscas. Además, los tableros con las preguntas están colgados en distintos puntos del edificio, de modo que de paso resuelves uno de vez en cuando. Una buena iniciativa, y conviene que siga siendo así.

Y aun así quedaba una pregunta en el aire. Treinta empleados por sesión, sobre casi ocho mil, es menos del medio por ciento. Quien quiera llegar así a todo el mundo tiene trabajo para años, y lo mismo vale para las escape rooms físicas, los camiones cibernéticos y los roadshows que aparecen por todas partes. A eso se suma una segunda pregunta. ¿Se puede también, con un juego así, medir si el comportamiento cambia? Porque para eso existe en el fondo un programa de concienciación: para reducir los riesgos de seguridad y privacidad en los que influye el comportamiento del empleado.

La ciencia del comportamiento resume esa tarea en tres condiciones. Para cambiar el comportamiento necesitas conocimiento, motivación y oportunidad al mismo tiempo (Michie, van Stralen y West, 2011). Con demasiada frecuencia un programa arranca con un e-learning o una presentación, y ahí mismo se acaba. Así actúas sobre el conocimiento, pero no sobre la oportunidad ni la motivación. Y cuando llega el momento de informar, ya ni siquiera se trata de conocimiento, sino de participación. Este informe es un estudio de literatura sobre la medición y la comunicación de la concienciación en seguridad. No pretende frenar las buenas iniciativas, sino darles un lugar lógico, porque la concienciación también puede ser divertida. La cuestión es únicamente: ¿qué mides y qué comunicas, para dirigir hacia el riesgo y no hacia la asistencia?

Sobre el estudio

Tipo
Estudio de literatura basado en investigación revisada por pares, complementado con normas de referencia y cifras del sector.
Fuentes
El modelo de evaluación de Kirkpatrick, las normas ISO/IEC 27001:2022 y 27002:2022, instrumentos de medición validados (KAB, HAIS-Q, SeBIS), trabajos empíricos sobre la brecha entre conocimiento y comportamiento, un metaanálisis de 69 estudios de formación, un estudio de phishing a gran escala con 14.733 empleados, revisiones sistemáticas de literatura sobre gamificación y cifras de ENISA, SANS y proveedores de formación en concienciación.
Fecha de referencia
Junio de 2026.
Pregunta principal
¿Cómo medir y comunicar la concienciación en seguridad de modo que se dirija hacia la reducción del riesgo y no hacia la participación, y qué lugar ocupan en ello las dinámicas atractivas como los juegos y las escape rooms?

Subpreguntas

  1. ¿Qué comunican en la práctica las organizaciones sobre su programa de concienciación, y por qué precisamente eso?
  2. ¿Qué magnitudes distintas se pueden medir, y con qué instrumentos?
  3. ¿Por qué medir el conocimiento, o incluso la participación, dice demasiado poco sobre el comportamiento?
  4. ¿Se puede medir el comportamiento, y además a la escala de toda una organización?
  5. ¿Qué lugar merecen las dinámicas atractivas y de pequeña escala dentro de un programa medible?
  6. ¿Cómo organizar la medición y la comunicación para que dirijan hacia el riesgo?

01 · HallazgoLo que comunicamos es participación, no resultado

El modelo estándar para evaluar la formación procede de Kirkpatrick (1959, recopilado en Kirkpatrick y Kirkpatrick, 2006) y consta de cuatro niveles: la reacción de los participantes, lo que han aprendido, si su comportamiento cambia y qué resultados aporta eso a la organización. Esos cuatro niveles forman una escalera. Cuanto más alto subes, más dice una medición sobre el efecto real. En la concienciación en seguridad, sin embargo, la mayoría de los programas se quedan en el peldaño más bajo. Un estudio panorámico de la práctica de evaluación muestra que las organizaciones se apoyan sobre todo en medidas accesibles, cercanas al nivel uno, como los porcentajes de finalización y las puntuaciones de satisfacción, mientras que rara vez miden en el nivel del comportamiento o del resultado (Jayatilaka et al., 2021). Los estudios que sí llegan al nivel del comportamiento, como el de Khan y colegas (2023), son la excepción que confirma la regla.

