La ciberseguridad y el ecosistema asegurador

La transformación digital ha evolucionado de forma exponencial en los últimos años. Con la llegada de la pandemia por COVID-19, los sectores empresariales se han visto obligados a aumentar y consolidar el uso de herramientas y soluciones tecnológicas en diferentes procesos operativos. nn nnA pesar de los grandes beneficios que esto representa, la creciente dependencia de la tecnología también ha aumentado el riesgo de ataques cibernéticos.nn nnA lo largo de este blog hablaremos sobre la importancia de la ciberseguridad en la industria de seguros y el ecosistema emprendedor. Acompañados de Hackmetrix, startup de ciberseguridad y seguridad de la información que ayuda a empresas a implementar medidas de seguridad para proteger activos propios y de clientes; abordaremos los conceptos básicos a tener en cuenta, los principales desafíos en materia de ciberseguridad, las regulaciones en que las empresas se respaldan y las soluciones actuales en el mercado.nn n

¿Qué es ciberseguridad?

n nnDe acuerdo con Cisco, la ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales que generalmente buscan acceder, modificar o destruir información confidencial; además de extorsionar a los usuarios o interrumpir la continuidad de una compañía.nn nnAdriel Araujo, CEO de Hackmetrix comenta que «al abordar esta temática, más que enfocarnos en ciberseguridad, que es el término mediático ‘cool’; debemos centrarnos en la seguridad de la información».nn nnLa seguridad de la información se define como todas las medidas que una empresa implementa para poder mantener la información resguardada bajo tres principios: confidencialidad, disponibilidad e integridad.nn n

n
• Confidencialidad: la información no puede ser divulgada. Por lo que esta restricción debe darse a conocer y ser respetada.

n

• Disponibilidad: la información se encuentra al alcance en cualquier momento. 

n

• Integridad: la información se presenta de forma adecuada y correcta.

n

n nnA partir de estos conceptos podemos concluir que la ciberseguridad se refiere a las medidas que protegen la información en el entorno cibernético.nn nnPara poder tener un panorama más claro, tomemos en cuenta el siguiente ejemplo: proteger los datos de una tarjeta de crédito no es ciberseguridad, pero sí es ciberseguridad proteger el dispositivo donde está almacenada esta información. nn n

El panorama del sector asegurador en materia de ciberseguridad

n nnDentro del ecosistema de seguros es necesario marcar la diferencia entre:nn n

n
1. La ciberseguridad o medidas de seguridad de la información que cada organización debe implementar para protegerse.

n

2. La forma en que dicha empresa aprovecha la ciberseguridad como un producto más en la oferta que presenta al mercado.

n

n nnCon base en estas verticales, Adriel señala los desafíos que conciernen tanto a aseguradoras como Insurtech.nn n

“En el caso de las aseguradoras, han entrado en vigencia nuevas regulaciones que impactan la industria. Tal es el caso de la Norma IFRS17 o la normativa 454 para instituciones aseguradoras en Chile”. Adriel Araujo, Hackmetrix

n nnBajo las diferentes legislaciones que se implementan, las aseguradoras e Insurtech ahora son vistas como instituciones financieras  que deben estar protegidas como tal, pues son una pieza clave para el ecosistema económico global y regional.nn nnPor otra parte, uno de los dilemas que ha tomado más fuerza en los últimos años es la implementación de cyberinsurance, con alta demanda en Estados Unidos y Europa, y los procesos estáticos actuales de suscripción de un seguro.nn nnEl problema con la tecnología, la innovación y la transformación digital es que se encuentra en constante cambio, y en muchas ocasiones, los procesos en la cadena de valor de los seguros no siguen este mismo ritmo de evolución.nn n

“Hacer un assessment para poder dimensionar el riesgo potencial del cliente con una base de datos estática para definir la prima es una opción que ya no es rentable, pues las aseguradoras están perdiendo dinero con estas acciones” Adriel Araujo, Hackmetrix

n nnEs por ello que hoy en día es necesario contar con herramientas dinámicas que puedan monitorear la actividad del asegurado con el fin de conocer la exposición en tiempo real a los nuevos riesgos.nn nnLas aseguradoras están enfrentando un mismo reto por dos flancos en el entorno cyber: ya sea como víctimas potenciales o con clientes que aseguran. En cualquier escenario, resulta indispensable que se implementen medidas dinámicas y modernas para estar protegidos ante ciberataques.nn n

Regulaciones en LATAM

nLa maduración de los países trae como consecuencia nuevos lineamientos y regulaciones que afectan a todo el mercado y sectores comerciales. nn nnComo es bien sabido, en el ecosistema de seguros se maneja un gran número de información confidencial de los clientes, por lo tanto es vital que los actores en la industria se interesen en la protección de dichos datos.nn nnDentro de las principales normativas en materia de seguridad de la información y protección de datos sobresalen:n

n
• ISO 27001: Norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y la información , así como de los sistemas que la procesan.

