Mapfre: Campaña de comunicación interna sobre seguridad de la información
1.1. Acerca de la compañíaMAPFRE ARGENTINA pertenece al Grupo MAPFRE fundado en España en 1933. En Argentina, la aseguradora comenzó su actividad comercial en 1986 bajo el nombre MAPFRE Aconcagua. Hoy garantiza cobertura nacional, a través de una red de más de trescientos centros de atención, emplea a dos mil personas en forma directa y a cuatro mil productores asesores. MAPFRE ARGENTINA ocupa el primer puesto en el ranking nacional de producción del mercado asegurador argentino en los negocios No Vida y se encuentra dentro de las principales aseguradoras en los negocios de Vida.La visión de la organización es “estar presente en cada hogar y en cada empresa de la Argentina como su compañía de seguros”.Su misión es “contribuir, en el marco de nuestros principios institucionales y empresariales, a mejorar la calidad de vida de nuestra sociedad a través de la actividad aseguradora, impulsando su prestigio y buscando siempre la plena satisfacción de nuestros clientes, contando con empleados de alto nivel profesional, orgullosos de su pertenencia”.El Grupo MAPFRE se constituye a través del comportamiento de todos los que lo forman. Es por esto que existen un conjunto de normas internas que definen los principios comunes de actuación. De aquí se desprenden los principios institucionales y empresariales que identifican las bases de la cultura empresaria de MAPFRE.
1.1.1. Principios Institucionales y empresarialesIndependencia: el Grupo MAPFRE es independiente de toda persona, entidad, grupo o poder de cualquier clase, como exigencia irrenunciable derivada de la naturaleza asociativa de nuestra entidad matriz. Responsabilidad social: nuestra actuación está inspirada en un sentido de servicio a la sociedad. Con este espíritu, destinamos cada año una parte del valor generado en nuestra actuación al desarrollo de actividades no lucrativas a través de las FUNDACIONES MAPFRE.Actuación ética: nos sentimos comprometidos con los principios de transparencia, veracidad, rapidez en el cumplimiento de obligaciones, equidad en las relaciones, respeto al derecho de los mutualistas y cumplimiento estricto de las leyes. Humanismo: creemos que las personas de nuestra organización son nuestro principal activo, y que nuestras relaciones deben ser presididas por valores como la tolerancia, la cordialidad y la solidaridad. Crecimiento empresarial y patrimonial: en MAPFRE la creación de valor está orientada al crecimiento del beneficio de nuestros accionistas, personal y colaboradores externos.
1.2. Problemática general del Grupo MAPFRE A pesar de que se está mejorando el nivel de seguridad en las organizaciones, el número de ataques exitosos y pérdidas es todavía muy elevado. Cada año se duplican los incidentes de seguridad, aparecen nuevas amenazas y tipos de fraudes. Según datos del Grupo, se descubren entre dos y cinco nuevas vulnerabilidades en sistemas operativos y aplicaciones por día. También resulta notorio la cantidad de casos reportados por robo de portátiles, fraude en el uso de las telecomunicaciones y el ataques a los contenidos web públicos.Como todos sabemos, la información es el activo más importante para las organizaciones. Por eso, éstas deben aumentar las medidas de control de riesgos, fundamentalmente, en lo que refiere a datos de clientes, información de precios, información financiera, información corporativa y estratégica, plan de negocios, como así también ante la posibilidad de una adquisición y/o fusión. Un ataque a cualquiera de estos núcleos informativos puede derivar en consecuencias perjudiciales para una empresa, las que se pueden traducir en pérdidas en los ingresos; desconfianza de los clientes y de los accionistas; pérdida financiera, de propiedad intelectual, de ventajas competitivas; mala Imagen Pública; y responsabilidad sobre terceros.Ante esta situación, el Grupo MAPFRE creó la Dirección de Seguridad y Medio Ambiente (DISMA) que tuvo a su cargo el establecimiento de directrices de referencia y actuación para los aspectos organizativos, normativos, tecnológicos y de negocio relacionados con esta disciplina en todas las empresas de MAPFRE AMÉRICA. A partir de estos hechos, se creó el Departamento de Seguridad de la Información (DSI) de las empresas del Grupo MAPFRE en Argentina, con reporte directo al Presidente Ejecutivo de la compañía. El DSI recibió del DISMA (España) 25 objetivos de seguridad para cumplir, entre los cuales se apunta a la mejora y la revisión de