Tres claves para mejorar la protección de los datos en el sector de seguros
Por ViswanathanGanapathy, miembro del Grupo de Excelencia Tecnológica (TEG) en la Unidad de Soluciones de Cuidado de la Salud de Tata ConsultancyServices (TCS).
La seguridad no es una inquietud nueva para las compañías de seguros, pero seamos realistas: con la explosión de datos y los esfuerzos de las aseguradoras por aprovecharlos y manejarlos, la industria no cuenta con un método establecido para proteger tanto los datos tradicionales como los masivos.
Muy pocas empresas saben que necesitan abordar la seguridad de datos en forma sistemática; parte del problema es que el departamento de TI suele ir un paso atrás de la empresa. Los modelos de negocio de las aseguradoras están cambiando rápidamente —y también los requerimientos de seguridad relacionados—, pero ¿los departamentos de TI están aplicando el mismo rigor en proteger los datos que en soportar los nuevos modelos de negocio?
El creciente volumen, variedad y velocidad de la información agrega complejidad a su manejo;antes había un solo tipo de datos que manejar y proteger, pero actualmente se deben administrar tanto los estructurados como no estructurados.
La capacidad de manejar datos tradicionales y nuevos será una señal de progreso; sin embargo, mejorar su protección no sólo se reduce a invertir en productos y herramientas. A continuación se muestran tres principios que le ayudarán a vincular las inversiones en protección de datos con los objetivos de negocio:
- Todo es cuestión de cultura
La principal prioridad es transformar la cultura corporativa para entender tanto los cambios del modelo de negocio como las limitaciones de la tecnología que manejará esos cambios. La respuesta del departamento de TI puede no concordar con otras prioridades de la empresa. Las líneas de negocio con frecuencia perciben los sistemas y controles impuestos por el departamento de TI como un obstáculo para acelerar la comercialización —una idea que es primordial cambiar—. Debe formarse una cultura general, donde los productos se lancen rápidamente pero también se mantenga la confidencialidad de la información del cliente y no haya pérdida de datos. Eso significa evitar atajos peligrosos como utilizar los datos de producción para conducir pruebas.
- Mantener la casa en orden
La seguridad debe ser integral, al igual que protegemos el hogar; debemos saber qué puerta es frágil y si cierta ventana necesita permanecer cerrada, lo mismo se debe hacer con los datos. Implementar controles para proteger los datos contra filtraciones en la misma manera que se instalarían cerraduras o muros para impedir la entrada de intrusos a casa. Una empresa grande o incluso mediana puede ejecutar entre 3,000 y 5,000 aplicaciones —y muchas de esas aplicaciones son propiedad de más de un grupo o una unidad—. Muchas aseguradoras han construido repositorios gigantescos que reciben todos los datos de los sistemas de administración interna y de pólizas. Con tantas actividades de negocio que se realizan en las plataformas en línea, las aseguradoras, al tratarse de información, enfrentan vulnerabilidades de seguridad en prácticamente todas partes. Y los hackers no necesitan la información del código para acceder a esa información confidencial —sólo requieren “tentáculos” para obtener la identidad de un cliente—.
- Enfocarse en proteger la identidad
Es esencial considerar los datos en forma holística. En lugar de proteger piezas aisladas de información, concentrarse en la identidad personal, es decir, en todos los datos que proporcionan una imagen más completa de cada asegurado. Existen muchas maneras de obtener información sobre una persona —número de cuenta bancaria o seguro social, o escribir un nombre en Google, Skype o LinkedIn— por lo que debe enfocarse en la identidad completa de la persona para proteger sus datos. Después de todo, los datos de las pólizas de seguros y médicas tienen más valor en el mercado negro que la información de una cuenta bancaria.
Supervisar y auditar constantemente todos los aspectos de los datos, en particular los referentes a la Información de Identificación Personal (PII, por sus siglas en inglés) o la Información Médica Personal (PHA, por sus siglas en inglés). Se necesita saber todo: qué (qué PII), dónde (qué aplicaciones, servicios, almacenes/inventario de datos), cuánto(volumen), cómo (cómo llega la información, cómo sale, cómo se mueve dentro y fuera de la empresa), quién (quién la necesita, quién accedió a ella, quién intentó acceder a ella), cuándo (frecuencia de acceso), y por qué (acceso razonable, acceso privilegiado contra abierto, relevancia para un puesto).
En conclusión, la protección de los datos no es una actividad que se realiza una sola vez, requiere un enfoque continuo por parte de la empresa y del departamento de TI.