Modelo de protección de Ciberseguridad en la Industria de seguros

La ciberseguridad es un tema que afecta a todas las organizaciones. Solo durante el primer trimestre del 2021 Chile recibió 410 millones de intentos de ciberataques, lo que ha obligado al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), dependiente del Ministerio del Interior y Seguridad Pública, a trabajar en establecer una ciberresiliencia nacional.

Paulatinamente, la CSIRT y el país en general avanza en esta materia, firmando protocolos adicionales al de Budapest, que cambian el normal funcionamiento de empresas de distintos rubros, entre los cuales la Industria de Seguros tiene especial importancia, por contar con información valiosa y sensible con respecto a sus usuarios.

La Comisión de Mercado financiero (CMF) ha tomado cartas en el asunto con la nueva normativa para la protección de los activos de su organización, que pide cumplir obligaciones adicionales y específicas sobre la seguridad de la información, que pueden resultarle poco familiares y tal vez le hagan sentir agobiado al tener que aplicarlas a la Industria de seguros.

En las siguientes líneas le daremos algunos consejos de cómo enfrentar las complicaciones de seguridad de información y ciberseguridad que tiene la Industria de Seguros en Chile en la actualidad, para cumplir con las exigencias del ente regulador.

Marco normativo de Ciberseguridad para la Industria de Seguros en Chile

Recientemente, la Industria de Seguros, se ha visto impactada por cambios regulatorios impulsados por la Comisión de Mercado financiero (CMF), que buscan mantener el desarrollo y estabilidad del mercado, al impartir instrucciones para la gestión de los riesgos de Ciberseguridad. Dichas obligaciones se encuentran plasmadas en la Norma de Carácter General (NCG) 454, de fecha 18 de mayo del 2021.

Estos cambios buscan que las organizaciones tomen medidas para garantizar la seguridad de la información, y su cumplimiento obliga a contar con medidas mínimas de mitigación en términos de controles técnicos, procedimentales, físicos y organizacionales.

Si bien lo que se busca es prevenir delitos informáticos, una inadecuada gestión de los riesgos de Ciberseguridad puede:

• Afectar la continuidad operacional de las aseguradoras.
• Comprometer información comercial y/o personal.
• Atentar contra la imagen de su organización y la industria en general.

Obligaciones de la Industria de Seguros en materia de Ciberseguridad

Independientemente del tamaño, complejidad o líneas de negocio, la reciente normativa obliga a que las aseguradoras la cumplan cuando procesan, almacenan y transmiten información privada o confidencial de los titulares de los servicios de seguros, o información relativa a su salud. 

Dado este escenario, es vital que las organizaciones resguarden los atributos de seguridad de la información como lo son: la Confidencialidad, Integridad y Disponibilidad.

Características de la nueva normativa:

Su cumplimiento debe estar enmarcado en la Gestión de Riesgos de Ciberseguridad, el cual debe considerar la definición de objetivos, requerimientos y funciones para cumplir con los requisitos de la normativa.

Establece principios obligatorios para el adecuado tratamiento de los riesgos de Ciberseguridad, relacionados al uso de tecnologías y la creciente amenaza y sofisticación de los delitos informáticos.

Busca que las organizaciones los enfrente dichos delitos informáticos de buena manera. La protección de la confidencialidad, integridad y disponibilidad de los datos toma un papel relevante.

Si bien está basada en las mejores prácticas reconocidas a nivel internacional, no es específica en términos de las capacidades, soluciones, servicios y productos requeridos para mitigar los riesgos.

Puede entenderse en tres partes diferentes:

1. Contexto y necesidad de la normativa.
2. Principios que deben regir la operación de las organizaciones.
3. Criterios de autoevaluación para verificar el cumplimiento, mitigar riesgos e informar al ente regulador.

Consideraciones para un Modelo de Protección

Es imprescindible pensar en un enfoque que permita avanzar en la gestión de riesgos y cumplimiento de la normativa, cuyos requisitos corresponden a los controles mínimos y se debe determinar el alcance y madurez esperados de ellos como parte de la evaluación de riesgos.