la infraestructura de redes y comunicaciones, de los procesos de gestión y de protección física como así también el estudio y la convergencia a la legislación vigente. Sin embargo, y si bien todas estas tecnologías y procesos pueden combinarse para brindar un sólido esquema de seguridad, para MAPFRE el punto crucial son las personas. El ser humano es el eslabón más débil en la cadena de seguridad. Se pueden proteger todos los sistemas pero si no hay conciencia de parte de los empleados de una organización, los esfuerzos de capital y tecnológico resultan vanos. En consecuencia, uno de los objetivos principales refiere a la divulgación, concientización y formación en temas de seguridad a todos los empleados de MAPFRE.1.3. Problemática particular de MAPFRE ARGENTINAEl Departamento de Seguridad de la Información (DSI) fue creado a mediados de 2007. Además del desafío planteado por el Grupo MAPFRE a nivel internacional, éste tenía un reto propio: ser identificado y reconocido por el resto de la Organización rápidamente para llevar adelante su misión.Sin embargo, uno de los riesgos latentes fue que se lo asociara con “la figura del que prohibe” y por ende, que la primera imagen que el colectivo organizacional se formara fuera la de un departamento “coercitivo” “que nos viene a decir lo que debemos hacer” “a controlar lo que hacemos mal” y que, frente a ello, el DSI no pudiera recuperarse jamás. Cabe destacar que hasta entonces, MAPFRE ARGENTINA tenía pocas normas que reglamentara o guiara sobre el uso de emails, acceso en Internet, disponibilidad de información. Y también es importante recordar que esto se da en un contexto en el que las redes sociales y las comunidades de conocimiento virtuales tomaron un importante protagonismo en las vidas de las personas. La gente lee sus correos, navega por la red, pide sus saldos y realiza transferencias bancarias, postea en blogs desde un bar o desde un aeropuerto, desde el hogar y también por qué no, desde el trabajo.Por lo tanto, si a raíz de este tipo de comunicaciones se ingresa a sitios pocos seguros, los activos informáticos de una organización correrían peligro. Entonces, el primer objetivo de cualquier programa de Seguridad, debería ser que el usuario cuente con los conocimientos suficientes para disminuir al máximo posible las probabilidades de ser víctima de las trampas informáticas. ¿Pero cuánto sabía el empleado de MAPFRE ARGENTINA sobre las medidas para controlar o reducir el riesgo de robo de información?También es claro, que más allá de cualquier proceso de concientización que se realice, la compañía debería tomar en el mediano plazo algunas medidas que resultarían muy antipáticas para la gran mayoría de los empleados y sobretodo si éstos desconocían las razones por los cuales se establecería el nuevo y acotado escenario de acceso a las páginas y redes públicas. La resistencia podía ser, sin duda, muy alta.
2. Plan de acción
Ante estas problemáticas y necesidades de solución, el Departamento de Seguridad de la Información recurre al Departamento de Comunicación Institucional para solicitar un Plan de Comunicaciones Internas. Este plan debía llegar a todos los miembros de la organización, en el término de un año, respetando el contenido normativo de la Política definida por la Dirección de Información y Medio Ambiente (España) pero, al mismo tiempo, debía ser asequible para los empleados de MAPFRE ARGENTINA, es decir, debía contemplar los usos y costumbres locales y transformarlos, si correspondiera, en prácticas correctas para una compañía de naturaleza financiera como lo es MAPFRE. Cabe destacar que el Plan se complementa con otras dos clases de acciones. La primera, un curso de e-learning diseñado por la DISMA con llegada a todos los mandos medios y altos; y la segunda, talleres de sensibilización dictados por el DSI, que se realizaron dentro del Programa de Dirección MAPFRE (PDM, diseñado por RRHH) también dirigido a mandos medios.
Los objetivos de la Campaña de Comunicación fueron:1 Presentar y posicionar dentro de la organización al Departamento de Seguridad de la Información. La imagen a proyectar por la campaña es la de DSI como un aliado de tu trabajo. Alguien que te puede ayudar y orientar.2 Concienciar a todos los empleados en materia de Seguridad de la Información.3 Cambiar la actitud frente a la seguridad y reconocer la vulnerabilidad de no aplicar las normas de seguridad de su trabajo.4 Motivarlos a la lectura, conocimiento y aplicación de la Política de Seguridad de la Información.