Esa preferencia es comprensible, y por ello peligrosa. Un entorno de aprendizaje entrega el porcentaje de finalización con solo pulsar un botón, mientras que medir el comportamiento exige un diseño de medición, tiempo y dinero. La cifra más fácil de producir se convierte así, sin más, en la cifra que comunicas. El problema es que esa cifra mide actividad y no resultado. Una finalización de casi el cien por cien parece una victoria, pero no es la victoria que buscas. En La paradoja de la participación ya mostramos que una obligación eleva de forma fiable la participación sin que el comportamiento se mueva por sí solo. Por tanto, la tasa de finalización dice algo sobre cuántas personas completaron la formación, y casi nada sobre si la organización se volvió más segura.

La cifra más fácil de producir se convierte sin más en la cifra que comunicas. Y esa cifra mide actividad, no resultado.

El núcleo del problema de comunicación

Que los programas de concienciación se queden en este peldaño más bajo no es, además, un incidente aislado, sino un patrón generalizado. El estudio anual del sector de SANS (2024), basado en más de mil profesionales de más de setenta países, muestra que muchos programas se estancan en una fase de cumplimiento y concienciación, centrada en la asistencia y el reconocimiento, y no avanzan hacia una fase en la que el comportamiento y la cultura ocupen el centro. Así surge una comunicación que tranquiliza al consejo de administración sin decir nada sobre el riesgo real.

A estas alturas, también la norma lo recoge. La ISO/IEC 27001 exige en la cláusula 9.1 evaluar la eficacia de las medidas, y con la revisión de 2022 la concienciación se convirtió, en la ISO/IEC 27002 subyacente, en un control autónomo (6.3), centrado en un personal que se comporta de forma demostrable conforme a la política y no en una formación puntual. En la práctica de auditoría, esto plantea una exigencia más dura. Una lista de asistencia o un porcentaje de finalización ya no se aceptan como prueba suficiente, precisamente porque no dicen nada sobre la eficacia. Con ello se desplaza el listón mínimo. Donde antes cumplías la medida con la asistencia y un e-learning terminado, la norma, desde la transición a la ISO 27001:2022 —cuyo plazo para los certificados existentes venció a finales de octubre de 2025—, pide pruebas de que el comportamiento y el conocimiento han cambiado de verdad. Un programa que se queda en los dos peldaños inferiores no aporta esa prueba.

La escalera de evaluación Cuatro niveles de Kirkpatrick; la mayoría de los programas se quedan en el peldaño más bajo 1 · Participación reacción y finalización "cuántos participaron" 2 · Conocimiento qué se ha aprendido "ya lo saben" 3 · Comportamiento qué hacen distinto "actúan con más seguridad" 4 · Riesgo resultado para la organización "baja el riesgo" aquí se quedan la mayoría de programas aquí quieres dirigir fácil de contar más difícil de medir, pero lo que cuenta

Figura 1 La escalera de evaluación de Kirkpatrick con cuatro niveles: participación (reacción), conocimiento (aprendizaje), comportamiento y riesgo (resultado). Cuanto más alto subes, más difícil resulta medir y más dice la medición. La mayoría de los programas de concienciación informan en el peldaño más bajo. Según Kirkpatrick y Kirkpatrick (2006).

02 · DistinciónConocimiento, actitud y comportamiento no son lo mismo, y tampoco se miden igual

Quien quiere subir más en la escalera descubre enseguida que la concienciación no es una única magnitud, sino un conjunto de tres: lo que alguien sabe, lo que piensa al respecto y lo que realmente hace. La investigación lo resume en el llamado modelo KAB de conocimiento, actitud y comportamiento, un tríptico que ya usamos en La diferencia entre la concienciación en seguridad y en privacidad. Kruger y Kearney (2006) aportaron para ello el primer modelo práctico de puntuación, con el que expresas la concienciación no como una sensación, sino como una puntuación medible y ponderada. La conclusión más importante de ese modelo es que los tres componentes pueden moverse de forma independiente. Alguien puede conocer las reglas, considerarlas sensatas y aun así no comportarse conforme a ellas.

