“A mí también me puede pasar”
El impacto emocional que puede ser el punto de inflexión para aprender
BonelliErede cuenta cómo las herramientas de Cyber Guru les llamaron la atención e hicieron que todo el equipo alcanzara niveles inesperados de concienciación digital.
¿Conoces esos grandes bufetes de abogados que todos hemos visto en las películas estadounidenses? De esos que llevan grandes casos de empresas, organizaciones o instituciones financieras. ¿Aquellos en los que trabajan equipos comprometidos de profesionales que aúnan todo su talento para lograr el objetivo?
Esas realidades también existen aquí, y representan una fuerza motriz para todo el sistema del país. Por encima de todos ellos destaca BonelliErede, el principal proveedor italiano de servicios jurídicos y fiscales, activo en todas las áreas del derecho mercantil y del derecho penal de sociedades, donde presta asistencia principalmente a empresas.
Los sectores en los que actúa son variados: energía, construcción, finanzas, bienes raíces, arte, deporte… por citar solo algunos. Un equipo de unas 800 personas, de las que unas 550 son abogados, que siempre se esfuerzan por encontrar la solución más adecuada para sus clientes, ya sea derecho de sociedades, derecho fiscal, derecho laboral, cuestiones de competencia, crisis empresariales y reestructuración de deuda, arbitraje internacional y mucho más.
Por tanto, se trata de una red muy densa de relaciones e intercambios que se producen en gran medida a través de la web y que atraviesan el mundo, ya que BonelliErede tiene oficinas en Milán, Roma, Génova, Londres, Bruselas, Dubái, El Cairo y Adís Abeba.
Estamos hablando de una organización destacada y bien estructurada desde el punto de vista de la seguridad informática, que siempre ha frenado los intentos de ataque que se han producido a lo largo de los años con sistemas de protección adecuados.
Sin embargo, hasta los mejores tienen un talón de Aquiles, y para BonelliErede fue la dificultad de transmitirle al amplio equipo de profesionales la importancia de una formación adecuada de las personas en cuestiones de ciberseguridad.
Como sabes, el tema no resulta apasionante y es difícil convencer a personas inmersas en el ajetreo del día a día para que dediquen parte de su tiempo a formarse en un tema que no les afecta directamente. O al menos eso creen.
Mauro Baldoni, director informático de BonelliErede, nos cuenta cómo se superó este reto.
«La oportunidad se presentó con el recorrido iniciado en 2017 para obtener la Certificación ISO/IEC 27001, una acreditación internacional del Sistema de Gestión de la Seguridad de la Información (SGSI). Esto se consiguió en 2019 tras un periodo de dos años que nos obligó a revisar todas las medidas organizativas, tecnológicas y de procesos, ya que la certificación no solo exige determinados sistemas de seguridad activa y pasiva, sino también el desarrollo de la concienciación.
De hecho, los iniciados siempre hemos sabido que el eslabón débil de la seguridad está entre el monitor del ordenador y el respaldo de la silla, ya que no es otro que el factor humano. Sin embargo, el problema es cómo hacer que lo entiendan quienes están demasiado ocupados con otras cosas.
Por ese motivo, fuimos experimentando con distintos enfoques: enseñanza en línea, PowerPoint, varios tipos de documentos e incluso vídeos cortos de producción propia. Sin embargo, todo fracasó y no pudimos llamar la atención de nuestros abogados de ninguna manera».
Series de televisión para lograr una participación activa
«La clave fue cuando nos dimos cuenta de que mostrando un episodio de la conocida serie Black Mirror, producida por Netflix, en el que se producía un típico ataque al CEO a través del engaño a su hijo adolescente, nadie le quitaba ojo al vídeo. El episodio apelaba a la parte del cerebro más vinculada a los instintos y las emociones. No había nociones que recordar ni teorías que comprender intelectualmente, sino una historia bien contada que permitía a los usuarios identificarse con lo que se les estaba contando.
En resumen, entendieron que todos ellos podrían ser las víctimas de esa historia. Además, los métodos de trabajo impuestos por la pandemia obligaron a muchos profesionales a compartir sus dispositivos con sus hijos, quizá adolescentes, que asistían a clase desde casa».
El encuentro con Cyber Guru
«Por fin logramos comprender cómo captar el interés de nuestro público objetivo. En ese mismo momento dimos con Cyber Guru, junto con el socio Tormalina y sus diversos programas de formación.
En particular, sus vídeos, basados en el modelo de serie de televisión y protagonizados por actores profesionales que simulan situaciones de riesgo reales y cotidianas y muestran la forma correcta de no caer en la trampa, nos vinieron como anillo al dedo.
Y así fue como comenzamos esta nueva aventura de formación.
El nuevo enfoque, precisamente por basarse en una narración especialmente atractiva, se centró en la exposición de casos reales de ciberataques. Nuestros abogados lo agradecieron enormemente, y logró involucrar a las distintas figuras profesionales y grupos de edad.
Lo que más nos impresionó fue que hubo incidentes de intentos de «phishing» que fueron interceptados inmediatamente incluso por los miembros más veteranos. Incluso octogenarios. Desde luego, no nos lo esperábamos».
La ludificación para motivar y gratificar
«Otro método de formación que ha tenido mucho éxito, especialmente entre los más jóvenes, ha sido el del juego por equipos.
Crear una competición entre los distintos sectores y departamentos y conceder un premio a quien sea el primero en encontrar una solución a un problema de seguridad o a quien termine antes un determinado curso de formación genera una gran implicación.
El premio puede ser un cheque regalo o se puede comunicar el nombre del ganador de manera interna a todo el mundo, para que así la persona disfrute de un pequeño momento de fama y éxito. Es algo gratificante y, por tanto, resulta muy motivador».
Concienciación sobre seguridad también para socios y consultores
«Como empresa, ya no nos sentimos vulnerables. Hemos ganado en estructuración e incluso en términos de concienciación podemos afirmar que hemos dado un gran salto en los últimos 3-4 años.
El problema es que no podemos contar solo con nosotros mismos. Cuando seguimos los casos siempre hay muchas otras personas implicadas y no todas cuentan con un nivel adecuado de blindaje tecnológico o de preparación. Por tanto, es posible que «pirateen» a alguien que no pertenezca al bufete y abra la puerta al pirata de turno. Este podría entrometerse en la red de correo electrónico al hacerse pasar por uno de nuestros abogados, lo que perjudicaría también nuestra imagen.
Hasta ahora, se han detectado y detenido todos los intentos de ataque, pero no se puede ignorar el problema.
Por este motivo, hemos lanzado una campaña dirigida a socios, asesores y competidores, con el objetivo de pedir a todos los que trabajan con nosotros que adopten las medidas de seguridad adecuadas».
