descubra cómo el departamento de defensa planea reducir sus programas obligatorios de formación en ciberseguridad, con el objetivo de racionalizar los requisitos y mejorar la eficiencia del personal.
Publicado el por Franck F.

El Departamento de Defensa reducirá los programas obligatorios de formación en ciberseguridad

La reducción de los programas de formación en ciberseguridad exigidos por el Departamento de Defensa ha provocado cambios inmediatos en las políticas de todo el Pentágono, modificando la frecuencia de la formación obligatoria, consolidando los temas y autorizando una flexibilidad basada en las funciones. Esta medida, ordenada en un memorando de septiembre de los altos mandos, tiene por objeto reducir el tiempo dedicado a tareas no bélicas, automatizando al mismo tiempo algunas responsabilidades de gestión de la información. La aplicación será rápida, con instrucciones para flexibilizar cursos recurrentes como la información no clasificada controlada (CUI) y cierta formación sobre privacidad. La directiva ya ha suscitado duras reacciones en la comunidad cibernética, con partidarios que elogian la formación simplificada y críticos que advierten de una mayor exposición a las operaciones de los adversarios. En las siguientes secciones se exponen los ángulos operativos, técnicos y estratégicos, se ilustran las posibles repercusiones en los principales contratistas de defensa y unidades de servicio, y se esbozan vías prácticas de modernización que preserven la higiene cibernética sin socavar la preparación.

El Departamento de Defensa reducirá los programas obligatorios de formación en ciberseguridad: Cambios políticos inmediatos y detalles administrativos

El Departamento de Defensa para reducir los programas de formación en ciberseguridad requeridos comenzó con una directriz formal de los altos mandos que daba instrucciones específicas a los departamentos militares para "relajar la frecuencia obligatoria de la formación en ciberseguridad". La directiva incluía otros puntos: limitar la formación sobre gestión de registros a la relevancia de la función, automatizar los sistemas de gestión de la información para reducir la carga de formación manual, eliminar la formación sobre la Ley de Privacidad de la lista de formación común y consolidar múltiples requisitos recurrentes. Estos cambios se enmarcaron en un enfoque más amplio de las prioridades de combate.

Elementos operativos de la nota y calendario

El memorando ordenaba una rápida implementación. Esto implica que los gestores de programas deben actualizar las matrices de formación, sincronizarse con el director de información del Pentágono (CIO) y modificar rápidamente el plan de Formación Militar Común (CMT). Se pedirá a las oficinas de personal que reclasifiquen las funciones que requieren actualizaciones obligatorias de CUI o ciberseguridad, mientras que los responsables de la gestión de la información evaluarán las oportunidades de automatización para eliminar las obligaciones de formación vinculadas al mantenimiento manual de registros.

Las tareas administrativas clave incluyen:

  • Asignación de los requisitos de formación actuales a las tareas críticas de la misión e identificación de candidatos para la relajación.
  • Coordinarse con el CIO del Pentágono para fijar los hitos de la implantación y los calendarios de auditoría.
  • Actualización de los sistemas y registros de gestión del aprendizaje para reflejar las frecuencias reducidas y los módulos consolidados.
  • Automatizar la gestión de archivos y registros siempre que sea posible para eliminar legalmente los requisitos de formación vinculados a las acciones manuales.

Un breve cuadro ilustrativo aclara cómo se propuso cambiar los artículos con arreglo a la directiva.

Tema de formación Frecuencia anterior Cambio de directiva
Concienciación cibernética básica Anual Flexibilizar la frecuencia; adoptar un calendario basado en las funciones
Tratamiento de CUI Anual/bienal Relajar la frecuencia; limitarse a las funciones afectadas
Formación sobre la Ley de Protección de la Intimidad Listado en CMT Eliminar de la lista CMT
Repaso de la trata de seres humanos Periódico Eliminar tras el cambio legislativo

Entre los ejemplos prácticos de cambios inmediatos se incluyen la autorización por parte de los mandos de las unidades de exenciones para determinados miembros del personal administrativo y el establecimiento de cursos de actualización trimestrales en lugar de anuales para algunas funciones. La directiva también prevé módulos de aprendizaje consolidados, que podrían combinar CUI, concienciación sobre amenazas internas e higiene cibernética en una única sesión para grupos específicos.

Los enlaces y recursos importantes que consultarán los planificadores operativos incluyen orientaciones sobre conceptos erróneos acerca de las prácticas de ciberseguridad y estudios de incidentes concretos. Quienes trabajen en la implementación pueden revisar los análisis sobre el valor de la formación y las implicaciones de las brechas de alto perfil, como los informes detallados sobre sucesos de pérdida de datos que informan sobre las prioridades de formación: https://www.dualmedia.com/cybersecurity-misconceptions/ y https://www.dualmedia.com/halliburton-confirms-data-stolen-in-a-cyberattack-implications-for-cybersecurity/.

