Mutuelle du Mans Assurance (MMA) en julio de 2020, Mutuelle Nationale des Hôpitaux en febrero de 2021, Axa en mayo de 2021, AssurOne en julio de 2021, April, Verlingue, Génération y Coverlife en noviembre de 2021, Caisse Centrale de Réassurance en julio de 2022, Emoa Mutuelle du Var en agosto de 2022... La lista de ciberataques a aseguradoras y mutuas sigue creciendo. Con la gestión diaria de nuestros datos personales y médicos, la seguridad informática es más que nunca un tema importante en el funcionamiento de estos sectores. Pero, ¿qué nivel de conformidad informática deben alcanzar estos sectores? ¿Y qué está en juego? Averígüelo con nuestro experto en cumplimiento informático.
Mutuas, banca y seguros: un sector muy regulado
Antes de profundizar en la conformidad informática y comprender lo que está en juego, conviene hacer un balance de las normas y reglamentos que rigen los sectores de las finanzas, los seguros y las mutuas.
A raíz de las diversas crisis financieras del siglo XX, se han establecido y reforzado numerosas restricciones y normas a lo largo de la historia. El objetivo de esta mezcla de disposiciones legales y normas éticas es proteger a los ciudadanos contra los riesgos excesivos asociados a sus inversiones en sociedades de fondos.
En 1974, tras la quiebra del banco alemán Herstatt, los bancos centrales y supervisores bancarios del G10 se reunieron para introducir el concepto de supervisión bancaria y normas prudenciales. En 1988, se publicó el 1er Acuerdo de Basilea tras los trabajos de este comité. Fue un acto fundacional de la regulación bancaria para garantizar la seguridad global de los mercados financieros.
Posteriormente, los escándalos derivados de las malas inversiones bursátiles y la falta de control interno, así como la crisis financiera de 2008, dieron lugar a dos importantes revisiones. Los Acuerdos de Basilea permitieron entonces garantizar la solidez financiera de bancos, aseguradoras y mutuas.
Para adaptarla a la normativa bancaria, la Directiva Solvencia 1 (o Directiva de Solvencia) fue adoptada en 2009 por el Parlamento Europeo y el Consejo de la UE. Se trata de una reforma de la normativa prudencial específica del sector de los seguros, que aborda la capacidad de las aseguradoras para cumplir sus compromisos con sus asegurados. Están sujetos a esta nueva directiva
- Compañías de seguros regidas por el Código de Seguros francés,
- Mutuas regidas por el Código de las Mutuas,
- Instituciones de previsión regidas por el Código de la Seguridad Social.
A raíz de la crisis de 2008 y siguiendo el ejemplo de los acuerdos de Basilea 2, Solvencia 2 que pretende reforzar las normas europeas sobre la base de 3 pilares:
- Reforzar la protección de los asegurados,
- Animar a las empresas a mejorar su gestión de riesgos
- Garantizar una aplicación armonizada y transparente de la normativa en toda la Unión Europea.
El objetivo es claro: garantizar que las aseguradoras puedan cumplir sus obligaciones, sea cual sea la situación. Solvencia 2, que entró en vigor en 2016, refuerza por tanto los controles y la obligación de justificar la solvencia. Esto significa que los equipos internos deben vigilar constantemente la buena gestión de su negocio, y calcular y controlar los riesgos.
Cumplimiento informático: el pilar de la estabilidad de la SI
Como acabamos de ver, en una mutua, una compañía de seguros o un banco, el cumplimiento de las normas comerciales es de vital importancia. Baptiste DavidResponsable de Preventa y Entrega en Tenacy, resume: " Para caricaturizar, todos los sectores que tienen capacidad para gestionar dinero están regulados por los acuerdos de Basilea. Así que, históricamente, este sector se dio cuenta de que para garantizar la estabilidad de organizaciones como las mutuas, las compañías de seguros y los bancos, también necesitaba garantizar la estabilidad de sus sistemas de información. "
A continuación, el sistema de información debe cumplir los requisitos, normas, leyes, políticas internas o cualquier otro documento de referencia. Esto es lo que llamamos conformidad informática. Las mutuas, las compañías de seguros y los bancos, que ya están muy limitados desde el punto de vista empresarial, han creado equipos de conformidad. Estos equipos gestionan las reglas y normas empresariales, así como la conformidad informática y ciberseguridad.
Como todas las empresas, los establecimientos y organizaciones de este sector empresarial participan en el proceso de certificación de los sistemas de información. El sitio norma ISO 27001 aborda la seguridad a través de la gestión de riesgos como parte de un proceso de mejora continua. El cumplimiento de esta norma implica implantar un sistema de gestión de la seguridad de la información (SGSI) para recopilar, procesar y almacenar de forma segura los datos de los clientes.
