Artículo Técnico
Juan Manuel Paradela, gerente de Seguridad de la Información (CISO) de Allianz Argentina.
Juan Manuel Paradela Gerente de Seguridad de la Información (CISO) Allianz Argentina

Ciberseguridad en el sector asegurador: ¿qué retos plantea?

Juan Manuel Paradela, CISO de Allianz Argentina, explica a qué retos de seguridad cibernética se enfrenta el sector asegurador y cuáles son los aspectos que debe considerar una estrategia de ciberseguridad.

riesgos de ciberseguridad en el sector asegurador

Principales retos de ciberseguridad que enfrenta el sector asegurador.

Al hacer referencia a la ciberseguridad en el sector asegurador, uno de los aspectos que considera un cliente es la confiabilidad en la información que comparte. En este sentido, nos exponemos a una serie de retos:

  • Ciberfraude operando de una forma multicanal.
  • Cibercriminales mutando rápidamente.
  • Perímetro ampliado por el crecimiento exponencial del trabajo remoto.
  • Aumento de las ciberamenazas y los ciberriesgos.
  • Alta demanda de talento y poca oferta de rotación.
  • Transformación digital y agilidad.
  • Data-driven (decisiones estratégicas basadas en el análisis de datos y su interpretación).

Dado este contexto, desde las aseguradoras se nos presenta a los responsables de Seguridad de la Información (CISO, por sus siglas en inglés) el desafío de pensar una estrategia de ciberseguridad que considere no solamente proteger a la compañía, sino también a sus clientes. A continuación detallaré los aspectos que debe considerar dicha estrategia.

Aspectos que debe contemplar una estrategia de ciberseguridad en el sector asegurador.
Aspectos que debe contemplar una estrategia de ciberseguridad en el sector asegurador.

‘Awareness’

Los riesgos por exposición de información sensible (sobre todo, phishing y ransomware) representan uno de los puntos centrales. Por ello, en una estrategia de ciberseguridad en el sector asegurador es importante ocuparse de la concientización y capacitación de todos. Y crear una cultura segura, tanto dentro como fuera de nuestra empresa, con el objetivo de concientizar y no sólo para cumplir una tarea.

En la implementación de un programa de concientización hay que tener en cuenta tanto el presupuesto como el acompañamiento. Y definir métricas con el objetivo de visibilizar cómo estamos parados frente a posibles ataques (campañas de phishing, engaños telefónicos, intentos de intrusión, etc.). En este capítulo, es un desafío concientizar en el contexto de oficina ampliada. Y lograr el apoyo de los directores y de Recursos Humanos (RRHH).

‘Training’

También debemos establecer un programa de capacitación y actualización en ciberseguridad garantizando la inclusión de los paradigmas actuales: la nube (cloud) y la participación de la seguridad en el desarrollo de aplicaciones.

‘Endpoint protection’

De igual manera, se debe considerar el cifrado de los equipos, la activación de un segundo factor de autenticación y la implementación de antivirus nextgen basados en comportamientos.

‘Data protection’

La protección de datos es un punto central en estos tiempos. Al respecto, es prioritario clasificar la información. Y securizar el intercambio de datos entre brokers y aseguradoras. Igualmente, hay que definir requerimientos de seguridad para las iniciativas del negocio, como el método de intercambio de información, el almacenamiento y el cumplimiento de la normativa de protección de datos personales.

Del mismo modo, se tiene que establecer un control de terceras partes: evaluación de los controles de seguridad que implementan los proveedores sobre los datos intercambiados con la compañía, cómo se realiza el intercambio, responsabilidades, almacenamiento, custodia y tratamiento de la información. Y, finalmente, se ha de implementar un modelo DLP (Data Loss Prevention) para prevenir la pérdida de datos.