Desde entonces, instrumentos validados miden estas magnitudes de forma fiable. El más conocido es el Human Aspects of Information Security Questionnaire, en abreviatura el HAIS-Q, que también citamos en Los primeros meses vulnerables y que cartografía el conocimiento, la actitud y el comportamiento autoinformado sobre distintos temas (Parsons et al., 2014). En una segunda ronda de validación, los investigadores demostraron además que unas puntuaciones más altas en el cuestionario se correlacionaban con un mejor desempeño en una simulación de phishing real, lo que confiere al instrumento un valor predictivo del que carece un cuestionario improvisado (Parsons et al., 2017). Para la vertiente del comportamiento, Egelman y Peer (2015) desarrollaron la Security Behavior Intentions Scale, en abreviatura SeBIS, una escala validada que mide la intención de comportamiento seguro a lo largo de cuatro dimensiones, desde la actualización del software hasta la gestión de contraseñas.

La lección práctica es tan sencilla como incómoda. Existen instrumentos contrastados para medir más allá de la participación, así que una organización que quiera medir la concienciación en serio no tiene que empezar de cero. Una prueba de conocimientos casera al final del e-learning mide, como mucho, si alguien todavía es capaz de reproducir la información que se le acaba de mostrar. No mide la actitud, no mide el comportamiento, y no la comparas a lo largo del tiempo ni entre departamentos. La diferencia entre medir y medir bien es exactamente la diferencia entre una pregunta de ese tipo y un instrumento validado.

Tres magnitudes, tres formas de medir Una prueba de conocimientos mide conocimiento; para el comportamiento hace falta otra medida Conocimiento saber prueba de conocimientos HAIS-Q (parte de conocimiento) fácil de medir Actitud opinar HAIS-Q (parte de actitud) intención SeBIS mediante cuestionario validado Comportamiento hacer señales observables notificación, clic la medida que cuenta la brecha conocimiento-comportamiento La formación eleva el conocimiento unas tres veces más que el comportamiento. Tamaño del efecto d ≈ 1,02 en conocimiento frente a d ≈ 0,36 en comportamiento. Según Prümmer et al. (2024).

Figura 2 Conocimiento, actitud y comportamiento son tres magnitudes, cada una con su propia forma de medir. El conocimiento y la actitud se miden con cuestionarios validados; el comportamiento, con señales observables. El metaanálisis de Prümmer y colegas muestra cuánto se distancian el conocimiento y el comportamiento.

03 · ExplicaciónPor qué medir el conocimiento no basta

Entre saber y hacer se abre una brecha que en la investigación recibió un nombre propio: la knowing-doing gap. No es una observación casual, sino un fenómeno demostrado en repetidas ocasiones. Workman, Bommer y Straub (2008) y Cox (2012) dieron a la brecha una estructura teórica y mostraron que las personas que conocen la amenaza y entienden la medida de protección a menudo, aun así, prescinden de ella. Trabajos más recientes confirman ese cuadro. Zwilling y colegas (2020) hallaron en cuatro países suficiente conocimiento de la amenaza, pero apenas comportamiento protector, y Lee y Chua (2023) demostraron que el conocimiento no predice el comportamiento de forma directa, sino solo a través de factores intermedios. El mensaje para quien quiere medir es duro. Una prueba de conocimientos mide conocimiento, y el conocimiento no predice por sí solo el comportamiento.

El tamaño de esa brecha se aprecia con la mayor nitidez en un metaanálisis de sesenta y nueve estudios sobre el efecto de la formación en ciberseguridad (Prümmer, van Steen y van den Berg, 2024), que también citamos en nuestro informe sobre simulaciones de phishing. La formación eleva el conocimiento de forma notable, con un tamaño del efecto grande de aproximadamente 1,02, pero el comportamiento mucho menos, con un tamaño del efecto débil de aproximadamente 0,36. Dicho de otro modo: la formación media eleva el conocimiento unas tres veces más que el comportamiento. Quien solo mide el conocimiento informa, por tanto, precisamente de la magnitud que más se mueve y menos dice sobre el riesgo.

