![](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_1024,h_475/https://www.es-ciber.com/wp-content/uploads/2019/04/NN_Nat-Ned_v1.2_logo_01_rgb_fc_2400.jpg)
![Artículo publicado Revista SIC](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_733,h_765/https://www.es-ciber.com/wp-content/uploads/2019/04/Imagen1.png)
Tras el proceso de transformación digital de Nationale-Nederlanden, el Departamento de Gestión de Riesgos Empresariales decidió en 2018 acometer un proyecto sobre la madurez de sus medidas de seguridad para lo cual contó con el apoyo de Áudea y ES-CIBER. A lo largo de 6 meses se realizaron diferentes análisis, ataques controlados y diversas acciones de concienciación que siguieron la metodología que mejor encajaba entre las 2.000 personas que forman parte del equipo de Nationale-Nederlanden objeto del proyecto. El recurso formativo elegido fueron una batería de 6 píldoras de no más de 5 minutos, animadas y realizadas a través de Plataforma de Áudea (ES-CIBER)
(Artículo publicado por la Revista SIC)
Nationale-Nederlanden España, es una compañía aseguradora perteneciente al Grupo NN, grupo multinacional holandés que opera en 12 países. En España atienden a más de 8000.000 clientes. Cuenta con 500 empleados, 2.000 agentes y disponen de presencia en toda España. El negocio no solo está orientado a ciudadanos, sino también a clientes corporativos (6.200 clientes).
Pablo Rubio perteneciente al departamento de Gestión de Riesgos Empresariales de Nationale-Nederlanden, es el responsable de dar asesoramiento a todas las actividades que la compañía desarrolla para mitigar los riesgos asociados a la información, es decir: vigilar que se sigan los estándares las políticas y las buenas prácticas de la industria, en aras de evitar brechas de confidencialidad, evitar errores de cálculo y procurar que la información está disponible.
Nationale-Nederlanden ha llevado a cabo el proyecto de digitalización de sus procesos y las personas que forman la compañía iban a iniciar a operar a través de nuevos medios gestionados por sistemas de información. Fue entonces cuando Pablo y su equipo comenzaron a hacerse preguntas:
- ¿Qué pasa si esa persona no sigue un código de conducta ético?
- ¿Qué pasa si es extorsionado o sin ser consciente su identidad es suplantada?
- ¿Cuál es mi nivel de seguridad cuando tengo todos mis procesos digitalizados y tengo personas detrás para su gestión día a día?
La transformación digital para Nationale-Nederlanden significa procesos de venta, revisión de datos y emisión de facturas electrónicas, identificación de clientes de forma electrónica para la venta, postventa o realización de operaciones con su póliza o producto a través de la web, del uso de tablets para la Red Comercial, herramientas de cotización web, etc. Todo soportado por aplicaciones… pero con una persona detrás.
![](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_1024,h_475/https://www.es-ciber.com/wp-content/uploads/2019/04/NN_Nat-Ned_v1.2_logo_01_rgb_fc_2400-1024x475.jpg)
Dado el riesgo insider que supone este cambio, vieron clara la necesidad de establecer un Plan Estratégico de Concienciación y así conseguir trasladar a las personas que forman la compañía cómo deben operar de manera adecuada y potenciar una cultura de Ciberseguridad en el desarrollo diario de sus funciones.
![](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_800,h_600/https://www.es-ciber.com/wp-content/uploads/2019/04/LOGO_DEF.png)
De esta forma, entró en el plano Fernando Saavedra, Responsable de Ciberseguridad de Áudea, con el objetivo de ayudar a Pablo a hacer una evaluación sobre la madurez de sus medidas de seguridad, aplicando un doble enfoque:
- Comportamiento del usuario: comprender el grado de concienciación de los usuarios finales en el uso cotidiano de los recursos que la empresa pone a su disposición.
- Efectividad de los controles automáticos que la empresa ha desplegado en su proceso de transformación digital: comprobar el grado de competencias en seguridad tecnológica que tiene nuestro departamento de IT a la hora de implantar soluciones para el negocio
La estrategia de ES-CIBER fue simple, “primero golpeas, luego pones la tirita”. Es decir: se ataca utilizando un determinado vector, se obtienen resultados, se analizan y entonces concienciamos.
Entre otras acciones a lo largo del proyecto se realizaron:
- Ataques tecnológicos
- Ataques no tecnológicos
- Concienciación online orientada a usuarios finales a través de píldoras animadas
- Informes técnicos detallados explicando las vulnerabilidades
- Ataques de phishing
- Ataques de ingeniería social a través de llamadas, mistery shopping simulando ser clientes interesados en contratar pólizas
- Auditorías wifi,
- Sniffing del tráfico
- Instalación de rogue points
- Test de intrusión físico.
El recurso elegido, en esta ocasión, para concienciar a las 2.000 personas que forman parte del equipo de Nationale-Nederlanden fueron 6 píldoras animadas a través de la plataforma ES-CIBER. El porcentaje de finalización completa de visionado de las píldoras rondan ratios entre 65%-80%.
Los comentarios que Pablo ha recibido sobre la manera de hacer llegar los contenidos de ciberseguridad y seguridad física, fue tan positivo, qué otras áreas de la compañía han manifestado su interés en desarrollar este tipo de iniciativas de concienciación y formación en otros temas, siguiendo la metodología de usar pequeñas píldoras que el usuario puede completar sin esfuerzo y pasando un buen rato.
Aunque la Ciberseguridad es una carrera de fondo, Pablo ha ido observando una tendencia creciente en el número de alertas e incidentes relativos a ciberseguridad escalados por sus empleados. Y esto además de ser un síntoma de que el mensaje “piensa y actúa de forma cibersegura” está calando, es un síntoma de que el proyecto ha sido un éxito y se han cumplido las expectativas de Nationale-Nederlanden.
Fernando Saavedra Áudea Cibersecurity Manager
Pablo Rubio Gestión de Riesgos Empresariales de Nationale-Nederlanden