n

• PCI DSS: Estándar de seguridad orientado a la definición de controles para la protección de los datos del titular de una tarjeta de crédito y/o datos confidenciales de autenticación durante el procesamiento, almacenamiento y/o transmisión.

n

n nnLas normativas de Open banking también impactan y orillan al sector asegurador a ser más estrictos con la protección de datos y seguridad de la información. En este sentido, las Insurtech tendrán que cumplir con los mismos paradigmas de seguridad que las Fintech, en tanto sus modelos de negocio converjan con las instituciones financieras. nn n

Los principales ciberataques para startups en LATAM

n nnEn la actualidad, las empresas ya no cuentan con servidores propios y en su lugar se opta por seguridad en la nube. Lo anterior hace que vulnerar los servidores sea una tarea más complicada. No obstante, existen ciertos detonantes que permiten o facilitan la entrada a los hackers. nn nnEn primer lugar, la seguridad en aplicaciones puede verse inconsistente. El CEO de Hackmetrix señala que en la integración de aplicaciones se abre una brecha a posibles ciberataques, pues los atacantes conocen las metodologías de desarrollo y lo utilizan a su favor para introducir vulnerabilidades.nn nnAlgunos de los factores que mantienen esta amenaza activa son:n

n
• Tiempo insuficiente para desarrollos de manera segura

n

• Profesionales poco capacitados

n

• Falta de prioridad a temas de ciberseguridad en las empresas

n

n nnEn segundo lugar, algo que es muy común en las organizaciones es la ingeniería social, que básicamente se refiere a un conjunto de técnicas que usan los hackers para engañar a usuarios crédulos con el fin de extraer datos confidenciales o introducir malware en los sistemas.nn nnDentro de los ejemplos más habituales encontramos:n

n
• Phishing (emails)

n

• Vishing (llamadas)

n

• Smishing (mensaje de texto)

n

• Baiting

n

• Spam

n

n nnEl error humano continúa posicionándose como uno de los factores por el cuál es posible hackear una startup o cualquier tipo de empresa en general.nn nnFinalmente, la utilización de aplicaciones integradas de terceros se ha vuelto muy popular. Las organizaciones se valen de un software contable, otro software para recursos humanos, uno adicional para ventas y marketing, y la lista continúa. nn nnAdriel Araujo enfatiza que solo basta con que una de estas aplicaciones no esté correctamente configurada o que un usuario olvide colocar doble factor de autenticación o utilice contraseñas personales para que todo el ecosistema sea vulnerable. A esto se le conoce como Supply chain attack.nn n

Haciendo frente a los ciberataques: la propuesta de Hackmetrix

n nnAnte la constante evolución tecnológica, es natural que nuevos mecanismos y protocolos de defensa se desarrollen e implementen para combatir los ciberataques empresariales. nn nnHackmetrix colabora con aseguradoras, Insurtech y startups mediante un software que facilita políticas, procedimientos y controles de seguridad con el fin de que la empresa los realice de forma periódica.nn n

“Hackmetrix es en cumplimiento y ciberseguridad el equivalente a Hubspot para vendedores o Quickbooks en áreas contables. Es un sistema de gestión para que todo pase en materia de cumplimiento y ciberseguridad.” Adriel Araujo, Hackmetrix

n nnEstas soluciones están apoyadas de la nube de AWS y Digital Ocean y dentro de las principales tecnologías que intervienen encontramos herramientas analíticas que permiten identificar amenazas, correlacionarlas y enviar alertas en el momento oportuno.nn nnEn materia de seguridad, la startup de origen chileno y fuerte presencia en México se integra a través de aplicaciones de terceros utilizando los más altos estándares. Esta integración sirve para monitorear que las medidas de seguridad estén correctamente implementadas en los sistemas de sus clientes y así, evitar las vulnerabilidades a través de sistemas de terceros. nn nnAdicionalmente, Adriel comenta que Hackmetrix ofrece un “hackeo ético” para verificar que los clientes hayan implementado correctamente las medidas de seguridad en aplicaciones y sistemas y en caso de detectar vulnerabilidades, reportarlas y brindar soporte para repararlas. nn n

Protegiendo el ecosistema asegurador

n nnLa tecnología implica las dos caras de una moneda. Mientras que podemos obtener beneficios incuestionables para las operaciones comerciales y desarrollo de nuevos productos, estos avances digitales también dan oportunidad a actividades cuestionables o ilícitas.nn nnLa ciberseguridad no solo permite a las aseguradoras e Insurtech cumplir con regulaciones y leyes en caso de ser afectada en materia de protección de datos, lo cual es importante; sino que además, en la apuesta por una colaboración dentro del ecosistema, las empresas de tecnología en seguros tienen la oportunidad de integrarse con los corporativos tradicionales, instituciones financieras y terceros fuera de la industria. nn nnEs indispensable tener presente que en el ejercicio colaborativo, la impenetrabilidad en materia cibernética es un requisito en el que vale la pena centrar esfuerzos.