Por último, la implantación exigirá equilibrar la rapidez con las obligaciones legales y de cumplimiento. Los responsables de registros y privacidad deben certificar que cualquier eliminación de la formación obligatoria se mantiene dentro de los límites normativos. El objetivo declarado de la política -liberar tiempo para tareas de combate- dependerá de la precisión de las auditorías de funciones y de la eficacia de la automatización. Conclusión: los cambios administrativos rápidos suponen un alivio cuantificable a corto plazo, pero exigen una gobernanza sólida para evitar la erosión del cumplimiento a largo plazo.

LEER  Un experto en ciberseguridad aboga por mejorar las prácticas de ciberhigiene

El Departamento de Defensa reducirá los programas obligatorios de formación en ciberseguridad: Impacto operativo en las unidades, la mano de obra y los socios industriales

Cuando el Departamento de Defensa reduzca los programas de formación en ciberseguridad requeridos y se aplique en todas las unidades y contratistas de defensa, las repercusiones operativas serán complejas. Para una brigada típica, el efecto inmediato puede ser la recuperación de unas pocas horas por militar al año. Para las plantillas de contratistas de toda la empresa, los cambios modifican las obligaciones contractuales de formación y las declaraciones de trabajo. Las empresas principales del sector, como Lockheed Martin, Raytheon Technologies, Northrop Grumman y General Dynamics, junto con integradores de sistemas como Booz Allen Hamilton, Leidos, CACI International, ManTech, BAE Systems y Perspecta, deben ajustar las rutinas de cumplimiento y la supervisión de los subcontratistas para reflejar las frecuencias reducidas, garantizando al mismo tiempo el cumplimiento de las cláusulas contractuales del Departamento de Defensa.

Cómo podrían responder las unidades y los primes

Las grandes empresas de defensa probablemente analizarán el memorando en tres respuestas: alinearse con la política inmediata del DoD cuando lo permita el contrato; mantener sus propios estándares de formación más elevados para el trabajo sensible; o innovar en la impartición de formación para preservar la protección al tiempo que se reduce el tiempo. Por ejemplo, las oficinas de programas de Lockheed Martin o Northrop Grumman pueden mantener la concienciación cibernética anual para los empleados que acceden a redes controladas, al tiempo que ofrecen microaprendizaje basado en funciones para el personal administrativo. Booz Allen Hamilton y Leidos pueden hacer hincapié en los itinerarios de certificación alineados con las funciones del DoD 8140 y hacer que los módulos de concienciación sean más breves y específicos.

Cambios operativos en la práctica:

  • Los directores de programa asignan la formación necesaria a las cláusulas contractuales y ajustan los entregables.
  • Contratistas principales que ofrecen formación por niveles para satisfacer tanto la relajación del DoD como las tolerancias de riesgo internas.
  • Refuerzo de la supervisión de subcontratistas para los proveedores que prestan apoyo a sistemas clasificados o CUI.
  • Integración de herramientas de automatización para reducir las exigencias de gestión manual de registros que actualmente generan obligaciones de formación.

Consideremos un sistema prime-sub ficticio: Atlas Systems, un integrador de tamaño medio que da soporte a sistemas de protección de fuerzas, se enfrenta ahora a dos opciones. Atlas mantiene la concienciación cibernética anual para todo el personal, absorbiendo el coste de la formación, o diferencia por funciones y automatiza la gestión de registros para eliminar algunas obligaciones. Cualquiera de las dos opciones afecta a la cadencia del personal y a la postura de seguridad.

Cuadro: Posibles resultados operativos para las partes interesadas.

Partes interesadas Respuesta probable Riesgos operativos
Unidad de combate Consolidación basada en funciones; mantenimiento de las actualizaciones críticas Baja si se centra en funciones de misión crítica
Contratistas principales (por ejemplo, Raytheon Technologies) Mantener normas internas más estrictas; ajustar el LMS Moderado debido al riesgo para la reputación
Subs de tamaño medio (por ejemplo, tipo Perspecta) Adoptar un enfoque conservador; mantener los módulos anuales Mayor coste; menor riesgo

Las consideraciones prácticas incluyen la moral de los trabajadores y la fatiga de la formación. Muchos miembros del personal acogen con satisfacción la reducción del número de módulos obligatorios, alegando el ahorro de tiempo y el aumento de la productividad. Sin embargo, las unidades deben protegerse contra la falta de formación en ciberhigiene básica que evite las brechas de phishing y spearphishing. Las pruebas de incidentes civiles sugieren que los recordatorios breves y frecuentes reducen las tasas de error humano. Recursos como orientaciones sobre ciberhigiene realista y estudios de casos de amenazas pueden ayudar a calibrar los nuevos programas: https://www.dualmedia.com/cybersecurity-cyber-hygiene/ y https://www.dualmedia.com/top-10-cybersecurity-tips-to-stay-safe-online/.

