En un momento en el que el sector asegurador está inmerso en un fuerte proceso de digitalización, nos preguntamos: ¿cuán vulnerables son las aseguradoras a los ataques informáticos? ¿Cuáles son los datos sensibles que pueden perder las Compañías y cuál sería el costo de dicho incidente?
Escribe Aníbal Cejas
Más de la mitad de las empresas argentinas sufrió algún tipo de incidente de seguridad informática, según un reporte especializado.
Los ataques a las Compañías pueden venir desde empleados infieles, descuidos internos, hackeos externos.
En este contexto, dialogamos con los responsables de tecnología de un grupo de aseguradoras líderes y con consultores en el área.
Ahora bien, ¿cuáles son los riesgos a los que está expuesta la información de una Compañía y qué son los ‘incidentes de seguridad informática’?
Andrés Sacchini, Responsable de Seguridad de la Información del Grupo Asegurador La Segunda, respondió: «Los incidentes de Seguridad Informática son todos aquellos eventos que pueden poner en riesgo algún activo de información soportado y/o transferido en medios informáticos. Los tres pilares de la Seguridad Informática son asegurar Confidencialidad, Disponibilidad e Integridad de la información, por lo que la función no se limita solo a mitigar ataque de virus, malware o hackeos externos; sino que cualquier brecha de seguridad detectada en el manejo de información en los sistemas informáticos de la empresa debe ser tratada y mitigada. Por ejemplo, acceso indebido a información por incompatibilidad de funciones (Confidencialidad), imposibilidad de acceso a información por falla en la infraestructura informática (Disponibilidad) o modificación de datos por fuera de los sistemas formales (Integridad).
Todo incidente de seguridad debe ser tratado; en algunos casos el riesgo detectado puede ser mitigado y en otros casos, y dependiendo del apetito al riesgo del negocio y la magnitud del mismo, puede ser asumido como tal».
Luego, Clorinda Mantaras, Directora de Servicios y Tecnología del Grupo Sancor Seguros, indicó: «Un incidente de seguridad informática es un evento que atenta contra la confidencialidad, integridad y/o disponibilidad de la información. Los mismos pueden ser de origen interno (empleados, colaboradores) o externos (delincuentes informáticos, competencia). Entre los diferentes tipos de incidentes de seguridad podemos nombrar: infección de malware, denegación de servicios, fuga o robo de información, suplantación de identidad, etc.».
Seguidamente, Jorge García Vega, Gerente de Sistemas de Orbis, señaló: «La seguridad es un tema complejo que abarca problemáticas muy disímiles.
Efectivamente, el tema no se limita únicamente a tomar las medidas adecuadas para tratar de evitar los efectos de malware y virus, sino que también existen problemáticas de ingeniería social, políticas de distinto tipo como rutinas de asignación y cambio de contraseñas, correcta comunicación entre los sectores de la empresa por altas y bajas de personal, administración de perfiles adecuados a las responsabilidades de los empleados, control de accesos remotos, claves destinadas a proveedores que interactúan con la empresa, para mencionar algunos ejemplos».
A continuación, Camilo Gutiérrez Amaya, Head of Awareness & Research de ESET Latinoamérica, explicó: «Un incidente de seguridad se refiere a la materialización de un riesgo que puede violar la política de seguridad definida por la empresa. En este sentido, para que un riesgo se convierta en un incidente de seguridad debe existir una amenaza que pueda aprovechar una vulnerabilidad y esto genere algún tipo de pérdida para la empresa.
Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.
Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información.
En este caso un código malicioso (malware) es una amenaza que puede aprovechar una vulnerabilidad como puede ser un sistema desactualizado, lo cual genera un incidente de seguridad que puede ser el robo de contraseñas».
La Seguridad en el sector asegurador
¿Cuán vulnerables son las aseguradoras a los ataques informáticos? ¿Hay algún eslabón que sea más débil en el proceso de las aseguradoras respecto de otras industrias financieras?
Gastón Ramos Adot, Gerente de la Unidad de Negocios Argentina de Sistran Corporate, analizó: «Si bien la operatoria de las aseguradoras no difiere en mucho de la de otras industrias financieras (portales web que permiten el acceso de clientes y partners de negocio), sí existe un eslabón más débil si las comparamos, por ejemplo, con instituciones bancarias siendo este el departamento de sistemas de la compañía. Esto se debe a varios motivos, entre los cuales podemos citar tanto cuestiones presupuestarias como una cultura de la seguridad informática mucho más arraigada en el ambiente bancario donde se deben cumplir normativas más estrictas de seguridad. Resumiendo, el departamento de sistemas de una institución bancaria (del tamaño que fuera) cuenta con un área de seguridad informática con recursos especializados, cuando en el caso de las aseguradoras esto solo ocurre en las compañías de mayor envergadura».