Que la brecha no se deba a una falta de información lo muestra sin piedad una medición práctica a gran escala. En el estudio anual de phishing de Proofpoint (2024), el 71 % de los usuarios realizó una acción de riesgo, y el 96 % de ellos sabía que era arriesgada. Aquí, más información habría cambiado poco, porque el conocimiento ya estaba. Esto explica por qué un programa que apuesta solo por el conocimiento se queda estancado. El modelo de comportamiento COM-B resume el porqué. El comportamiento solo surge cuando coinciden la capacidad, la motivación y la oportunidad (Michie, van Stralen y West, 2011). Un e-learning aporta la capacidad, es decir, el conocimiento, pero la motivación y la oportunidad tienen que venir de la propia organización. Como describimos en El problema de respaldo, esa oportunidad —el tiempo dentro de la jornada laboral, el presupuesto y la prioridad— está casi por completo en manos de la dirección. Una prueba de conocimientos no mide nada de eso.

04 · HallazgoEl comportamiento sí se puede medir, y a escala

Aquí confluyen las dos preguntas del principio, la de la medición y la de la escala. Un juego de tres horas para treinta personas es una experiencia magnífica, pero no un instrumento de medición, y nunca alcanza a toda una organización. Por suerte, el comportamiento sí se mide a escala, con señales que la organización emite por sí sola durante el trabajo diario. El ejemplo más conocido es la simulación de phishing, siempre que mires la cifra correcta. El estudio a gran escala de Lain, Kostiainen y Capkun (2022), realizado con 14.733 empleados a lo largo de un periodo de quince meses, muestra dos cosas. En primer lugar, una tasa de clic baja por correo, de apenas el seis por ciento, oculta que casi un tercio del personal hace clic al menos una vez durante ese periodo. Y en segundo lugar, la formación en el momento del clic no mejoró la resiliencia, mientras que la notificación conjunta de mensajes sospechosos sí aportó una señal duradera y útil.

Con ello, la atención se desplaza de la tasa de clic a la tasa de notificación, la proporción de empleados que notifica activamente un mensaje sospechoso. Esa es una mejor medida, porque notificar va más allá de tener cuidado. Quien notifica no solo se protege a sí mismo, sino que avisa a toda la organización. La propia tasa de clic sigue siendo una medida turbia, porque que alguien haga clic depende en gran medida de la atención en ese momento y de las circunstancias, y no solo de lo que esa persona sabe hacer. En el estudio de Proofpoint (2024), el porcentaje medio de notificación rondaba el 19 % frente a un porcentaje de fallo en la simulación de algo más del 9 %, es decir, un factor de resiliencia de aproximadamente dos. Ese tipo de cifra pertenece a los peldaños superiores de la escalera, porque mide lo que las personas hacen y no si estuvieron presentes. La simulación de phishing no es, además, la única señal de comportamiento. También el número de incidentes notificados y el número de acciones inseguras que se hacen visibles en los sistemas, como una regla de prevención de fuga de datos que se dispara, dicen algo sobre lo que las personas hacen realmente. Un marco revisado por pares para medir la concienciación subraya que justamente las métricas de comportamiento, a diferencia de las cifras de participación, se correlacionan con una reducción real del riesgo (Chaudhary, Gkioulos y Katsikas, 2022), y también ENISA (2021) sitúa explícitamente la medición del comportamiento en el núcleo de una estrategia de concienciación.

Un juego es un motor excelente para la implicación y la conversación. Solo que no es un instrumento de medición, y no reduce el riesgo de ocho mil personas.

