La transformación digital ha evolucionado de forma exponencial en los últimos años. Con la llegada de la pandemia por COVID-19, los sectores empresariales se han visto obligados a aumentar y consolidar el uso de herramientas y soluciones tecnológicas en diferentes procesos operativos.
A pesar de los grandes beneficios que esto representa, la creciente dependencia de la tecnología también ha aumentado el riesgo de ataques cibernéticos. A lo largo de este blog hablaremos sobre la importancia de la ciberseguridad en la industria de seguros y el ecosistema emprendedor. Acompañados de Hackmetrix, startup de ciberseguridad y seguridad de la información que ayuda a empresas a implementar medidas de seguridad para proteger activos propios y de clientes; abordaremos los conceptos básicos a tener en cuenta, los principales desafíos en materia de ciberseguridad, las regulaciones en que las empresas se respaldan y las soluciones actuales en el mercado.
¿Qué es ciberseguridad?
De acuerdo con Cisco, la ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales que generalmente buscan acceder, modificar o destruir información confidencial; además de extorsionar a los usuarios o interrumpir la continuidad de una compañía.
Adriel Araujo, CEO de Hackmetrix comenta que «al abordar esta temática, más que enfocarnos en ciberseguridad, que es el término mediático ‘cool’; debemos centrarnos en la seguridad de la información».
La seguridad de la información se define como todas las medidas que una empresa implementa para poder mantener la información resguardada bajo tres principios: confidencialidad, disponibilidad e integridad.
- Confidencialidad: la información no puede ser divulgada. Por lo que esta restricción debe darse a conocer y ser respetada.
- Disponibilidad: la información se encuentra al alcance en cualquier momento.
- Integridad: la información se presenta de forma adecuada y correcta.
A partir de estos conceptos podemos concluir que la ciberseguridad se refiere a las medidas que protegen la información en el entorno cibernético.
Para poder tener un panorama más claro, tomemos en cuenta el siguiente ejemplo: proteger los datos de una tarjeta de crédito no es ciberseguridad, pero sí es ciberseguridad proteger el dispositivo donde está almacenada esta información.
El panorama del sector asegurador en materia de ciberseguridad
Dentro del ecosistema de seguros es necesario marcar la diferencia entre:
- La ciberseguridad o medidas de seguridad de la información que cada organización debe implementar para protegerse.
- La forma en que dicha empresa aprovecha la ciberseguridad como un producto más en la oferta que presenta al mercado.
Con base en estas verticales, Adriel señala los desafíos que conciernen tanto a aseguradoras como Insurtech.
“En el caso de las aseguradoras, han entrado en vigencia nuevas regulaciones que impactan la industria. Tal es el caso de la Norma IFRS17 o la normativa 454 para instituciones aseguradoras en Chile”. Adriel Araujo, Hackmetrix
Bajo las diferentes legislaciones que se implementan, las aseguradoras e Insurtech ahora son vistas como instituciones financieras que deben estar protegidas como tal, pues son una pieza clave para el ecosistema económico global y regional.
Por otra parte, uno de los dilemas que ha tomado más fuerza en los últimos años es la implementación de cyberinsurance, con alta demanda en Estados Unidos y Europa, y los procesos estáticos actuales de suscripción de un seguro.
El problema con la tecnología, la innovación y la transformación digital es que se encuentra en constante cambio, y en muchas ocasiones, los procesos en la cadena de valor de los seguros no siguen este mismo ritmo de evolución.
“Hacer un assessment para poder dimensionar el riesgo potencial del cliente con una base de datos estática para definir la prima es una opción que ya no es rentable, pues las aseguradoras están perdiendo dinero con estas acciones” Adriel Araujo, Hackmetrix
Es por ello que hoy en día es necesario contar con herramientas dinámicas que puedan monitorear la actividad del asegurado con el fin de conocer la exposición en tiempo real a los nuevos riesgos.
Las aseguradoras están enfrentando un mismo reto por dos flancos en el entorno cyber: ya sea como víctimas potenciales o con clientes que aseguran. En cualquier escenario, resulta indispensable que se implementen medidas dinámicas y modernas para estar protegidos ante ciberataques.
Regulaciones en LATAM
La maduración de los países trae como consecuencia nuevos lineamientos y regulaciones que afectan a todo el mercado y sectores comerciales.
Como es bien sabido, en el ecosistema de seguros se maneja un gran número de información confidencial de los clientes, por lo tanto es vital que los actores en la industria se interesen en la protección de dichos datos.
Dentro de las principales normativas en materia de seguridad de la información y protección de datos sobresalen:
- ISO 27001: Norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y la información , así como de los sistemas que la procesan.
