“La concienciación de los empleados es uno de los pilares de la ciberseguridad en BBVA”
Con motivo del Día Internacional de la Seguridad de la Información (DISI), que tendrá lugar el próximo 30 de noviembre, BBVA celebra una semana especialmente dedicada a concienciar sobre los riesgos del mundo digital. Ana Gómez Blanco, responsable de Cultura en Ciberserguridad en BBVA, explica en esta entrevista cómo este tipo de iniciativas son un pilar fundamental para la seguridad de la empresa y cuáles son las claves para ayudar a que los hábitos de los empleados y sus familias sean ‘ciberseguros’.
Pregunta: El mundo de la ciberseguridad avanza muy rápido y las medidas existentes son capaces de frenar muchas amenazas técnicas. Sin embargo, la mayoría de los problemas vienen derivados de un mal uso de las tecnologías por parte de los usuarios. ¿Cómo resumirías tu experiencia en el área de concienciación a una gran empresa como BBVA?
Respuesta: La realidad es que en una empresa como esta, cada día es un reto. A medida que avanza la tecnología, también lo hacen las amenazas. Los ciberdelincuentes utilizan métodos más sofisticados y llevan a cabo ataques más complejos; y nosotros nos mantenemos constantemente actualizados para estar siempre preparados y hacer frente a las posibles amenazas.
La concienciación de los empleados es uno de los pilares de la ciberseguridad en BBVA y se centra en el aprendizaje y formación constante. Gracias a la implicación de la dirección, la experiencia que tenemos en el banco es muy positiva, ya que contamos en este campo con personal altamente cualificado y el compromiso en los distintos niveles también es elevado. Hemos conseguido trasladar a la gente la importancia de la seguridad informática y eso nos ha abierto el camino a la hora de desempeñar nuestra función.
"El mayor reto es asegurar que los empleados comprendan que la información es el activo más importante y es nuestro deber protegerla"
P: Basándote en tu amplio conocimiento del sector, ¿cuáles consideras que son los mayores retos de la concienciación?
R: En una empresa como BBVA, en la que se maneja una cantidad tan elevada de información, con distintos niveles de confidencialidad, tanto de la empresa como de los clientes, el mayor reto es asegurar que los empleados -como principal eslabón de la cadena de seguridad- comprendan que la información es el activo más importante y es nuestro deber protegerla.
Hay que formar al empleado para que actúe en consecuencia en el entorno laboral y en el entorno personal. Y es aquí donde encontramos uno de los grandes retos: que los empleados adopten buenas prácticas en ciberseguridad en el entorno personal y que las interioricen de tal manera que aplicarlas en el trabajo no les resulte complicado.
Es importante que entiendan que las medidas de seguridad técnica que se adoptan dentro del banco, por ejemplo la utilización de ‘firewalls’, antivirus, etc., deben ser complementadas con sus buenos comportamientos, ya que la protección debe ser integral.
P: Uno de los estereotipos más comunes es pensar que cuanta más responsabilidad tiene un empleado menos tiempo puede dedicar a la formación. Sin embargo, las amenazas están presentes en todos los niveles de una empresa ¿Cómo concienciar a los directivos?
R: Creo que, en este momento, con el aumento de los casos de ciberataques en grandes empresas en algunos lugares del mundo, este colectivo se ha dado cuenta de los riesgos que implica que la información se vea comprometida en distintos niveles: reputacional, económico…, por lo tanto, han tomado mayor conciencia y están dándole más importancia a las áreas encargadas de esta protección. En BBVA hace tiempo que se toman la ciberseguridad como uno de los pilares de la empresa.
Dentro del banco existe una gran cultura de ciberseguridad en los distintos niveles y hay un alto grado de implicación con el área, lo que nos permite llevar a cabo campañas de concienciación y actividades de formación enfocadas a que el empleado mejore día a día en esta materia. La formación y el compromiso de toda la plantilla es fundamental para evitar incidencias.
"A lo largo del año se organizan eventos en los que se aborda la seguridad en el trabajo y también en el entorno personal"
P: A pesar de los esfuerzos que están realizando muchas empresas y organismos públicos en concienciar a los usuarios en seguridad y buen uso de los dispositivos electrónicos e internet, los indicadores de ciberdelincuencia siguen mostrando un aumento notable. ¿Cuáles consideras las principales amenazas a día de hoy para una empresa como BBVA?
R: Actualmente, me atrevería a decir que todos estamos expuestos a las mismas amenazas a nivel tecnológico, tanto en grandes compañías, como en pequeñas, y en nuestra vida personal. Es decir, nuestra información, tanto personal como corporativa, es nuestro mayor activo y por eso, los delincuentes están siempre al acecho para conseguir robar nuestras credenciales a través de distintos vectores de ataque.
Recibimos gran cantidad de correos y notificaciones de aplicaciones de mensajería y muchas veces no nos paramos a ver quién es el emisor, si adjunta un enlace o un archivo, si este es legítimo o si lo estábamos esperando. Esta es una de las maneras más sencillas que tienen los ciberdelincuentes de intentar entrar en nuestros dispositivos.
P: A menudo las palabras amenaza, concienciación y ciberseguridad pueden resultar poco familiares, ¿nos podrías poner algún ejemplo de las actividades concretas que realizas en tu día a día?
R: Todas las acciones que se llevan a cabo desde el área de concienciación se extienden a todo el grupo, en las distintas geografías. Por eso estamos centrando nuestro trabajo en crear contenido que sea relevante para todos los empleados. Esto lo conseguimos, sobre todo, gracias a la creación de material gráfico (infografías, posts, etc.) y guías para el empleado.
Además, a través del campus de formación ‘online’ se facilitan, a todos los empleados, cursos online relacionados con la protección de la seguridad (cómo crear contraseñas, cómo utilizar los servicios en la nube, etc.).
También se ofertan cursos presenciales en los que se hablan de temas concretos que puedan ser útiles y tengan aplicabilidad en la vida del empleado, adaptados a las necesidades de cada geografía. Para esto, hemos seleccionado empresas especializadas en este campo que colaboran con nosotros.
En esta línea, una de las actividades con más éxito es el Taller Familiar de Ciberseguridad para empleados, a los que asisten con sus hijos, donde asisten a charlas dirigidas a padres y otras actividades enfocadas a enseñar a los niños los riesgos de internet y cómo protegerse ante ellos.
P: Finalmente, nos gustaría destacar la concienciación 360º que ofrece BBVA a sus empleados y familias en materia de ciberseguridad. ¿Qué importancia le das a los múltiples eventos que se organizan a lo largo del año, como por ejemplo el DISI?
R: En BBVA consideramos que los comportamientos en internet de los empleados y sus familias son un pilar fundamental para la seguridad de la empresa. Es por esto por lo que a lo largo del año se organizan eventos en los que se aborda la seguridad en el trabajo y también en el entorno personal.
Un claro ejemplo es la semana organizada en torno al Día Internacional de la Seguridad de la Información (DISI) en BBVA. En estos días estamos disfrutando de charlas y talleres que tratan temas como los comportamientos en internet, la huella digital, la protección de la información o la robustez de las contraseñas. Esta semana repleta de formación para empleados culminará el sábado con más de 1.400 asistentes, desde los más pequeños hasta los más mayores, en los que cada segmento de edad podrá disfrutar de acciones formativas acordes a sus necesidades.