Una simulación de phishing muestra que el 30 % del personal hizo clic en el enlace. ¿Cuál es la respuesta constructiva?
Respuesta breve
Un 30 % de clics es una línea base que mejorar, no una lista de personas a castigar: combinar formación dirigida por rol y un botón de reporte sin fricción con defensas técnicas (MFA, filtrado de correo, mínimo privilegio) para que un solo clic no derive en compromiso, y seguir la tendencia en el tiempo. Avergonzar públicamente a los empleados suprime el reporte del que dependes. Declarar al personal irrecuperable elimina un control que deberías reforzar. Otro correo alarmista a toda la plantilla no es una intervención medible ni cambia el comportamiento.
Una simulación de phishing es una herramienta de medición, no una trampa. Un 30 % de clics indica que la capa humana necesita trabajo y que tu red de seguridad técnica debe asumir que habrá clics. El escenario evalúa si un CISO responde como un gestor de programa que mejora un sistema o como un sancionador que culpa a individuos.
Por qué tratarlo como señal de programa es lo correcto
La respuesta correcta actúa sobre dos capas a la vez. En la capa humana: impartir formación dirigida por rol (sobre todo a quienes hicieron clic y a los roles de alto riesgo) y desplegar un botón de reporte fácil para que reportar un correo sospechoso sea un solo clic — la tasa de reporte se vuelve un indicador adelantado de una cultura sana. En la capa técnica: asumir que alguien siempre hará clic y hacer ese clic no catastrófico con MFA, un sólido filtrado de correo, mínimo privilegio y aislamiento. Luego se mide la tendencia en las siguientes simulaciones. Esa combinación reduce el riesgo real; un número aislado, no.
Por qué fallan las otras opciones
- Nombrar y castigar públicamente. La vergüenza es contraproducente. Enseña a la gente a ocultar errores y a no reportar cuando caen en un ataque real — destruyendo tu señal de detección más temprana.
- Declarar al personal irrecuperable y dejar de formar. Esto abandona un control que deberías mejorar. Las personas son formables, y rendirse garantiza que el número nunca se mueva.
- Enviar otro correo alarmista. El miedo no es una intervención medible. Los correos masivos no cambian nada de forma duradera y a menudo aumentan la ansiedad sin mejorar el comportamiento ni tus métricas.
Qué busca el entrevistador
Quiere una mentalidad sistémica: el riesgo humano se gestiona con formación, más controles técnicos, más medición, y una cultura sin culpa que maximice el reporte. El candidato débil recurre al castigo o al fatalismo — dos posturas que parecen acción decisiva pero hacen activamente más insegura a la organización al suprimir el reporte y la implicación que un CISO necesita.
Posibles preguntas de seguimiento
- ¿Por qué una alta tasa de reporte puede importar más que una baja tasa de clic como métrica de programa?
- ¿Cómo se asegura de que las simulaciones de phishing generen confianza en vez de castigar, sin dejar de ser realistas?
- ¿Qué controles técnicos reducen el impacto de un clic incluso cuando la formación falla?