Normalmente, el proceso de formación de los empleados en cuestiones relacionadas con la seguridad de la información se limita al examen de algunos manuales.

Según las estadísticas de SearchInform, sólo en el 12% de las organizaciones se celebran seminarios web especiales y en el 16% de las organizaciones se imparte formación a gran escala. Al mismo tiempo, cada vez más empresas empiezan a darse cuenta de la importancia de garantizar una protección adecuada de la seguridad de la información, por lo que hasta el 80% de las organizaciones prestan atención a aumentar la alfabetización de los empleados en cuestiones relacionadas con la seguridad informática.

Al mismo tiempo, el 60% de los especialistas encargados de mejorar la formación de los empleados en materia de la seguridad informática se limitan a elaborar manuales o reglamentos que los empleados deben examinar por sí mismos. 

"Es el método más extendido, porque es el más sencillo: basta con establecer una sola vez la normativa sobre cómo trabajar con los datos," comenta Ricardo Martinez, Gerente Regional de SearchInform en Latinoamérica. Sin embargo, pocos empleados leen esas normas. "La gente no entiende los riesgos asociados y, por tanto, no comprende por qué son importantes las normas y cómo se corresponden con las obligaciones laborales de los empleados. En primer lugar, hay que comprobar hasta qué punto se ha aprendido la información. Y es muy útil explicar hasta qué punto la información facilitada es útil en la vida real."

Los expertos de algunas empresas entienden que la normativa por sí sola no es suficiente, por lo que combinan distintos enfoques en el proceso educativo.

Por ejemplo, en el 51% de las organizaciones, los especialistas envían correos electrónicos a los miembros de la plantilla para notificarles los nuevos riesgos para la seguridad de la información; en el 12% de las organizaciones se celebran seminarios web especiales en los que los expertos informan a los asistentes sobre los retos para la seguridad de la información y ofrecen a los empleados recomendaciones sobre cómo evitarlos; en el 16% de las organizaciones se imparte formación cibernética a gran escala.

Algunos encuestados recurren a organizaciones de expertos de terceros: el 27% de ellos recurre a cursos de formación gratuitos impartidos por expertos en la seguridad de la información, mientras que el 17% está dispuesto a pagar por dichos cursos.

"Para asegurarse de que un empleado, que no es un experto en la seguridad de la información, entiende claramente por qué es tan importante utilizar contraseñas diferentes para las cuentas privadas y de trabajo, cómo reconocer el fraude en Internet y tomar las medidas necesarias para garantizar que los usuarios de terceros no obtengan de alguna manera el acceso a sus documentos corporativos, es útil abordar algunas experiencias de la vida real y con su ayuda explicar cuáles son los resultados probables de descuidar las normas de la seguridad de la información establecidas en la organización. La seguridad informática es una esfera bastante abstracta, por eso es crucial proporcionar a los empleados explicaciones detalladas y casos ilustrativos en las cuestiones relacionadas con la infoseguridad para que el proceso educativo sea más fácil y eficaz," concluye Ricardo Martinez, Gerente Regional de SearchInform en Latinoamérica.

Los datos del informe se recopilaron durante el otoño-invierno de 2022 y en la encuesta participaron más de 1.000 especialistas y responsables de departamentos de SI y TI de organizaciones gubernamentales, comerciales y no comerciales de numerosos ámbitos empresariales.

SearchInform es una empresa 100% privada que desarrolla productos de gestión de riesgos siendo uno de los líderes del sector. Más de 3.000 empresas de más de 20 países son clientes de SearchInform. El equipo de desarrollo lleva creando tecnologías de búsqueda para datos no estructurados desde 1995 y comenzó a desarrollar soluciones de la seguridad de la información en 2004. Hoy en día, el equipo cuenta con productos y servicios para la protección integral contra las amenazas internas en todos los niveles de los sistemas de información corporativos.