¿El Reglamento General de Protección de Datos obligará a los mediadores de seguros a adoptar medidas de seguridad de la información? ¿De qué tipo? Además, ¿deberán comunicar las brechas de seguridad? ¿Serán sancionados si no lo hacen? Expertos en la materia nos dan respuesta a estas y otras cuestiones relacionadas con la RGPD y la ciberseguridad.
En el blog de Senassur no es la primera vez –ni, a buen seguro, la última– que nos ocupamos del Reglamento General de Protección de Datos (RGPD).
comunitario, cuya trasposición a la legislación española deberá concluir antes del 25 de mayo de 2018. Una norma que obliga a las empresas, entre ellas las del sector asegurador, a garantizar una mayor protección a sus clientes, en lo que a la información de carácter personal se refiere, a través de la implementación de medidas de seguridad.
Pero, al margen de las exigencias del RGPD, ¿por qué es aconsejable tomarse en serio la seguridad de la información en el ámbito empresarial? ¿Por qué los datos de carácter personal son tan “apetecibles” para los cibercriminales?
Al respecto, Antonio Febrero, director de Afa Solutions y ponente en algunas de las jornadas que Senassur ha organizado en los colegios de mediadores de seguros de Madrid y Málaga, recuerda que raro es el día que no se registran problemas de seguridad en los sistemas. “Hace unos meses, los datos de 143 millones de personas fueron afectados por el ataque que sufrió una firma estadounidense especializada en información sobre solvencia crediticia. Y los delitos que pueden cometer los cibercriminales con los datos recopilados de forma ilegal son muchos: chantajes, extorsiones, robos, etc.”, precisa este experto en seguridad de la información.
Objetivo del RGPD: proteger los datos de los clientes
Al solicitarle su valoración sobre el RGPD, Febrero destaca que nos encontramos ante un nuevo escenario. “Existen muchos riesgos a los que, anteriormente, no se les había dado suficiente importancia por desconocimiento o cualquier otra razón. En el caso de las corredurías de seguros, se les va a exigir una mayor protección de la información que manejen. Pero los profesionales del sector asegurador han de verlo como algo positivo, ya que el objetivo del RGPD, mediante la implementación de una serie de medidas técnicas y operacionales, es evitar, en lo posible, que tengan problemas de seguridad, contribuyendo así a que puedan proteger los datos de sus clientes. Las medidas de seguridad informática deberán ponerse en práctica empleando las herramientas destinadas para tal fin y con el apoyo de profesionales especializados en la materia”, precisa el director de Afa Solutions.
Y respecto a si las pymes, en general, y los mediadores de seguros, en particular, están lo suficientemente informados y concienciados sobre las medidas de seguridad informática que tendrán que implementar, Antonio Febrero opina que no lo suficiente. “En lo relativo a la seguridad de la información, se suele reaccionar cuando se tiene un problema”, advierte. Una filosofía que ya no tendrá razón de ser con el RGPD, basado en los principios de la responsabilidad proactiva y el enfoque del riesgo.
Sistemas de cifrado
Llegados a este punto, habrá quien se pregunte qué tipo de medidas de seguridad de la información tendrá que implementar una organización a tenor de los requisitos del RGPD. Consultado por el blog de Senassur, Josep Albors, responsable de Concienciación de ESET España, explica que una de ellas son los sistemas de cifrado.
“Se trata de herramientas diseñadas para proteger nuestra privacidad y están pensadas para evitar que la información confidencial pueda ser leída por personas no autorizadas. Aunque una empresa o particular sufra un robo de información confidencial, si la información está cifrada no será de ninguna utilidad para los atacantes ni podrá ser empleada en contra de la víctima”, razona.
“Quienes manejen datos confidenciales de sus clientes como, por ejemplo, historiales médicos, deberán instalar un tipo de cifrado que cumpla con unos estándares mínimos de robustez. Actualmente, la gran mayoría de “software” de cifrado disponible en el mercado cumple con dichos estándares, por lo que las opciones a elegir son variadas”, detalla Albors.
En cuanto a si todos los mediadores de seguros tendrán que cifrar la información, o solamente quienes comercialicen ciertos productos, el experto de ESET España esclarece que “los datos personales de clientes y proveedores susceptibles de ser robados deberían estar cifrados. Y esto afecta a cualquier tipo de empresa, no sólo a las relacionadas con el sector asegurador, si bien es cierto que estas últimas suelen manejar información confidencial con mayor asiduidad que otras”.
Doble factor de autenticación
Además, el RGPD deja abierta la posibilidad de implementar medidas como los sistemas de doble factor de autenticación (2FA). Pero, ¿qué son exactamente y cómo protegen a los usuarios de ataques informáticos? ¿Por qué deben tener en cuenta los mediadores de seguros la implementación de sistemas 2FA en sus organizaciones?