El plan de comunicación, que transcurrió entre diciembre de 2007 y diciembre de 2008, se dividió en cuatro etapas:
2.1. PresentaciónLa creación del Departamento de Seguridad de la Información como el Comité de (integrado por el Presidente Ejecutivo del Grupo en Argentina, el director de Operaciones e Informática, el de Administración y Finanzas y de RRHH) fue comunicado oportunamente a través de las herramientas formales y de la revista interna y el newsletter.Esta etapa se refuerza a través de una pieza de corte institucional que se distribuye entre los empleados durante el primer trimestre siguiente (ver anexo.)2.2. IndagaciónCon el objetivo de relevar el nivel de conocimiento que existía sobre los temas de Seguridad de la Información y analizar el grado de creencia en ciertos mitos informáticos dentro de la organización, se llevó a cabo una encuesta de diez preguntas con opciones de respuestas (multiple choice) que le llegó, vía e-mail, a todos los empleados de la compañía en diciembre de 2007.El Departamento de Seguridad de la Información definió los diez interrogantes que luego brindarían el input para la definición de la campaña y del plan de sensibilización y formación diseñado en Argentina. (Ver preguntas en el anexo.) Esta encuesta fue promocionada a través de pósters en carteleras y notas en los newsletters digitales de MAPFRE, MAPFRE News . Los empleados que respondieron en forma correcta cada una de las preguntas de la encuesta, que había sido anunciada a través del newsletter interno y los pósters en carteleras, participaron de un sorteo por 20 Hubs USB, (Ver ejemplo en el anexo). Se logró un total de 940 respuestas (sobre un total de 1.500 computadoras, 63% de los usuarios), el 50% de las contestaciones llegaron entre el primer y el tercer día. Si bien algunas respuestas fueron acertadas al contrastarse con otras de similares características que habían sido respondidas en forma incorrecta, pudo deducirse que existía poco conocimiento sobre las medidas para preservar la confidencialidad, integridad y disponibilidad de la información del Grupo.Frente a este escenario se decidió concienciar en forma gradual y progresiva, con un lenguaje coloquial para que el empleado no se sintiera presionado a incorporar y respetar las reglas como imposiciones, sino que, por el contrario, asimilara el proceso en forma natural. 2.3. DifusiónAl término de una semana, se dieron a conocer a los veinte ganadores por los mismos medios que se habían anunciado el cuestionario y su propósito. Asimismo, las respuestas correctas se publicaron en el newsletter digital de MAPFRE NEWS, número 37, de diciembre de 2007.En el envío siguiente, se explicaron por qué las respuestas consignadas como correctas así lo eran, las recomendaciones de qué debían hacer en cada situación y posibles consecuencias si se actuaba de un modo contrario. Entre los números 39 y 59, se creó una columna dentro del newsletter digital para que el Departamento de Seguridad de la Información pudiera abordar aquellos temas que se habían manifestados como confusos en las respuestas de los empleados. También, se aprovechó esas columnas para difundir las recomendaciones del DISMA.2.4. Motivación y concientizaciónUna vez logrado el conocimiento por parte de todos los colaboradores de MAPFRE, resultaba importante instar a la adhesión y al feedback en cada etapa del plan.
Para esto nos propusimos desarrollar a través de ilustraciones en 3D distintos personajes, de carácter icónico, que fueran utilizados como apoyo y que llevara un mensaje común a toda la organización. El principal personaje, un robot de color metálico, al cual se lo ve en distintas situaciones (y en distintas piezas de comunicación) busca proteger nuestros sistemas, aplicaciones y datos además de prevenir o eliminar cualquier amenaza posible.
Con la intención de fortalecer los puntos débiles detectados en la investigación, también se elaboró un folleto informativo que serviría como guía de consulta. Este comunica en forma amena y resumida los principales contenidos sobre Seguridad de la Información e incluye, también, los lineamientos principales del DISMA pero con un lenguaje más cercano al nuestro.
Esta pieza comunicacional apuntaba a generar dos ideas a través de dos recorridos posibles en su lectura. En un sentido, deja instalada la idea de que hay reglas que atender en el camino de la Seguridad de la Información y que la primera y soberana es contar con la ayuda (compromiso) del empleado, para ello, se lo interpela desde la portada misma. En el sentido contrario, busca generar la idea de que el DSI es quien nos ayudará en la organización a proteger la información con la que trabajamos, él será el que recomendara qué hacer y cómo y qué evitar. Además, un mouse pad (ver anexo) que exhibe tres breves sugerencias, y hoy está en los escritorios MAPFRE, acompaña al folleto de diez caras.