Sobre el lugar de las dinámicas atractivas

Y así las buenas iniciativas reciben su lugar lógico. La investigación sobre gamificación y serious games es llamativamente unánime. Las dinámicas atractivas elevan de forma fiable la implicación, la motivación y el conocimiento a corto plazo, pero sobre el cambio duradero de comportamiento todavía se ha demostrado poco. Gwenhure y Rahayu (2024) encuentran sobre todo efectos a corto plazo, Ng y Hasan (2025) muestran que muchos juegos llegan justamente a los empleados que ya son competentes, lo que socava la promesa de alcance, y Chen y colegas (2023) demuestran con la mayor nitidez que el disfrute y la inmersión elevan la concienciación, pero no se traducen por sí solos en intención de comportamiento. Trasladado al modelo COM-B, un juego, una escape room o un camión cibernético aportan sobre todo motivación y una parte del conocimiento, y eso es valioso. No aportan oportunidad, ni escala, ni medición del comportamiento. Por tanto, mide una dinámica de ese tipo por lo que sí hace: por su alcance, su vivencia y la calidad de la conversación, y no como si una intervención para treinta personas tuviera que reducir el riesgo de ocho mil. Que esto no es un problema de lujo lo muestra el mismo estudio de SANS (2024), en el que la falta de tiempo y de personal constituye el obstáculo más mencionado y los programas más maduros requieren enseguida más de cuatro plazas a tiempo completo. Justamente por eso, tu tiempo y tu gente solo los inviertes una vez, y la medición escalable del comportamiento no puede ceder ante la intervención más bonita, pero más pequeña.

Alcance frente a medibilidad del comportamiento Dónde están las dinámicas atractivas y dónde la medición escalable del comportamiento Alcance dentro de la organización bajo alto Medibilidad del comportamiento baja alta Juego y escape room mucha vivencia, poco alcance E-learning + prueba gran alcance, mide sobre todo conocimiento Cuestionario validado HAIS-Q, actitud e intención Notificación de incidentes y señales DLP derivadas de los datos de trabajo Simulación de phishing (tasa de clic) mide también atención, no puro comportamiento Tasa de notificación la señal de comportamiento más limpia

Figura 3 Formas de medición situadas según el alcance (horizontal) y el grado en que hacen medible el comportamiento (vertical). Los juegos y las escape rooms puntúan alto en vivencia, pero bajo en alcance y medición del comportamiento; un e-learning y un cuestionario validado llegan a todos, pero miden sobre todo conocimiento y actitud; la tasa de clic de una simulación de phishing mide también atención y circunstancias, no puro comportamiento, mientras que la tasa de notificación y las señales de los datos de trabajo diarios, como las notificaciones de incidentes y la prevención de fuga de datos, ofrecen la señal de comportamiento más limpia y escalable.

05 · EnfoqueAsí mides y comunicas

Los hallazgos anteriores se traducen en un enfoque de medición y comunicación que dirige hacia el riesgo sin tirar por la borda las dinámicas atractivas. Cinco pasos.

  1. Sube la escalera de evaluación y no te quedes en el peldaño uno.Mide de forma consciente en los cuatro niveles de Kirkpatrick: participación, conocimiento, comportamiento y, en última instancia, riesgo. La participación sigue siendo útil como medida de proceso, porque sin alcance nada cambia, pero no la conviertas nunca en el resultado que comunicas. Ante cada cifra, pregúntate primero: ¿esto mide actividad o resultado? Desde la ISO 27001:2022, por cierto, la norma también lo espera, a saber, pruebas de eficacia y no solo de participación.
  2. Mide el conocimiento y la actitud con un instrumento validado.Usa un instrumento de medición contrastado como el HAIS-Q y no un cuestionario improvisado al final del e-learning (Parsons et al., 2017; Kruger y Kearney, 2006). Entonces tus puntuaciones significan algo, las comparas a lo largo del tiempo y entre departamentos, y ves movimiento en lugar de una instantánea.
  3. Mide el comportamiento con señales observables, no solo con autoinforme.La medida más útil es la conducta de notificación ante mensajes sospechosos, no la mera tasa de clic (Lain et al., 2022; Proofpoint, 2024). Una tasa de notificación en aumento muestra que las personas no solo tienen cuidado, sino que también actúan, y precisamente para eso existe el programa.
  4. Comunica en el lenguaje del riesgo, y por grupo de riesgo.Desglosa las cifras por departamento y rol, y vincúlalas al riesgo residual que el consejo de administración debe poder ponderar conforme al deber de diligencia (véase El problema de respaldo). Una tasa de finalización de casi el cien por cien en toda la organización oculta justo el departamento donde está el riesgo real.
  5. Da a las dinámicas atractivas su propio lugar.Un juego, una escape room o un camión cibernético es un motor potente para la implicación, la conversación y la cultura. Mide entonces esa dinámica por lo que aporta, a saber, alcance, vivencia y calidad de la conversación. Mantén separadas la implicación y el cambio de comportamiento, y no juzgues una intervención para treinta personas por el riesgo de ocho mil. Así sigue siendo divertido y el relato sigue cuadrando.
La ruta de medición y comunicación Cinco pasos para pasar de la asistencia al riesgo 1 Sube la escalera mide en cuatro niveles, no solo participación 2 Validado conocimiento y actitud con el HAIS-Q, no un cuestionario 3 Medir comportamiento tasa de notificación en vez de solo la tasa de clic 4 Lenguaje del riesgo por grupo de riesgo, ligado al riesgo residual 5 Dinámica en su lugar juego y escape room como motor de implicación Lo que comunicas determina lo que la organización valora. Comunica participación y tendrás participación; comunica comportamiento y riesgo y tendrás dirección.

