Laboratorio de Innovación en Seguros de Capgemini y Actualidad Aseguradora
Seguridad 360º y transversal
Big data, Internet de las Cosas, Wearables, Cloud Computing,… vivimos en la ‘era de la información’. Las aseguradoras ya están utilizando todas estas tecnologías para mejorar su actividad. Pero no hay que olvidar que estas herramientas generan un ingente volumen de datos que se encuentra en riesgo ante la aparición de nuevas amenazas y ataques de mayor alcance. Por otro lado, la inminente entrada en vigor del nuevo reglamento europeo de protección de datos (conocido por sus siglas en inglés, GDPR, General Data Protection Regulation), pondrá sobre la mesa importantes sanciones a las empresas que incumplan sus deberes. En este escenario, los departamentos de seguridad se convierten en piedra angular.
La seguridad se ha convertido en un elemento transversal, que afecta a todas las áreas de las compañías de seguros. Con el fin de abordar los retos que afronta el sector en materia de ciberseguridad, Actualidad Aseguradora y Capgemini han organizado un debate profesional en el que participaron Fanny Pérez, Business Information Security Officer (BISO) de AEGON; José Manuel Zango, IT Service Manager de CASER; Alberto Bernáldez, responsable de Seguridad IT de LIBERTY; Andrés Peral, director de Seguridad en Sistemas de la Información de MAPFRE; Santiago Rodríguez, responsable de Seguridad Informática de MUTUA MADRILEÑA; Daniel Damas, IT Security Officer de NATIONALE-NEDERLANDEN; Juan Arechabala, director de TI de PELAYO; y Carmen Dufur, directora de Estrategia de Ciberseguridad de Capgemini.
La mesa redonda fue moderada por José Luis Cendrero, responsable de publicaciones corporativas y electrónicas de INESE. Y este resumen se publicó originalmente en el número de 23 de octubre de la revista.
Más riesgos, amenazas específicas y mayor impacto Carmen Dufur, directora de Estrategia de Ciberseguridad de Capgemini, detecta “dos fuerzas muy interesantes para el sector asegurador: el Internet de las Cosas [IoT, en sus siglas en inglés] y la analítica de datos”. “En el IoT ya se están poniendo en marcha nuevos productos que utilizan sensores, detectores, wearables, drones, etc. Estos dispositivos generan grandes volúmenes de datos, a los que hay que aplicar analítica para obtener la información que nos interese. Esto ayuda a la aseguradora a gestionar el riesgo, ya que puede detectar nuevos riesgos y priorizarlos, hacer mitigación proactiva, crear productos más personalizados, mejorar la experiencia de usuario, reducir costes de reclamaciones, etc.”, explicaba. Pero también supone un desafío para la seguridad, ya que comporta el manejo de información sensible, “que es el principal negocio de los ciberdelincuentes”. Además, recuerda que el IoT “conlleva el uso de dispositivos que no tienen embebidas medidas de seguridad y que cuentan con sus propios protocolos en función del fabricante. Además, tienen una capacidad de procesamiento y de memoria limitada, por lo que es difícil securizarlos”. También se detuvo en el impacto de la tecnología blockchain, que afectará a la manera de enviar, recibir y almacenar la información, y que “puede tener cierto impacto en cómo se gestionen las pólizas y las reclamaciones”. Asimismo, hizo hincapié en el futuro que se abre con el desarrollo de la inteligencia artificial y la automatización en los procesos. Con todas estas amenazas en el horizonte, afirmó que es indispensable contar con centros de operaciones de seguridad (SOC, en sus siglas en inglés), “que tengan la tecnología adecuada para hacer una gestión efectiva, tanto en la detección de alertas como en la gestión de incidentes”. En este sentido, especificó que “el 31% de las empresas están ignorando el 50% de las alertas que ocurren en su empresa porque no tienen capacidad para gestionar tal volumen de amenazas”. Además, comentó que están surgiendo amenazas específicas, más vectores de riesgo y ataques con un impacto mayor. “En 2016, el coste medio de cualquier data breach estuvo en torno a 75.000 euros, suponiendo un coste total de 14.000 millones para las empresas españolas. Y se roban 62 registros por segundo”. Así pues, recomendó “contar con SOC que tengan tecnología cognitiva y automatización, que permitan la orquestación de todos los protocolos a seguir, que puedan servir de apoyo al analista en la investigación de los incidentes y que permitan ser más eficaces y responder en menos tiempo”. Por último, se detuvo en el reto que supone la entrada en vigor del GDPR. “Ahora hay que notificar al regulador y a los usuarios cuando se tenga un problema de seguridad, lo que puede tener un impacto en la confianza y la reputación, aspectos críticos en el sector asegurador. En el lado bueno, supondrá una mayor concienciación en cuanto a la ciberseguridad, por lo que puede potenciar los ciberseguros. Y esa transparencia quizá ayude a tener un histórico y más información para hacer un mejor rating y ajustar estos seguros”, precisó. Para dar respuesta a todos estos retos, Capgemini cuenta con un equipo de expertos en ciberseguridad (“es una línea estratégica por la que está apostando desde hace varios años y por la que cuenta aquí en España con un equipo muy sólido de expertos con una larga experiencia en el sector”), con “un SOC local”, integrado en una red global, al que se ha dotado de “tecnología puntera”, “flexibilidad”, “adaptabilidad” y de un “perfil innovador” para adaptarse así a las necesidades de seguridad de las entidades que deben afrontar nuevas amenazas. |
‘ACTUALIDAD ASEGURADORA’ (en adelante ‘A.A.’).- ¿Disponen sus organizaciones de estructura y perfiles adecuados para llevar a cabo un análisis en profundidad de los incidentes de seguridad o han externalizado estos servicios?
