Fellowmind X SoSafe: transformar los principios que priorizan las personas en cambios reales

Fundada en 2019 en los Países Bajos, Fellowmind ha experimentado un rápido crecimiento hasta convertirse en líder de transformación digital y socio integral de Microsoft, con más de 2000 profesionales repartidos por cinco países europeos. Trabajan con organizaciones de los sectores de la fabricación, la energía y el comercio minorista y les ayudan a optimizar sus operaciones, mejorar la experiencia de sus clientes y preparar sus negocios para el futuro mediante Microsoft Dynamics 365, la nube y soluciones de datos.

En Fellowmind, las personas son lo primero. Su convicción es sencilla pero profunda: cuando se capacita a las personas para que aporten su talento, tanto las empresas como la sociedad prosperan.

Roald Roos, CISO de Fellowmind, dirige el área de seguridad de la información en toda la organización coordinando los esfuerzos regionales e integrando una cultura de concienciación sobre la seguridad en toda la empresa a pesar de su rápido crecimiento.

Cuando la ciberseguridad se volvió demasiado compleja para unas herramientas aisladas, Fellowmind recurrió a SoSafe, un socio que comparte sus valores de priorizar a las personas. El objetivo era construir una organización resistente a los riesgos, para lo cual impulsaron la participación, mejoraron los parámetros de seguridad y crearon una cultura de seguridad a prueba de futuro.

Más allá de las herramientas aisladas: creando hábitos de seguridad de verdad

A medida que Fellowmind se expandía por Europa, Roald Roos detectó rápidamente que se estaba formando un rompecabezas: cada región enfocaba la seguridad a su manera. En Escandinavia, los empleados adoptaron las herramientas informáticas con una actitud curiosa. En Polonia, se mantuvieron los controles más estrictos y no se consiguió despertar la curiosidad de los empleados. ¿Cuál era el reto? Construir una cultura de seguridad fuerte y cohesionada desde muchos puntos de partida diferentes.

Mientras tanto, el panorama de las amenazas no dejaba de evolucionar. Los ciberataques, que antes se podían detectar por fallos garrafales en las traducciones y por un lenguaje torpe, se habían convertido en amenazas sofisticadas casi invisibles.

«Antes era fácil detectar las campañas de phishing porque su lenguaje era pobre y las malas traducciones se veían a leguas, pero las cosas han cambiado. Hoy en día, estos ataques son mucho más sofisticados y difíciles de detectar», explica. «La cuestión no es si te van a atacar, sino cuándo.  Por eso la educación es crucial. La IA puede ser una herramienta poderosa para los delincuentes, pero también puede ser muy útil para nosotros, los buenos, ya que permite diseñar estrategias de formación y detección más inteligentes y basadas en el comportamiento».

Al mismo tiempo, el equipo de Roald estaba intentando obtener la certificación ISO lo antes posible, por lo que era aún más imprescindible racionalizar los esfuerzos en materia de seguridad. La gestión por separado de las simulaciones de phishing y la formación en línea frenaba los esfuerzos de toda la organización en el ámbito de la seguridad.

«Las soluciones aisladas dificultaban una gestión eficaz de las campañas. Necesitábamos un sistema unificado para agilizar los procesos, garantizar el cumplimiento normativo y fomentar la participación de los empleados», afirma Roald Roos.

Al ver de primera mano el caos que causaban las herramientas aisladas, entendió que la solución era una plataforma unificada. «Cuando implementamos una única solución, nuestra eficiencia mejoró en al menos un 30 % y se simplificó la configuración técnica», afirma.

Además, fuera de la empresa se estaba acumulando otro tipo de presión, y los clientes hacían preguntas cada vez más difíciles sobre el cumplimiento de la directiva NIS2.

Si Fellowmind quería un cambio real y duradero, la formación no podía limitarse a proporcionar información: tenía que ser atractiva, fácil de gestionar y válida en todos los países.