En esta línea se debería pensar en un modelo de protección que abarque: controles técnicos, organizacionales, físicos y referentes a personas, con un enfoque en capas que se solapen para dar mayor protección. 

El modelo debe considerar implementar un control, asegurarse de la efectividad del mismo y tener medidas de mitigación. Lo que requiere un monitoreo periódico de su desempeño y de los riesgos que enfrenta.

Se necesita que tenga un balance entre controles técnicos, organizacionales, físicos, de personas y entre las medidas reactivas y proactivas.

Componentes del modelo de protección

En la práctica, las medidas mitigatorias o controles, deberían considerar por lo menos:

• Controles a nivel de perímetro: como IPS/IDS, WAF, DLP, Antimalware, filtros de mail/url/dns, entre otras, como primera capa de protección. Su nivel de sofisticación tendrá relación con las capacidades de la infraestructura actual, considerando que en la medida se dedique a una función específica, brindará mejor protección.
• Controles a nivel red que deberían incluir: IPS/IDS, monitoreo, segmentación, más el control de acceso de dispositivos para ayudar en la detección y protección a este nivel.
• Controles a nivel de endpoint: como endurecimiento de configuraciones, soluciones antimalware, monitoreo, gestión de parches.
• Controles a nivel de aplicaciones: como desarrollo seguro, análisis y pruebas de seguridad, gestión de datos.
• Controles a nivel de gobierno: como un robusto marco normativo, planes, monitoreo de cumplimiento, del nivel de riesgos, capacidades de respuesta reactivas y proactivas, aspectos de continuidad de negocios.

Recomendaciones generales para cumplir la normativa y evitar delitos informáticos

Para tener un adecuado nivel de cumplimiento y más aún, mitigar los riesgos para la organización, se necesita principalmente:

Buscar un proveedor integral de estos servicios

Es crucial contar con una empresa de servicios y soluciones integrales que sea capaz de implementar diversos tipos de controles de técnicos, organizacionales, a nivel de políticas y procedimientos. Además de encargarse de acompañar desde el proceso de evaluaciones hasta el mantenimiento, para lograr una integración entre cada una de las iniciativas y que no sea manejada como silos. 

Contar con la objetividad de un experto externo que le brinde confianza

Realizar una evaluación de su postura de seguridad y cumplimiento, requiere un ente independiente a la organización, para velar por la objetividad y la aplicación de buenas prácticas de la industria.

Acordar un plan de acción de acuerdo a su organización

La manera de abordar el cumplimiento de la normativa debe corresponder a sus necesidades en particular, con una priorización de iniciativas de corto, mediano y largo plazo, con un balance de las iniciativas a nivel de organización, personas, entorno físico y tecnológico, que abarquen dimensiones de prevención, detección, respuesta y predicción.

Adoptar medidas robustas que se complementen entre sí

Una sola precaución no es suficiente, lo que usted necesita es la implementación de medidas de mitigación por capas, que establezcan redundancia de controles para una adecuada respuesta a vulnerabilidades existentes y por descubrir.

El plan debe establecer prioridades y ser transversal

Esta nueva forma de hacer las cosas debe formar parte de la cultura empresarial y contar con un plan director que priorice la implementación de un modelo de protección por capas, con las capacidades que se describen en los componentes del modelo de protección, manteniendo visibilidad de la situación actual de riesgo y cumplimiento en la alta dirección.

Resilience, expertos en soluciones de ciberseguridad

Si busca guía en esta y otras materias en su empresa, cuente con Resilience. Somos el aliado experto en seguridad de la información que le ayudará a cumplir con las normativas presentes y futuras. Nos dedicamos a implementar e integrar los servicios consultivos y soluciones tecnológicas de seguridad que su negocio necesita.

Tener un sistema bajo cumplimiento, capaz de mitigar riesgos de forma eficiente y confiable, es posible con nuestro respaldo y el de Entel Ocean.