El sector asegurador está concienciado con el problema de la ciberseguridad a todos los niveles. Su compromiso es tal que, a pesar de ser uno de los sectores que más datos de clientes trata, es uno de los menos sancionados por problemas con fuga de información, lo que demuestra el trabajo realizado en los últimos años para frenar los ataques que, cada vez, son más complejos y más globales. Esta es una de las conclusiones de distintos responsables de compañías de la industria en el Observatorio Ciberseguridad en el sector seguros organizado por elEconomista y KPMG.
Los distintos expertos coinciden en señalar en que las inversiones han sido y son cuantiosas para diseñar y poner en marcha herramientas que ayuden a frenar y a mitigar los efectos de un asalto tecnológico, pero que es necesaria la colaboración de la administración y de todas las organizaciones para mejorar la seguridad.
«La protección 100% no existe», es uno de los mensajes más repetidos por parte de los ponentes. Por eso, es necesario fijar las medidas necesarias que impulsen la protección de todos los sistemas. En este sentido, la formación y el compromiso de toda la plantilla es «fundamental» para evitar incidencias, además de establecer una metodología capaz de analizar «bien los riesgos en cada momento» tanto propios como de los proveedores de servicios.
Métricas para la formación
Así, según el socio responsable de Ciberseguridad de KPMG en España, Marc Martínez, «es importante crear métricas que valoren los cursos de formación y sus retornos, porque la seguridad se ha convertido en una parte destacada del negocio de cualquier compañía». Además, añade que a los trabajadores se les debe formar en habilidades para detectar cuál será el próximo ataque y cómo se puede hacer frente».
Para el director de Seguridad de la Información de Axa en nuestro país, Enrique Martín, la formación «nunca va a ser suficiente», al igual que las herramientas que se implanten, de ahí que es vital que todos los empleados sean «responsables de sus actos», sobre todo en un momento en que todo está conectado y cualquiera tiene acceso a la redes sociales, donde se pueden filtrar todo tipo de datos. Considera que el personal de una compañía es el «eslabón más débil» de la cadena de seguridad.
Una consideración que es compartida por el resto de expertos. El subdirector general de Seguridad y Medio Ambiente de Mapfre, Guillermo Llorente, indica que es «imprescindible la concienciación porque no hay otra forma de proteger». En este sentido, ve como uno de los principales retos «la capacidad de adaptación a los cambios por parte de los seres humanos».
Sobre este aspecto, el responsable de Protección & Resilience de Alianz Seguros, Emiliano Astudillo, sostiene que por mucha inversión que se haga, si hay un empleado que quiere compartir información a la que tiene acceso lo puede hacer, por lo que es relevante hacer énfasis en este campo. A su juicio, todas las empresas -las del seguro también- están concienciando a todos los trabajares, incluyendo la alta dirección, que cada vez está más preocupada por la ciberseguidad.
El responsable de Producción, dirección de Innovación y tecnología de Pelayo, Raúl Ruiz, señala que es crítico avanzar en la elaboración de análisis forensic sobre ciberataques, algo que los comité de dirección cada vez entienden más y mejor su importancia.
En la misma línea, el director de área de Governance, Risk and Complienace de Tirea, Mario de la Fuente, sostiene que la seguridad de un tiempo a esta parte se ha convertido en un asunto «trasversal» en las compañías. «Antes solo interesaba a unos pocos, aquellos que estaban relacionados con los sistemas informáticos», dice.
Alta dirección
De hecho, la involucración de los equipos y especialmente de la cúpula de las empresas es uno de los cambios más destacados de los últimos años, junto a la presión regulatoria. Todos los directivos presentes en el acto hicieron hincapié en que la normativa ha ayudado a que la alta dirección ahora tenga en cuenta cada vez más la protección y la seguridad. Así, el responsable de KPMG recalca que hace tres ejercicios ningún consejo de administración ni ningún comité de auditoría contataba con expertos en la materia, mientras que ahora se nos piden información y explicaciones «todos los meses». A su juicio, la regulación está ayudando a que el nivel de preocupación aumente entre los máximos responsables de las compañías. Pero también cree que los escándalos y los incidentes ocurridos, como el caso de Wanacry han incentivado que los directivos pongan el foco en esta materia.
Los expertos consideran que tiene que haber una normativa que sea homogénea, pero que ésta no debe ser asfixiante.
Guillermo Llorente, de Mapfre, advierte que hay países que han pecado de sobre regulación, lo que ha provocado que su economía haya acabado colapsando. «La regulación es imprescindible, pero hay que ser cuidadosos porque las empresas compiten en un mundo globalizado, con compañías de otras partes», indica Llorente.
