Dumarey, el grupo de excelencia del automóvil
Después de sólo un año con Cyber Guru el riesgo cibernético es mucho menor
El Grupo Dumarey se formó con este nombre hace aproximadamente un año, pero su historia se remonta mucho más atrás. Fue fundada a instancias de Guido Dumarey, fundador y actual presidente, que hizo su primera adquisición en 1983: una pequeña empresa belga especializada en el punzonado de metales. Hasta hace un año conocido como Punch, el grupo se estableció en el mercado como proveedor independiente para el desarrollo, integración y producción de sistemas de propulsión de alto rendimiento, empezando por transmisiones y motores. El Grupo emplea a más de 3.000 personas en 6 sedes de Europa y Asia, con una facturación anual aproximada de 1.000 millones de euros.
Organizado en varias Unidades de Negocio, el Grupo colabora y comparte sus conocimientos para satisfacer las distintas necesidades y demandas de los clientes, desde las cadenas cinemáticas hasta las transmisiones y el software integrado.
Dada la cantidad de información que maneja, el elevado número de empleados y el alto perfil tecnológico, la empresa ha optado por prestar especial atención a la seguridad informática.
Nos habla de ello Paolo Carlo Pomi, Ciso de la empresa desde hace aproximadamente un año, quien, además de centrarse en la tecnología, ha apostado por la formación de los empleados, entre otras cosas porque las certificaciones del sector exigen que la empresa se dedique a la formación y concienciación del personal en cuestiones de ciberseguridad.
«Creo que para ser más resistentes a los ataques de ingeniería social», dice Pomi, «es necesaria una formación continua. En mi ámbito, la eficacia del curso frontal, realizado una vez al año, puede resolver el problema del cumplimiento, pero no es suficientemente eficaz para gestionar el riesgo. Sobre este tema, la comunicación suele ser aburrida y poco participativa. Para proteger a la empresa del creciente riesgo cibernético, la tecnología debe ir acompañada de una solución de formación fácil y rápidamente desplegable y mensurablemente eficaz, que pueda reducir el riesgo en poco tiempo, convirtiendo a los empleados en la primera línea de defensa contra los ciberataques».
Según Pomi, la fuerza de un plan de entrenamiento como Cyber Guru reside sobre todo en la continuidad del mensaje. «Un programa continuo con secciones de formación y simulación y pruebas de resistencia ante ataques de ingeniería social. No es sólo phishing, es otra línea de defensa, además de la tecnológica, que convierte a cada empleado en un guardián vigilante de los límites de la empresa.»
Además, hoy en día todos estamos conectados y a menudo los dos mundos, el profesional y laboral y el personal, se superponen y se confunden.
«Éste es, de hecho, otro factor de riesgo importante que ya no puede ignorarse», afirma Pomi. «Por mucho que se intente mantener ambas cosas separadas, incluso utilizando dispositivos corporativos, el ataque de ingeniería social juega mucho con esta interpenetración. Así que, puesto que no puedes controlar los dispositivos personales de los empleados, la única forma de reducir el riesgo es» aumentar su concienciación y atención«.
Con Cyber Guru ‘Muchos informan y pocos hacen clic’
El Grupo Dumarey ha adoptado el programa de formación Cyber Guru desde hace aproximadamente un año, primero en la oficina de Turín y recientemente en las demás sedes para el personal que sólo dispone de una dirección de correo electrónico de la empresa.
«A largo plazo, mi objetivo», dice Pomi, «es extender este tipo de formación a las personas que no tienen un correo electrónico de empresa. De hecho, es un tipo de formación que también es útil para el ámbito personal, e independientemente del contexto en el que se opere».
Según Pomi, un año después de la adopción del programa de formación, ya se pueden observar las primeras reacciones importantes. «Sin duda ha aumentado la concienciación y ha disminuido el nivel de riesgo. Muchos denuncian y pocos hacen clic. Un incidente que confirma esta nueva tendencia es uno de hace unos días: un empleado me contó que para hacer una reserva en un restaurante le pidieron los datos de su tarjeta de crédito. Sin embargo, la página donde debía introducirlos era extraña y carecía de certificación, por lo que la reserva no se realizó. Esto es una confirmación de cómo un curso de formación como el de Cyber Guru es capaz de elevar el umbral de atención para reconocer una estafa potencial. No se trataba de un infiltrado, sino de un vendedor. Por tanto, el mensaje, explicado de forma concreta, práctica y comprensible, llega a todos, independientemente de las tareas que realicen los empleados. Al cabo de un año, el nivel de concienciación es mucho mayor que antes. Además, esto garantiza el éxito de la empresa en las visitas de los auditores de las distintas certificaciones, que preguntan por la parte de sensibilización y la parte de formación».
Hay que reconocer que el propuesto por Cyber Guru es un modelo de formación que constituye un concepto nuevo y muy alejado de la formación tradicional.
«La cuestión es», concluye Pomi, «que el usuario medio no quiere oír la teoría para iniciados, sino que quiere saber, por ejemplo, cuáles son concretamente las cinco cosas más importantes que no debe hacer para evitar caer en una trampa informática.
Es necesario un entrenamiento continuo, porque el músculo de la atención también debe mantenerse entrenado.
Al fin y al cabo, a cualquiera le puede ocurrir iniciar involuntariamente un ataque, basta un momento de distracción para causar graves daños, teniendo en cuenta que el uso de la inteligencia artificial hace que las técnicas de ataque sean cada vez más astutas y refinadas.
El modelo Cyber Guru tiene éxito porque adopta precisamente este tipo de enfoque y tiene en cuenta el hecho de que hoy en día el objetivo de los delincuentes es predominantemente humano y la tecnología por sí sola no es una barrera suficiente».