Figura 4 La ruta de medición y comunicación en cinco pasos: desde la escalera de evaluación, pasando por un instrumento validado y una verdadera medida de comportamiento, hasta una comunicación en el lenguaje del riesgo, con las dinámicas atractivas en su propio lugar.

06 · ConclusiónMide lo que cuenta

En nuestro informe sobre simulaciones de phishing concluimos que el problema no está en el empleado, y en El problema de respaldo que, por lo general, tampoco está en el e-learning. Este informe añade un tercer hallazgo. El problema suele estar en lo que medimos y comunicamos. Un programa de concienciación existe para reducir los riesgos de seguridad y privacidad en los que influye el comportamiento del empleado, pero mientras comuniquemos participación, dirigimos hacia la asistencia. Y lo que comunicas determina lo que la organización valora. Comunica participación y tendrás participación; comunica comportamiento y riesgo y tendrás dirección.

Por suerte, se puede hacer mejor sin que resulte más aburrido. Mides el comportamiento a escala con señales que la propia organización emite, mides el conocimiento y la actitud con instrumentos que han demostrado su valor, y comunicas en el lenguaje del riesgo, precisamente el lenguaje en el que un consejo de administración se mueve con soltura. ¿Y el magnífico juego para esos treinta empleados? Merece un lugar, y lo conserva. No como prueba de que el riesgo ha bajado, sino como lo que realmente es: un motor contagioso para la implicación y la buena conversación. La concienciación puede ser divertida. Solo tiene que poder medirse también.

Limitaciones

  • Este informe es un estudio de literatura que resume investigación existente y no contiene investigación propia nueva.
  • Varios instrumentos de medición citados, como el HAIS-Q y SeBIS, miden conocimiento, actitud e intención autoinformados. Están validados, pero siguen siendo autoinforme y no observan el comportamiento de forma directa.
  • Las medidas de comportamiento, como la tasa de notificación y la tasa de clic, se aproximan al riesgo real, pero no lo reflejan por completo.
  • Las cifras citadas de Proofpoint, KnowBe4 y SANS proceden de proveedores de formación en concienciación y pueden estar, por ello, sesgadas; dan una idea del orden de magnitud, pero no constituyen una prueba independiente.
  • La investigación sobre gamificación y serious games muestra sobre todo efectos a corto plazo en la implicación y el conocimiento; sobre el cambio duradero de comportamiento todavía se sabe poco.

