Las 10 mejores plataformas de Human Risk Management para 2026 [Guía completa]

Publicado el
May 1, 2026
Tiempo de lectura
5 min de lectura
Categoría
5 min de lectura

Las 10 mejores plataformas de Human Risk Management para 2026 [Guía completa]

Publicado el
01 May 26

Las 10 mejores plataformas de Human Risk Management para 2026 [Guía completa]

El Human Risk Management es lo que ocurre cuando el mercado del Security Awareness Training madura. Forrester lo oficializó en 2024, al retirar la categoría «security awareness and training» (SA&T) de su cobertura de analistas y sustituirla por Human Risk Management (HRM). El primer Forrester Wave de HRM llegó en el tercer trimestre de ese año. El razonamiento era sencillo. Alrededor del 90 % de las brechas siguen teniendo que ver con el factor humano. Tras dos décadas de formación en concienciación, las tasas de clic siguen siendo altas, sigue habiendo reincidentes y la mayoría de las plataformas siguen informando sobre la finalización de la formación como si finalizar equivaliera a ser competente.

El HRM es la respuesta. En lugar de medir si alguien ha visto un vídeo, la pregunta pasa a ser: ¿qué hace realmente esta persona cuando se produce un ataque, cuál es su risk score, cómo cambia con el tiempo y qué intervención lo modifica? El resultado no es un informe de finalización. Es un cambio de comportamiento que puedes medir y un riesgo cuya reducción puedes demostrar.

Esta guía repasa 10 plataformas de Human Risk Management que merece la pena evaluar en 2026. Algunas han sido HRM-nativas desde el principio. Otras eran proveedores de SAT que se han reconstruido de forma creíble en torno a la nueva categoría. Un par siguen siendo básicamente SAT con un mensaje de HRM por encima, y vamos a ser claros sobre cuál es cuál. Hemos desglosado qué hace cada plataforma, a quién se adapta mejor y dónde están sus limitaciones prácticas.

¿Qué es realmente el Human Risk Management?

Conviene precisarlo antes de seguir, porque el término se estira demasiado. La definición de Forrester tiene tres pilares: detectar los comportamientos de seguridad de las personas, identificar los riesgos que generan las personas y a los que están expuestas, y adaptar políticas, formación y tecnología para proteger a esas personas. En la práctica, eso supone una plataforma capaz de:

  • Cuantificar el riesgo humano por usuario, equipo y organización, con un score que se actualiza con el tiempo
  • Detectar los comportamientos y eventos que influyen en ese score (phishing en el que se ha hecho clic, phishing ignorado, phishing reportado, credenciales filtradas, reutilización de contraseñas débiles, falta de aceptación de políticas, etc.)
  • Activar intervenciones de forma automática cuando el riesgo supera un umbral (formación, nudges, envío de políticas, notificación al responsable)
  • Demostrar el cambio de comportamiento y la reducción del riesgo en informes que los consejos de administración y los auditores aceptan

Si una plataforma imparte formación y ejecuta simulaciones de phishing pero no cuantifica el riesgo por persona ni interviene en función de él, sigue siendo Security Awareness Training con una etiqueta nueva. Es una distinción útil cuando comparas lo que hay en el mercado.

Qué buscar en una plataforma de Human Risk Management

Algunos criterios separan las plataformas de HRM genuinas de las simplemente reetiquetadas.

Un human risk score de verdad. Por usuario, por equipo, por organización, recalculado de forma continua a partir del comportamiento observado. No un mero agregado de las tasas de finalización de la formación.

Varias fuentes de datos de comportamiento. Los resultados de las simulaciones de phishing son una de las entradas. Las plataformas de HRM maduras también incorporan phishing real reportado, exposición de credenciales en la dark web, lagunas en la aceptación de políticas, el engagement con la formación e, idealmente, señales del resto del stack de seguridad (email security, identidad, DLP). Forrester destacó expresamente a los Wave Leaders por la amplitud de integraciones que alimentan sus risk scores.

Intervenciones adaptativas. Cuando el riesgo de un usuario sube, algo ocurre de forma automática: formación dirigida, un nudge al responsable, un recordatorio de política, una cadencia más exigente de simulaciones de phishing. La plataforma debe cerrar el ciclo, no limitarse a observarlo.