El Plan contempla por lo menos una presencia, mensual y por espacio de quince días, en carteleras. Para eso se diseñaron seis pósters que tienen por objetivo ampliar y potenciar a través del lenguaje visual cuáles son los riesgos más comunes en el trabajo cotidiano. El no saber cómo trabajan, cómo funcionan, cuál es la ingeniería que utilizan para entrar en los sistemas de las compañías, copiar o robar información valiosa. Del otro lado del robot que nos protege, se muestran o se insinúan otros personajes que representarían a los que delinquen con estas prácticas.
Los seis pósters fueron los siguientes. (Ver gráfica en anexo).
Si perdiste el rumbo… (apunta a que recurras al Depto. De Seguridad de la Información MAPFRE ARGENTINA. Ellos podrán orientarte.) Ellos nunca descansan, nosotros tampoco. (Los ingenieros o piratas del fraude informático no descansan, MAPFRE tampoco. Hay un gran equipo que está trabajando y que es consciente de los riesgos actuales en la materia.) Temporada de Pishing. Abierta todo el año. (Con un mensaje más focalizado, intenta dar cuenta de una de las prácticas más comunes para acceder ilegalmente a información valiosa.) Si pensás que tu PC está lenta como una tortuga… (Igual que el anterior, introduce a conceptos como spyware, malware, etc.) Vos… ¿Ya actualizaste tu antivirus? (Trata de motivarlos a incorporar medidas preventivas en forma periódica.) ¡Buscados! (Recuerda la existencia de virus que pueden destruir en un segundo lo que se supo conseguir con trabajo, esfuerzo y tiempo.)
En forma paralela a la publicación de cada póster, en la columna de Seguridad de la Información se abordaba con más profundidad estos conceptos. También se invitaba a bajar, los fondos de pantallas alegóricos.
3. Evaluación/PruebasEsta campaña implicaba un gran desafío para el Departamento de Comunicación Institucional que había participado en forma intensa en planes de comunicación con áreas como RRHH (clima, valores, beneficios), Programa de Voluntarios, campañas institucionales como Adhesión y compromiso al Pacto Global, cultura, etc. pero no hasta el momento, con un cliente interno que tenía como misión sensibilizar y concienciar sobre temas “duros” (tecnología, ingeniería, prohibición, etc.) con claros riesgos de imagen para sí.
Tras consultas a algunos colegas, nos dimos cuenta que existían pocas organizaciones que estaban abordando este asunto internamente, si bien los principales diarios daban cuenta casi cotidianamente que la credulidad de los empleados y los sistemas eran los focos más vulnerables de las organizaciones.
El nivel de inversión era relativamente bajo y debía presentar soluciones de comunicación locales combinadas con mensajes institucionales bajados de la Política del DISMA.
Al finalizar el 2008, se realizó una encuesta a los corresponsales de comunicación (principales referentes de comunicación interna) sobre las distintas campañas efectuadas por el Departamento. Se les pidió a los encuestados que calificaran con puntajes del uno al cinco (1 es excelente y 5 malo) distintos atributos definidos como de interés para las campañas: creatividad, efectividad, claridad, calidad de la información, coherencia y diseño. Los resultados arrojados para Seguridad de la Información, en particular, fueron los siguientes:
El 30% calificó como excelente la creatividad y el 60 la calificó como muy buena y buena. El 70% consideró que la efectividad de la campaña fue buena y el 10% excelente. El 80% calificó como muy buena y buena la claridad de la campaña y un 20% como excelente. El 80% calificó como muy buena y buena la información brindada y el 20% excelente. El 80% consideró que la campaña fue muy buena y buena en cuanto a su nivel de coherencia; y el 20, como excelente. El 40% calificó como excelente el diseño de la campaña y el 40 entre muy bueno y bueno.
Además, la encuesta dio como resultado que la Campaña de Comunicación Interna de Seguridad de la Información es una de las más recordadas por los empleados de la compañía.
Por último, la campaña fue solicitada por MAPFRE BHD (República Dominicana) tras realizar un análisis de todas las llevadas a cabo en las distintas filiales de MAPFRE en América y España. Próximamente utilizarán la idea y creatividad de MAPFRE ARGENTINA para llevar a cabo su plan de comunicación en ese país.