Con unos objetivos más claros, con un nuevo sistema y con la urgencia del momento, Fellowmind se propuso que la concienciación en materia de seguridad dejara de ejecutarse en acciones inconexas para dar paso a una cultura capaz de arraigar y fortalecerse con el tiempo.

El cumplimiento normativo como base y la conformidad como objetivo

Roald introdujo SoSafe en todos los países de Fellowmind y desempeñó un papel activo en su despliegue. Para simplificar la supervisión, lo gestionó todo a través de siete inquilinos en un único entorno. Con el fin de potenciar la participación, planeó incorporar una capa de gamificación mediante la competición amistosa entre regiones.

Fellowmind traslada la seguridad estructurada a todas las regiones con SoSafe

Fellowmind implantó las soluciones integradas de phishing y de formación en línea de SoSafe para gestionar eficazmente la concienciación en materia de seguridad y satisfacer los requisitos de cumplimiento normativo en múltiples marcos. Su enfoque se centra en lo siguiente:

• Simulaciones de phishing para ayudar a los empleados a crear hábitos más sólidos y detectar las amenazas lo antes posible.
• Módulos de aprendizaje electrónico para ofrecer una formación continua y atractiva adaptada a los riesgos del mundo real. Fellowmind despliega un módulo de formación cada mes para concienciar a la plantilla, y Roald señala que, en comparación con proveedores anteriores, SoSafe ha conseguido que su equipo sea un 30 % más eficiente.
• Gamificación para aumentar la participación mediante concursos, retos y competiciones amistosas.

Integración del cumplimiento normativo en el trabajo diario

Aunque hay marcos legales como la norma ISO 27001, que establecen requisitos importantes, los objetivos de seguridad de Fellowmind iban más allá del cumplimiento de los mínimos exigibles en las auditorías. El verdadero motor de sus esfuerzos consistía en proteger los datos de los clientes y reducir los riesgos reales.

Para sustentar su estrategia, Fellowmind recurrió a SoSafe en tres áreas clave:

• Certificación ISO 27001: Fellowmind utiliza la plataforma de aprendizaje en línea de SoSafe para impartir formación continua sobre ciberseguridad, tal y como exige la normativa. El equipo de Roald también aprovecha la herramienta de informes ISO para hacer un seguimiento de la participación y demostrar el cumplimiento ante los auditores.
• Preparación para la NIS2: como preparación para la nueva directiva, Fellowmind implantó los módulos formativos de Ciberseguridad para directivos de SoSafe. Esta formación basada en los roles garantiza que los directivos comprendan sus responsabilidades en materia de gestión de riesgos, respuesta ante incidentes y rendición directa de cuentas.
• Cumplimiento del RGPD: Fellowmind utiliza los módulos formativos de Privacidad de datos de SoSafe para formar a los empleados en la protección de la información personal y reforzar así su postura general de cumplimiento normativo, además de garantizar la confianza de los clientes.

Aunque el cumplimiento de las normativas es crucial, nuestro enfoque no se queda en el mínimo exigido por la ley. Con su herramienta de elaboración de informes ISO, SoSafe no solo nos ayuda a cumplir los requisitos de las normativas, sino que también nos permite gestionar los riesgos reales, proteger los datos de los clientes y fomentar una cultura de la seguridad que mitigue el riesgo humano, algo que tiene mucha más repercusión que limitarse a pasar las auditorías.

Más allá de las plataformas y la formación, el éxito de Fellowmind se debe también a una colaboración sólida. Roald explicó cómo les ayudó en cada paso el equipo de Customer Success de SoSafe, a quienes se refirió como «consultores».

«SoSafe nos ayudó mucho en la implementación, desde la gestión de usuarios hasta la creación de listas blancas, pasando por la elaboración de plantillas y el asesoramiento periódico sobre las campañas», comenta Roos.

