Mutuas, banca y seguros: cómo el cumplimiento de la normativa informática se ha convertido en un problema sistémico

Compartir

Mutuelle du Mans Assurance (MMA) en julio de 2020, Mutuelle Nationale des Hôpitaux en febrero de 2021, Axa en mayo de 2021, AssurOne en julio de 2021, April, Verlingue, Génération y Coverlife en noviembre de 2021, Caisse Centrale de Réassurance en julio de 2022, Emoa Mutuelle du Var en agosto de 2022... La lista de ciberataques a aseguradoras y mutuas de seguros sigue creciendo.

Con la gestión diaria de nuestros datos personales y médicos, la seguridad informática es más que nunca una cuestión importante en el funcionamiento de estos sectores. Pero, ¿qué nivel de conformidad informática deben alcanzar estos sectores? ¿Y qué está en juego? Averígüelo con nuestro experto en cumplimiento informático.

Mutuas, banca y seguros: un sector muy regulado

Antes de profundizar en la conformidad informática y comprender lo que está en juego, conviene hacer un balance de las normas y reglamentos que rigen los sectores de las finanzas, los seguros y las mutuas. 

Los orígenes de las normas prudenciales y los acuerdos de Basilea

A raíz de las diversas crisis financieras del siglo XX, se han establecido y reforzado numerosas restricciones y normas a lo largo de la historia. El objetivo de esta mezcla de disposiciones legales y normas éticas es proteger a los ciudadanos contra los riesgos excesivos asociados a sus inversiones en sociedades de fondos. 

En 1974, tras la quiebra del banco alemán Herstatt, los bancos centrales y supervisores bancarios del G10 se reunieron para introducir el concepto de supervisión bancaria y normas prudenciales. En 1988, se publicó el primer Acuerdo de Basilea tras los trabajos de este comité. Fue un acto fundacional de la regulación bancaria para garantizar la seguridad general de los mercados financieros. 

Posteriormente, los escándalos derivados de las malas inversiones bursátiles y la falta de control interno, así como la crisis financiera de 2008, dieron lugar a dos importantes revisiones. Los Acuerdos de Basilea permitieron entonces garantizar la solidez financiera de bancos, aseguradoras y mutuas.

Solvencia 1 y 2, normativa europea para los sectores de seguros y mutuas

Para adaptarla a la normativa bancaria, la Directiva Solvencia 1 (o Directiva de Solvencia) fue adoptada en 2009 por el Parlamento Europeo y el Consejo de la UE. Esta reforma de la normativa prudencial específica del sector de los seguros aborda la capacidad de las aseguradoras para cumplir sus compromisos con los asegurados. Están sujetos a esta nueva directiva

  • compañías de seguros regidas por el Código de Seguros;
  • las mutualidades regidas por el Code de la mutualité ;
  • instituciones de previsión regidas por el Código de la Seguridad Social.

A raíz de la crisis de 2008 y siguiendo el ejemplo de los acuerdos de Basilea 2, Solvencia 2 que pretende reforzar las normas europeas sobre la base de 3 pilares:

  1. reforzar la protección de los asegurados ;
  2. animar a las empresas a mejorar su gestión de riesgos;
  3. garantizar una aplicación armonizada y transparente de la normativa en toda la Unión Europea. 

El objetivo es claro: garantizar que las aseguradoras puedan cumplir sus obligaciones, sea cual sea la situación. Solvencia 2, que entró en vigor en 2016, refuerza por tanto los controles y la obligación de justificar la solvencia. Esto significa que los equipos internos deben vigilar constantemente la buena gestión de su negocio, y calcular y controlar los riesgos.

Cumplimiento informático: el pilar de la estabilidad de la SI

En una mutua, compañía de seguros o entidad bancaria, el cumplimiento de las normas comerciales es de vital importancia.

Baptiste DavidJefe de Preventa y Entrega en Tenacy, resume: " Para caricaturizar, todos los sectores que tienen capacidad para gestionar dinero están regulados por los acuerdos de Basilea. Así que, históricamente, este sector se ha dado cuenta de que para garantizar la estabilidad de organizaciones como las mutuas, las compañías de seguros y los bancos, también es esencial la estabilidad de sus sistemas de información. "

A continuación, el sistema de información debe cumplir los requisitos, normas, leyes, políticas internas o cualquier otro documento de referencia. Esto es lo que llamamos conformidad informática. Las mutuas, las compañías de seguros y los bancos, que ya están muy limitados desde el punto de vista empresarial, han creado equipos de conformidad. Estos equipos gestionan las reglas y normas empresariales, así como la conformidad informática y ciberseguridad.