Monitoreo

Esta práctica se incluye dentro de las acciones hard. Y contempla desarrollar las capacidades de monitoreo de nuestra red perimetral y nuestros activos críticos; implementar una inteligencia de amenazas; realizar un escaneo de vulnerabilidades; implementar buenas prácticas de respuesta a incidentes, y realizar ejercicios de pentesting.

Póliza de ciberseguridad

Dentro de las posibilidades, es recomendable contratar un seguro contra eventos de ciberseguridad. Se trata de un plan de respaldo como salvavidas contra los ciberriesgos, así como de una herramienta que contribuye a mitigar el impacto financiero y entender cómo estar preparados para un incidente. Su cobertura debe incluir:

  • Pérdida de datos personales (empleados, clientes, proveedores…) y datos confidenciales corporativos.
  • Indisponibilidad de la red (malware, hacking, ataques de denegación de servicio (DoS, por sus siglas en inglés), acceso no autorizado, etc.).
  • Indisponibilidad de contenido electrónico corporativo (incluyendo sitios web y redes sociales corporativas).
  • Ciberextorsión.
  • Interrupción del negocio.
  • Forénsica ante incidentes.
  • Restauración de identidad digital corporativa.
  • Fuga o robo de datos de tarjetas.
  • Sanciones regulatorias.

Centro de Excelencia

Por último, hay que implementar un Centro de Excelencia en Ciberseguridad (CoE Cyber, en inglés) para integrar la seguridad en los negocios. En este apartado conviene definir un baseline de seguridad (controles de seguridad a contemplar en forma anticipada en el diseño de soluciones). Y establecer requerimientos de seguridad en la gestión.

Gestión de riesgos

Lo descrito sobre la estrategia de ciberseguridad en el sector asegurador nos lleva a hablar de realizar una gestión basada en riesgos. Y para cada riesgo es necesario evaluar la probabilidad de ocurrencia en función de las amenazas existentes y las vulnerabilidades que se puedan explotar. El impacto se define en función de la medida del daño.

Dependiendo de la información fugada o robada, el impacto varía. Pero en todos los casos se verán afectados aspectos operacionales, reputacionales, financieros y legales. Y también hay que considerar el impacto en las personas afectadas por la filtración de la información. Y esta gestión basada en riesgos debe buscar:

  • Dar visibilidad en todo momento, generando un mapa de riesgos.
  • Sensibilizar al C-Level al traducir los riesgos de la ciberseguridad en el impacto sobre el negocio (financiero, operacional, reputacional, legal, de RRHH…).
  • Definir acciones soft (concientización, training).
  • Implementar acciones hard (soluciones que brinden visibilidad).

Conclusiones

Sin duda, abordar la ciberseguridad en el sector asegurador nos llevaría un artículo mucho más extenso. Pero podemos resumir que:

  • La transformación digital de la cadena de seguros (innovación en los procesos de venta, suscripción, siniestros) trae un nuevo potencial para beneficio de los consumidores. Los ciberestafadores trabajan para explotar las brechas emergentes del sistema.
  • La nueva normalidad por COVID-19 obligó a las compañías a salir de la protección de la estructura corporativa y extender sus operaciones a cada uno de los hogares de sus colaboradores (perímetro ampliado).
  • Se hace necesario entender y defender los presupuestos de seguridad en un entorno que exige inversión imprescindible para el crecimiento de los procesos digitales.
  • Es necesario comprender y priorizar los riesgos en la privacidad de datos. Anticiparse a un dolor de cabeza para las relaciones institucionales de la empresa y la destrucción no sólo de sus finanzas, sino también de su reputación.
  • Tener muy presentes las principales causas de ciberdelitos en la región: infección de malware, ataques de ingeniería social (secuestro de información), accesos no autorizados y DoS (explotación de vulnerabilidades).
  • Prestar atención a los desafíos que plantea el teletrabajo en materia de ciberseguridad, estar al día en la actualización de los sistemas y ocuparse de la concientización y capacitación de los colaboradores.