Haciendo la seguridad de las aseguradoras
La segunda jornada de Segurinfo 2010 no se olvidó de las compañías de seguros, y abrió un espacio de debate a sus áreas informáticas.
Desde hace algunas décadas a esta parte, el panorama de las empresas en general se viene modificando rápidamente ante el aumento progresivo de consumidores, proveedores, empleados, y por la complejización de las redes de comercio y herramientas de producción. Las inversiones a su vez a corto y largo plazo, requieren de respaldo ante la posibilidad de contratiempos, y éste puede encontrarse en una herramienta tan antigua como aún vigente: el seguro.
Las compañías de seguros han acompañado los procesos de negocios y las vidas de los individuos desde hace siglos, pero hoy en día se encuentran ante una serie de problemas, que bien podrían describirse como una crisis de crecimiento. El aumento en vertical de la cantidad de suscriptores a pólizas de seguros, la diversidad de características que éstas tienen, la relación con los productores asesores que cada compañía establece, el registro de inspecciones y siniestros, la normativización de la actividad, entre muchas otras cosas, se convierten en datos que deben ser almacenados y correctamente administrados para el eficiente funcionamiento de la compañía en su totalidad.
Este salto cuantitativo requirió respuestas que escaparan de los métodos convencionales basados en grandes archivos físicos. El resultado fue la transformación de toneladas de papeles y ficheros, en Gigabytes de información. Como no es difícil de suponer, esta transición (que para muchas compañías ya es historia pasada), acarreó nuevas formas de pensar, errores de principiantes, innovaciones, y un listado de riesgos propios del formato digital.
Como decíamos más arriba, durante la jornada de hoy Segurinfo 2010 se dedicó a las aseguradoras, y a sus experiencias con la formación de las oficinas de seguridad informática, (o seguridad de la información, según se entienda el papel principal que cumplirán dentro de la empresa). Para esto convocó en un panel a Daniel Bonina, Javier Pincimin, Pablo Vulovic y Daniel Marino, todos Jefes del área de Seguridad Informática de las compañías HSBC Seguros, Sancor Seguros, Liberty Seguros y Allianz Argentina respectivamente, además de Francisco Lombardo, IT Security Officer para LatAm de Zurich.
Los expositores bajo la coordinación de Daniel Marino, fueron respondiendo a diversos interrogantes acerca de la formación de estas oficinas y sobre el lugar que tuvieron que conquistar dentro de las empresas. En general la formación del área de seguridad informática es reciente, y en el caso de las compañías de firma extranjera, las primeras dificultades surgieron en la búsqueda del cumplimiento de las normativas internacionales, como la famosa ley Sarbanes-Oxley que se requiere para cotizar en la bolsa de New York, o la serie de ISO 27000. También por tratarse de grupos internacionales, existen normativas internas que deben ser cumplidas por igual en todas las filiales, como lo demostró el caso expuesto por Daniel Bonina, acerca de las altas exigencias que el grupo HSBC a nivel mundial impuso desde un inicio.
A pesar de esto, existen también casos como el de Zurich, que como política para adaptarse a los ritmos de cada una de las filiales regionales, creó una oficina específica en Latinoamérica, que aporta mayor flexibilidad en el cumplimiento de las directivas, sin descuidar los lineamientos principales. Una ventaja de la división de tareas del grupo a nivel global, es el sistema que han implementado para el manejo de incidentes, donde cada uno de los tres grupos regionales está “de guardia” en una franja de 8 horas diarias, por lo que el soporte para estos eventos inesperados está disponible las 24 horas.
El único exponente de aseguradora nacional, Javier Pincimin por Sancor, explicó que si bien ellos no están obligados a cumplir con los estándares internacionales, tienen una gran dependencia de las auditorías internas de la compañía, las cuales abarcan los controles sobre la seguridad informática y los sistemas. Durante 2009 el foco estuvo puesto en la calidad en la atención del cliente interno, y se espera en lo próximo lograr las certificaciones en ISO 9000, e ISO 27001.
En sintonía con lo que se recordó en más de una ocasión durante estas dos jornadas, Daniel Marino de Allianz hizo hincapié en la importancia de la educación de los empleados, incluso por sobre la constante actualización de firewalls, antivirus, anti-spywares, y una larga lista de “antis”. Trabajar en la concientización de la gente resulta fundamental, ya que las soluciones informáticas se actualizan a diario, pero no existe aún el “patch” contra el factor humano, que muchas veces puede actuar de manera muy irresponsable, sin conocer siquiera las consecuencias de su accionar. Para esto en Liberty Argentina se realizan campañas de educación entre sus nuevos empleados, en interacción directa con la oficina de recursos humanos, y los altos mandos de la compañía. Como resalta Pablo Vulovic, no resultó difícil implementar estas capacitaciones, porque éstas ya eran parte de la filosofía de la empresa. El concepto de educación ya estaba presente, y sólo faltaba orientarlo también al uso responsable de los equipos.
El gran debate de las redes sociales
Como era de esperarse, las redes sociales y los inconvenientes que éstas pueden traer a toda compañía, surgieron también en esta mesa de debate. El tema caliente de la seguridad informática sigue abriendo las aguas, aunque no entre los jefes de seguridad de las compañías de seguros, para los cuales en general, el tema Facebook es un asunto delicado. Como señaló Daniel Bonina de HSBC, el problema no pasa por compartir fotos, sino por las aplicaciones de terceros, que al momento de dar nuestro consentimiento para su ejecución, efectivamente nos avisan que tendrán acceso a nuestros datos y los datos de nuestros contactos, y aún así, la mayoría de los usuarios no parece preocuparse por las consecuencias que esto podría tener.
Por otra parte, Javier Pincemin de Sancor, cuenta que en un principio la decisión de la empresa fue la del bloqueo total de las redes sociales. En un segundo momento sin embargo, que es el que están atravesando actualmente, se hace paso a las preguntas: “No tenemos que dejar pasar el tren de las redes. Tiene que haber un referente en la empresa para cuando hay un incidente”.
Para el futuro se espera que las áreas de seguridad informática sigan creciendo en las compañías (a pesar de los enemigos que se granjean), y ya muchas de ellas sueñan con el ascenso y la independencia de las gerencias medias.
Fuente: http://www.segurosaldia.com/nacionales1.php?subaction=showfull&id=1268404498&archive=&start_from=&ucat=1&
