Tres trucos de protección de datos para las compañías de seguros
Las compañías de seguros están sujetas a regulaciones de protección de datos más estrictas que otras empresas, debido a la naturaleza sensible de los datos que recopilan. Según la Regulación General de Protección de Datos (GDPR) de la Unión Europea, una parte importante de los datos del cliente que las aseguradoras necesitan recopilar se inscribe en la categoría especial del reglamento. En los Estados Unidos, una gran cantidad de datos con los que las compañías de seguros trabajan forman parte del ámbito de leyes especializadas, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la ley Gramm-Leach-Bliley (GLBA) o la Ley Sarbanes-Oxley (SOX). Estas regulaciones traen consigo multas considerables en caso de incumplimiento.
Las filtraciones de datos pueden ser especialmente perjudiciales para la reputación de una compañía de seguros. La confianza es una parte esencial de toda aseguradora y, si se ve comprometida, es probable que los clientes recurran a otras compañías con mejor reputación.
Más allá de los requisitos regulatorios, la industria de seguros es uno de los principales objetivos de los ciberdelincuentes, no solo por la cantidad de datos que recopila, sino también porque abre la puerta al fraude de seguros. Estos tipos de ataques no se aprovechan siempre de las vulnerabilidades dentro de un sistema, sino que cada vez más atacan a los empleados descuidados a través del phishing y la ingeniería social.
Agregue a esto los errores que cometen los propios empleados por puro error humano y está claro que las compañías de seguros que buscan proteger sus datos deben tener en cuenta las amenazas internas y externas al desarrollar sus políticas de protección de datos. Estos son nuestros consejos para la industria de seguros:
1. Proteja los datos en los puntos finales
Las compañías de seguros tienden a tener una fuerza laboral muy móvil. Desde inspectores de seguros que realizan visitas sobre el terreno hasta representantes de ventas que realizan presentaciones o evaluaciones en el sitio, muchos empleados salen fuera de la oficina por razones de negocios. En el entorno del trabajo digitalizado de hoy, cuando lo hacen, llevan sus equipos de trabajo con ellos y acceden a estos de forma remota. Abandonar la seguridad de la red de la empresa puede significar un desastre para los datos: muchas herramientas de protección de datos se aplican a nivel de red y, por lo tanto, dejan los dispositivos vulnerables una vez que están fuera de ella.
La solución es bastante fácil: las empresas deben proteger los datos directamente en el punto final. Esto significa que el software se instala directamente en un equipo y garantiza que la seguridad continúe donde sea que se encuentre físicamente un dispositivo. De esta manera, ya sea que los empleados se conecten a una computadora inalámbrica pública mientras viajan o dejen sus dispositivos abiertos donde terceros tengan acceso a ellos, las políticas de protección de datos garantizarán que los datos confidenciales permanezcan seguros.
2. Proteja los datos en dispositivos portátiles
Otro punto débil frecuente de las estrategias de protección de datos son los dispositivos portátiles. Muchas estrategias de protección de datos se centran en las amenazas basadas en Internet y descuidan lo fácil que los datos se pueden copiar simplemente en una memoria USB, un equipo portátil de un empleado se puede robar cuando este está de camino a una reunión de negocios.
La mejor manera de protegerse contra este tipo de robo o pérdida de datos es el cifrado. Al garantizar que los datos en los dispositivos portátiles siempre se cifren automáticamente, que los discos duros se cifren y que el borrado remoto y el cifrado se activen en los teléfonos móviles, las empresas pueden ayudar a mitigar la amenaza. Para dispositivos portátiles, las políticas de control de dispositivos también pueden ayudar a bloquear su conexión o regular qué dispositivos pueden conectarse a un equipo.
3. Use perfiles de cumplimiento
Desde la aparición de la GDPR y sus multas sin precedentes, el cumplimiento de la legislación de protección de datos se ha convertido en una preocupación clave en todos los sectores. Y con las nuevas regulaciones que emulan la ley europea en todo el mundo, parece que ninguna organización puede escapar de ella. En algunos países, como los Estados Unidos, las compañías de seguros a menudo deben cumplir con la legislación especializada como HIPAA, GLBA y SOX, pero también con estándares internacionales como PCI DSS.
Esta necesidad creciente de cumplir con las regulaciones ha impulsado el desarrollo de perfiles de políticas de protección de datos que facilitan a las empresas el uso de herramientas como las soluciones de Prevención de Pérdida de Datos (DLP). Lo que esto significa esencialmente es que estas herramientas vienen con perfiles personalizados para leyes específicas como GDPR, HIPAA etc., que permiten a las empresas aprovechar al máximo sus herramientas de DLP sin tener que pasar por el proceso de usar los requisitos legales para construir sus Políticas propias.
Estos perfiles no garantizan el cumplimiento por sí mismos, pero contribuyen significativamente a ello. Se necesitan marcos complejos de ciberseguridad que combinen monitoreo de datos, herramientas DLP y software antivirus, entre otros, para alcanzar el cumplimiento total, pero estos perfiles hacen que la prevención de pérdida de datos sea más fácil de implementar como parte de las estrategias de protección de datos.