El usuario es la última línea de defensa en ciberseguridad

Si el conocimiento es clave para entender la amenaza, no hay mejor forma de interiorizarlo que la experiencia personal. Hablamos de reforzar la teoría con la práctica, o del efecto de cometer uno mismo un error básico. Ese es el objetivo de las campañas de phishing simulado que se envían a los empleados con email corporativo en los países donde operan.

Su contenido solo puede ser diseñado por expertos de Seguridad de la Información que las han visto muchas veces y siguen su evolución a diario. Algunos ganchos buscan una reacción emocional inmediata para que bajes la guardia, como el aviso de pagar una factura para no perder tal o cual servicio. Incluso un correo desde una supuesta Consejería de Sanidad oficial con un enlace al calendario de vacunación antiCovid.

Es pequeño, pero siempre pica un porcentaje de destinatarios. Enrique Miranda explica que no se trata de avergonzar ni de reprender, sino de lograr que quien hace clic en ese correo simulado entienda que no valen excusas frente a las consecuencias de descargar un virus real. “Es que ese día estaba hasta arriba de correos”. “Precisamente esperaba ese mensaje de Sanidad para vacunarme, por eso caí”.

Por eso los resultados de las campañas se comparten con el Comité de Dirección, como toda la política de Ciberseguridad, pero nunca las identidades de los empleados que caen en la trampa del phishing. No solo por respeto a su privacidad, también porque agradecen esa discreción y tienden a sumarse de una forma más proactiva a la causa.

“Queremos tocar esa fibra íntima —continúa el CISO—, hacer entender que en ciberseguridad tu empresa también es tu hogar. Igual que no abres la puerta de tu casa a cualquiera, porque cuidas a tus hijos, no puedes abrir la puerta de tu empresa sin estar seguro de quién hay al otro lado, porque también te afecta personalmente, a ti y al resto de compañeros que son tu otra familia”.

Prosegur está reforzando su armadura. “Desarrollamos un modelo propio, transversal, de arriba abajo, que permea desde la cúpula a una organización con más de 150.000 empleados en 26 países”, explica Enrique Miranda, Chief Information Security Officer (CISO) de la nueva Unidad. Esa arquitectura se explica porque no hablamos de una compañía cualquiera, sino de un referente global en su sector y con un negocio exclusivo de Ciberseguridad, que debe demostrar un nivel óptimo de protección empezando por casa.

¿Cómo? Con reportes directos al Comité de Dirección, una estructura reforzada con CISOs en cada negocio, perfiles híbridos entre lo técnico y la gestión de riesgos para comprender cómo trabaja cada actividad y adaptar el blindaje a sus necesidades específicas. “Y con un esfuerzo prioritario en formación y concienciación de toda la plantilla para lograr que las personas seamos la última línea de defensa, no el eslabón más vulnerable”, apunta Miranda.

Descubre más sobre Ciber

Cómo realizar una gestión eficaz de incidentes graves de Ciberseguridad

Ciberanalistas virtuales para hacer frente a los ataques informáticos

Arranca la batalla por la privacidad de nuestros datos

Que las personas no sean un eslabón débil en Prosegur no quiere decir que no lo sean en otras compañías. El área de Seguridad de la Información maneja un dato que va directo a la conciencia sobre la gravedad del problema: en 2020 las empresas españolas fueron las más atacadas por el cibercrimen global. Entre las razones está el bajo nivel en cultura de ciberseguridad del 86% de esas compañías, nada menos, según un estudio de PwC. Y de acuerdo con Kaspersky, en los primeros ocho meses de 2021 los intentos de sabotaje cibernético aumentaron un 24% en Latinoamérica.

La compañía diversifica recursos para ese objetivo estratégico, con cursos en la Universidad Corporativa Prosegur obligatorios para las nuevas incorporaciones —el año pasado más del 90% completaron el itinerario—, coloquios sobre tendencias como la amenaza híbrida, o píldoras con información clave: por ejemplo, si te encuentras teletrabajando, usa contraseñas robustas e inéditas, guarda la información en repositorios corporativos y no en el escritorio o activa el doble factor de autentificación en todas las cuentas.

Pero la formación en ciberseguridad de Prosegur aún tiene más ejemplos: Lanzan tips masivos a sus empleados para que no dejen nunca los dispositivos sin vigilancia, sugieren que no se conecten jamás a través de wifis públicas, que configuren un sistema de bloqueo en el móvil o usen canales corporativos para intercambiar información. Se insta a no usar la cuenta corporativa en redes sociales y, si es para trabajo, aplicar precauciones básicas como no compartir información personal —si la piden puede ser un truco de ingeniería social—, así como desconfiar de concursos o sorteos, cerrar siempre la sesión o trucos sobre cómo evitar el robo de datos de usuarios en Facebook.