En este sentido, subraya que la ley de protección de datos supone un hito, que avanza en la homogeneización de criterios en Europa, pero matiza que está suponiendo un esfuerzo grande para las empresas con un impacto real. Asimismo, Emiliano Astudillo, de Allianz, enfatiza que el área de ciberseguridad tiene que acompasar la transformación y las medidas que aplique para el aumento de la protección con el negocio, porque cualquier compañía tiene la obligación de ser rentable. «Lo que hay que hacer es balancear y crear un equilibrio de control, seguridad y dinamismo de negocio para poder dar los productos y servicios que demanda la sociedad», añade.
La regulación, entre otras cosas ha definido cuáles son los derechos que tienen los ciudadanos en cuestión de protección de datos y ha marcado el paso para que éstos reclamen en caso de que haya algún tipo de incidencia. También e igual de importante es la transparencia que se está demandando a las empresas, algo que está provocando cambios de cultura en todas las organizaciones. «La obligatoriedad de comunicar al regulador cualquier incidencia eleva el listón de la ciberseguridad», señala Enrique Martín, de Axa, quien también indica que es vital que cualquier empresa comunique y publique que está siendo atacada porque permite a los demás a prepararse. «El tiempo para anticiparse y mitigar los efectos es muy relevante». Pone como ejemplo, el caso de Telefónica, cuando puso en conocimiento de todos que estaba siendo atacada, lo que facilitó que el resto de organizaciones se preparara por si eran también invadidas por los criminales cibernéticos.
Desde Pelayo, Raúl Ruiz, se manifiesta en la misma línea y agrega que en la actualidad este tipo de siniestros son cada vez más complejos y no van dirigidos solo a una compañía o institución en concreto, sino que debido a su sofisticación son globales. «Y cada día se incrementan», apunta.
Certificación de garantías
Ante tal complejidad, el directivo de Tirea -Mario de la Fuente- menciona que las empresas deben apoyarse en proveedores para poder hacer frente a los problemas de seguridad. «Nadie tiene un conocimiento completo y la tecnología avanza a pasos agigantados». Esta idea es compartida por Marc Martínez, de KPMG, quien sostiene que este tipo de procedimientos requerirán la participación de socios externos, pero estos deberán «ser altamente seguros», por lo que apunta a que la certificación de las garantías de seguridad conllevará que los grandes proveedores vayan a ser adquiridos por los grandes debido a los costes de adaptación al entorno.
Que las empresas cuenten con partners fiables va a ser muy importante, porque ante cualquier incidencia de seguridad, tal y como apunta Astudillo, los niveles de exigencia de reporte a los reguladores se han multiplicado y las multas pueden llegar hasta el 4% de la facturación. Por eso apuesta, como Raúl Ruiz, por que el control sobre la ciberseguridad permanezca en todo momento bajo una gestión interna, a pesar de que el negocio y determinadas áreas estén externalizadas.
El director de Protección de Allianz destaca que el sector asegurador ya está realizando determinados scoring para analizar el riesgo de sus proveedores. Estos, en el caso de Mapfre, suman más de 10.000, por lo que cualquier problema afectaría a su reputación. Por este motivo, el directivo de esta aseguradora remarca que el sector está adoptando medidas para certificar a sus socios y distribuidores de productos y servicios, apoyándose en especialistas, porque «nuestra capacidad es limitada. Aún así, el responsable de Mapfre, como el resto, considera que ningún sistema de calificación será 100% fiable. «Los necesitamos, pero no van a ser perfectos», manifiesta este directivo, quien hace hincapié en que los riesgos son cambiantes.
En este escenario, el representante de KPMG ve fundamental el que las empresas lleven a cabo auditorías y control de riesgos periódicos. «No vale hacer una sola, porque aportará la situación sobre la seguridad en un momento determinado», como en las operaciones de adquisición o cuando contratata a un proveedor.
Mario de la Fuente, de Tirea, aporta que las calificaciones deberían ser homogéneas, pero ve improbable que esto vaya a suceder, sobre todo porque cada empresa cuenta con unos riesgos distintos a los de su competencia, por lo que, a su juicio, habría que valorar las peculiaridades de cada uno. Según De La Fuente, el sector está trabajando en modelos internos para medir sus riesgos hasta que llegue una certificación global.
Fuente: https://www.eleconomista.es/empresas-finanzas/noticias/9459597/10/18/La-concienciacion-sobre-la-ciberseguridad-clave-en-la-proteccion-de-datos.html?fbclid=IwAR1jf_ZfIwJJxhYOyy_eedGBATgW7lGZ__1AFKswqfLq0NwTi5k47xzqdtQ