Llevar el control de quién ha terminado la formación suena a una pregunta de Excel, pero bajo Cbw, DORA y RGPD se ha vuelto en 2026 una exigencia seria de cumplimiento. Las autoridades ya no preguntan solo "¿tiene formación?" sino "muestre quién terminó qué y cuándo". ¿Cómo organizarlo de forma demostrable sin construir un pantano administrativo?
Por qué la administración importa más que antes
Una presentación y una firma en papel solían bastar. Ya no en 2026 con Cbw, DORA y RGPD. Ante incidente, auditoría o muestra, hay que aportar en días: quién, qué módulo, qué fecha, qué resultado.
La responsabilidad personal (Cbw art. 24) hace pesar más la documentación.
La administración no es un fin en sí mismo. Registrarlo todo sin formar a nadie da buen papel y mal comportamiento. El arte: registro ligero y automático, listo para auditoría sin estrés.
Lo mínimo a registrar
Mínimo viable:
- Quién: empleado, departamento, rol.
- Qué: nombre del módulo, tema, versión del contenido.
- Cuándo: fechas de inicio y fin, eventualmente duración.
- Resultado: terminado sí/no, puntuación, aceptación de política.
- Métricas de conducta: para la seguridad, resultados de simulaciones.
Qué no hacer
Trampas comunes:
Compartir resultados de clic individuales con responsables: jurídicamente gris (RGPD), funcionalmente desastroso.
Aceptación de política por buzón: sin prueba en auditoría.
Pruebas en disco compartido: sin historial de versiones.
Olvidar plazos de conservación: el RGPD exige limitación.
Cómo automatizar sin trabajo extra
Ideal: la administración nace del propio programa.
Conexión con RR. HH. o Entra ID: nuevos en formación de inmediato; salidas marcadas inactivas.
Una plataforma para formación, simulaciones, aceptaciones y reporte.
Cuadro de mando automático para la dirección.
Qué puede pedir una autoridad
Ejemplos:
- ¿Quién terminó la formación base de phishing el último año y qué versión?
- ¿Qué miembros del consejo terminaron la formación Cbw, con fecha?
- ¿Qué departamentos tuvieron profundización por rol el último trimestre?
- ¿Tasa de notificación en simulaciones en doce meses?
- ¿Quién aceptó la AUP actualizada?
- ¿Medidas adoptadas tras un departamento con puntuaciones llamativamente bajas?
Cómo anclar esto en un programa de concienciación
Administración integrada al programa, no informe final.
Una plataforma conectada a RR. HH./identidad.
Informe trimestral al consejo.
Comprobación anual de preparación para auditoría.
Documentar también las excepciones.
Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.
Ver la página NIS2Artículos relacionados
- Evidencias de auditoría para concienciación
- Informe al consejo para concienciación
- Requisitos de cumplimiento
- Cómo elegir una plataforma de concienciación
Fuentes
FAQ
¿Qué se debe registrar como mínimo?
Quién, qué (con versión), cuándo, resultado, y para seguridad, métricas conductuales. Versión y fecha son decisivas.
¿Puedo compartir clics individuales con responsables?
No. Jurídicamente dudoso, funcionalmente perjudicial.
¿Cuánto tiempo conservar?
Dentro de los plazos del RGPD para datos de personal (5–7 años tras salida). Plataforma con limpieza automática.
¿Y los empleados que salen?
Marcar inactivos; datos dentro de la conservación siguen disponibles para auditoría.
¿Cómo automatizar?
Conexión RR. HH./Entra ID; una plataforma para todo.
¿Sirve aún Excel?
Para organizaciones medianas y grandes, no. Una plataforma se amortiza en un ciclo de auditoría.
¿Qué pide específicamente una auditoría Cbw?
Terminación por persona y módulo, formación del consejo Cbw art. 24, métricas conductuales, aceptaciones de política, historial de versiones.
Fuente externa: European Commission - NIS2 Directive