Disponible ya herramienta gratuita para los regulados
Se acerca la fecha en que las compañías de seguros en Puerto Rico tendrán que entregar su primera certificación de que cuentan con un programa de ciberseguridad a la Oficina del Comisionado de Seguros (OCS), que informó que ya está disponible en su página web la prometida herramienta gratuita de apoyo para el sector.
La referida certificación es requerida por la Regla 108 de la OCS, que establece las normas de ciberseguridad para la industria de seguros. Esta certificación deberá entregarse anualmente en junio.
“Esta regulación aplica a todo regulado que tenga 15 empleados o más. El 30 de junio de cada año tendrán que presentar la certificación anual de cumplimiento. Se ha dado el tiempo suficiente para que ellos pudieran hacer los cambios”, sostuvo el comisionado de seguros, Alexander S. Adams, en entrevista con Revista de Seguros.
Aclaró que esta primera certificación deberá presentarse ante el Comisionado no más tarde del último día del duodécimo mes tras la entrada en vigor de esta regla, ocurrida en octubre pasado.
Cumplimiento con regulaciones federales
Adams explicó que “muchos de nuestros regulados están cobijados por la Ley HIPAA si operan en el área de Salud. Estas compañías deben certificar que cumplen con los requisitos establecidos bajo la regulación federal de HIPAA. Lo mismo aplica a las afiliadas a instituciones bancarias, que están sujetas a regulaciones federales que establecen controles de ciberseguridad requeridos. Su certificación será que cumplen con estas normativas federales”.
Herramienta de apoyo gratuita
La herramienta disponible para todos los regulados en la página web de la OCS es provista por la Cybersecurity and Infrastructure Security Agency (CISA). Su nombre es Cyber Hygiene Services y es libre de costo.
“El regulado puede registrarse, y, con base en el perfil que arroje su sistema, la herramienta identificará áreas donde necesita incrementar su seguridad”, explicó Adams.
“Estamos estableciendo que el regulado realice, al menos dos veces al año, pruebas de vulnerabilidad. Nosotros revisaremos un resumen de los reportes de vulnerabilidades que surjan de estas pruebas y supervisaremos las acciones correctivas tomadas para subsanarlas”, añadió.
Participación internacional y regulaciones uniformes
Adams recientemente participó como panelista en el Seminario Regional de Capacitación de Supervisores de Seguros de América Latina (ASSAL). “Se me invitó a participar en dos paneles, uno sobre ciberseguridad y otro sobre Capital a Base de Riesgo”, señaló.
“En América Latina el marco regulatorio es distinto, y este tipo de foro nos da la oportunidad de discutir distintas vertientes y tendencias regulatorias. Todos tenemos el mismo norte: la protección del consumidor”, afirmó.
Destacó que la regulación local se basa principalmente en normas uniformes adoptadas por la National Association of Insurance Commissioners (NAIC). Puerto Rico es la única jurisdicción que forma parte tanto de ASSAL como del NAIC.
La importancia de la ciberseguridad en la industria de seguros
“El tema de ciberseguridad en la industria de seguros tiene una importancia trascendental porque esta industria maneja información altamente sensitiva, incluyendo datos financieros, de salud e información personal de los consumidores. Un incidente que comprometa esta información pone en riesgo la privacidad y confidencialidad de los datos”, sostuvo Adams.
El sector financiero ocupa el segundo lugar en frecuencia de ataques cibernéticos, después de la educación. En tercer lugar, se encuentra el sector de la salud. “El gobierno federal ha identificado estos sectores como críticos, ya que un ataque a ellos puede comprometer servicios esenciales a la población”, añadió.
El ataque más común es el ransomware, que implica el secuestro de datos a cambio de un pago para liberarlos.
Objetivos de la Regla 108
La nueva Regla 108 tiene tres objetivos principales:
- Proteger y asegurar la integridad y confidencialidad de la información que poseen los regulados.
- Proteger esa información de accesos no autorizados.
- Evaluar periódicamente las protecciones que poseen los sistemas de información.
La regulación sigue los principios de ciberseguridad adoptados por el National Institute of Standards and Technology(NIST), priorizando la gobernanza. “Esto implica establecer políticas claras en la empresa y adiestrar al personal sobre los controles de seguridad necesarios”, explicó Adams.
Plan de respuesta y notificación obligatoria
La regulación también exige que el programa de ciberseguridad incluya un plan de respuesta para eventos de ciberseguridad. Este plan debe detallar cómo responder y recuperar operaciones tras un incidente.
“Uno de los componentes principales es la notificación al Comisionado de Seguros cuando ocurra un evento que comprometa significativamente la información de los consumidores. Esta notificación debe realizarse dentro de las 72 horas de haberse conocido el incidente, incluyendo la mayor cantidad de información disponible en ese momento”, subrayó.
Por último, Adams recordó que la OCS ha creado un portal con toda la información necesaria, incluyendo la nueva regla, para beneficio de los regulados.