Barracuda full logo

Éxito en el onboarding: Maneras en que las organizaciones pueden empoderar a los nuevos empleados para que desarrollen confianza en materia de seguridad.

Temas:
27 ene 2026
|
Doug Bonderud

Construir una cultura de concienciación en ciberseguridad desde el primer día

Conclusiones

  • Las organizaciones deben priorizar la concienciación en ciberseguridad desde el primer día de incorporación para empoderar a los empleados y fortalecer su confianza en la seguridad.
  • El error humano es la principal causa de las brechas de datos, con un 60% que involucra un elemento humano y un 90% de las organizaciones que consideran a los empleados como su mayor riesgo de ciberseguridad.
  • La formación en ciberseguridad debe integrarse en el proceso estándar de onboarding, no retrasarse ni tratarse como una preocupación secundaria.
  • El personal no capacitado tiene más probabilidades de cometer errores, como compartir datos protegidos o caer en ataques de ingeniería social, lo que resalta la necesidad de una educación en seguridad temprana y completa.

Los humanos siguen siendo la principal causa de brechas de datos. Según el Verizon’s 2025 Data Breach Investigations Report, el 60 % de las brechas de datos reportadas por las empresas involucraron un elemento humano. Como señaló una reciente encuesta de Gartner, mientras tanto, la amenaza proviene del interior de la empresa: el 90 % de los encuestados dijo que los empleados eran el mayor riesgo de ciberseguridad para su organización.

Ahora que los altos ejecutivos, como los CIOS, los CISOs y los responsables de seguridad, tienen la paradójica tarea de apoyar la autonomía del personal al tiempo que reducen el riesgo total, es fundamental contar con una incorporación eficaz a la ciberseguridad. A continuación se explica cómo las empresas pueden mantener la seguridad de los datos mientras ayudan a los empleados a desarrollar sus conocimientos sobre seguridad.

Incorporación a la ciberseguridad: Lo que hay que tener en cuenta

La incorporación de empleados es principalmente específica para cada rol: se proporciona al personal los recursos y la formación que necesitan para desempeñar bien su nueva posición. Pero hay algunas coincidencias comunes. Por ejemplo, se proporciona a todo el personal información sobre beneficios, nómina, hojas de tiempo y procedimientos operativos diarios.

La ciberseguridad se encuentra bajo este paraguas común, pero a menudo se considera como algo que el personal "aprenderá" con el tiempo o durante una formación anual en concienciación en seguridad cuando eventualmente surja. Este enfoque crea el problema mencionado anteriormente: incluso con las mejores intenciones, el personal no capacitado puede compartir accidentalmente datos protegidos o ser víctima de estafas de ingeniería social.

Para reducir este riesgo, la formación en ciberseguridad debe ser parte de cualquier programa de onboarding. Aunque los detalles varían según la empresa, hay cuatro componentes comunes:

Expectativas en cuanto a contraseñas

A pesar de la adopción de la autenticación multifactor (MFA), las contraseñas siguen siendo el punto de acceso principal para muchas cuentas de empleados. Sin embargo, estas mismas contraseñas son una fuente potencial de deslices de seguridad. Considere que en 2025, las dos contraseñas más comunes eran “123456” y “admin”.

Como resultado, vale la pena cubrir expectativas de contraseña: cuántos caracteres, cuántos símbolos no alfabéticos o números, y con qué frecuencia deben cambiarse las contraseñas. Idealmente, las empresas deberían usar un software de protección que exija en lugar de sugerir cambios regulares de contraseña o exigir a los empleados que usen un gestor de contraseñas.

Interacciones por correo electrónico

A continuación, el correo electrónico. La ingeniería social y el phishing siguen siendo prácticas habituales y a menudo son el primer punto de ataque para actores maliciosos. La incorporación debe incluir formación práctica que identifique posibles señales de alerta y luego ofrezca a los empleados la oportunidad de evaluar y responder a ejemplos en tiempo real.

Consideraciones sobre dispositivos móviles

Muchas organizaciones ahora esperan que el personal aporte su propio dispositivo móvil o utilice la tecnología proporcionada por la empresa para mantenerse en contacto. En ambos casos, la incorporación debe incluir una explicación sobre cualquier software de gestión de dispositivos móviles (MDM) utilizado por la empresa para monitorear y asegurar los dispositivos. Los equipos de incorporación también deben proporcionar una lista de aplicaciones aprobadas que están permitidas en las redes de la empresa.

Comunicaciones de incidentes

También es importante hablar sobre la notificación de incidentes. Tenga en cuenta que en los últimos 12 meses, el 57% de las organizaciones experimentaron un ataque de ransomware exitoso. La notificación temprana puede ayudar a minimizar el impacto de estos ataques. Por lo tanto, se debe formar al personal nuevo sobre qué notificar, cuándo hacerlo y a quién deben informar.

