Una formación sobre concienciación en seguridad que hace que Bringme cumpla con la normativa NIS2

Aunque Bringme ya tenía experiencia con test de phishing antes de utilizar la plataforma de Phished, aún había mucho margen de mejora.

Sil Goeman, Gerente de TI en la startup Bringme, nunca ha tenido que experimentarlo personalmente, pero hace seis años la empresa fue víctima de ransomware en dos ocasiones. Los hackers, accedieron mediante un simple correo electrónico dirigido a un empleado y comenzaron a encriptar el servidor de archivos desde allí. Afortunadamente, una estrategia de respaldo efectiva logró revertir la mayor parte del daño.

Desde que Goeman comenzó hace cuatro años, la prevención de phishing y la concienciación sobre ciberseguridad han recibido mucha más atención dentro de la empresa. “Además de abandonar el alojamiento de correo local, hemos puesto más esfuerzo en el filtrado de correos y simulaciones manuales de phishing”, comenta Goeman. “Afortunadamente, dentro de la empresa hay una creciente conciencia de que tanto las barreras técnicas como la formación son necesarias para mantener a los delincuentes fuera.” 

Antes de que Bringme comenzara a utilizar Phished, las simulaciones de phishing se realizaban con la ayuda de software de código abierto. Goeman: “Es perfectamente posible configurar simulaciones por tu cuenta con herramientas que se pueden encontrar gratis en GitHub, entre otros. Sin embargo, se necesitan de tres a cuatro horas por simulación para configurar todo correctamente, y luego aún tienes que hacer el análisis, gestionar las consecuencias y capacitar a los empleados que cayeron en la trampa”.

“Por lo tanto, configurar simulaciones de phishing rara vez era una de mis prioridades”, comenta Goeman. “Siempre había otros asuntos urgentes que requerían mi atención. Al final, hacíamos una simulación al mes o cada dos meses.”

A pesar de las simulaciones regulares, Phished logró atrapar al 25% de los empleados. “Las simulaciones de Phished resultaron ser de un nivel superior a lo que ya hacíamos nosotros mismos”, admite Goeman. “Por ejemplo, una vez yo mismo caí en la trampa. Pero eso es algo bueno: deliberadamente elegimos hacerlo lo más difícil posible, con correos de phishing durante el fin de semana o fuera del horario laboral, y con contenido sensible (como notificaciones de despido, por ejemplo). Al fin y al cabo, los delincuentes tampoco discriminan.”

Desde el inicio de las simulaciones de Phished, Bringme ha mostrado un progreso claro. En simulaciones recientes, la tasa de phishing fue de solo un 5% de media. “Salvo algunos empleados más tercos, sí que estamos mejorando,” comenta Goeman. “Afortunadamente, ahora está la Phished Academy para aquellos que aún necesitan orientación adicional: esto ahorra tiempo y trabajo, y los colegas reciben una formación verdaderamente adaptada a su propio nivel. Además, la Academy nos ayuda a cumplir con nuestra certificación ISO.”

“Al principio, durante las primeras simulaciones – especialmente con contenido sensible – recibimos algunas reacciones negativas de los empleados, pero estas desaparecieron rápidamente. Pronto vieron los beneficios y se han tomado su educación en serio desde entonces.”

Para Bringme, la automatización es claramente la mayor ventaja de trabajar con Phished. Después de algunas malas experiencias con ransomware, la empresa ya tenía cierta experiencia con simulaciones de phishing y formación de empleados. Sin embargo, una gran parte de la organización cayó en simulaciones más difíciles durante las mediciones iniciales.

Las simulaciones automáticas, basadas en el nivel individual del destinatario, combinadas con herramientas exhaustivas de informes y análisis, permiten que la empresa se concentre en problemas que requieren más trabajo manual, sabiendo que sus empleados seguirán recibiendo suficiente atención y formación en ciberseguridad y phishing.