Formación y phishing como parte del HRM, no como su finalidad. Ambos son entradas necesarias y mecanismos de intervención. Ninguno es el resultado en sí. Las plataformas en las que la formación es el centro de gravedad y el HRM va añadido tienden a rendir peor en la parte de cuantificación del riesgo.

Gestión de políticas. ISO 27001 Anexo A 5.1, SOC 2 CC2.2 y NIS2 Artículo 21 exigen todos pruebas de que el personal ha leído y aceptado las políticas que rigen su puesto. Es, en sí mismo, una señal de riesgo humano y debería residir dentro de la plataforma de HRM, no en una herramienta aparte.

Informes que reflejen el nuevo vocabulario. Los consejos quieren ver que el riesgo humano baja. Los auditores aceptan cada vez más las métricas de comportamiento frente a las tasas de finalización como prueba de un programa que madura. Los informes de la plataforma deberían hablar ambos idiomas.

Encaje con el modelo operativo. Los equipos de TI internos necesitan poca administración e informes claros. Los MSP necesitan gestión multi-tenant y white labeling. Las grandes empresas necesitan integraciones con su stack de GRC e identidad existente. La plataforma de HRM adecuada se adapta a tu forma real de trabajar.

Comparativa de plataformas de un vistazo

Plataforma Mejor encaje Posicionamiento HRM Fortalezas destacadas
usecure SMBs, mid-market, MSPs HRM-nativa, cuatro módulos + risk score Poca administración, precios transparentes, módulo de políticas incluido
CybSafe Enterprise HRM Wave Leader (Forrester Q3 2024) Ciencia del comportamiento, metodología SebDB
Living Security Enterprise HRM Wave Leader (Forrester Q3 2024) Agrega más de 250 comportamientos mediante más de 60 integraciones
Hoxhunt De mid-market a enterprise HRM-nativa, formación adaptativa Alto engagement, gamificación, simulaciones de deepfake
Mimecast (Elevate) Enterprise centrada en el email HRM Strong Performer (Forrester Q3 2024) Email security + HRM en una sola plataforma
SoSafe Mid-market de la UE Alineada con HRM, gamificada Residencia de datos en la UE, simulaciones multicanal
KnowBe4 (AIDA) De SMB a enterprise SAT que se amplía hacia HRM La mayor biblioteca de contenidos, personalización con IA
Proofpoint Enterprise SAT con HRM vía People Risk Explorer Integración de threat intelligence
CultureAI Mid-market HRM-nativa, point-of-risk Intervención en tiempo real, correcciones automatizadas
Right-Hand Mid-market HRM-nativa, nudges contextuales Intervenciones en tiempo real, despliegue ligero

Las 10 mejores plataformas de Human Risk Management para 2026

1. usecure

https://usecure.io

usecure es una plataforma de Human Risk Management construida en torno a cuatro módulos que alimentan un único Human Risk Score: uLearn para formación personalizada en Security Awareness Training, uPhish para simulaciones de phishing automatizadas, uPolicy para la distribución y atestación de políticas y uBreach para la monitorización de credenciales en la dark web. Cada módulo genera datos de comportamiento; el Human Risk Score los combina en una única métrica por usuario, por equipo y por organización que se actualiza de forma continua.

La plataforma encaja con limpieza en la definición de HRM de Forrester. El comportamiento se detecta (clics en phishing, reportes, intentos ignorados, exposiciones de credenciales, estado de aceptación de políticas). El riesgo se cuantifica en tres niveles. Las intervenciones se activan de forma automática cuando cambian los scores: asignaciones de formación dirigida, reenvíos de políticas, ajustes en la frecuencia de AutoPhish. Los informes demuestran el cambio a lo largo del tiempo en un lenguaje que un consejo lee y un auditor acepta.

Lo que distingue a usecure de las plataformas de HRM más grandes es el modelo operativo. La plataforma está pensada para organizaciones que no cuentan con un equipo dedicado al riesgo humano. AutoPhish ejecuta simulaciones de phishing con una programación continua, sin trabajo de configuración de campañas. Defines una ventana de frecuencia y la plataforma elige plantillas por usuario, en su idioma y durante su horario laboral. La inscripción en la formación es automática, activada por el comportamiento. Las políticas se distribuyen y reclaman su aceptación por sí solas. La mayoría de los equipos internos declaran un total de 1-2 horas de administración al mes.

