Gestión de riesgos para la industria de seguros

Si bien las casas, los vehículos y otros bienes personales pueden asegurarse, los datos confidenciales recopilados por las compañías de seguros no pueden. De hecho, las aseguradoras recopilan muchos tipos diferentes de datos personales al determinar cuánto debe pagar un cliente en primas. Desde números de seguro social hasta direcciones privadas e información de tarjetas de crédito, las compañías de seguros usan datos de muchas fuentes diferentes al evaluar el nivel de riesgo que presenta cada cliente.

Una vez que fuentes no autorizadas acceden a los datos personales de sus clientes, las consecuencias pueden ser devastadoras. Las compañías de seguros deben implementar un proceso de gestión que minimice la probabilidad de una violación de la seguridad cibernética de datos confidenciales.

Datos de seguros que están en riesgo de amenazas de ciberseguridad

Se necesita mucho para determinar cuánto riesgo representa cada asegurado para una compañía de seguros. Mediante el uso de algoritmos avanzados, las aseguradoras a menudo solicitan información confidencial de sus clientes para identificar una tarifa de prima mensual adecuada. Dichos datos incluyen números de seguro social, números de licencia de conducir, datos biométricos, información de atención médica y registros financieros.

La necesidad de mantener estos datos seguros es vital para todas las compañías de seguros. Para gestionar eficazmente este riesgo, la Asociación Nacional de Comisionados de Seguros (NAIC) presentó una propuesta de ley que describe las mejores prácticas para la evaluación y gestión de riesgos. Esta ley, introducida en 2017, describe un proceso de 5 pasos para la evaluación de riesgos y otro proceso de 5 pasos para la gestión.

En el centro de esta ley está el énfasis en proteger toda la información no pública que los asegurados puedan proporcionar a su compañía de seguros. La información no pública son todos los datos que utilizan las aseguradoras al calcular las primas.

Los cinco pasos involucrados durante una evaluación de riesgos

Este proceso de evaluación de riesgos incluye lo siguiente:

Hacer de la evaluación de riesgos un proceso interno

El primer paso propuesto por NAIC es hacer que la evaluación de riesgos sea interna para cada empresa. Con un sentido personal de responsabilidad para proteger los datos de los clientes, las compañías de seguros permanecerán alerta en lo que respecta a la seguridad de los datos; por lo tanto, reduce la probabilidad de violaciones de datos. Este proceso comienza con la designación de un administrador de riesgos que será responsable de supervisar el programa de seguridad de la empresa.

Establecer un marco para identificar amenazas internas y externas

Las amenazas a las que se enfrentan los datos de seguros están muy extendidas. Debido a que pueden surgir tanto de fuentes internas como externas, la ley propuesta por la NAIC establece que las aseguradoras deben dedicar un proceso a la identificación de todos los riesgos potenciales para protegerse contra ellos.

¿Qué tan probable es que suceda una amenaza y cuáles serían las consecuencias?

De manera similar a cómo una compañía de seguros evalúa la probabilidad de que un asegurado tenga un accidente, las aseguradoras deben determinar la probabilidad de que se vulneren los datos del cliente en un momento dado. La evaluación también debe incluir todas las consecuencias financieras, legales e intangibles que su empresa podría enfrentar.

Una revisión de los sistemas actuales y su susceptibilidad al riesgo

El siguiente paso es revisar los sistemas de seguridad cibernética actuales y determinar qué tan bien se comparan con las pautas estandarizadas. Esta revisión debe incluir todas las redes y el software que se utilizan, las prácticas de almacenamiento de datos, la clasificación y los procedimientos de transmisión. Cualquier deficiencia que se identifique debe anotarse para determinar un plan de mejora.

Poner en marcha un plan de mitigación de riesgos

Las aseguradoras deben estar al tanto de cualquier nuevo riesgo que pueda surgir debido a las nuevas tecnologías o la sofisticación de los ataques cibernéticos. Esto solo se puede lograr a través de evaluaciones de riesgos periódicas que se llevan a cabo anualmente.

Comprender el proceso de gestión de riesgos para las aseguradoras

Mientras que la evaluación de riesgos se refiere a la identificación de puntos débiles potenciales para la seguridad de los datos, la gestión de riesgos se refiere al monitoreo y mitigación activos de los riesgos potenciales que su empresa podría enfrentar. Un plan de gestión de riesgos, según NAIC, incluirá los siguientes pasos.

Establecimiento de un programa de seguridad de la información.

La gestión de riesgos comienza con un programa eficaz de seguridad de la información. Dicho programa debe ser relevante para las operaciones de su negocio y debe tener suficientes recursos para ayudar a identificar y mitigar cualquier riesgo actual que su empresa pueda enfrentar.

Implementación de controles de seguridad.

Controles de seguridad para limitar quién tiene acceso a los datos confidenciales de los clientes y, al mismo tiempo, brindar una capa adicional de protección contra las amenazas internas. Su protocolo de control de seguridad debe incluir un proceso de autenticación para el acceso a los datos, acceso físico restringido a varias partes del negocio, pruebas y monitoreo regulares de los sistemas de la empresa y desarrollo de software seguro.

Un plan de gestión de riesgos empresariales que incorpora ciberseguridad

Su plan ERM también debe incluir amenazas de seguridad cibernética como parte de los elementos potenciales a tener en cuenta.

Poner en marcha un plan de intercambio de información

El intercambio de información permite que todos los departamentos y actores de la industria conozcan los nuevos riesgos de manera oportuna, para diseñar una respuesta adecuada.

Capacitación regular para mantener al personal al tanto de los riesgos emergentes

Finalmente, su plan de gestión de riesgos debe incluir la capacitación del personal adecuado para que puedan mantenerse al tanto de las estrategias en rápida evolución que utilizan los atacantes cibernéticos.

Nota del editor : Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Ciberseguridad y educación superior
• Asegurando la nube
• ¿Qué es la tolerancia al riesgo y el apetito por el riesgo?
• Mejores prácticas para la gestión del cumplimiento
• Procesos efectivos de gestión de auditoría de flujo de trabajo