Forrester designa a SoSafe como una empresa «Strong Performer» entre las evaluadas en su informe «The Forrester Wave™: Human Risk Management Solutions, Q3 2024». Saber más.

3 minutos semanales de formación de concienciación de SoSafe ayudaron a Freudenberg a responder a un intento de fraude de 2 millones de euros

Freudenberg reforzó su cultura de seguridad llevando la formación directamente a las bandejas de entrada de los empleados.

Porcentaje de clics:

reducción del 82,5 % (en 18 meses)

Valoración de SoSafe por parte de los empleados:

4,8/5

Tiempo de incorporación:

2 días

Freudenberg
Sosafe logo
Video thumbnail

Productos:

  • Microaprendizaje Personalizado
  • Simulaciones de Phishing y Botón de Aviso de Phishing
Solicitar una demo
Freudenberg

Freudenberg Home and Cleaning Solutions GmbH pertenece al grupo empresarial familiar Freudenberg y se asocia a nombres tan conocidos como Vileda®. Respaldado por una trayectoria que comenzó hace 170 años con una curtiduría en Weinheim (Alemania), el grupo se ha convertido en una multinacional tecnológica activa en 40 mercados de todo el mundo. SoSafe coordinó con Martin Schmidt, Global Director of Digital Advisory, el programa de concienciación en ciberseguridad para toda la plantilla de Freudenberg.

Martin expuso en la HuFiCon 2022 la hoja de ruta de Freudenberg para crear como multinacional una cultura de ciberseguridad que no solo es resistente, sino colaborativa. Tres años después, la plantilla de Freudenberg se ha convertido en su firewall humano. La estrategia: el microaprendizaje, un sano espíritu competitivo y un enfoque centrado en las personas.

El aprendizaje sobre ciberamenazas debe ser personalizado

En 2018, Freudenberg estuvo a punto de perder 2 millones de euros por un caso clásico de fraude del CEO. En solo tres horas recibieron un falso email sobre una «adquisición confidencial», varias llamadas de coacción y hasta una factura falsificada.

Este incidente les impulsó a replantearse su configuración. Aunque Freudenberg ya contaba con la infraestructura informática apropiada, el intento de ataque logró infiltrarse hasta los empleados. Como humanos, sabemos detectar las señales de alarma, pero a veces un pequeño descuido por exceso de confianza o por indecisión puede conducir a ciberataques. Y efectivamente, ahí estaba la brecha.

Para cerrar esa brecha, hay que empezar por la concienciación. Se trata de ayudar a los usuarios a entender cómo se presentan las amenazas, cómo detectarlas, cómo ir un paso por delante y qué hacer cuando consiguen entrar.

Martin y su equipo, cuya misión es formar a los empleados no solo con herramientas digitales, sino también con competencias del comportamiento, abordaron este incidente poniendo a las personas en primer plano.

Su experiencia con programas tradicionales de formación presencial y aprendizaje voluntario demostró ser ineficaz por la escasa participación. Convocar a los empleados, involucrar a los directores, controlar los registros y el seguimiento no funcionaba. ¿Acaso resistirse a aprender forma parte de la naturaleza de los empleados? No necesariamente, pensó Martin, sobre todo si les acercas la formación. «Trasladar el desafío a los buzones de correo de los usuarios, integrarlo en su trabajo diario, creo que esa es la única forma de alcanzar la plena participación».

Martin y su equipo reconocieron algo que nos ocurre a todos, pero que casi nunca nos paramos a pensar: la sobrecarga de información limita nuestra motivación y capacidad para aprender. Como señaló Martin, «…es importante tener un buen concepto de cómo poner los conocimientos al alcance de las personas para que realmente los consuman, los aprendan y los interioricen». Ante una marea incesante de contenidos, es fácil pasar por alto cosas que no parecen urgentes. Pero a menudo necesitamos equivocarnos —por ejemplo, no reconocer una llamada fraudulenta— para darnos cuenta del alto precio de este hábito.

Martin recomienda: «Hay que crear y reservar un espacio para la formación. Es mejor intercalar unidades de aprendizaje cortas (microaprendizaje) y presentarlas al usuario, por ejemplo, justo después de cometer un error, cuando la motivación para aprender es claramente muy alta. Si les ofreces sesiones de cinco minutos, los empleados podrán encajarlas por muy ajetreada que sea su jornada laboral. Fallar es la mejor motivación para aprender: todo el mundo quiere aprender de sus errores».

El Microaprendizaje Personalizado de SoSafe se basa en la ciencia del comportamiento y está pensado para facilitar la adaptación. Ofrece una formación en ciberseguridad práctica y breve, que se integra en los flujos de trabajo cotidianos.

Cada usuario recibe un itinerario de aprendizaje personalizado y adaptado a sus necesidades, manteniendo el contenido relevante y atractivo. La gamificación añade una dimensión de desafío, reconocimiento y estímulo que hace que los usuarios sientan que el aprendizaje no es una obligación, sino un progreso. El resultado es una concienciación duradera, la sensibilización a largo plazo del cumplimiento de las normativas, y equipos preparados para adelantarse a posibles problemas.

Según explica Martin: «El aprendizaje continuo es la esencia de mi trabajo… la agilidad en el aprendizaje es la esencia de los nativos digitales y de todo empresario que aspire a triunfar en el siglo XXI».

Ese email también me engañó a mí

La labor de Martin y su equipo no se limitó a organizar la transición de la formación presencial al microaprendizaje personalizado: tenían que asegurarse de que funcionaría y de que el efecto sería duradero.