Aunque durante la evaluación se tuvo en cuenta a otros proveedores, Roald señaló que el contenido gamificado y basado en la ciencia del comportamiento de SoSafe resultó idóneo para la adopción real en toda la empresa.

«La combinación de simulaciones de phishing, aprendizaje personalizado y gamificación ha fomentado la participación de todo el equipo y ha garantizado el cumplimiento de los principales marcos legales, como la NIS2, el RGPD y la ISO», explica Roald Roos, CISO de Fellowmind.

Creación de una cultura de la seguridad visible, cuantificable y de confianza

Hoy en día, la cultura de seguridad de Fellowmind no se limita a archivadores llenos de políticas. Surge en las decisiones que se toman a diario, en los pequeños hábitos y en los momentos de orgullo: «¡He detectado un correo de phishing!».

«Nuestros índices de clics han disminuido considerablemente, y los empleados participan activamente en la formación. Con la ayuda de SoSafe, estamos creando una cultura de seguridad proactiva y, al mismo tiempo, nos mantenemos en la senda del cumplimiento de las principales normativas», explica Roald.

Gracias a SoSafe Analytics, Fellowmind hace un seguimiento de los resultados por países y adapta su enfoque en función de datos reales. Roald detecta signos de progreso por todas partes, y los resultados hablan por sí solos:

• En algunos países donde opera la empresa, los porcentajes de clics en correos electrónicos de phishing simulado han descendido hasta el 3,5 %, muy por debajo de la media del sector.
• Los usuarios obtienen una puntuación media del 97 %, lo que demuestra un alto nivel de concienciación.
• Las interacciones de phishing han disminuido un 74 %.

De cara al futuro, Roald considera que el próximo paso que hay que dar es el aprendizaje personalizado: «La gente no quiere repetir el mismo contenido cada año, así que la formación personalizada —basada en responder a algunas preguntas y reflejar el rol— será muy útil para la adopción», explica Roos.

Es evidente que Roald aprecia mucho las lecciones atractivas y elaboradas por expertos: «Yo podría tomar la palabra y disertar sobre la cultura de la seguridad, pero es sumamente beneficioso que lo hagan expertos capaces de crear módulos de aprendizaje y plantillas. Nos llevaría mucho tiempo desarrollar los materiales nosotros mismos, y además, la calidad estaría muy lejos de lo que ofrece SoSafe con gamificación, cuestionarios y vídeos».

Además de todo eso, Roald nunca olvida dónde está la verdadera línea de defensa:
«Entre la pantalla y el teclado está tu eslabón más fuerte, es decir, la persona, y casi todos los ataques empiezan o acaban ahí», subraya Roald. «La gente tiene que ser consciente de cómo comportarse si se produce un incidente real, por lo que es fundamental contar con un proceso de gestión de riesgos, así como reforzar la cultura de la seguridad en general».

«SoSafe ha sido nuestro catalizador para un cambio permanente en nuestra forma de abordar la seguridad: ha reforzado la concienciación, ha adaptado la formación y nos ha guiado en cada paso del camino», concluyó. «El apoyo práctico que hemos recibido ha sido inestimable como guía en cada paso del proceso. La formación a medida y los análisis de SoSafe han sido fundamentales para lograr un cambio duradero».

La plataforma Behavioural Security Awareness de SoSafe integra simulaciones de phishing, formación en línea personalizada, contenidos gamificados y análisis en tiempo real para ayudar a las organizaciones a crear hábitos de seguridad duraderos, fomentar una cultura proactiva de la seguridad y cumplir las normativas.

Cuando Fellowmind decidió unificar sus diversos equipos bajo una cultura sólida de la seguridad, encontró en SoSafe el socio ideal. Para ellos, construir una seguridad real implicaba cambiar los hábitos cotidianos, no limitándose a superar las auditorías. Su experiencia nos recuerda que el verdadero riesgo no es el próximo ataque, sino la falta de preparación para afrontarlo.