Cumplimiento informático para la gestión de riesgos y datos

Como todas las empresas, las instituciones y organizaciones del sector de la banca, las mutuas y los seguros están comprometidas en un proceso de certificación de sus sistemas de información. La norma ISO 27001, en particular, aborda la seguridad desde el ángulo de la gestión de riesgos y como parte de un proceso de mejora continua. El cumplimiento de esta norma implica implantar un sistema de gestión de la seguridad de la información (SGSI ) para recopilar, procesar y almacenar de forma segura los datos de los clientes.

Como cualquier empresa que opera en Europa, la organización también debe cumplir las obligaciones del Reglamento General de Protección de Datos (RGPD). Se trata de normas y reglamentos comunes a todas las organizaciones. Sirven de base para el cumplimiento de las TI, pero distan mucho de ser suficientes para los sectores de las mutuas, los seguros y la banca.

Cumplimiento informático vinculado a la situación de la OSE y la OIV 

Las mutuas pueden ser designadas operadores de servicios esenciales en el sector sanitario y operadores de interés vital. Esto significa que las organizaciones en cuestión deben cumplir la seguridad de las redes y de la información (NIS), la Directiva europea de 2016 sobre ciberseguridad, revisada en 2022, y la Ley de Planificación Militar (LPM), el texto legislativo francés votado para el programa 2019-2025.

Su objetivo es reforzar la capacidad de ciberseguridad empresas esenciales, cuya interrupción tendría graves consecuencias para el funcionamiento de la sociedad y el Estado.

Como señala Baptiste David, "laa ley de programación militar y las directivas NIS 1 y NIS 2 tienen ambas por objeto garantizar la seguridad de la nación. Un país como Francia necesita que sus sistemas bancario, asegurador y mutualista funcionen correctamente. Por ello, el Estado y Europa han impuesto normas de seguridad a estas empresas esenciales, que son vitales para la estabilidad de un país. "

Cumplimiento en el sector de la banca, las mutuas y los seguros: especificidades

Cumplimiento de la normativa informática en el sector sanitario

Las mutuas y aseguradoras de salud que alojan datos sanitarios personales deben contar con la certificación HDS ( Hébergeur de Données de Santé). Expedida por la ANS (Agence du Numérique en Santé), esta certificación demuestra el compromiso de la organización con la protección de los datos sanitarios personales.

Baptiste David explica: "EsEs una web francesa reglamentación con vocación internacional para empresas que deseen almacenar datos sanitarios de franceses. Por ejemplo, Microsoft tiene la certificación HDS y, por tanto, puede albergar datos sanitarios personales. Y la particularidad del HDS es que, para estar certificado, también hay que tener la ISO 27001. "

Cumplimiento informático en el sector financiero

Toda organización que procese datos de titulares de tarjetas de pago debe cumplir la norma internacional de seguridad de datos PCI DSS (Payment Card Industry Data Security Standard). Se trata de una serie de medidas diseñadas para reducir el fraude y el robo en Internet.

Adoptada por el Consejo Europeo a finales de noviembre de 2022, la Act (DORA) es el nuevo reglamento sobre la resistencia operativa de los sistemas de información en el sector financiero. Este texto legislativo debe permitir a los bancos y otras empresas que prestan servicios financieros ser " resilientes en caso de perturbaciones operativas graves ", dice el comunicado de prensa del Consejo de la UE. Esta importante normativa europea se incorporará a la legislación francesa a principios de 2023.

En conclusión 

Los sectores de las mutuas, los seguros y la banca están sujetos a un gran número de reglas, normas, leyes, obligaciones legales y políticas de seguridad. La concienciación sobre el riesgo cibernético es mayor en este sector que en otros. La gestión de la conformidad empresarial ha anclado esta cultura de gestión de riesgos desde hace décadas.

Al mismo tiempo, estos requisitos de conformidad se aplicarán a sistemas de información que, por definición, están en constante evolución. La digitalización de los usos (aplicaciones en línea, reembolsos sin papel, tarjetas de seguro digitales, consultas médicas por videoconferencia o chat, etc.) aumenta el número de proyectos, y el reto para el CISO consiste en controlar el cumplimiento en el desarrollo diario de su sistema de información.

Baptiste David concluye insistiendo en la necesidad de una visión exhaustiva de los proyectos que hay que asegurar y en el concepto de seguridad desde el diseño : "Cada día, las Fábricas Digitales o los equipos de desarrollo crean nuevos elementos. Para los equipos de seguridad, la seguridad por diseño significa asumir cada proyecto que se realiza en la empresa, desde cambiar el color de una pared que tiene poco impacto hasta crear una nueva aplicación móvil. Y precisar los elementos de conformidad que deben aplicar los equipos de diseño".

Pero para ello, el CISO necesita tener una visión compartida de los proyectos de su organización... ¡Y ahí es donde reside sin duda el verdadero reto!