¿Cuál es la métrica más importante de Security Awareness?

No hay una sola. La triada esencial es: tasa de clic en simulaciones de phishing (mide riesgo actual), tasa de reporte (mide cultura proactiva) y score de riesgo individual (mide quiénes son los más vulnerables). Las tres juntas dan una foto completa. Mirar solo la tasa de clic es engañoso porque ignora si el equipo está reportando o no.

¿Qué tasa de clic en phishing es buena?

Empresa sin programa: 18-25% inicial. Empresa con programa de awareness maduro: 4-7%. Empresa best-in-class (servicios financieros, tech): bajo 3%. En Chile, el promedio inicial está en 22% y baja a 6-8% en 6 meses con un programa bien ejecutado.

¿Cómo se calcula el ROI del Security Awareness?

ROI = (Pérdidas evitadas - Costo del programa) / Costo del programa. Las pérdidas evitadas se estiman como: (incidentes evitados al año) × (costo promedio por incidente). En Chile, un incidente típico de phishing exitoso tiene costo promedio entre USD 50.000 y USD 500.000 según el sector. Aún con cálculos conservadores, el ROI suele ser 5x a 20x.

¿Cada cuánto debo medir las métricas de awareness?

Diariamente para alertas (algún colaborador entrega credenciales en una simulación = acción inmediata). Mensualmente para tendencia (tasa de clic, tasa de reporte). Trimestralmente para revisión ejecutiva (score por área, ranking de riesgo, ROI). Anualmente para reportar al directorio y para auditorías ISO 27001 / Ley 21.663.

Métricas de Security Awareness: Cómo Medir la Cultura

Si no puedes medirlo, no puedes mejorarlo —y peor: no puedes justificarlo. La cultura de ciberseguridad se mide con métricas concretas, no con intuición. Estas son las 8 que importan.

Las 8 métricas clave

1. Tasa de clic (CTR de phishing)

Porcentaje de colaboradores que hacen clic en una simulación de phishing. Es la métrica más conocida y la primera que mira un CISO.

Benchmark Chile: 22% inicial → 6-8% en 6 meses → 3-5% en empresas maduras.
Cuidado: mirar solo CTR es engañoso. Una tasa baja puede deberse a que la simulación fue muy fácil de detectar.

2. Tasa de reporte

Porcentaje de colaboradores que reportaron el correo sospechoso al equipo de seguridad. Es la métrica más subestimada y la más reveladora de cultura proactiva.

Benchmark: 5% inicial → 30-50% en programas maduros.
Importancia: un reporte temprano permite parar el ataque real antes de que se propague. Si nadie reporta, los ataques reales pasan inadvertidos.

3. Score de riesgo individual

Puntaje 0-100 por colaborador, calculado a partir de su comportamiento en simulaciones, cursos y reportes. Permite identificar perfiles de alto riesgo (los "campeones del clic").

Uso: capacitación dirigida a quienes más lo necesitan en vez de capacitación masiva.
Tendencia: el 5% peor de los colaboradores explica el 60% de los clics. Foco en ese 5%.

4. Tasa de finalización de cursos

Qué porcentaje del personal completa los cursos asignados en el plazo. Métrica clave para auditorías de ISO 27001 A.6.3 y Ley 21.663.

Objetivo razonable: 95% en 30 días desde la asignación.
Bajo 80%: revisar la duración (probablemente muy largo) o la priorización por gerencias.

5. MTTD (Mean Time To Detect)

Tiempo promedio entre que llega un phishing y el primer reporte interno. En programas maduros se mide en minutos.

Benchmark: sin programa = nunca o días. Con programa = bajo 30 minutos.
Por qué importa: en un ataque real, cada minuto cuenta para revocar accesos antes del compromiso completo.

6. Cobertura por área / cargo

Porcentaje de personal capacitado segmentado por área (TI, RRHH, Finanzas, Operaciones). Permite detectar áreas rezagadas.

Insight típico: Finanzas y RRHH son blancos preferidos pero suelen tener menor cobertura. Es donde más se debe insistir.

7. Tasa de credenciales entregadas

Subset de la tasa de clic: cuántos no solo hicieron clic, sino que ingresaron usuario y contraseña en la página falsa. Es la métrica más severa.

Benchmark: 4-8% inicial → bajo 1% en programas maduros.
Acción: al detectarse, forzar cambio de contraseña + revocar sesiones inmediatamente, incluso en simulaciones (la habilidad de respuesta del equipo de seguridad también se mide).

8. NPS / Satisfacción del programa

¿El programa es percibido como útil o como una molestia? Si los colaboradores lo odian, no aprende nadie y el churn de talento aumenta.

Cómo medirlo: encuesta corta trimestral (3 preguntas máximo).
Bajo NPS: los cursos son muy largos, no son relevantes para el rol o la gamificación está mal calibrada.

Cómo presentar las métricas al directorio

Un CISO con 30 minutos para presentar al comité ejecutivo necesita una sola lámina con:

Tres números grandes: tasa de clic actual, tasa de reporte actual, score promedio de la empresa.
Tres tendencias: evolución mes a mes de las anteriores, con flechas hacia arriba o abajo.
Top 3 áreas en riesgo: ranking por gerencia con score promedio.
Riesgo financiero estimado: incidentes evitados × costo promedio.

Tip ejecutivo: el comité ejecutivo no entiende ni le importa "tasa de clic". Sí le importa "este trimestre evitamos un incidente de USD 250.000". Traduce siempre las métricas técnicas a impacto financiero.

Cómo Certisec mide todo esto automáticamente

Certisec trae los 8 indicadores en su dashboard nativo. Para cada uno: gráfico de evolución temporal, segmentación por área/cargo, comparativo contra benchmarks de industria y exportación a PowerBI/Excel para reportes ejecutivos.

Score individual y por departamento con alertas automáticas al CISO si alguien supera el umbral.
Reportes preconfigurados para directorio (1 página) y para auditoría ISO 27001 (detallado).
API REST para integrar con tu SIEM o stack de BI propio.