Para los equipos de compliance, usecure publica mappings detallados que muestran cómo la plataforma da soporte a la vertiente de riesgo humano de los principales frameworks: ISO 27001, SOC 2, NIS2 y otros. El Human Risk Score y los datos de comportamiento que lo sustentan ofrecen a los auditores las pruebas que empiezan a pedir, más allá de los porcentajes de finalización.

Para los equipos internos de TI y seguridad, la oferta para equipos de TI está construida en torno a una administración mínima, precios por usuario e informes listos para auditoría. Para los MSP y consultoras que ofrecen HRM como servicio gestionado, la oferta para MSP añade gestión multi-tenant y white labeling.

Puedes iniciar una prueba gratuita sin necesidad de una llamada comercial para probarla con tus propios usuarios.

Mejor encaje: SMBs, organizaciones de mid-market y MSPs que quieren una plataforma de HRM de verdad (risk score, datos de comportamiento, intervenciones adaptativas y políticas incluidas) sin la complejidad ni los precios del segmento enterprise.

2. CybSafe

https://www.cybsafe.com

CybSafe fue nombrada Leader en el Forrester Wave for Human Risk Management Solutions, Q3 2024, y con motivo. La plataforma se asienta en la ciencia del comportamiento, con la Security Behaviours Database (SebDB) como base de todo, a modo de taxonomía estructurada de los comportamientos concretos que aumentan o reducen el riesgo cibernético. Las intervenciones actúan sobre comportamientos, no sobre temas.

Para las organizaciones cuyas conversaciones de auditoría y reporting al consejo van más allá de las tasas de finalización y entran en métricas reales de cambio de comportamiento, CybSafe te da los datos y el framework para contar esa historia de forma creíble. La plataforma identifica los puntos calientes de riesgo, automatiza intervenciones para modificar comportamientos concretos y cuantifica el riesgo humano en tiempo real. El CEO Oz Alashe y el equipo de investigación de la compañía son referentes visibles en el ámbito del HRM, lo que suma credibilidad ante los analistas.

Contrapartidas: CybSafe tiene precio y posicionamiento enterprise. La biblioteca de contenidos es más reducida que la de las plataformas más grandes derivadas de SAT, por lo que algunos clientes la combinan con otra herramienta para ganar volumen de contenidos. Su reconocimiento en contextos de auditoría crece, pero va por detrás de la familiaridad de marca de KnowBe4.

Mejor encaje: grandes empresas y programas de seguridad maduros que abordan el riesgo humano como un problema de ciencia del comportamiento más que como un problema de formación.

3. Living Security

https://www.livingsecurity.com

El otro Forrester Wave Leader de la evaluación de Q3 2024. La plataforma Unify de Living Security adopta un enfoque distinto: en lugar de construir los risk scores solo a partir de datos de formación y phishing, se integra con el resto del stack de seguridad e incorpora más de 250 comportamientos de usuario diferenciados procedentes de más de 60 integraciones listas para usar. Email security, identidad, DLP, EDR, datos de formación: todo ello alimenta el Human Risk Index.

Para las organizaciones con un stack de seguridad maduro, esa agregación es la propuesta de valor. Obtienes un risk score por usuario que refleja lo que realmente sucede en todas tus herramientas de seguridad, no solo lo que ocurre dentro de la plataforma de concienciación. Forrester destacó expresamente la automatización de Unify: flujos de trabajo que responden a eventos de riesgo con asignaciones de formación, nudges y cambios limitados de políticas.

Contrapartidas: Living Security está pensada para organizaciones que cuentan con los puntos de integración necesarios para alimentarla. Las SMB sin un stack de seguridad profundo no obtienen todo su valor. El precio refleja el posicionamiento enterprise. La puesta en marcha es más laboriosa que en plataformas de HRM con un alcance funcional más acotado.

Mejor encaje: grandes empresas con operaciones de seguridad maduras que quieren una visión real del riesgo humano a través de todo el stack.