Mantaras, por su parte, recordó que el sector asegurador no posee regulaciones específicas en el área y que ello hace que la seguridad dependa de la iniciativa de cada entidad: «Todas las empresas son vulnerables de sufrir un ataque informático. Si bien se realizan los esfuerzos para asegurar los sistemas antes de su salida a producción y para concientizar a los usuarios e implementar políticas de seguridad, las vulnerabilidades no desaparecen al cien por ciento, con lo cual, siempre existen riesgos que deben ser monitoreados y controlados.
Las aseguradoras, a diferencia de industrias financieras como la banca, no cuentan con regulaciones en lo que a seguridad de la información respecta, por lo cual muchas veces se hace difícil que la Organización tome real conciencia de los beneficios que trae aparejado trabajar con políticas, normas y estándares que cumplan las expectativas de seguridad informática».
Para Sacchini, las aseguradoras no son ni más ni menos vulnerables a ataques informáticos que cualquier otra industria. «Todos somos posibles blancos de ataques informáticos por cualquier motivo, robo de información, intento de fraude, hasta por ‘hacktivismo’. Se debe estar atento y preparados», alertó.
No obstante, en sintonía con su colega, reconoció: «La banca, al tener regulaciones más estrictas del Banco Central y ser la Seguridad de la Información un punto clave en esas regulaciones, tiene estructuras internas mucho más sólidas en las áreas de Seguridad y con un mayor protagonismo en el diseño de los procesos y decisiones del negocio».
En tanto, García Vega dijo que «la vulnerabilidad de cada Compañía pasa por la importancia que desde el área de IT se le haya dado al tema, y por el nivel de concientización que se haya logrado transmitir al respecto».
Y recomendó:
«En primer lugar, se deberá trabajar sobre la Dirección de la empresa para lograr un presupuesto adecuado para efectuar las inversiones necesarias para contar con las diferentes herramientas involucradas, como antivirus, firewall, filtros de navegación, filtros de contenidos, adecuado nivel de actualización de sistemas operativos, para citar algunos ejemplos.
Adicionalmente, deberá existir un plan integrado con el resto de las aéreas para lograr identificar posibles vulnerabilidades y potenciales fugas de información en cada una de ellas. Luego se deberá trabajar en la concientización y colaboración de los involucrados para generar las medidas adecuadas para reducir al mínimo las posibles fugas de información, identificando además, si es realmente necesario, qué personas son las que tengan acceso a ciertos datos».
Los datos sensibles
La información es un activo central de la industria aseguradora. La pérdida, adulteración o exposición pública de datos sensibles puede generar costos difíciles de calcular.
En este sentido, Ramos Adot marcó: «Los ataques dirigidos (APT por sus siglas en inglés) son perpetrados con el objetivo de capturar información sensible, muchas veces para vender esa información a las competencias. Los datos sensibles de las aseguradoras se dividen en dos grandes grupos: los datos de sus asegurados (nombres, cuentas bancarias, tarjetas de crédito, sumas aseguradas o primas pagas) y datos de su negocio para (productos comerciales, información de financiación, tarifación o campañas)».
Al respecto, Mantaras ejemplificó: «El Grupo Sancor Seguros se compone de diferentes empresas, en distintos rubros, como Seguros Generales, Seguros de Riesgos del Trabajo, Medicina Prepaga, Reaseguros, Fondos Comunes de Inversión, etc. En todas ellas se manejan diferentes tipos de datos sensibles que hacen a la privacidad de personas y empresas. Estos datos, que intervienen en procesos críticos de la Organización, son los referidos a los diferentes negocios del Grupo, y constituyen uno de los activos más importantes, que requieren un correcto resguardo y control de privacidad para evitar la pérdida, alteración y/o divulgación de los mismos. Esa pérdida, alteración y/o divulgación pública no solo implicarían un riesgo importante en la continuidad de los negocios del Grupo, sino también un daño muy considerable a la reputación de la empresa».
Después, García Vega reflexionó: «La realidad es que en todas las industrias los datos son sensibles. De todos modos, en la industria financiera -bancos o compañías de seguros- la frase que dice ‘el mayor activo de una empresa son sus datos’ no puede ser más cierta.
