Un reciente informe de NTT DATA destaca una visión general del panorama de la ciberseguridad en los seguros en diferentes regiones y detalla las oportunidades en las que las compañías de seguros deben centrarse para prosperar en una era en la que la tecnología y la privacidad de los datos son necesarias para la supervivencia.
Cuantos más datos se almacenan, mayor es el valor que representan para los estados nacionales y los atacantes, especialmente cuando se trata de información personal identificable. Además de todas estas advertencias, las empresas deben estar atentas a otro dilema transversal: la respuesta a los acontecimientos inesperados. En este último tiempo, la sociedad ha sido más consciente de estas problemáticas, que incluyen todas las situaciones imprevisibles que pueden generar riesgos potenciales como: una pandemia, un desastre natural, el cambio climático, los riesgos de terceros, o los ciberataques.
Los 4 retos de las aseguradoras
Según NTT DATA, la ciberseguridad plantea cuatro retos específicos a los que las aseguradoras deben prestar atención. Entre ellos se encuentran:
Seguridad en la nube: Dado que la migración a la nube se ha convertido en una prioridad para las aseguradoras en los últimos años, es necesario proteger esos documentos ante cualquier amenaza que signifique perder toneladas de información. Las aseguradoras deben lograr un buen funcionamiento de la misma y procurar que cuente con la seguridad necesaria, por lo que se requieren métodos y herramientas que funcionen sin problemas entre los proveedores de nubes públicas, los proveedores de nubes privadas y demás acciones necesarias para este fin.
Negocios impulsados por los datos: Como se ha nombrado antes, los datos son el eje fundamental de los movimientos de las empresas. Las aseguradoras están ahora obligadas a preocuparse y cuidar de sus clientes, ya que basan sus planes estratégicos y sus decisiones en los datos de los clientes. Las compañías de seguros necesitan ser inteligentes en cuanto a los datos para moverse más rápido y seguir el ritmo aprovechando las ventajas de utilizarlos.
Más inteligente y automatizado: La automatización de la seguridad consiste en identificar amenazas en diferentes entornos cibernéticos, clasificando el potencial alertas siguiendo metodologías de toma de decisiones previamente establecidos por analistas expertos y determinando qué acción tomar en respuesta a estas amenazas. Todo esto en cuestión de segundos, sin la necesidad de la intervención humana. Con esto las acciones que consumen mucho tiempo se vuelven mucho más optimizadas.
Digital Workplace: Desde hace tiempo (y aun más luego de la pandemia) el trabajo remoto ha sido por excelencia la modalidad que eligen la mayoría de las empresas para trabajar con sus empleados. Es por esto que los mismos están cada vez más vulnerables a cualquier tipo de ataque, ya sea hishing, malware y contraseñas, entre muchas otras amenazas cibernéticas. Por lo tanto, las empresas, especialmente las de seguros que trabajan con datos estrictamente sensibles, deben llevar a cabo los correspondientes procedimientos de seguridad para evitar problemas futuros. Algunas compañías de seguros ya – han llevado a cabo metodologías de Control de Acceso Basado en Roles (RBAC, por sus siglas en inglés), y han puesto los enfoques en asegurar su lugar de trabajo remoto. Esto asegura que todos los trabajadores, estén conectados a la red de la organización o no, o conectados a una red local, en la nube o red publica, sean autenticados, autorizados y validados al acceder a aplicaciones, datos y documentación.
El papel de la seguridad en el marco de la digitalización
La ciberseguridad ocupa un lugar trascendental en la realidad de las empresas. Actualmente, en las estructuras de las mismas, con frecuencia se observa más apoyo a nivel de presupuesto y recursos para gestionar el riesgo de ciberseguridad. Las aseguradoras están adoptando un enfoque estratégico para abordar este tema y existe un cambio de la mentalidad con respecto de los riesgos cibernéticos que antes no existía. El informe asegura que se ha convertido en un imperativo empresarial para el sector de los seguros, ya que el ciberriesgo es uno de los principales riesgos operativos a los que se enfrenta el sector.