4. Hoxhunt

https://hoxhunt.com

Hoxhunt es HRM-nativa y está orientada al engagement. La plataforma emplea dificultad adaptativa impulsada por IA: cada usuario recibe simulaciones calibradas a su nivel de competencia actual, y la gamificación y las clasificaciones impulsan unas tasas de reporte que superan de forma constante a las plataformas heredadas. Las simulaciones multicanal cubren email, Slack y Teams, y Hoxhunt ofrece phishing con deepfake generado por IA para la formación frente a la suplantación de directivos.

La vertiente de risk scoring es sólida: Hoxhunt genera indicadores de riesgo por usuario a partir del rendimiento en las simulaciones, el phishing real reportado y los patrones de engagement. Los clientes declaran que las tasas de fallo bajan de en torno al 11 % de partida al 2 % en un año, con tasas de reporte que aumentan en un orden de magnitud. Ese es el tipo de cambio de comportamiento al que apunta Forrester cuando habla de HRM maduro.

Contrapartidas: Hoxhunt tiene precio enterprise. La plataforma es fuerte en el HRM impulsado por la formación, pero más ligera en gestión de políticas y señales de comportamiento externas. Algunos clientes la combinan con una herramienta aparte para la conformidad de políticas.

Mejor encaje: organizaciones de mid-market y enterprise en las que el engagement y el cambio de comportamiento son los principales motores.

5. Mimecast (Human Risk Management)

https://www.mimecast.com

Mimecast fue nombrada Strong Performer en el Forrester Wave de HRM, Q3 2024. El enfoque de la plataforma es distintivo: el riesgo humano se calcula como la composición de tres factores: acciones (comportamiento), ataques (amenaza) y acceso (identidad). El risk scoring se ejecuta sobre la base de 45.000 clientes de Mimecast y se integra con productos de seguridad de terceros para incorporar señales de riesgo adicionales.

Para las organizaciones que ya ejecutan el email security de Mimecast, la plataforma de HRM se asienta de forma natural sobre una fuente de datos existente. La threat intelligence del email security alimenta directamente el human risk score, de modo que los usuarios atacados de verdad se puntan de forma distinta a los que no lo son. La adquisición de Elevate Security (ahora integrada en la plataforma de HRM de Mimecast) añadió profundidad en ciencia de datos de comportamiento.

Contrapartidas: Mimecast HRM funciona mejor combinada con el email security de Mimecast. Como herramienta de HRM autónoma, resulta menos atractiva que las plataformas dedicadas. El precio y la complejidad enterprise se derivan del posicionamiento enterprise.

Mejor encaje: grandes empresas que ya ejecutan Mimecast y quieren un HRM ligado a la threat intelligence del email.

6. SoSafe

https://sosafe-awareness.com

SoSafe es una plataforma europea que ha evolucionado de forma creíble desde el SAT gamificado hacia el terreno del HRM. El Adaptive Difficulty Engine ajusta la formación y la simulación de phishing por usuario en función del comportamiento observado, el chatbot Sofie AI entrega microformación contextual en el momento del clic y el Behavioural Security Maturity Model de la plataforma ofrece a las organizaciones una hoja de ruta para avanzar en HRM.

Las simulaciones multicanal cubren email, SMS, códigos QR y (en early access) voz. El Phishing Report Button da a los usuarios finales una forma nativa de marcar correos sospechosos con feedback incorporado, que alimenta la capa de risk scoring. Para las empresas de la UE, la residencia de datos y la postura frente al GDPR siguen siendo los diferenciadores destacados: SoSafe aloja los datos dentro de la UE con sólidos controles de privacy by design.

Contrapartidas: SoSafe se sitúa más cerca del extremo de SAT con funciones de HRM que del extremo HRM-nativo. El risk scoring está mejorando, pero no es tan profundo como el de CybSafe o Living Security.

Mejor encaje: organizaciones de mid-market de la UE y MSPs que quieren una evolución hacia el HRM con una sólida residencia de datos.

7. KnowBe4 (AIDA)

https://www.knowbe4.com

KnowBe4 es el mayor proveedor de SAT, y la suite AIDA (Artificial Intelligence Defense Agents) es la respuesta de la compañía al giro hacia el HRM. AIDA personaliza la formación mediante IA, genera contenido adaptativo y produce un score de Virtual Risk Officer (VRO) por usuario. Es un paso creíble hacia el HRM, aunque el centro de gravedad de la plataforma sigue siendo el Security Awareness Training más que la gestión del riesgo basada en el comportamiento.

