Cómo se protege una empresa de seguridad

En esa apuesta estratégica que permea desde la cúpula a toda la plantilla también pesa la experiencia directa: el incidente que sufrió la compañía en 2019. Los sistemas se recuperaron rápido a pesar de la virulencia, pero supuso un antes y un después, el compromiso de extremar la ciberprotección e integrarla en la profunda transformación tecnológica y cultural de la compañía.

Así se refundó el área de Seguridad de la Información con una visión más ambiciosa y adaptada a la personalidad de cada negocio. “Prosegur es un referente mundial en el sector; por lo que la ciberseguridad siempre ha sido un factor clave, pero ahora lo es aún más aprovechando la transformación digital que está viviendo la compañía. Más que un riesgo, vemos esta transformación como una oportunidad para robustecer aún más nuestros procesos”, apunta su principal responsable, Enrique Miranda, Global Chief Information Security Officer (CISO).

“Nuestro objetivo es que Prosegur levante la persiana cada día y pueda proporcionar los servicios de seguridad a sus clientes”, añade Miranda. Dicho de otra forma, la ciberseguridad interna de Prosegur contribuye a securizar toda la sociedad mediante la protección de miles de instituciones, organismos, administraciones y empresas: sus clientes.

Un cibercrimen convertido en industria no exige menos. Cada año se registran millones de ataques en un contexto de digitalización acelerada, a veces desordenada como sucedió en los primeros meses de pandemia. Solo en España, el Centro Criptológico Nacional gestionó casi 43.000 incidentes en 2019, un 12,5% más que el año anterior. En 2020, con nuevo récord, se duplicaron los de peligrosidad muy alta. La tendencia mundial es parecida, según estudios como los de IBM.

¿Abriría usted un e-mail que le promete un 75% de descuento en la próxima generación del iPhone? Cualquier persona con nociones básicas de ciberseguridad diría que no, nunca. Pero un pequeño porcentaje suele picar el anzuelo. Literalmente, porque se trata de una técnica clásica de phishing: lanzar millones de cañas en forma de correo apetitoso para que alguna persona descuidada, al abrirlo, infecte con un malware los sistemas de su compañía.

Pero resulta que ese e-mail del iPhone no lo ha diseñado ningún hacker sino el área de Seguridad de la Información de Prosegur, la unidad interna que vela por la protección de la información de la compañía. Es una simulación de ataque que entrena a la plantilla de la mejor forma inventada: la experiencia personal. Y sirve de metáfora sobre el salto de escala en ciberseguridad que vive la compañía a nivel global.

Esa visión parte de la cúpula, el CISO está en contacto directo con el Comité de Dirección y su Consejero Delegado. “Aunque esto pueda parecer lógico, a menudo no sucede en compañías tan grandes”, explica Miranda. Además, lo habitual es que el CISO dependa jerárquicamente del Director de Tecnología. En Prosegur no, están al mismo nivel. “Es un modelo más eficiente, reportamos la situación de riesgos directamente al Comité de Dirección para ayudar a la toma de decisiones. Nos permite independencia a la hora de reportar los riesgos y proponer soluciones para su mitigación”, apunta Miranda.

Cada unidad de negocio tiene también su propio CISO para reforzar la red. Todos ellos reportan a Seguridad de la Información, que gestiona de forma centralizada la seguridad de los sistemas informáticos de todo el grupo. De esta forma es posible escalar sin multiplicar los recursos por los 26 países donde opera.

En general, el perfil de la ciberseguridad corporativa suele ser muy técnico, pero el modelo Prosegur opta por un híbrido entre lo técnico y la gestión de riesgos, que entiende a fondo cómo trabaja cada negocio y sus amenazas para desarrollar las soluciones tecnológicas precisas, con conocimiento de causa.

Un perfil que solo priorice lo técnico puede caer en la incomprensión mutua entre el departamento ciber y el negocio. “Nuestro modelo evita ese error; elimina el rol tradicional de la seguridad que tendía a decir ‘no’ a todo lo que parecía peligroso. Ahora es distinto, el CISO debe ser un consultor de seguridad que entienda la estrategia de negocio, sea capaz de hablar su idioma y que ayude al éxito aportando las medidas y/o controles oportunos”.

Dentro del arsenal mencionado, la formación y concienciación en ciberseguridad es un pilar fundamental de la estrategia del equipo de Seguridad de la Información de Prosegur.

La mayoría de agresiones aprovechan un descuido humano, la credulidad ante un truco de ingeniería social. Pero la ciberseguridad en Prosegur no entiende a la persona como el eslabón más débil, sino como la última línea de defensa. Que sea lo segundo y no lo primero depende de concienciar de verdad a toda la empresa. Y esa es la otra gran tarea de Seguridad de la Información, además de la armadura tecnológica.

Lo hace con todos los medios posibles: reportes al Comité de Dirección, cursos en la Universidad Corporativa Prosegur, simulaciones de correos fraudulentos (phishing), consejos y píldoras mensuales… Todo con el objetivo de preparar a los empleados ante las técnicas utilizadas por los delincuentes para acceder de manera malintencionada a los sistemas de la organización.

Por ejemplo, alguien que ha picado en la campaña simulada de phishing, se excusa: “Es que tengo el buzón desbordado, me llegan muchos correos y por eso lo abrí”. “De acuerdo, ¿si estás en casa haciendo varias cosas a la vez y llaman a la puerta, la abres sin mirar y que pase cualquiera?” “No, por supuesto”. “Ese es el nivel de conciencia que debe proteger a esa otra familia y esa otra casa que tenemos todos: la empresa.”, destaca Enrique Miranda.

Repetimos la pregunta. Después de leer este artículo, ¿abriría un correo que le promete un 75% de descuento en el próximo iPhone?

Seguridad de la Información cubre las necesidades de lo general a lo particular, con una compleja estructura de funciones. Despliega una sección de Gobierno, Riesgo y Cumplimiento que define las políticas generales, el modelo de control alineado con estándares internacionales, el reporte a la Dirección y la comunicación con los CISOs de los negocios.

Cuentan con una unidad de ingeniería de seguridad encargada de definir los requisitos del blindaje de los sistemas y aplicaciones, acompañando hasta la puesta en producción y así garantizar su seguridad.

Adicionalmente, disponen de un CyberSOC 24 x 7 (gestionado por Cipher, unidad de ciberseguridad de la compañía) que monitoriza todos los sistemas del grupo, neutraliza amenazas y simula agresiones a las propias infraestructuras y aplicaciones para detectar vulnerabilidades con el objetivo de robustecerlas. Esas amenazas pueden ser tanto externas como internas por lo que disponen de diferentes tipos de controles que permitan detectarlas y detenerlas a tiempo.

Por otro lado, a través del servicio de ciberinteligencia, revisan diariamente las vulnerabilidades publicadas, así como información relativa a los activos y a la propia marca Prosegur existentes en la red.

A nivel de continuidad de negocio, el equipo de Seguridad de la Información trabaja junto a los negocios en la identificación de los procesos críticos, así como los escenarios de ciberseguridad que pudieran generar una disrupción de la operativa. De esta forma, definen y prueban los planes que sería necesario poner en marcha en caso de una contingencia grave.

Descubre más sobre Transformación

Inteligencia artificial y transformación sostenible: retos de Prosegur para los fondos Next Generation EU

Por qué la innovación ha hecho de Prosegur la compañía a la vanguardia del sector

Cómo se implanta un modelo Business Intelligence en una empresa