Es difícil enumerar y calcular el costo asociado a una potencial pérdida de ellos. De todos modos, sin dudas esos costos superan tremenda y holgadamente los gastos o las inversiones necesarias para contar con una adecuada protección ante incidentes».
Los productores asesores de seguros
Los sistemas de las aseguradoras son accedidos por los productores asesores y brokers, que interactúan cotidianamente. Este es otro eslabón de la cadena de seguridad.
«Los sistemas de los productores se conectan por mecanismos típicos de operatorias B2B ya sea utilizando productos de terceros (como BizTalk Server de Microsoft) o Web Services desarrollados por Sistran. En consecuencia, no es requerido que se establezcan conexiones (del tipo VPN site-to-site) entre la red interna de la aseguradora con las redes de los productores, quedando el tráfico de las transacciones sujeto a las medidas de seguridad que resguardan el perímetro de la red interna», expuso Ramos Adot.
A esto, Mantaras agregó que «se realizan los correspondientes test de penetración y evaluación de vulnerabilidades para identificar fallas de seguridad y corregirlas en los sistemas web provistos a los productores asesores».
Acto seguido, García Vega contó: «En nuestro caso hemos tomado la decisión de que nuestro front web para los PAS sea un sistema completamente independiente al Core transaccional de la empresa, si bien ambos dialogan a nivel aplicación. Lo mismo ocurre si el front utilizado es propio del productor. En ese caso, la comunicación se da a nivel web services con nuestro ambiente web -no con la red interna- poniendo de todos modos, a disposición del productor, los mismos servicios que si estuviera operando sobre nuestro front.
Algunos proveedores de sistemas Core anuncian que su sistema, al ser WEB, permite su acceso en forma directa de los productores. Es una posibilidad, pero en nuestro caso hemos preferido el camino de la separación de ambientes, inclusive a nivel aplicación».
Tendencias
Ramos Adot comentó que actualmente el mundo de la seguridad informática (empresas destinadas a tal efecto, como los hackers que se dedican a ello) paga muy buen dinero por lo que se denomina como ‘Zero Day’. «Estos son agujeros de seguridad que muchas veces ocurren en sistemas operativos, en bases de datos o en configuraciones de red, cuyos parches de seguridad no fueron aun provistos por sus desarrolladores, lo cual pone en vulnerabilidad a todos sus usuarios», amplió.
Por último, Gutiérrez Amaya subrayó: «Cuando una empresa identifica que existe un riesgo que puede derivar en un incidente de seguridad tiene, en general, cuatro maneras de afrontarlo: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo.
La primera opción está relacionada con tomar algún tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementación de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de información o la actividad asociada».
Daños
Camilo Gutiérrez Amaya, Head of Awareness & Research de ESET Latinoamérica, aclaró algunas dudas.
– ¿Cuáles daños pueden provocar los virus y los malwares en las redes de las compañías?
– Los incidentes de seguridad que pueden generar los códigos maliciosos pueden afectar tanto la confidencialidad, la integridad y la disponibilidad de la información de una empresa; lo cual puede representar desde el acceso a información sensible de la empresa, la modificación o destrucción no autorizada de información e incluso el impedimento de la operación normal de las redes, sistemas o recursos informáticos. Algunos ejemplos de este tipo de incidentes son el acceso no autorizado a sistemas, el robo de contraseñas, el robo de información o la denegación del servicio.
– ¿Los dispositivos móviles (celulares/tablets) son más vulnerables que las notebooks, laptops o PCs de escritorio al ataque de virus/malware?
– Todos los dispositivos móviles o computadoras tienen vulnerabilidades, las cuales están asociadas a sus sistemas operativos o aplicaciones instaladas.
Por otra parte, los cibercriminales se enfocan en aprovechar las vulnerabilidades en donde está la mayor cantidad de usuarios, de esto se desprende que para dispositivos móviles Android sea el más atacado y en el caso de computadores Windows registre la mayor cantidad de amenazas. Al final de cuentas no se trata de vulnerabilidades ya que todos los sistemas operativos (Windows, Mac OS, Linux, Android, iOS,…) y aplicaciones (navegadores, complementos, juegos,…) las tienen, se trata del juego de probabilidades de atacar donde está la mayor cantidad de usuarios pues ahí es donde los cibercriminales tienen más posibilidades de que un usuario se convierta en una víctima.