Para las organizaciones que ya ejecutan KnowBe4 y quieren ampliarse hacia capacidades de tipo HRM sin cambiar de plataforma, AIDA es la vía de actualización evidente. La integración con la infraestructura de campañas existente de KnowBe4 es estrecha, la biblioteca de contenidos es la mayor de la categoría y los auditores reconocen los informes.

Contrapartidas: AIDA se sitúa en los niveles de precio más altos, la fatiga de contenido y la carga administrativa siguen siendo temas recurrentes en las reseñas de usuarios, y las capacidades de HRM son menos maduras que las de las plataformas de HRM creadas a tal efecto. Merece la pena compararla con las opciones HRM-nativas antes de decidirse.

Mejor encaje: clientes actuales de KnowBe4 que se amplian hacia el HRM, y organizaciones que valoran la amplitud de contenidos junto con el scoring de HRM.

8. Proofpoint

https://www.proofpoint.com

El posicionamiento de HRM de Proofpoint se apoya en People Risk Explorer, una herramienta que combina los datos de la formación en concienciación con la threat intelligence del email security de la compañía para identificar a los usuarios con más probabilidades de ser atacados o de hacer clic. El risk scoring se nutre de datos de ataques reales, lo que supone un diferenciador relevante: quién recibe los ataques es tan importante como quién hace clic.

Para los clientes del email security de Proofpoint, esta integración aporta valor real. El framework ACE (Assess, Change, Evaluate) personaliza los itinerarios de formación a partir de los resultados de People Risk Explorer, y la compatibilidad con SCORM facilita la integración con el LMS existente. El reporting es de nivel enterprise.

Contrapartidas: Proofpoint HRM es más potente dentro del ecosistema de Proofpoint. Como plataforma de HRM autónoma, es menos flexible que las herramientas dedicadas, y el engagement va por detrás de las opciones más gamificadas.

Mejor encaje: grandes empresas que ya ejecutan el email security de Proofpoint y quieren un HRM ligado a datos de amenazas reales.

9. CultureAI

https://www.culture.ai

CultureAI es una plataforma HRM-nativa con sede en el Reino Unido construida en torno a la intervención en el point-of-risk. En lugar de formación programada y campañas de phishing trimestrales, CultureAI detecta los comportamientos de riesgo a medida que se producen (exposición de credenciales, intercambio de datos sensibles en herramientas de colaboración, contraseñas débiles, infracciones de políticas) e interviene en el momento. Algunas intervenciones son correcciones automatizadas; otras son nudges educativos al usuario.

La plataforma se integra con todo el stack SaaS para detectar comportamientos que a otras plataformas de HRM se les escapan. Para las organizaciones con entornos amplios de Microsoft 365, Google Workspace y SaaS, esta capa de detección en tiempo real aporta una señal genuina que las plataformas de HRM basadas en simulaciones no captan.

Contrapartidas: CultureAI es más joven y pequeña que los actores consolidados, con una biblioteca de contenidos más reducida. La plataforma brilla en la detección de comportamiento en tiempo real, pero es menos madura en la vertiente de formación estructurada e informes de compliance.

Mejor encaje: organizaciones de mid-market y enterprise con una amplia presencia SaaS que quieren intervención sobre el comportamiento en tiempo real.

10. Right-Hand

https://www.right-hand.ai

Right-Hand es una plataforma de HRM con sede en EE. UU. centrada en intervenciones contextuales entregadas a través de las herramientas en las que los usuarios ya trabajan (Slack, Teams, email). El enfoque es ligero: en lugar de sacar a los usuarios de su flujo de trabajo para formarlos, Right-Hand entrega nudges, microformación e impulsos de comportamiento en contexto, cuando son relevantes.

La plataforma se integra con email security, identidad y otras herramientas para sacar a la luz comportamientos de riesgo e intervenir. El reporting incluye un human risk score por usuario, con datos de tendencia y una visibilidad a través del stack que crece a medida que maduran las integraciones.

Contrapartidas: Right-Hand es más reciente en el mercado que CybSafe o Living Security, con menos reconocimiento de los analistas y una base de clientes más pequeña. Se entiende mejor como parte de un stack de HRM que como una única plataforma todo en uno.

Mejor encaje: organizaciones de mid-market que quieren intervenciones de HRM ligeras e integradas en el flujo de trabajo junto a una plataforma de concienciación existente.