Para los contratistas que preparan propuestas y ofertas, la política afecta a los modelos de fijación de precios y a las hipótesis de dotación de personal. Las empresas que inviertan en una mayor automatización (por ejemplo, controles de identidad basados en IA o una gestión de registros más inteligente) podrán reducir las obligaciones de formación y proponer tarifas más competitivas. Por el contrario, las empresas que no estén dispuestas a adaptarse pueden enfrentarse a un mayor escrutinio en las auditorías del Departamento de Defensa o perder encargos si se las considera de alto riesgo. Conclusión: reequilibrar la frecuencia de la formación ofrece mejoras de eficiencia, pero requiere una cuidadosa sincronización entre las unidades y los socios industriales para evitar desviaciones en el cumplimiento y preservar los contratos de seguridad.

LEER  La vulnerabilidad de GCP cloud composer permite a los atacantes obtener acceso elevado a través de paquetes pypi dañinos

El Departamento de Defensa reducirá los programas de formación en ciberseguridad exigidos: Evaluación de riesgos cibernéticos y respuestas de expertos

La decisión del Departamento de Defensa de reducir los programas obligatorios de formación en ciberseguridad alterará las superficies de riesgo, lo que centra los debates entre los expertos. Los analistas destacan que las sesiones de formación, aunque a veces se consideren tediosas, sirven como medida básica de salud pública para la ciberseguridad. Los críticos advierten de que cualquier reducción debe adaptarse cuidadosamente, citando las capacidades de los adversarios y los recientes incidentes en los que los vectores humanos permitieron las brechas. Los analistas de alto nivel han hecho hincapié en las amenazas modernas, incluidas las suplantaciones de identidad basadas en IA y las sofisticadas campañas de los Estados-nación, como razones para actualizar en lugar de relajar el contenido de la formación.

Perspectivas de expertos y análisis de casos

Entre las consideraciones planteadas por ciberestrategas experimentados figura la necesidad de mantener informada a la población sobre las tácticas de los adversarios dirigidas tanto al personal como a las cadenas de suministro. Por ejemplo, los sucesos de gran repercusión documentados en los medios del sector demuestran que el robo de credenciales y las campañas de phishing siguen siendo los principales vectores de intrusión. La formación que aborda las amenazas actuales -falsificaciones profundas, suplantación de voz, ingeniería social mediante IA generativa- es cada vez más importante. La cobertura de DualMedia sobre los riesgos de la IA y la ciberseguridad proporciona información útil para los diseñadores de programas: https://www.dualmedia.com/ai-security-cybersecurity-risk/ y https://www.dualmedia.com/ai-hallucinations-cybersecurity-threats/.

Factores de riesgo clave que deben evaluarse:

  • Exposición del personal a canales de comunicación de terceros y TI en la sombra.
  • Conexiones de la cadena de suministro con empresas como CACI International o ManTech que pueden aumentar el riesgo de movimientos laterales.
  • Uso de herramientas de IA por parte de los adversarios para elaborar ataques convincentes de spearphishing y deepfake.
  • Retroceso en la detección de amenazas internas debido al menor número de puntos de contacto obligatorios.

Comentarios recientes subrayan que un módulo anual mínimo -que suele durar una hora- puede reportar grandes beneficios al recordar al personal las buenas prácticas básicas. Varios expertos recomiendan convertir algunos módulos anuales genéricos en episodios de microaprendizaje más breves, basados en escenarios, que aborden los principales riesgos. Este enfoque reduce el coste de tiempo y aumenta la retención, especialmente si se combina con campañas de phishing simuladas y ejercicios prácticos.

Tabla: Contrapartidas del riesgo de relajar la formación en ciberseguridad.

