La formación técnica, organizativa y legal, junto a las acciones de sensibilización y concienciación, es determinante para desarrollar e integrar una cultura de seguridadentre los mediadores de seguros para proteger su activo más valioso: la información.
Tal y como quedó de manifiesto en el post Ciberseguridad: cómo influye el factor humano, las personas son el eslabón más débil de la cadena de la seguridad. Por dicho motivo, desde el Instituto Nacional de Ciberseguridad (Incibe) recomiendan a las empresas desarrollar una cultura de seguridad para proteger el principal activo de cualquier organización: la información.
Sin embargo, desarrollar e integrar una cultura de seguridaden una empresa dedicada a la mediación de seguros no es tarea sencilla. En primer lugar, porque lleva su tiempo. Y después, porque los trabajadores suelen ver los protocolos de seguridad como un incordio, algo que dificulta sus actividades cotidianas. A pesar de ello, independientemente del tamaño de la organización, es esencial tomarse muy en serio todo lo relacionado con la seguridad, ya que lo que está en juego es la continuidad del negocio.
A través del presente post, y gracias a la ayuda de Incibe, repasamos los procesos que ha de tener en cuenta una empresa dedicada a la mediación de seguros para establecer una cultura de seguridad que contribuya a proteger la información.
La formación, pilar de la cultura de seguridad
Tradicionalmente, la seguridad ha sido considerada un gasto y no una inversión. Y cuando las empresas han impulsado iniciativas relacionadas con la formación en seguridad, normalmente se ha tratado de acciones que tenían que ver con la seguridad en el puesto de trabajo y la prevención de riesgos laborales.
Podría afirmarse que dicho escenario cambió en 1999 con la aprobación de la Ley Orgánica de Protección de Datos (LOPD) de carácter personal. Su entrada en vigor provocó que las empresas más afectadas por el cumplimiento de dicha normativa comenzasen a impulsar sesiones de formación entre sus empleados con el objetivo de garantizar la privacidad de los usuarios. Una iniciativa que se convirtió en obligación con la aparición del Reglamento General de Protección de Datos (RGPD).
En el caso de la seguridad de la información, va más allá de la protección de datos personales y abarca toda la información necesaria para asegurar el normal desarrollo de una empresa. En cuanto a la formación, debe distinguirse entre el personal técnico y el resto de empleados.
Mayor grado de especialización para el personal técnico
El personal técnico de una correduría de seguros, ya sea interno o externo, ha de contar con un mayor grado de especialización que el resto de integrantes de la organización. Para que ello sea así, tiene que formarse en aspectos tan críticos como:
- La seguridad de los sistemas operativos y las aplicaciones: políticas de seguridad, aplicación de parches, gestión de vulnerabilidades, etc.
- La gestión y administración de elementos de seguridad perimetral: cortafuegos, antivirus, sistemas de detección de intrusos, etc.
- Las copias de seguridad y otros mecanismos de contingencia.
- Los sistemas de seguridad de los equipos informáticos.
- La gestión y resolución de incidentes de seguridad.
- Las políticas de seguridad sobre los soportes extraíbles.
- Otros mecanismos de seguridad: herramientas de cifrado, mecanismos de autenticación, gestión de contraseñas, etc.
Además, Incibe recuerda que la vertiginosa evolución de la tecnología exige que el personal técnico esté inmerso en un continuo proceso de formación. Considerando que los mediadores de seguros tienen una alta dependencia tecnológica, su personal técnico debe estar al día para proteger de forma efectiva a la organización.
Formación específica para mediadores de seguros
Por lo que respecta a los mediadores de seguros, ya hemos visto que han de estar familiarizados con el RGPD para tratar correctamente los datos personales de los clientes y eludir así posibles sanciones. Pero, además, deben ser formados para que puedan:
- Aprender a reconocer un ataque de ingeniería social y evitarlo para no proporcionar información corporativa a terceros.
- Proteger adecuadamente su puesto de trabajo en lo relativo al antivirus, las actualizaciones, el correo electrónico, etc.
- Aplicar o poner en práctica controles de acceso físico.
- Tratar y manejar adecuadamente los soportes y dispositivos móviles (ordenadores portátiles, tabletas y smartphones).
- Entender los riesgos que conlleva el acceso a páginas web externas, aplicaciones de terceros, descargas o actualizaciones no validadas por el personal técnico.
La Política de Seguridad, cosa de todos
Asimismo, para desarrollar e integrar una cultura de seguridad en una empresa como una correduría de seguros es necesario establecer unas normas y procedimientos que formen parte de la Política de Seguridad. Hablamos de un documento en el que tienen que quedar plasmados los objetivos en materia de seguridad de la información. Desde lo que se puede y no se puede hacer hasta las sanciones por uso indebido de los recursos corporativos, la Política de Seguridad ha de contemplar las normas internas y ser comunicada a todos los empleados de la organización.
¿Cómo se garantiza el cumplimiento de las buenas prácticas?
Pero contar con un personal formado y establecer una Política de Seguridad no es suficiente. Además, una empresa está obligada a velar por el cumplimiento de las buenas prácticas. Para que ello sea así, es requisito indispensable contar con una o varias personas encargadas de supervisar que se está aplicando el marco de trabajo establecido. Y dicha inspección puede realizarse a través de auditorías internas o externas, herramientas de monitorización o controlando el correo electrónico –si existen sospechas fundadas de un mal uso por parte de los empleados–.
Acciones de sensibilización y concienciación
Finalmente, de nada servirá todo lo expuesto sin la implicación de todos los mediadores de seguros. “Si los empleados no se consideran parte fundamental de este proceso, el fracaso está garantizado”, advierten desde Incibe. Al respecto, el organismo recomienda concienciar a los trabajadores en los siguientes temas:
- Uso seguro de redes wifi.
- Uso seguro del correo electrónico.
- Prácticas de navegación segura.
- Identificación de virus y malware.
- Gestión de contraseñas.
- Clasificación de la información.
- Borrado seguro de la información.
- Uso de dispositivos USB.
- Seguridad en dispositivos móviles.
- Uso de programas de mensajería instantánea.
- Riesgo de las redes sociales.
- Técnicas de ingeniería social.
- Mesas limpias.
- Destrucción segura de la documentación en soporte papel.
- Posibles escenarios de fuga de información.
En definitiva, concluye Incibe, concienciar en seguridad de la información es rentable. Y de cara a ayudar a organizaciones como las corredurías de seguros, ha habilitado la sección Protege tu empresa en su página web. Una magnífica iniciativa que ayuda a desarrollar e integrar una cultura de seguridad en el tejido empresarial gracias a herramientas, recursos de formación o guías que, sin duda, serán de gran utilidad para los mediadores de seguros.
Artículos de interés relacionados:
Ciberriesgos en las pymes: ¿cómo prevenirlos?
BYOD: ¿qué riesgos entraña?