Cómo elegir la plataforma de Human Risk Management adecuada

La categoría es más amplia de lo que parece a primera vista, lo que significa que la elección depende más del tipo de HRM que quieras ejecutar que de cuál es la «mejor» plataforma.

Si estás pasando de SAT a HRM y quieres una plataforma completa sin la complejidad enterprise, usecure es el punto de aterrizaje más habitual. Risk scoring, formación, phishing y políticas en un solo sistema, poca administración, precios transparentes y mappings de compliance claros. Es la plataforma de HRM por la que acaban optando la mayoría de las SMB y organizaciones de mid-market, porque el modelo operativo encaja con la forma real de trabajar de los equipos más pequeños.

Si tus conversaciones de auditoría y de consejo giran en torno a la ciencia del comportamiento y la cuantificación del riesgo, fíjate en CybSafe y Living Security, los dos Forrester Wave Leaders de Q3 2024. Ambas producen la profundidad de datos de comportamiento y modelización del riesgo que exigen los programas de HRM maduros. Living Security llega más lejos en la integración a través del stack; CybSafe llega más lejos en la metodología de ciencia del comportamiento.

Si el engagement es tu mayor carencia actual, Hoxhunt es la apuesta más sólida. El modelo de dificultad adaptativa y la gamificación destacan de forma constante en las tasas de reporte de las simulaciones y en el cambio de comportamiento.

Si ya ejecutas una plataforma de email security enterprise, Mimecast (clientes actuales de Mimecast) o Proofpoint (clientes actuales de Proofpoint) te permiten ampliarte hacia el HRM sin añadir un nuevo proveedor. La integración con la threat intelligence del email es un diferenciador real si ya estás en ese ecosistema.

Si lo que falta es la intervención en tiempo real dentro del flujo de trabajo, CultureAI y Right-Hand son las opciones más distintivas. Ambas detectan los comportamientos de riesgo a medida que se producen en lugar de esperar al siguiente ciclo de formación.

Si operas en la UE y la residencia de datos importa, tanto SoSafe como CybSafe alojan los datos dentro de la UE con una sólida postura de privacy by design.

Si eres un MSP, el factor multi-tenant acota la lista rápidamente. usecure y SoSafe son las dos opciones más sólidas para ofrecer HRM como servicio en muchos tenants de clientes.

Para la mayoría de las organizaciones que evalúan el HRM por primera vez, la decisión práctica está entre usecure (HRM-nativa, encaja desde SMB hasta mid-market y MSPs, poca administración) y uno de los Wave Leaders enterprise si cuentas con la madurez de seguridad y el presupuesto para aprovecharlo. Conviene probar al menos dos antes de firmar.

Si quieres ver cómo es el HRM en la práctica con tus propios usuarios, inicia una prueba gratuita de usecure. Se configura en unos 15 minutos y te muestra un Human Risk Score en funcionamiento sobre tu entorno real.

FAQ

¿Cuál es la diferencia entre el Security Awareness Training y el Human Risk Management?

El Security Awareness Training entrega contenido y mide la finalización. El Human Risk Management mide y reduce el riesgo humano real mediante datos de comportamiento, risk scoring e intervenciones adaptativas. Forrester retiró formalmente la categoría SA&T en 2024 y la sustituyó por el HRM, definiéndolo como una plataforma que detecta los comportamientos de seguridad de las personas, identifica los riesgos que generan las personas y a los que están expuestas, y adapta políticas, formación y tecnología en consecuencia. La formación y la simulación de phishing son herramientas dentro de un programa de HRM, no el resultado final.

¿Por qué es importante ahora el Human Risk Management?

Alrededor del 90 % de las brechas tienen que ver con el factor humano, y décadas de formación en concienciación no han conseguido mover de forma significativa las tasas de clic, los reincidentes ni el incumplimiento de políticas. El HRM es la respuesta: en lugar de medir si alguien ha visto un vídeo, el objetivo es cuantificar y reducir el riesgo humano real a lo largo del tiempo. Los consejos y los auditores piden cada vez más métricas de comportamiento en lugar de tasas de finalización, y las grandes firmas de analistas (Forrester, Gartner) han seguido el mismo camino con una cobertura formal de la nueva categoría.

