Abanca optimiza el Gobierno de la Concienciación en Seguridad con el expertise de Áudea

El problema de la concienciación de Seguridad a los empleados de cualquier organización (y especialmente en el sector bancario, el más regulado de todos) no es nuevo, pero tampoco ha dejado de evolucionar, impulsado por el aumento incesante de nuestra relación con la tecnología. Aunque las defensas tecnológicas siguen siendo las más relevantes y fiables en una compañía, los atacantes recurren constantemente al error humano como vector de entrada, precisamente porque a veces permite un atajo a la hora de sobrepasar estas medidas defensivas.

Adicionalmente, pocas son las organizaciones que pueden permitirse disponer de personal interno dedicado exclusivamente a la concienciación de sus empleados, por lo que se hace necesario recurrir a servicios externos que puedan aportar la especialización y la experiencia necesarias para hacer frente a un enemigo que dedica todo su tiempo a la creación y difusión de nuevos ataques de ingeniería social y extorsión. Esto ha permitido a lo largo de las últimas décadas evolucionar las herramientas defensivas desde las píldoras y los coloquios con los empleados (que siguen manteniendo cierta utilidad) para pasar a simular ataques para que puedan entrenar sus capacidades defensivas, o incluso emplear funciones de inteligencia artificial para diseñar itinerarios formativos personalizados que impacten a los empleados de forma optimizada en función de su experiencia, capacidades, puesto, herramientas tecnológicas, etc.

Las ventajas que presenta este ecosistema defensivo diverso y especializado de colaboración tienen un coste, que es la gestión e integración de cada elemento participante. No solo eso, la concienciación de los empleados no deja de ser una pieza más en la estrategia de ciberseguridad, que debe encontrar su lugar entre el resto de los elementos que componen la protección contra los vectores de entrada más comunes.

Para Abanca y para Áudea, que colaboran desde hace tiempo en la operación (y constante rediseño) de una Oficina de Concienciación de Seguridad, algunas de las claves para el éxito son precisamente:

• La combinación de servicios y herramientas aprovechando las fortalezas de cada uno.

• La obtención y el uso de datos de todas las iniciativas independientemente de su origen y canal.

• El diseño de un cuadro de mandos que condense todos estos datos de distintos orígenes en unos pocos indicadores agregados que tengan significado propio y que ayuden a gobernar la toma de decisiones y a reportar una situación compleja de forma simple a las distintas partes interesadas.

La aproximación combinada ha consistido desde el inicio en la segmentación de las acciones de concienciación en tres dominios diferenciados que detallaremos a continuación. En este sentido, es indispensable el uso de la herramienta Kymatio que aplica tecnología IA, siendo la única forma de conseguir ese nivel de granularidad en la formación con su capacidad para medir de forma continuada tanto los conocimientos como el cambio de comportamiento. Estos dominios son:

Image

• Los que aumentan el conocimiento del empleado a nivel teórico sobre los tipos de ataques que pueden sufrir, las estrategias defensivas que pueden seguir y los organismos a los que pueden solicitar ayuda dentro del banco. Aquí se hace especialmente relevante segmentar todos los conocimientos que se espera que adquieran los empleados, definiendo las acciones y conocimientos exactos que se esperan de ellos. También es necesario contar con capacidades de producción de contenidos en distintos formatos para poder aprovechar los distintos canales en una estrategia unificada de comunicación. Por último, deberá diferenciarse entre los distintos roles del banco a partir de sus perfiles de riesgo. 

