Madrid, 30 de octubre de 2023.-. Según un reciente estudio de Deloitte, los empleados son responsables del 63% de los incidentes de seguridad interna. Por ello, además de invertir en tecnología, es crucial que las empresas se enfoquen en concienciar y capacitar a sus colaboradores, ya que representan el punto más vulnerable ante ataques cibernéticos.
Fanny Pérez Santiago, directora corporativa de Seguridad de la Información y Riesgos Tecnológicos de Grupo Codere, apunta que “Codere está continuamente expuesta a riesgos en materia de ciberseguridad, como le sucede a todas las empresas. Esto requiere que, tanto los empleados como los sistemas, debamos estar al día. Para abordar esta situación, mantenemos un enfoque preventivo y de mejora continua que reforzamos a través de distintas iniciativas y de un Plan de concienciación de ciberseguridad”.
Con el reciente desarrollo del teletrabajo, los ciberataques se han vuelto más sofisticados y están siendo llevados a cabo por redes organizadas que desafían constantemente las estrategias, tecnologías y barreras de las compañías.
Los ciberdelincuentes utilizan ahora diferentes tácticas de ingeniería social para obtener información confidencial. Una de ellas es el phishing, que consiste en el envío de correos electrónicos o mensajes de texto que parecen legítimos, pero que en realidad contienen enlaces maliciosos o solicitan información confidencial. Otra es el pretexting, que intenta usurpar la identidad de una persona de confianza para obtener información confidencial. A veces el fraude toma la forma de suplantación de identidad, en la que el atacante se hace pasar por un empleado de la empresa o un proveedor de servicios para obtener acceso a los sistemas de la organización, como el conocido Fraude del CEO.
Además, han surgido modalidades novedosas de estafas, como el QRLjacking y el QRishing, que secuestran cuentas de mensajería instantánea para suplantar la identidad de las personas, con objeto de solicitar pagos no autorizados y robar información confidencial. Se realizan a través de un código QR que, al ser escaneado, redirecciona a sitios falsos donde se aloja información sensible de los usuarios (datos personales y bancarios, fundamentalmente).
Todas estas formas de ataque pueden comprometer la seguridad de datos o la disponibilidad de servicios críticos. Para evitar ser víctimas, la educación y concienciación de los empleados son cruciales. Tenemos que saber identificarlas y aplicar una serie de recomendaciones como:
- No confiar en correos no esperados.
- No leer los QR que llegan por correo o se encuentran en la calle.
- Poner atención a las URL a las que se nos quiere redireccionar.
- Revisar la ortografía y remitente de los correos recibidos.
- Evitar dar información personal a través de formularios o solicitudes de acceso.
La gestión del cambio es esencial en la incorporación de nuevas tecnologías, como ha sido el caso de la implantación de Okta como MFA para proteger las identidades de ataques de phishing; Netskope, para proteger la navegación; o EDR, para fortalecer la protección de los puestos de trabajo.
Fanny Pérez explica que “Gracias al apoyo de la alta dirección y de todos los colaboradores, podemos seguir mejorando el nivel de madurez de ciberseguridad. Nuestro objetivo va más allá de imponer una serie de medidas, implantar nuevas soluciones o procesos que minimicen los riesgos. Tenemos el reto de consolidar una cultura de sensibilización interna que convierta a los empleados en una barrera infranqueable de protección”.
Formación para la prevención
La formación en ciberseguridad se incluye desde el mismo proceso de incorporación de nuevos empleados, además de reforzarse periódicamente a lo largo del año a través de distintas iniciativas (comunicación, simulacros, casos de uso, etc.).
Las últimas campañas de phishing desarrolladas en 2023 muestran un descenso de los empleados que exponen sus credenciales (México ha experimentado un crecimiento y hay otras unidades como Colombia e Italia que siguen sobre la media tanto en compromiso de credenciales como en acceder a un link supuestamente malicioso – Ver gráficos al pie). Esto nos hace seguir haciendo hincapié en la concienciación y en la formación de nuestros empleados.
De cara al último trimestre de 2023, la compañía impulsa una nueva fase de formación de refuerzo en esta materia para Latinoamérica (Argentina, Colombia, Panamá y Uruguay) con alcance a alrededor de 5.000 colaboradores, quienes tendrán un acceso online a través de la plataforma Codere Personas Digital (CPD). El equipo de Codere Online (España e Israel) también refrescará estos contenidos mediante otras plataformas hasta que vayan incorporándose progresivamente a CPD.
La nueva formación abarcará temas de gran relevancia en los siguientes bloques temáticos: Introducción a la seguridad cibernética; Seguridad de las contraseñas; Ingeniería social y malware; Seguridad en el puesto en el puesto de trabajo; Seguridad en el uso de dispositivos extraíbles; Uso de dispositivos móviles y wifi.
Para José Manuel León Alegría, responsable de formación corporativa del área de Personas, “La formación está diseñada para ayudar a los colaboradores a proteger la información que crean, utilizan o gestionan en su actividad diaria; tanto si se trata de datos de índole personal como corporativos, conscientes de que la seguridad de la información empieza en cada uno de nosotros”.
Con estas acciones, Codere no solo cumple con las certificaciones en ciberseguridad, sino que también fortalece la responsabilidad individual de sus colaboradores en la protección de la información. El objetivo final es alcanzar el 100% de colaboradores del grupo y desarrollar una sólida cultura interna de seguridad de la información.
La compañía continuará mejorando su madurez en ciberseguridad mediante procesos, tecnología y formación, para contar con una ciberseguridad holística.