Para comprobar su eficacia, Freudenberg lanzó una campaña de phishing con el fin de preparar a los usuarios para detectar amenazas en tiempo real. En 18 meses, el porcentaje de clics inicial (el porcentaje de usuarios que hacían clic en un enlace de phishing simulado), de más del 20 %, se redujo a solo un 3,5 %.

El equipo de Martin y SoSafe lograron estos resultados mediante una estrategia clara y una estrecha colaboración, desde la incorporación hasta la puesta en marcha de la simulación de phishing, y también después.

Martin recuerda: «El Customer Success Manager nos ayudó realmente a incorporar y poner en marcha el programa rápidamente, en cuestión de solo unas semanas, algo que no hubiéramos logrado de no haber contado con ese asesoramiento».

De esta colaboración se extrajeron muchas conclusiones.

Para seguir siendo eficaces, las plantillas de phishing tenían que reflejar las tendencias del mundo real. Por eso, una vez que los equipos de Freudenberg redujeron su porcentaje de clics al 3,5 %, no se detuvieron ahí. En lugar de aspirar a cero clics, elevaron el nivel de dificultad con plantillas más convincentes y menos fáciles de reconocer.

«Vamos a empeorar en esta valoración», admitió Martin, «pero vamos a mejorar como empresa».

También se apoyaron en el refuerzo positivo. Con el Botón de Aviso de Phishing de SoSafe, los usuarios no solo debían eliminar los correos sospechosos, también tenían la posibilidad de denunciarlos. El plugin confirmaba cuando los usuarios adoptaban la decisión correcta, aportando consejos y explicaciones complementarios.

Como señaló Martin: «Esto redujo también la proporción de tickets recibidos de la simulación de phishing, al estar ya integradas todas las opciones, mientras que las notificaciones de phishing real aumentaron».

El equipo de Martin aprovechó de forma inteligente el panel de métricas de SoSafe. Con información detallada sobre registros, clics, porcentajes de finalización y métricas específicas de los usuarios, pudieron realizar un seguimiento activo de la participación e identificar dónde se necesitaba apoyo o refuerzo adicional, lo que mejoró en última instancia la eficacia tanto de la formación en línea como de las simulaciones de phishing.

Con el enfoque «privacy by design» como principio básico, involucraron pronto al comité de empresa (que representa a los empleados a nivel empresarial). Todos los datos de simulación se anonimizaron, garantizando el trato confidencial de la información de todos los empleados gracias al cumplimiento del RGPD de SoSafe.

Para fomentar un aprendizaje coherente sin sobrecargar a los usuarios, el equipo decidió implementar un reto al mes. Esto bastó para mantener el estímulo y establecer la cultura de la seguridad como una prioridad fija.

La apuesta más creativa de Freudenberg consistió en gamificar el proceso. El objetivo era, además de mejorar la resiliencia, mantener el interés, la motivación y el compromiso de los usuarios. Lo consiguieron promoviendo un sano espíritu competitivo. Cada trimestre se publicaban actualizaciones y daban a conocer los ganadores de los retos de phishing en toda la empresa. La ciberseguridad se convirtió en un deporte de equipo y en un tema recurrente en las conversaciones cotidianas de la plantilla.

Y lo mejor de todo es que todo esto despertó en los participantes un verdadero afán por mejorar.

Las Simulaciones de Phishing Personalizadas de SoSafe refuerzan la concienciación real mediante escenarios realistas basados en roles. Cada simulación se adapta al comportamiento humano, y esto hace que cada prueba tenga un efecto decisivo. Los empleados aprenden a detectar las amenazas allí donde realmente se producen.

El firewall de queso suizo de Freudenberg

Martin y su equipo trabajaron con las diferencias culturales de distintas regiones, ofreciendo asesoramiento a medida a empleados de todo el mundo.

Para explicar el papel del elemento humano en la seguridad, Martin utiliza una metáfora descriptiva: un queso suizo.

Un queso suizo tiene agujeros, y lo mismo ocurre con las capas de cualquier defensa tecnológica. Pero si apilas esas capas, y les añades el firewall humano, los agujeros (o brechas) se cierran. Las capas unidas forman una sólida línea de defensa.

Martin alabó el enfoque de SoSafe, no solo desde un punto de vista tecnológico, sino como algo profundamente humano.

Lo expresó así: «Creo que también fuisteis una de las primeras empresas en identificar este tema, no solo desde un ángulo tecnológico, sino también desde una perspectiva psicológica, que creo que es clave aquí, porque estamos hablando del comportamiento humano, no de implantar otro sistema de infraestructura».

Martin destacó también el nivel de servicio: «Cambiar de un enfoque de caja de herramientas a un enfoque de servicios completos es un paso decisivo. Y para mí, como cliente, eso era fundamental. Creo que para muchos otros también es así».

La historia de Freudenberg demuestra que cuando te diriges a las personas en su entorno, ofreces una formación práctica y la refuerzas con datos y soporte técnico, el comportamiento cambia de verdad. Ahí empieza la verdadera seguridad.

Con SoSafe puedes confiar en que la concienciación en ciberseguridad es mucho más que hacer un cursillo una vez al año. Se convierte en algo inherente a la forma en que tus equipos trabajan, piensan y se comportan, día tras día.

Conformidad y seguridad

ISO 27001
TISAX
GDPR

Reconocimiento del sector

G2 Europe Leader Winter 2025 G2 Leader Winter 2025

Experimente nuestros productos de primera mano

Utilice nuestro entorno de pruebas en línea para ver cómo nuestra plataforma puede ayudarle a capacitar a su equipo para evitar continuamente las ciberamenazas y mantener segura su organización.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025