Sin duda una fórmula explosiva que puede llegar a causar más de un quebradero de cabeza derivado por una mal uso de la tecnología por parte de los empleados.
¿Cómo evitar ser capturado por esta fórmula explosiva y sufrir un ciberataque? La respuesta mágica parece ser la concienciación. Y es que la concienciación suele ser un mantra en el sector de la ciberseguridad. Es por ello por lo que hoy hablamos con Ana Gómez Blanco, responsable de Security Culture en el equipo de seguridad en Engineering BBVA quien nos explica cómo es el proceso de concienciación en esta materia dentro de una gran compañía.
Cybersecurity News (CsN): Quien se dedica al sector de la ciberseguridad, y más en una gran compañía, entenderá que la concienciación es fundamental y es que la gran mayoría de los problemas, vienen derivados por un mal uso por ejemplo, de la tecnología por parte de los empleados. ¿Cómo es tu experiencia dentro de BBVA trabajando la concienciación?
“La tarea de concienciación a los empleados en materia de ciberseguridad se centra en el aprendizaje y formación constante”
Ana Gómez Blanco (AGB): La realidad es que en una empresa como esta, cada día es un reto. A medida que avanza la tecnología, también lo hacen las amenazas. Los ciberdelincuentes utilizan métodos más sofisticados y llevan a cabo ataques más complejos; y nosotros nos mantenemos constantemente actualizados para estar siempre preparados y hacer frente a las posibles amenazas.
La tarea de concienciación a los empleados en materia de ciberseguridad se centra en el aprendizaje y formación constante.
Gracias a la implicación de la dirección, la experiencia que tenemos en el banco es muy positiva, ya que contamos en este campo, con personal altamente cualificado y el compromiso en los distintos niveles también es elevado. Hemos conseguido trasladar a la gente la importancia de la seguridad informática y eso nos ha abierto el camino a la hora de desempeñar nuestra función.
CsN: En tu labor diaria, ¿qué retos principales enfrentas?
AGB: El mayor reto al que nos enfrentamos trabajando en concienciación en una empresa como BBVA, en la que se maneja una cantidad tan elevada de información, con distintos niveles de confidencialidad, tanto de la empresa como de los clientes, es asegurar que los empleados, como principal eslabón de la cadena de seguridad, comprendan que la información es el activo más importante con el que contamos y que, por lo tanto, es nuestro deber protegerla.
Hay que formar al empleado para que actúe en consecuencia en el entorno laboral y en el entorno personal. Y es aquí donde encontramos uno de los grandes retos: que los empleados adopten “buenas prácticas en ciberseguridad” en el entorno personal y que las interioricen de tal manera que aplicarlos en el trabajo no les resulte complicado.
Es importante que entiendan que las medidas de seguridad técnica que se adoptan dentro del banco, por ejemplo la utilización de firewalls, antivirus, etc., deben ser complementadas con sus buenos comportamientos, ya que la protección debe ser integral.
CsN: Estamos hablando de concienciación en materia de ciberseguridad en una gran empresa española como es BBVA. En muchas ocasiones, los directivos de grandes compañías suelen aprobar medidas de concienciación de este tipo pero no siempre esos mismos directivos llevan a cabo esa formación en concienciación. Sería paradójico que un directivo cayera en una determinada estafa y un empleado al que supervisa, no. ¿Cómo ve en general la concienciación en materia de ciberseguridad en torno a los directivos? ¿Y si hablamos del tema de BBVA?
“Las empresas como BBVA hace tiempo que ya se toman la ciberseguridad como un pilar de la empresa”
AGB: Creo que, en este momento, con el aumento de los casos de ciberataques en grandes empresas en algunos lugares del mundo, este colectivo se ha dado cuenta de los riesgos que implica que la información se vea comprometida en distintos niveles: reputacional, económico…, por lo tanto, han tomado mayor conciencia y están dándole más importancia a las áreas encargadas de esta protección. Se podría decir que actualmente, las empresas como BBVA hace tiempo que ya se toman la ciberseguridad como uno de los pilares de la empresa.
Dentro del banco existe una gran cultura de ciberseguridad en los distintos niveles y hay un alto grado de implicación con el área, lo que nos permite llevar a cabo campañas de concienciación y actividades de formación enfocadas a que el empleado mejore día a día en esta materia.
La formación y el compromiso de toda la plantilla es fundamental para evitar incidencias.
CsN: Hablemos de los principales problemas que los empleados de una compañía como la vuestra pueden tener con el uso incorrecto de la tecnológica y que precisamente, tu labor intenta solucionar…
Actualmente, me atrevería a decir que todos estamos expuestos a las mismas amenazas a nivel tecnológico, tanto en grandes compañías, como en pequeñas y en nuestra vida personal. Es decir, nuestra información, tanto personal como corporativa, es nuestro mayor activo y por eso, los delincuentes están siempre al acecho para conseguir robar nuestras credenciales a través de distintos vectores de ataque.
Recibimos gran cantidad de correos y notificaciones de aplicaciones de mensajería y muchas veces no nos paramos a ver quién es el emisor, si adjunta un enlace o un archivo, si este es legítimo o si lo estábamos esperando. Esta es una de las maneras más sencillas que tienen los ciberdelincuentes de intentar entrar en nuestros dispositivos.
CsN: Entremos a una de las partes más interesantes de la entrevista. Ana, ¿nos podrías contar algunos ejemplos de actividades concretas que llevéis a cabo en materia de concienciación?
AGB: Todas las acciones que se llevan a cabo desde el área de concienciación se extienden a todo el grupo, en las distintas geografías, por eso estamos centrando nuestro trabajo en crear contenido que sea relevante para todos los empleados. Esto lo conseguimos, sobre todo, gracias a la creación de material gráfico (infografías, posts en la intranet, etc.) y “guías” a los que el empleado pueda acceder siempre que tenga alguna duda.
Además, a través del campus de formación online se facilitan, a todos los empleados, cursos online relacionados con la protección de la seguridad (cómo crear contraseñas, cómo utilizar los servicios en la nube, etc.).
También se ofertan cursos presenciales en los que se hablan de temas concretos que puedan ser útiles y tengan aplicabilidad en la vida del empleado, adaptado a las necesidades de cada geografía. Para esto, hemos seleccionado empresas especializadas en este campo que colaboran con nosotros.
En esta línea, una de las actividades con más éxito es el Taller Familiar de Ciberseguridad para empleados, a los que asisten con sus hijos, en los que se organizan charlas enfocadas a padres y otras actividades enfocadas a enseñar a los niños los riesgos de internet y cómo protegerse ante ellos.
CsN: ¿Qué objetivos tienes marcados dentro de tu labor en BBVA para este 2019?
AGB: Seguir mejorando y aumentando el nivel de concienciación en ciberseguridad de nuestros empleados, ofreciéndoles formación y material de calidad que les permita ser un referente en lo que a protección de la información se refiere.
CsN: Finalmente, si hablamos de concienciación general en materia de ciberseguridad, ¿qué importancia le das a los múltiples eventos que se organizan a lo largo del año como CISO Day 2019?
AGB: Es importante mantener actualizados a los empleados en todos los niveles, empezando por la alta dirección, sobre los peligros y nuevas amenazas de internet, sobre todo en un momento tan cambiante, en el que cada vez estamos más conectados entre nosotros y utilizamos más servicios que dependen de la red.