Fuentes

  1. Chaudhary, S., Gkioulos, V., en Katsikas, S. (2022). Developing metrics to assess the effectiveness of cybersecurity awareness program. Journal of Cybersecurity, 8(1), tyac006. doi.org/10.1093/cybsec/tyac006
  2. Chen, H., Zhang, Y., Zhang, S., en Lyu, T. (2023). Exploring the role of gamified information security education systems on information security awareness and protection behavioral intention. Education and Information Technologies, 28(12), 15915–15948. doi.org/10.1007/s10639-023-11771-z
  3. Cox, J. (2012). Information systems user security: A structured model of the knowing–doing gap. Computers in Human Behavior, 28(5), 1849–1858. doi.org/10.1016/j.chb.2012.05.003
  4. Egelman, S., en Peer, E. (2015). Scaling the Security Wall: Developing a Security Behavior Intentions Scale (SeBIS). Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2873–2882. doi.org/10.1145/2702123.2702249
  5. ENISA (2021). Raising Awareness of Cybersecurity: A Key Element of National Cybersecurity Strategies. European Union Agency for Cybersecurity. enisa.europa.eu/publications/raising-awareness-of-cybersecurity
  6. Gwenhure, A. K., en Rahayu, F. S. (2024). Gamification of Cybersecurity Awareness for Non-IT Professionals: A Systematic Literature Review. International Journal of Serious Games, 11(1), 83–99. doi.org/10.17083/ijsg.v11i1.719
  7. ISO/IEC (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements (clausule 9.1). Genève: International Organization for Standardization. iso.org/standard/27001
  8. ISO/IEC (2022). ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls (beheersmaatregel 6.3). Genève: International Organization for Standardization. iso.org/standard/75652
  9. Jayatilaka, A., Beu, N., Baetu, I., Zahedi, M., Babar, M. A., Hartley, L., en Lewinsmith, W. (2021). Evaluation of Security Training and Awareness Programs: Review of Current Practices and Guideline. arXiv:2112.06356. arxiv.org/abs/2112.06356
  10. Khan, N. F., Ikram, N., Murtaza, H., en Javed, M. (2023). Evaluating protection motivation based cybersecurity awareness training on Kirkpatrick's Model. Computers & Security, 125, 103049. doi.org/10.1016/j.cose.2022.103049
  11. Kirkpatrick, D. L., en Kirkpatrick, J. D. (2006). Evaluating Training Programs: The Four Levels (3e druk). San Francisco: Berrett-Koehler. (1e druk 1994; oorspronkelijke artikelserie 1959–1960.)
  12. KnowBe4 (2024). 2024 Phishing by Industry Benchmarking Report. blog.knowbe4.com/knowbe4-2024-phishing-by-industry-benchmarking-report
  13. Kruger, H. A., en Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289–296. doi.org/10.1016/j.cose.2006.02.008
  14. Lain, D., Kostiainen, K., en Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy (SP), 842–859. doi.org/10.1109/SP46214.2022.9833766
  15. Lee, C. S., en Chua, Y. T. (2023). The Role of Cybersecurity Knowledge and Awareness in Cybersecurity Intention and Behavior in the United States. Crime & Delinquency, 70(9), 2250–2277. doi.org/10.1177/00111287231180093
  16. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  17. Ng, C. Y., en Hasan, M. K. B. (2025). Cybersecurity serious games development: A systematic review. Computers & Security, 150, 104307. doi.org/10.1016/j.cose.2024.104307
  18. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., en Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165–176. doi.org/10.1016/j.cose.2013.12.003
  19. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., en Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40–51. doi.org/10.1016/j.cose.2017.01.004
  20. Proofpoint (2024). 2024 State of the Phish. proofpoint.com/us/resources/threat-reports/state-of-phish
  21. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  22. SANS Institute (2024). 2024 Security Awareness Report: Embedding a Strong Security Culture. sans.org/security-awareness-training/resources/reports/sar
  23. Uchendu, B., Nurse, J. R. C., Bada, M., en Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. doi.org/10.1016/j.cose.2021.102387
  24. Workman, M., Bommer, W. H., en Straub, D. (2008). Security lapses and the omission of information security measures: A threat control model and empirical test. Computers in Human Behavior, 24(6), 2799–2816. doi.org/10.1016/j.chb.2008.04.005
  25. Zwilling, M., Klien, G., Lesjak, D., Wiechetek, Ł., Cetin, F., en Basim, H. N. (2020). Cyber Security Awareness, Knowledge and Behavior: A Comparative Study. Journal of Computer Information Systems, 62(1), 82–97. doi.org/10.1080/08874417.2020.1712269
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos