A pesar del aumento de la conciencia digital y la inversión en la capacitación, el informe revela que muchas organizaciones africanas siguen siendo peligrosamente frecuentes, y estructuralmente poco preparadas, en su capacidad para gestionar los riesgos cibernéticos centrados en el ser humano.
KnowBe4 ha lanzado su África Informe de gestión de riesgos humanos 2025 arrojando luz urgente sobre una de las amenazas de ciberseguridad más subestimadas del continente: su gente. A pesar del aumento de la conciencia digital y la inversión en la capacitación, el informe revela que muchas organizaciones africanas siguen siendo peligrosamente frecuentes, y estructuralmente poco preparadas, en su capacidad para gestionar los riesgos cibernéticos centrados en el ser humano.
El informe, realizado en asociación con Red Ribbon Insights, captura ideas de 124 tomadores de decisiones de ciberseguridad senior en 30 países africanos. Identifica una brecha amplia entre la percepción y la práctica, un abismo que podría socavar el progreso digital de África si no se aborda.
Confianza sin capacidad
La mayoría de las organizaciones califican sus niveles de conciencia de ciberseguridad en 4 de 5. Sin embargo, solo el 10% de los líderes creen que sus empleados informarían de manera confiable un correo electrónico sospechoso. Esta paradoja subraya lo que KnowBe4 llama “la brecha de confianza”.
“Si la conciencia es la base de la ciberseguridad, entonces la acción es su expresión del mundo real”, dice el informe. “Pero esta encuesta muestra que la confianza en la capacidad de la fuerza laboral para responder adecuadamente, reconocer, informar y mitigar las amenazas) a menudo se sobreestima”.
Landscape de riesgos de África: desigual y evolucionando
El informe revela llamativos contrastes regionales en el terreno de ciberseguridad de África:
El norte de África lidera la exposición de BYOD, con hasta el 80% de los empleados que usan dispositivos personales para el trabajo, pero se retrasan en la frecuencia de capacitación y los informes de incidentes.
El este de África emerge como un líder relativo, con el 50% de las organizaciones que tienen políticas de gobierno de IA establecidas, las más altas en el continente.
El sur de África entrena con mayor frecuencia (el 44% realiza capacitación trimestral) pero tiene la supervisión de IA más débil, con más del 56% que no informa políticas de IA.
África central y occidental informa la tasa más alta de incidentes relacionados con los humanos, con hasta el 75% de los incidentes de seguridad rastreados hasta el comportamiento de los empleados.
Esta diversidad en la exposición al riesgo subraya la necesidad de estrategias de respuesta localmente. Como señala el informe, “la resiliencia no es una talla única, y las estrategias tampoco deberían ser”.
La ilusión de entrenamiento
A pesar de la implementación generalizada de la capacitación de conciencia de seguridad (SAT), más del 41% de las organizaciones luchan por medir su efectividad. La alineación basada en roles sigue siendo en gran medida aspiracional, mientras que el 68% de los encuestados afirman personalizar la capacitación por función laboral, muchos admiten que la realidad a menudo se queda corta.
La situación es especialmente grave en sectores como la fabricación y la atención médica, donde más del 40% informa que utiliza programas de capacitación genérica que no abordan riesgos específicos.
KnowBe4 advierte que esta falta de seguimiento conductual, combinado con simulaciones de phishing poco frecuentes (solo el 7% las conduce mensualmente), evita que los empleados desarrollen los reflejos necesarios para detectar amenazas reales.
Manches de ciegos estructurales: Shadow AI y fallas de informes
El surgimiento de “Shadow AI”, el uso no regulado no regulado de las herramientas de IA por parte del personal, es otra bandera roja. Con el 46% de las organizaciones que aún desarrollan sus políticas de IA, muchos empleados se quedan utilizando IA generativa sin orientación ni supervisión.
El informe también destaca la evidente falta de procedimientos formales de informes de incidentes. “Los empleados pueden ser conscientes de la importancia de informar, pero la ausencia de procesos claros y forzados deja espacio para la inconsistencia y la inacción”, advierte.
Esta desconexión entre conciencia y preparación se ve agravada por diferentes percepciones entre ejecutivos y trabajadores de primera línea. Si bien el 50% de los líderes creen que su personal está preparado, solo el 43% de los empleados dicen que se sienten seguros de identificar una amenaza, según una encuesta comparativa realizada el año pasado.
“Los hallazgos confirman lo que muchos de nosotros en la industria hemos sospechado durante mucho tiempo: las organizaciones están haciendo las cosas correctas en principio, pero en la práctica, no van lo suficiente. Necesitamos un cambio de mentalidad. La conciencia no es suficiente. Lo que importa es si las personas saben qué hacer cuando cuenta”.
–Anna Collard, SVP Content Strategy & Evangelist Africa, KnowBe4.
El camino hacia adelante: desde la conciencia hasta la acción
El informe concluye con cinco recomendaciones clave para las organizaciones africanas:
Personalizar la capacitación por rol y exposición al riesgo
Medir el impacto del entrenamiento con métricas significativas
Formalizar y simplificar los procesos de informes de incidentes
Cerrar la brecha de gobierno de IA
Contextualizar estrategias por región y sector
“La capa humana no es un defecto para arreglar, sino una frontera para fortalecer”, afirma el informe. A medida que la adopción digital se acelera en todo el continente, también debe la capacidad de África para administrar su variable de seguridad más impredecible: el comportamiento humano.