¿Qué es un human risk score?

Un human risk score es una representación numérica del riesgo cibernético por usuario (y por equipo y por organización) basada en el comportamiento observado. Las entradas suelen incluir los resultados de las simulaciones de phishing, el phishing real reportado, el engagement con la formación, la aceptación de políticas, la exposición de credenciales en la dark web y señales del resto del stack de seguridad. El score se actualiza de forma continua y activa intervenciones automáticas cuando cruza umbrales definidos. Cada plataforma lo calcula de forma distinta; lo que importa es que el score refleje el comportamiento real, no solo la finalización de la formación.

¿Necesito una plataforma de HRM si ya tengo formación en concienciación?

Si tu plataforma actual produce un risk score real por usuario basado en datos de comportamiento de múltiples fuentes y activa intervenciones adaptativas de forma automática, tienes HRM. Si produce porcentajes de finalización, tasas de clic y un informe trimestral de campaña de phishing, tienes SAT. La mayoría de las organizaciones que se plantean el paso de uno a otro lo hacen porque las conversaciones de auditoría, compliance o consejo han empezado a pedir pruebas de cambio de comportamiento que las métricas de finalización no pueden aportar.

¿Cuál es la diferencia entre las plataformas HRM-nativas y las plataformas SAT con funciones de HRM?

Las plataformas HRM-nativas (usecure, CybSafe, Living Security, Hoxhunt, CultureAI, Right-Hand) se construyeron desde el principio en torno a la cuantificación del riesgo basada en el comportamiento. La formación y el phishing son entradas y mecanismos de intervención dentro de un framework de riesgo más amplio. Las plataformas SAT con funciones de HRM (KnowBe4, Proofpoint, MetaCompliance) han añadido risk scoring y contenido adaptativo sobre una plataforma existente centrada en la formación. Ambas pueden ser eficaces; las plataformas HRM-nativas tienden a contar con datos de comportamiento más ricos y ciclos de intervención más estrechos, mientras que las derivadas de SAT tienden a tener bibliotecas de contenidos más grandes y un mayor reconocimiento de marca ante los auditores.

¿Cómo se relaciona el HRM con frameworks de compliance como ISO 27001, SOC 2 y NIS2?

Los tres frameworks incluyen requisitos explícitos sobre controles de seguridad relacionados con las personas: formación en concienciación, aceptación de políticas, monitorización del comportamiento y formación del órgano de dirección (en concreto, bajo el Artículo 20 de NIS2). Las plataformas de HRM generan las pruebas que estos frameworks exigen, a menudo con mappings publicados por framework. usecure publica mappings específicos para ISO 27001, SOC 2 y NIS2. La mayoría de las demás plataformas de HRM publican recursos similares para los frameworks que priorizan.

¿Pueden los MSP ofrecer Human Risk Management como servicio?

Sí, varias plataformas lo permiten. usecure y SoSafe son las dos más utilizadas por los MSP, ambas con portales multi-tenant, white labeling y licenciamiento por usuario que encajan con un modelo de entrega de servicio gestionado. El mercado del HRM como servicio crece a medida que los MSP responden a la demanda de sus clientes de una reducción medible del riesgo de comportamiento en lugar de formación anual de compliance.

¿Qué aporta realmente un programa de HRM en términos de cambio medible?

Los programas de HRM maduros suelen demostrar que las tasas de fallo en phishing bajan desde valores de partida del 15-30 % hasta cifras de un solo dígito bajo a lo largo de 12-18 meses, que las tasas de reporte aumentan de forma significativa (a menudo entre 5 y 10 veces) y que los risk scores por usuario tienden a la baja a nivel de departamento y de organización. Son las métricas que han empezado a sustituir al «porcentaje de finalización de la formación» en el reporting al consejo y en las conversaciones de auditoría.

Suscríbete al boletín

Suscríbete al boletín

Al hacer clic en Suscríbete, confirmas que aceptas nuestros términos y condiciones.
¡Gracias! Tu envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.

Descubre cómo las empresas de servicios profesionales reducen el riesgo humano con usecure

Descubre cómo los equipos de TI de servicios profesionales usan usecure para proteger los datos confidenciales de sus clientes, mantener el cumplimiento normativo y salvaguardar su reputación, sin interrumpir el trabajo facturable.