Según Josep Albors, “el 2FA es un mecanismo que añade una capa de seguridad adicional al impedir que un atacante acceda a cuentas de servicios como el correo electrónico o a la red corporativa si nuestro usuario y contraseña se han visto comprometidos. Además de estos mecanismos de autenticación clásicos, el 2FA solicita un código de un solo uso que, normalmente, es generado por un dispositivo que obra en nuestro poder –por ejemplo, un “smartphone”–, impidiendo el acceso no autorizado aunque nos hayan robado el usuario y la contraseña”.
“Es una medida de seguridad fácil de instalar y que añade robustez a la autenticación de los usuarios a la hora de acceder a datos confidenciales o de especial criticidad”, apunta el experto de ESET España al blog de Senassur.
¿Qué son las brechas de seguridad?
Otro de los aspectos del RGPD que ha de tenerse en cuenta son las denominadas brechas de seguridad. Pero, ¿qué se entiende por brecha de seguridad? ¿Los mediadores de seguros estarán obligados a notificarlas cada vez que se produzcan?
“Una brecha de seguridad es aquel incidente en el que un atacante logra acceder a la red corporativa o a alguno de los dispositivos que contienen información confidencial. Muchas veces, estos ataques tienen como consecuencia el robo y la filtración de datos confidenciales o incluso su secuestro mediante un “ransomware”. En cuanto a la segunda cuestión, todas las empresas que manejen datos personales o corporativos están obligadas a comunicar cualquier tipo de incidente de esta índole a la Agencia Española de Protección de Datos (AEPD). Y con el RGPD también deberán hacerlo público a menos que los datos se encuentren debidamente cifrados”, señala Albors.
Sobre dicha cuestión, Antonio Febrero añade que “todas las empresas deberán notificar las brechas de seguridad, tan pronto como tengan conocimiento de las mismas, tanto a la AEPD como a los interesados. El incumplimiento de notificar las violaciones de seguridad puede ser sancionado con multas administrativas de hasta 10 millones de euros o una cuantía equivalente al dos por ciento del volumen de negocio anual global del ejercicio financiero anterior, optándose por la mayor cuantía”.
Las auditorías periódicas, recomendables
Por último, le preguntamos al responsable de Concienciación de ESET España si el RGPD obligará a los mediadores de seguros a contar con una certificación en materia de seguridad informática. En este sentido, Josep Albors deja claro que “el Reglamento insta a las empresas a adoptar las medidas de seguridad necesarias para proteger la información confidencial, pero no es obligatorio que se certifiquen en materia de seguridad de la información”.
“Lo que sí es recomendable es que las empresas se sometan a auditorías periódicas para conocer sus puntos débiles, en lo que a la ciberseguridad se refiere, y contacten con profesionales que les ayuden a solucionar sus deficiencias”, concluye.
10 consejos prácticos de ciberseguridad
Para finalizar, Antonio Febrero hace hincapié en que las ciberamenazas representan una de las mayores preocupaciones para las empresas en todo el mundo. Por ello, desde Afa Solutions recomiendan que los mediadores de seguros pongan en práctica los siguientes consejos de ciberseguridad.
- Asegurar tanto la red cableada como la inalámbrica (wifi).
- Mantener actualizados los parches del “software”.
- Dictar una política de contraseñas seguras.
- Realizar copias de seguridad internas y externas.
- Utilizar antivirus de calidad.
- Cifrar los datos y las comunicaciones.
- Utilizar firma electrónica y certificados de calidad.
- Instalar y gestionar “firewalls” perimetrales con UTM.
- Bloquear los archivos ejecutables que suelen portar “malware”.
- Contratar personal especializado en administración de sistemas y seguridad de la información.
Y, por supuesto, al margen de los requisitos del RGPD expuestos en el presente post, cumplir las exigencias de la actual Ley Orgánica de Protección de Datos (LOPD) de Carácter Personal hasta la aprobación de la nueva norma –a la hora de redactar estas líneas, en fase de anteproyecto –, con la que se intentará clarificar las disposiciones incluidas en el Reglamento dentro de los márgenes que el mismo establece.
También puedes leer:
RGPD: Trasposición a la normativa española
¿Qué es un Delegado de Protección de Datos?
Interesante artículo que me ha servido para que hacerme una idea más aproximada de lo que nos traerá el nuevo RGPD. Y me quedo con los consejos prácticos de ciberseguridad, muy útiles.
Buenos días David.
Muchas gracias por su comentario en el blog de Senassur. Nos alegramos de que el artículo haya sido de su interés.
Recuerde suscribirse al blog si desea recibir nuestro Newsletter mensual con las noticias destacadas del mes.
Saludos.
El equipo Senassur.