• Los que entrenan el comportamiento seguro del empleado proponiéndole situaciones prácticas y simulando ataques realistas para mejorar y medir su respuesta ante ellas. En este caso debe contarse con la capacidad de simular tecnológicamente estos ataques y de medir los resultados de su ciclo de vida para observar qué dificultades encuentran los empleados y cómo orientar la formación a futuro. Adicionalmente, se debe poner énfasis en que el empleado no solo evite las conductas peligrosas, sino que además reporte cualquier sospecha inmediatamente, ayudando a “vacunar” a sus compañeros de ataques similares. Finalmente, se deben complementar los datos obtenidos de los ataques simulados con los obtenidos por otros medios que puedan ser reflejo de conductas preocupantes o indicios de otros ataques que puedan ocurrir contra los empleados (contraseñas filtradas, webs copiadas, información exfiltrada, dispositivos robados o extraviados, etc.)

• Los que aumentan el compromiso del empleado con la misión de ciberseguridad del banco, consiguiendo que éste comprenda la importancia de ayudar en su defensa. Este componente suele dejarse de lado, pero es fundamental para entender por qué ciertos empleados a pesar de conocer las conductas que deben seguir aun así pueden no hacerlo, ya que puede tratarse de un problema motivacional. Para ello es fundamental contar con la capacidad de establecer itinerarios personalizados que refuercen los temas que cada empleado requiere.

Adicionalmente, es importante recordar que una estrategia de comunicación exitosa no puede ser iniciativa de un solo departamento, sino que requiere de la participación de áreas como Recursos Humanos, Capacitación, Gestión del Cambio o Comunicación. En ABANCA, estas áreas no se limitan a encajarlos en el calendario formativo de los empleados, sino que son miembros activos, multidisciplinares e implicados de la Oficina proponiendo iniciativas, liderando la interlocución con el resto de áreas, y tomando decisiones para la mejora de los indicadores. Convirtiéndose así en una pieza clave del éxito del proyecto.

La última cuestión es: ¿Cómo medir toda esta actividad? ¿Cómo puede agregarse toda la información recopilada de cada iniciativa y fuente de datos para crear un único cuadro de mandos que permita al banco guiar su toma de decisiones y a su vez trasmitir a la Alta Dirección un indicador agregado de riesgo y rendimiento para reflejar los avances de esta Oficina de Concienciación?

Para responder a estas preguntas debe comenzarse recordando los factores que debe incluir un indicador relevante:

• Trasmitir el estado actual de la variable medida, pero también su evolución desde situaciones pasadas y su tendencia y proyección futuras.

• Reflejar el impacto que distintas iniciativas tengan sobre las variables medidas, de manera que pueda observarse su utilidad y decidirse cómo enfocar futuras iniciativas para optimizar su impacto.

• Ser comprensibles y aportar valor a nivel directivo.

• Permitir su desglose en indicadores de mayor profundidad para su aplicación ejecutiva y táctica en el día a día.

• Guiar, en última instancia, la toma de decisiones de la Oficina de Concienciación para seguir reduciendo la exposición al riesgo cibernético basado en el error humano.

Una vez contemplados los requisitos para los indicadores, deben empezar a construirse desde la capa inferior, incluyendo los datos de todas las iniciativas efectuadas y separándolos en los dominios de conocimiento, comportamiento y compromiso. Aquí es donde la definición de una estrategia de medición que integre todos los indicadores para que se pueda medir el cambio de comportamiento de los empleados. 

Una vez establecido el piso inferior, pueden empezar a definirse indicadores agregados, que servirán los que nos permitan conocer el estado de cumplimiento actual y previsto. Para ello, debemos contar con objetivos numéricos y concretos que perseguir y también con umbrales que reflejen los estados tolerables y deseables para cada indicador agregado.El último piso se compondrá de uno o unos pocos indicadores finales que reflejen el nivel de exposición al ciber riesgo humano para el banco.

Una vez creados, solo queda trasladarlos a un cuadro de mandos que disponga de vistas especializadas para cada parte interesada, y mantener la relación y el reporte con dichas partes interesadas para proporcionar el mayor valor posible.

Image

En definitiva, es primordial establecer una estrategia basada en una medición eficaz combinando distintos dominios, servicios y tecnologías que facilitan esa mejora continua necesaria en cualquier proceso.