Posibles trampas en la formación en ciberseguridad

Las brechas de datos son costosas: 4,4 millones de dólares en promedio, según IBM’s Cost of a Data Breach Report 2025. Como resultado, es tentador para las empresas invertir fuertemente en formación en ciberseguridad con la esperanza de evitar un incidente de un empleado increíblemente costoso.

¿El problema? Esto puede hacer más daño que bien. Aquí están algunos de los errores más comunes en la formación en ciberseguridad.

1. Directrices excesivamente complejas

En general, los empleados no son expertos en TI. Las directrices destinadas al personal técnico con experiencia pueden socavar los esfuerzos de formación, ya que dan por sentados conocimientos especializados y dejan a los nuevos empleados en la ignorancia.

2. Expectativas poco claras

Las políticas de seguridad solo son efectivas si vienen con expectativas claras: si ocurre el evento "X", tome la acción "Y". Si toma la decisión "A", "B" es la consecuencia. Sin estas expectativas, el personal no está seguro de si las políticas son reglas estrictas o simplemente sugerencias de seguridad, lo que crea un escenario propicio para posibles riesgos.

3. No hay opciones para consultas

No importa cuán buena sea su formación, el personal seguirá teniendo preguntas. Estas preguntas suelen surgir después de los hechos, por ejemplo, cuando los empleados se sientan para comenzar su primer día. Si no hay opción para consultas — ningún contacto claro para preguntas o inquietudes — el personal puede cometer errores de seguridad sin darse cuenta.

Cuatro pasos para poner al personal al día

La ciberseguridad no es algo que se haga una sola vez. Por el contrario, es un proceso iterativo que evoluciona junto con los empleados a medida que adquieren más experiencia en sus funciones. Para que el personal se ponga al día —y le ayude a mantenerse en el buen camino— comience con estos cuatro pasos.

Paso 1: Abordar los grandes problemas

Empiece en grande. Piense en ataques de ransomware, phishing y fuerza bruta de contraseñas; cualquier compromiso de seguridad que pueda llevar a una pérdida significativa de tiempo y dinero. Destaque los riesgos y proporcione instrucciones claras para ayudar a evitar la exposición accidental.

Paso 2: Conectar acciones con resultados

A continuación, relacione las posibles acciones con los resultados directos. Por ejemplo, si las políticas de seguridad establecen que el intercambio no autorizado de datos puede dar lugar a formación adicional tras la primera infracción y a medidas disciplinarias tras la siguiente, déjelo claro.

Paso 3: Deje tiempo para preguntas y respuestas

No se apresure en la formación sobre seguridad y despache al personal. En su lugar, dedique tiempo a responder preguntas. Dependiendo de su nivel de familiaridad con los sistemas corporativos y los procesos de seguridad, es posible que el personal necesite repasar las políticas básicas o que tenga preguntas más profundas. Responder a estas preguntas reduce el riesgo de comprometer accidentalmente la seguridad.

Paso 4: Alinear los permisos de acceso con la posición del empleado

Este paso del onboarding recae en los altos directivos y los equipos de TI. El acceso a los recursos corporativos siempre debe restringirse en función del puesto del empleado. En este caso, el uso de herramientas de gestión de identidades y accesos (IAM) puede ayudar a optimizar la gestión y realizar un seguimiento de los posibles riesgos.

Navegación tranquila: El impacto de un onboarding efectivo en la ciberseguridad

El onboarding basado en funciones ayuda a los nuevos empleados a destacar en sus puestos. Por su parte, el onboarding en materia de ciberseguridad reduce el riesgo de que los nuevos empleados suponen para los datos, las redes y las operaciones de la empresa.

¿La mejor opción? Ayudar al personal a sentirse seguro proporcionándoles una formación completa que se adapte a su lenguaje, comunique claramente la causa y el efecto, deje tiempo para preguntas y ofrezca una vía clara para consultar los procesos y notificar los incidentes.

Combata las amenazas con formación en concienciación sobre la seguridad
Doug Bonderud

Doug Bonderud es un escritor galardonado con un talento para cerrar la brecha entre lo complejo y lo conversacional en tecnología, innovación y la condición humana.  

Publicaciones relacionadas:
¿Qué es la gravedad de los datos y por qué es importante?
¿Qué es la gravedad de los datos y por qué es importante?
 Email Threat Radar — Enero 2026
Email Threat Radar — Enero 2026
 Comience el año con fuerza: 10 cuestiones esenciales que todo equipo de TI debe abordar
Comience el año con fuerza: 10 cuestiones esenciales que todo equipo de TI debe abordar
 Mes de concienciación en ciberseguridad: Mantenga su software actualizado
Mes de concienciación en ciberseguridad: Mantenga su software actualizado
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.