Métrica Antes de la relajación Después de la relajación (riesgo variable)
Horas de formación por empleado ~1 hora/año Reducido; depende de la función
Susceptibilidad al phishing Base inferior con actualización anual Aumento potencial si no hay sensibilización alternativa
Cumplimiento Auditoría Riesgo Moderado Mayor si los registros/funciones no están bien documentados

Estudios de casos concretos muestran los costes de la falta de formación. Los informes del sector y los resúmenes de incidentes -como los relativos al robo de credenciales y las infracciones de los contratistas- ilustran cómo la infiltración inicial puede convertirse en una cascada de acceso a largo plazo para los adversarios. Los lectores pueden consultar informes detallados sobre incidentes y análisis sectoriales para obtener un contexto empírico: https://www.dualmedia.com/middletown-cybersecurity-ransomware/ y https://www.dualmedia.com/are-you-safe-online-the-shocking-truth-about-cybersecurity-threats-revealed/.

Las técnicas de mitigación recomendadas por los expertos incluyen el mantenimiento de módulos básicos obligatorios para el personal con acceso a CUI, la realización de ejercicios de phishing simulado y la vinculación de la concienciación a resultados mensurables, como la reducción del porcentaje de clics en pruebas maliciosas. Conclusión: si se relajan las frecuencias sin una sustitución rápida -microaprendizaje dirigido, simulaciones y automatización- se corre el riesgo de erosionar el cortafuegos humano que aprovechan los adversarios.

El Departamento de Defensa reducirá los programas de formación en ciberseguridad requeridos: Alternativas técnicas y estrategias de modernización

La reducción de los módulos obligatorios crea la necesidad imperiosa de modernizar las estrategias defensivas. Los programas de formación en ciberseguridad obligatorios del Departamento de Defensa pueden coexistir con una sólida postura cibernética si se combinan con alternativas técnicas: Detección asistida por IA, gestión automatizada de registros, marcos de certificación basados en roles (alineados con DoD 8140) y microaprendizaje a medida que aborde los vectores de amenazas actuales. El objetivo es sustituir la formación repetitiva y genérica por controles eficientes y de mayor impacto y aprendizaje adaptativo alineados con las funciones operativas.

LEER  Trump 2.0 se enfrenta a su primera crisis de ciberseguridad federal

Opciones prácticas de modernización para preservar la preparación

Varias vías técnicas ofrecen una mejor relación riesgo/esfuerzo que los módulos anuales generalizados. Los sistemas automatizados de gestión de la información pueden utilizarse para eliminar la necesidad de realizar determinadas tareas de formación sobre mantenimiento de registros. Del mismo modo, la integración de plataformas de inteligencia sobre amenazas con paneles operativos rutinarios permite al personal de primera línea recibir alertas breves y contextuales en lugar de una única conferencia anual. Los programas más avanzados también combinan la formación centrada en el ser humano con el análisis del comportamiento para detectar desviaciones en el uso de las cuentas.

Medidas de modernización recomendadas:

  • Automatice los flujos de trabajo de gestión de registros e información para eliminar las tareas manuales que desencadenan obligaciones de formación.
  • Adopte módulos de microaprendizaje centrados en amenazas relevantes para la misión, actualizados trimestralmente para las funciones críticas.
  • Integre la simulación de phishing y las pruebas adaptativas para medir la eficacia en lugar de basarse en los índices de finalización.
  • Aproveche las asociaciones del sector con empresas como Palo Alto, CrowdStrike y proveedores destacados en los rastreadores del sector para desplegar herramientas de detección avanzadas.

Varios recursos de DualMedia analizan la defensa basada en la IA, los marcos políticos y la modernización de la formación. La incorporación de estas perspectivas ayuda a los responsables de los programas a elegir enfoques basados en pruebas: https://www.dualmedia.com/real-world-applications-of-ai-in-cybersecurity-solutions/ y https://www.dualmedia.com/nist-ai-security-frameworks/.

Tabla: Comparación de la formación heredada frente al enfoque modernizado.

Dimensión Formación anual Legacy Enfoque modernizado
Tiempo Coste Más de 1 hora por persona y año Micromódulos de 10-20 minutos vinculados a funciones
Retención Baja después de meses Más alto con repeticiones espaciadas y simulaciones
Mensurabilidad Estado de finalización Métricas de comportamiento (índices de clics, informes de incidentes)

Los proveedores del sector y las iniciativas gubernamentales pueden asociarse para introducir estos cambios. Por ejemplo, las asociaciones entre unidades del Departamento de Defensa y empresas como BAE Systems o CACI International podrían centrarse en hacer operativa la IA para la detección de anomalías, mientras que los proveedores de formación crearían contenidos modulares basados en escenarios. Otras lecturas sobre cómo la IA cambia la formación en defensa y la postura de seguridad ofrecen orientación: https://www.dualmedia.com/ai-cloud-cyber-defense/ y https://www.dualmedia.com/ai-in-education-insights/.