Como cualquier empresa que opera en Europa, la organización también debe cumplir las obligaciones del Reglamento General de Protección de Datos (RGPD). Se trata de normas y reglamentos comunes a todas las organizaciones. Sirven de base para el cumplimiento de las TI, pero distan mucho de ser suficientes para los sectores de las mutuas, los seguros y la banca.
Cumplimiento informático relacionado con la situación de la OSE y la OIV
Las mutuas pueden ser designadas operadores de servicios esenciales en el sector sanitario y operadores de interés vital. Esto significa que las organizaciones en cuestión deben cumplir la seguridad de las redes y de la información (NIS), la directiva europea de 2016 sobre ciberseguridad, revisada en 2022, y la Ley de Planificación Militar (LPM), el texto legislativo francés votado para el programa 2019-2025.
Su objetivo es reforzar las capacidades de ciberseguridad empresas esenciales, cuya interrupción tendría graves consecuencias para el funcionamiento de la sociedad y del Estado, como nos recuerda Baptiste David: " Tanto la ley de programación militar como las directivas NIS1 y NIS2 tienen por objeto garantizar la seguridad de la nación. Un país como Francia necesita que sus sistemas bancario, asegurador y mutualista funcionen correctamente. Por ello, el Estado y Europa han impuesto normas de seguridad a estas empresas esenciales, que son vitales para la estabilidad de un país. "
Las mutuas y aseguradoras de salud que alojen datos sanitarios personales deberán certificarse HDSque significa Health Data Hosting (alojamiento de datos sanitarios). Expedida por la ANS (Agence du Numérique en Santé), esta certificación demuestra el compromiso de la organización con la protección de los datos sanitarios personales. Baptiste David señala que Se trata de un reglamentación francés con vocación internacional para las empresas que deseen almacenar datos sanitarios de franceses. Por ejemplo, Microsoft cuenta con la certificación HDS y, por tanto, puede albergar datos sanitarios personales. Y la particularidad de HDS es que, para estar certificado, también hay que tener la ISO 27001. "
Cumplimiento informático en el sector financiero
Toda organización que procese datos de titulares de tarjetas de pago debe cumplir la norma internacional de seguridad de datos PCI DSS (Payment Card Industry Data Security Standard). Se trata de una serie de medidas diseñadas para reducir el fraude y el robo en Internet.
Adoptada por el Consejo Europeo a finales de noviembre de 2022, la Act (DORA) es el nuevo reglamento sobre la resistencia operativa de los sistemas de información en el sector financiero. Este texto legislativo debe permitir a los bancos y otras empresas que prestan servicios financieros ser " resilientes en caso de perturbaciones operativas graves ", dice el comunicado de prensa del Consejo de la UE. Esta importante normativa europea se incorporará a la legislación francesa a principios de 2023. Se aplica igualmente a las mutuas de seguros, los contables y los corredores.
En conclusión
Como hemos visto a lo largo de este artículo, los sectores de las mutuas, los seguros y la banca están sujetos a un gran número de reglas, normas, leyes, obligaciones legales y políticas de seguridad. La concienciación sobre el riesgo cibernético es mayor en este sector que en otros. La gestión de la conformidad empresarial ha anclado esta cultura de gestión de riesgos desde hace décadas. Además, los cumplimientos mencionados se aplicarán a sistemas de información que, por definición, están en constante cambio. La digitalización de los usos (solicitudes en línea, reembolsos sin papel, tarjetas de seguro digitales, consultas médicas por videoconferencia o chat, suministro de recetas médicas, etc.) multiplica el número de proyectos, y el reto para el CISO consiste en controlar el cumplimiento en el desarrollo diario de su sistema de información. Baptiste David concluye con la necesidad de una visión exhaustiva de los proyectos que hay que asegurar y el concepto de seguridad por diseño : "Cada día, las Fábricas Digitales o los equipos de desarrollo crean nuevos elementos. La seguridad en los proyectos, para los equipos de seguridad, significa asumir todos los proyectos que tienen lugar en la empresa, desde cambiar el color de la pared, que tiene poco impacto, hasta crear una nueva aplicación móvil. Y precisar los elementos de conformidad que deben aplicar los equipos de diseño".
Pero para que esto ocurra, el CISO necesita tener una visión compartida de los proyectos de la organización... ¡Y aquí es donde radica sin duda el verdadero reto!