- PCI DSS: Estándar de seguridad orientado a la definición de controles para la protección de los datos del titular de una tarjeta de crédito y/o datos confidenciales de autenticación durante el procesamiento, almacenamiento y/o transmisión.
Las normativas de Open banking también impactan y orillan al sector asegurador a ser más estrictos con la protección de datos y seguridad de la información. En este sentido, las Insurtech tendrán que cumplir con los mismos paradigmas de seguridad que las Fintech, en tanto sus modelos de negocio converjan con las instituciones financieras.
Los principales ciberataques para startups en LATAM
En la actualidad, las empresas ya no cuentan con servidores propios y en su lugar se opta por seguridad en la nube. Lo anterior hace que vulnerar los servidores sea una tarea más complicada. No obstante, existen ciertos detonantes que permiten o facilitan la entrada a los hackers.
En primer lugar, la seguridad en aplicaciones puede verse inconsistente. El CEO de Hackmetrix señala que en la integración de aplicaciones se abre una brecha a posibles ciberataques, pues los atacantes conocen las metodologías de desarrollo y lo utilizan a su favor para introducir vulnerabilidades.
Algunos de los factores que mantienen esta amenaza activa son:
- Tiempo insuficiente para desarrollos de manera segura
- Profesionales poco capacitados
- Falta de prioridad a temas de ciberseguridad en las empresas
En segundo lugar, algo que es muy común en las organizaciones es la ingeniería social, que básicamente se refiere a un conjunto de técnicas que usan los hackers para engañar a usuarios crédulos con el fin de extraer datos confidenciales o introducir malware en los sistemas.
Dentro de los ejemplos más habituales encontramos:
- Phishing (emails)
- Vishing (llamadas)
- Smishing (mensaje de texto)
- Baiting
- Spam
El error humano continúa posicionándose como uno de los factores por el cuál es posible hackear una startup o cualquier tipo de empresa en general.
Finalmente, la utilización de aplicaciones integradas de terceros se ha vuelto muy popular. Las organizaciones se valen de un software contable, otro software para recursos humanos, uno adicional para ventas y marketing, y la lista continúa.
Adriel Araujo enfatiza que solo basta con que una de estas aplicaciones no esté correctamente configurada o que un usuario olvide colocar doble factor de autenticación o utilice contraseñas personales para que todo el ecosistema sea vulnerable. A esto se le conoce como Supply chain attack.
Haciendo frente a los ciberataques: la propuesta de Hackmetrix
Ante la constante evolución tecnológica, es natural que nuevos mecanismos y protocolos de defensa se desarrollen e implementen para combatir los ciberataques empresariales.
Hackmetrix colabora con aseguradoras, Insurtech y startups mediante un software que facilita políticas, procedimientos y controles de seguridad con el fin de que la empresa los realice de forma periódica.
“Hackmetrix es en cumplimiento y ciberseguridad el equivalente a Hubspot para vendedores o Quickbooks en áreas contables. Es un sistema de gestión para que todo pase en materia de cumplimiento y ciberseguridad.” Adriel Araujo, Hackmetrix
Estas soluciones están apoyadas de la nube de AWS y Digital Ocean y dentro de las principales tecnologías que intervienen encontramos herramientas analíticas que permiten identificar amenazas, correlacionarlas y enviar alertas en el momento oportuno.n
En materia de seguridad, la startup de origen chileno y fuerte presencia en México se integra a través de aplicaciones de terceros utilizando los más altos estándares. Esta integración sirve para monitorear que las medidas de seguridad estén correctamente implementadas en los sistemas de sus clientes y así, evitar las vulnerabilidades a través de sistemas de terceros.
Adicionalmente, Adriel comenta que Hackmetrix ofrece un “hackeo ético” para verificar que los clientes hayan implementado correctamente las medidas de seguridad en aplicaciones y sistemas y en caso de detectar vulnerabilidades, reportarlas y brindar soporte para repararlas.
Protegiendo el ecosistema asegurador
La tecnología implica las dos caras de una moneda. Mientras que podemos obtener beneficios incuestionables para las operaciones comerciales y desarrollo de nuevos productos, estos avances digitales también dan oportunidad a actividades cuestionables o ilícitas.
La ciberseguridad no solo permite a las aseguradoras e Insurtech cumplir con regulaciones y leyes en caso de ser afectada en materia de protección de datos, lo cual es importante; sino que además, en la apuesta por una colaboración dentro del ecosistema, las empresas de tecnología en seguros tienen la oportunidad de integrarse con los corporativos tradicionales, instituciones financieras y terceros fuera de la industria.
Es indispensable tener presente que en el ejercicio colaborativo, la impenetrabilidad en materia cibernética es un requisito en el que vale la pena centrar esfuerzos.