Ejemplo de implantación: un nodo de logística marítima integra un sistema automatizado de registros que elimina la necesidad de que el personal administrativo reciba formación repetida sobre registros. En su lugar, los empleados reciben una única certificación y breves recordatorios trimestrales en función de los comportamientos de riesgo observados en la red. De este modo se reduce la carga y se mantiene el efecto protector de la concienciación humana.

Por último, la gobernanza debe hacer un seguimiento de los resultados. Los gestores de programas deben definir indicadores clave de rendimiento (como la reducción de las tasas de clics de phishing simulado, el menor número de alertas de amenazas internas y la reducción del tiempo dedicado a la formación) e informar de ellos en las revisiones mensuales de preparación. Conclusión: la modernización sustituye las horas de formación por controles más inteligentes, pero el éxito depende de la medición y la iteración.

El Departamento de Defensa reducirá los programas de formación en ciberseguridad exigidos: Nuestra opinión

La reducción de los programas de formación en ciberseguridad exigidos por el Departamento de Defensa presenta un punto de inflexión político: la posibilidad de reducir una formación onerosa y de escaso valor, al tiempo que se crea un riesgo si no se aplican las sustituciones. El camino más defendible vincula la relajación a la modernización rápida: microaprendizaje basado en roles, sistemas de registros automatizados, simulacros de adversarios y KPI claros que demuestren que el cortafuegos humano sigue siendo eficaz. Este enfoque equilibrado reduce la pérdida de tiempo y preserva la seguridad de la misión.

Recomendaciones clave y llamamiento a la acción

Entre las recomendaciones específicas para los responsables políticos y los directores de programas figuran las siguientes:

  • Mantener la concienciación básica obligatoria para las funciones que manejan CUI, sistemas clasificados o acceso privilegiado a la red.
  • Sustituir los módulos genéricos anuales por breves aprendizajes y simulaciones basados en escenarios y medidos por resultados de comportamiento.
  • Invertir en la automatización de la gestión de registros para eliminar legítimamente las obligaciones de formación vinculadas a los procesos manuales.
  • Aprovechar las asociaciones con contratistas principales e integradores de servicios (Lockheed Martin, Raytheon Technologies, Northrop Grumman, General Dynamics, Booz Allen Hamilton, Leidos, BAE Systems, CACI International, ManTech, Perspecta) para implantar herramientas y las mejores prácticas del sector.

Las métricas y las pruebas deben guiar el cambio de programa. Entre los indicadores útiles se incluyen la tasa de clics de phishing simulado, el número de contactos sospechosos notificados y los tiempos de respuesta a incidentes. Los recursos públicos y los marcos técnicos, como las orientaciones del NIST y los análisis de la industria, proporcionan modelos para la modernización; los planificadores deben consultar marcos y estudios de casos, incluidas ideas sobre la integración de la IA y el diseño de la formación: https://www.dualmedia.com/nist-cybersecurity-training/ y https://www.dualmedia.com/the-role-of-artificial-intelligence-ai-in-cybersecurity/.

Cuadro: Acciones prioritarias y resultados esperados.

Acción Resultados a corto plazo Resultados a largo plazo
Microaprendizaje basado en roles Menor tiempo de entrenamiento Mejora de la retención y la alineación con la misión
Automatización de la gestión de archivos Eliminar las obligaciones de formación Reducción de los errores humanos en el tratamiento de la CUI
Ejercicios de simulación de adversarios Cambio de comportamiento mensurable Un cortafuegos humano más fuerte

Las perspectivas finales subrayan que la tecnología y la formación deben complementarse mutuamente. Relajar la frecuencia de los módulos obligatorios puede ser una medida de eficiencia positiva si estimula la inversión en defensas adaptables y mensurables en lugar de crear un vacío. Los líderes de la industria y las empresas de primer nivel tienen tanto la capacidad como el incentivo para asociarse con el Departamento para ofrecer soluciones que reduzcan la carga al tiempo que preservan la seguridad. Para conocer otras tendencias del sector, señales de inversión y estudios de casos relevantes para la modernización, los lectores pueden consultar los análisis de la industria y los informes recientes: https://www.dualmedia.com/cybersecurity-industry-tracking-market-trends-and-growth/ y https://www.dualmedia.com/cybersecurity-tech-updates-strengthening-digital-defenses/.

Perspectiva: la eficiencia sin medición es un riesgo; la eficiencia unida a controles modernos e indicadores clave de rendimiento (KPI) preserva y mejora la disponibilidad.

2000-2025 DualMedia Innovation News. Todos los derechos reservados. El nombre, el logotipo y los datos son propiedad de DualMedia.

Funciona gracias a WordPress