La ciberseguridad en las aseguradoras del país

En los últimos años, en Colombia, los ataques cibernéticos han aumentado y cada vez son más difíciles de detectar. Estos se han convertido en un tipo de robo, estafa y extorsión con un impacto de gran relevancia para todas las empresas del país.

Por esto, es muy importante proteger todos los sistemas informáticos basados en la ciberseguridad, ya que un robo de base de datos o el bloqueo de recursos tecnológicos por parte de un ciberataque causan graves consecuencias, económicas y reputacionales.

Es así como desde Nacional de Seguros te queremos exponer este tema con más profundidad junto a uno de nuestros expertos, Juan Pablo Benavides, Director del área de Tecnología y Oficial de Protección de Datos Personales de la compañía. Benavides lleva desempeñando esta función durante los últimos 6 años y cuenta con una formación profesional de 25 años en el área de tecnología en la gestión de infraestructura de proyectos y temas de seguridad informática.

Sigue de manera atenta la siguiente entrevista.

Juan Pablo Benavides

¿Qué es la ciberseguridad?

La ciberseguridad es un término que abarca metodologías y herramientas que ayudan a mantener la información, que maneja la compañía tanto digital como física, de forma segura de cualquier tipo de vector de ataque que se pueda presentar.

La recomendación más importante que tenemos nosotros desde el campo de ciberseguridad, es capacitar muy bien a los usuarios finales y que estén concientizados y sensibilizados de que cualquier anomalía la deben reportar y levantar la mano de forma oportuna para poder mitigar esa posible brecha de ataque”.

¿Las aseguradoras en Colombia deben contar con políticas específicas de ciberseguridad?

Sí, todas las compañías independientemente de que estén vigiladas o no por entes regulatorios, deben contar con unas políticas específicas, las cuales se deben  fortalecer día a día y deben estar alineadas con las buenas prácticas y los estándares de seguridad que hay en el mercado, de esta manera podrá mitigar los riesgos cibernéticos.

¿Cuáles son estas normativas que debe cumplir Nacional de Seguros en torno a la ciberseguridad?

Una de las principales normativas que debe cumplir Nacional de Seguros es la Circular 007 del año 2018 que emitió la Superfinanciera, la cual es bastante rigurosa y está basada en las buenas prácticas propuestas en la ISO 27001.

Nosotros, como entidad aseguradora, debemos hacer ese checklist y dar cumplimiento fiel a los controles, requerimientos y recomendaciones que nos hacen desde esas circulares, ya que estos son la cimentación para construir las políticas, controles y herramientas que se deben tener para contener, mitigar y prevenir los incidentes de ciberseguridad.

La Superintendencia Financiera de Colombia, supervisa el cumplimiento de estas políticas de cara a las entidades financieras como nosotros, pero en los últimos años también como complemento, se encuentran las auditorías internas, que se realizan en la compañía y son seguimientos robustos para saber qué controles se implementan para estos temas de seguridad. Además, internamente contamos con la Revisoría Fiscal que hace una serie de controles en cuanto a ciberseguridad.

Vectores de ataques cibernéticos en compañías aseguradoras

Phishing

El Phishing es una estafa mediante correo electrónico, en dónde se puede suplantar la cuenta, el dominio, el remitente y en dónde adicional a eso, se adjunta una serie de archivos o colocan unos links en donde cualquier usuario final pueda pinchar ese link solamente por curiosidad, este se abre o se descarga el archivo y a su vez, por debajo de la red lo que hace es poder inyectar algún tipo spyware, malware o ramsower, que son tipos de actividades maliciosas para lograr espiar la red, el tráfico, información o la forma como la compañía opera.

Suplantación de dominios

Consiste en tomar dominios que sean muy similares a los dominios corporativos y hacer un defacement, que es cambiar las páginas o el contenido de las páginas de los portales para poder capturar la información. Esta modalidad se sufre día a día en las aseguradoras, ya que los otros tipos de vectores de ataque que son un poco más robustos a los ciberatacantes, les cuesta más y conlleva más tiempo para poder obtener la información necesaria.

¿Si se llegara a presentar un ataque cibernético, Nacional de Seguros cuenta con un protocolo establecido? ¿Cuál sería?

En Nacional de Seguros tenemos un protocolo y lo tenemos definido bajo un procedimiento de gestión de incidentes, y esto hace parte de la buena práctica de la ISO 27001 27032 y del cumplimiento de la circular de la Superfinanciera, entonces en cualquier evento de ciberseguridad que pueda presentar la compañía en ciberataque, actuamos a partir de una alerta que tenemos al interior, para de esta manera cerrar las brechas y empezar a investigar por dónde es que se está generando el ciberataque.

Posteriormente, debemos contener el ataque hasta lo máximo posible y lo que no ha sido afectado se debe aislar. Después del ataque presentado, nos reunimos con nuestros proveedores de infraestructura y revisamos qué tanto se comprometió, continuamos con el reporte ante la ante la Policía Nacional en el área de ciberseguridad.

Después de haber realizado la debida indagación, se realiza un informe para las compañías del sector, para que de esta manera no les pase la misma situación a ellos.

Nacional de seguros tiene que dar comunicación tanto a la Superfinanciera como a todos sus consumidores, clientes e intermediarios de qué fue lo que pasó, para que así no se afecten los activos de la compañía o su reputación.

¿Qué consejos le darías a los clientes y aliados de Nacional de Seguros para evitar ser víctima de cualquier ataque cibernético?

  1. Ser muy conscientes de las páginas en las que navegamos y la información que consultamos y consumimos a través de cualquier red social y desde cualquier dispositivo.
  2. A nivel corporativo y personal, revisar la redacción en los correos electrónicos y su estructura, ya que los ciber atacantes realizan esta acción de forma muy similar a la manera cómo puede escribir la persona que siempre nos remite algo como nuestros jefes, clientes o intermediarios.
  3. Estar atentos a los detalles mínimos, porque a veces las cosas que son bastante obvias son las que nosotros pasamos por alto.
  4. Descargar aplicaciones o programas que sean de fuente segura.
  5. No descargar archivos de sitios de dudosa procedencia o qué tal vez vemos la procedencia desde un sitio no conocido o no seguro.
  6. En el momento en el que el usuario vea alguna anomalía cibernética, informar y reportar a sus supervisores o el ente interno encargado de estos procesos.

Si deseas conocer más acerca de los procesos que realiza Nacional de Seguros internamente, síguenos en nuestras redes sociales Facebook, Instagram y LinkedIn.

#CumplirNosUne

Suscríbete a nuestro Newsletter

Mantente siempre informado con las noticias más importantes de la compañía y del sector asegurador en Colombia.

noticias

 Relacionadas

Síguenos en nuestras redes sociales:

      

boton PSEPague aquí su poliza