Tras el proceso de transformación digital de Nationale-Nederlanden, el Departamento de Gestión de Riesgos Empresariales decidió en 2018 acometer un proyecto sobre la madurez de sus medidas de seguridad para lo cual contó con el apoyo de Áudea y ES-CIBER. A lo largo de 6 meses se realizaron diferentes análisis, ataques controlados y diversas acciones de concienciación que siguieron la metodología que mejor encajaba entre las 2.000 personas que forman parte del equipo de Nationale-Nederlanden objeto del proyecto. El recurso formativo elegido fueron una batería de 6 píldoras de no más de 5 minutos, animadas y realizadas a través de Plataforma de Áudea (ES-CIBER)
(Artículo publicado por la Revista SIC)
Nationale-Nederlanden España, es una compañía aseguradora perteneciente al Grupo NN, grupo multinacional holandés que opera en 12 países. En España atienden a más de 8000.000 clientes. Cuenta con 500 empleados, 2.000 agentes y disponen de presencia en toda España. El negocio no solo está orientado a ciudadanos, sino también a clientes corporativos (6.200 clientes).
Pablo Rubio perteneciente al departamento de Gestión de Riesgos Empresariales de Nationale-Nederlanden, es el responsable de dar asesoramiento a todas las actividades que la compañía desarrolla para mitigar los riesgos asociados a la información, es decir: vigilar que se sigan los estándares las políticas y las buenas prácticas de la industria, en aras de evitar brechas de confidencialidad, evitar errores de cálculo y procurar que la información está disponible.
Nationale-Nederlanden ha llevado a cabo el proyecto de digitalización de sus procesos y las personas que forman la compañía iban a iniciar a operar a través de nuevos medios gestionados por sistemas de información. Fue entonces cuando Pablo y su equipo comenzaron a hacerse preguntas:
- ¿Qué pasa si esa persona no sigue un código de conducta ético?
- ¿Qué pasa si es extorsionado o sin ser consciente su identidad es suplantada?
- ¿Cuál es mi nivel de seguridad cuando tengo todos mis procesos digitalizados y tengo personas detrás para su gestión día a día?
La transformación digital para Nationale-Nederlanden significa procesos de venta, revisión de datos y emisión de facturas electrónicas, identificación de clientes de forma electrónica para la venta, postventa o realización de operaciones con su póliza o producto a través de la web, del uso de tablets para la Red Comercial, herramientas de cotización web, etc. Todo soportado por aplicaciones… pero con una persona detrás.
Dado el riesgo insider que supone este cambio, vieron clara la necesidad de establecer un Plan Estratégico de Concienciación y así conseguir trasladar a las personas que forman la compañía cómo deben operar de manera adecuada y potenciar una cultura de Ciberseguridad en el desarrollo diario de sus funciones.
De esta forma, entró en el plano Fernando Saavedra, Responsable de Ciberseguridad de Áudea, con el objetivo de ayudar a Pablo a hacer una evaluación sobre la madurez de sus medidas de seguridad, aplicando un doble enfoque:
- Comportamiento del usuario: comprender el grado de concienciación de los usuarios finales en el uso cotidiano de los recursos que la empresa pone a su disposición.
- Efectividad de los controles automáticos que la empresa ha desplegado en su proceso de transformación digital: comprobar el grado de competencias en seguridad tecnológica que tiene nuestro departamento de IT a la hora de implantar soluciones para el negocio
La estrategia de ES-CIBER fue simple, “primero golpeas, luego pones la tirita”. Es decir: se ataca utilizando un determinado vector, se obtienen resultados, se analizan y entonces concienciamos.
Entre otras acciones a lo largo del proyecto se realizaron:
- Ataques tecnológicos
- Ataques no tecnológicos
- Concienciación online orientada a usuarios finales a través de píldoras animadas
- Informes técnicos detallados explicando las vulnerabilidades
- Ataques de phishing
- Ataques de ingeniería social a través de llamadas, mistery shopping simulando ser clientes interesados en contratar pólizas
- Auditorías wifi,
- Sniffing del tráfico
- Instalación de rogue points
- Test de intrusión físico.
El recurso elegido, en esta ocasión, para concienciar a las 2.000 personas que forman parte del equipo de Nationale-Nederlanden fueron 6 píldoras animadas a través de la plataforma ES-CIBER. El porcentaje de finalización completa de visionado de las píldoras rondan ratios entre 65%-80%.
Los comentarios que Pablo ha recibido sobre la manera de hacer llegar los contenidos de ciberseguridad y seguridad física, fue tan positivo, qué otras áreas de la compañía han manifestado su interés en desarrollar este tipo de iniciativas de concienciación y formación en otros temas, siguiendo la metodología de usar pequeñas píldoras que el usuario puede completar sin esfuerzo y pasando un buen rato.
Aunque la Ciberseguridad es una carrera de fondo, Pablo ha ido observando una tendencia creciente en el número de alertas e incidentes relativos a ciberseguridad escalados por sus empleados. Y esto además de ser un síntoma de que el mensaje “piensa y actúa de forma cibersegura” está calando, es un síntoma de que el proyecto ha sido un éxito y se han cumplido las expectativas de Nationale-Nederlanden.
Fernando Saavedra Áudea Cibersecurity Manager
Pablo Rubio Gestión de Riesgos Empresariales de Nationale-Nederlanden