Al considerar la seguridad como una de las principales prioridades de los seguros, se deben acatar normas y regulaciones. NTT DATA presenta algunos ejemplos:
Normativa de privacidad y protección de datos: En los últimos años han entrado en vigor diferentes leyes relativas a la protección del acceso y tratamiento de los datos de las personas. Sin lugar a dudas, todos ellos tienen diferentes alcances debido a la situación de cada país. En Europa, La ley de privacidad más importante creada hasta ahora es el Reglamento General Europeo de Protección de Datos (RGPD), que entró en vigor en 2016. En América del Norte, por ejemplo, la Ley Gramm-Leach-Bliley (GLBA) o Ley de Modernización Financiera de 1999 controla cómo las instituciones financieras de los Estados Unidos (bancos comerciales, bancos de inversión, empresas de valores y compañías de seguros) tratan la información privada de los clientes.En el caso de Latinoamérica, por ejemplo, destaca la Ley General de Protección de Datos Personales de Brasil.
Normativa sobre gestión de riesgos: El Parlamento Europeo y la Comisión Europea presentaron en septiembre de 2020 una propuesta legislativa para un reglamento sobre la resiliencia operativa digital en el sector de los servicios financieros de la Union Europea. La futura ley Digital Operational Resilience Act (DORA) pretende reforzar y actualizar los requisitos de riesgo que plantean las Tecnologías de la Información y la Comunicación en el sector sector financiero, incluidas las compañías de seguros y reaseguro para asegurar que todos los actores de estas industrias operen bajo un sistema común para evitar potenciales riesgos.
Para finalizar, desde la consultora global recomiendan seguir una serie de pasos que ayudan a las empresas con su ciberseguridad:
El diseño de la seguridad: el sector de los seguros debe tomar medidas y empezar a incluir las cuestiones de ciberseguridad en todas las etapas del ciclo de vida del producto o servicio. El diseño de para la experiencia del cliente, la disponibilidad, la seguridad o la privacidad deben ser muy tenidos en cuenta desde principio a fin en la contratación del servicio.
Seguridad de los datos: El cifrado de datos debe ser un pilar fundamental en el funcionamiento de una empresa, por lo que ninguna debe pasar por alto esta logística.
Identificación: La base de toda seguridad es la identidad. Si no ha verificado que la persona que accede a su sistema es realmente quien dice ser con un nivel de seguridad adecuado, no se puede generar confianza. Todas las compañías de seguros deberían seguir la estrategia de intentar establecer una fuente de identificación correspondiente.
Autenticación sin contraseña: los usuarios están cada vez más preocupados por los estándares de seguridad adecuados, y muchos de ellos exigen ahora una autenticación más avanzada. Es comprensible que el sector de los seguros esté presionando por una autenticación fuerte, preferiblemente sin contraseña tanto para uso interno como para compromisos B2C y B2B.
Gestión de riesgos y gobernanza sólida: La gestión del riesgo cibernético debe formar parte de la estrategia de riesgo empresarial de la organización. Un paradigma de responsabilidad compartida surge del creciente uso de terceros, como los proveedores de servicios en la nube y el software como proveedores de servicios. Es necesaria una sólida capa de gobernanza para todos los métodos de externalización con el fin de ayudar a la organización a obtener los mejores resultados.
Compromiso del correo electrónico empresarial y ataques de phishing: El correo electrónico sigue siendo un punto de ataque muy popular. Podemos ayudar a los usuarios a tomar mejores decisiones mediante el uso de tecnología que proporcione controles de seguridad para filtrar o resaltar los correos electrónicos que son potencialmente peligrosos. Marcar los correos electrónicos externos como tal puede ser útil, así como fomentar la comunicación interna en la mensajería instantánea como Microsoft Teams o el chat de Google, de modo que el correo electrónico se utilice sólo para externos. Además, se pueden realizar pruebas de phishing periódicas.
En conclusión, la ciberseguridad ya no puede ser pasada por alto. Se trata de un papel indiscutiblemente importante para cualquier empresa hoy en día, tanto como por parte del usuario como de parte de las compañías, que tienen el deber de velar por la información de sus clientes para lograr así un buen funcionamiento y desempeño de sus tareas.