FANNY PÉREZ.- Contar con estos perfiles de hacking internamente es muy costoso; sí contamos con un servicio externalizado y personal interno para registrar todas las incidencias. Somos una multinacional, por lo que tenemos un grupo de seguridad donde compartimos las experiencias de cada empresa. Y hacemos un mix entre personal interno y externo. Pensamos que hay que cambiar el paradigma de la ciberseguridad. No podemos seguir llevándola de manera tradicional, enfocada en proteger solo los activos. Es una seguridad 360O, que tiene que incluir procesos, personas y aspectos legales que hay que ir estandarizando, siempre de la mano con Negocio, etc. Además, tenemos servicios en la nube y hemos externalizado algunos procesos críticos de la organización, algo que no deja de ser un riesgo que manejar. Otro problema es el shadow IT Estamos en un momento en el que Seguridad se tiene que replantear cómo hacer las cosas, con el apoyo de consultores o personal especializado, porque cada vez nos piden hacer más con menos recursos. Incluso deberíamos pedir a consultoras externas que hagan lo que podría hacer un hacker, contar con un servicio de Red Team. Además, el riesgo no lo debe asumir solo el área de Seguridad, sino que tiene que escalarse y tratarse como algo corporativo. Y es muy importante que la organización sepa cuál es el riesgo que está corriendo y que alguien lo acepte dentro de la empresa o lo transfiera.
JOSÉ MANUEL ZANGO.- De momento, gestionamos la ciberseguridad internamente. No tenemos externalización de la gestión de ciertos servicios especializados. Sabemos que este es uno de los caminos para ayudarnos a mejorar la seguridad.
JUAN ARECHABALA.- La seguridad se ve a veces como un tema de tecnología, pero es algo más amplio, es un asunto corporativo. La seguridad requiere conocimiento experto y mucho trabajo para intentar ir por delante, no hay ninguna compañía cien por cien segura pero tenemos que poner el foco en nuestro negocio. No creo que se deba abordar solo internamente, es fundamental el complemento externo. Cada organización debe definir su punto de equilibrio, decidir hasta dónde llega y el riesgo que asume y el que no.
ALBERTO BERNÁLDEZ.- La seguridad es algo transversal. Hay un área que la debe liderar y coordinar, pero es responsabilidad compartida con toda la compañía. La seguridad cien por cien no existe, tenemos que estar preparados para prevenir, concienciar, detectar un ataque y responder ante el mismo. Y en esos cuatro pasos es clave la participación de especialistas externos, pero complementando siempre al equipo interno. Si no se considera el contexto del negocio, la dimensión de la compañía y sus intereses y objetivos, no vamos a tener claro cuál es el impacto, el coste y las decisiones que se deben tomar. Somos expertos en gestionar la seguridad de la información de una aseguradora, pero necesitamos que otros expertos nos ayuden a buscar dónde está el problema y a reaccionar tras ser atacados. Pertenecemos a una multinacional con SOC [Security Operation Centers] globales, pero también defendemos el valor de los SOC nacionales que trasponen estas normativas internacionales a nuestro contexto y sus peculiaridades. Tenemos que evaluar el riesgo que tienen nuestros datos y definir el riesgo que podemos y queremos asumir, contemplando la regulación y el coste que tiene. Además, la seguridad es un valor —y hay que defenderlo como tal— pero también tiene un coste. Y hay que transmitir al cliente que lo que hacemos es para que su información esté más protegida.
ANDRÉS PERAL.- Las aseguradoras nos encontramos ante un escenario muy complejo. Tenemos una empresa que necesita adaptarse a las nuevas tecnologías, que nos hacen aumentar la competitividad, ofrecer productos más adaptados a las necesidades de los clientes, con menores primas y más rentables para nosotros, etc., pero que, a la vez, tienen un nivel de amenaza creciente. Los criminales fueron los primeros en digitalizarse. Sus intercambios son en bitcoins y compran y venden a través de la red. Sin embargo, nosotros estamos sujetos a una regulación que va por detrás de esas tecnologías. Seguridad no solo tiene que detectar e identificar las amenazas, comunicarlas y velar para que el riesgo se asuma, se rechace o se trate; también tenemos que asesorar a la alta dirección sobre qué riesgos pueden ser asumibles por la organización y ser conscientes y capaces de responder en tiempo y forma ante un incidente. Retener ese conocimiento es complicado, puesto que es muy especializado. Además, es bueno que las personas que tienen dicho conocimiento hayan revisado incidentes en empresas de diversos sectores. Ahí es donde aportan las firmas de servicios. Sin embargo, hay que retener la gestión del incidente y nosotros somos los únicos que sabemos cómo gestionarlo, el impacto que puede tener o sus ramificaciones, ya que conocemos el negocio y las regulaciones internacionales.
DANIEL DAMAS.- Disponemos de un grupo de seguridad para las unidades de todos los países que, por ejemplo, nos avisó a tiempo de la vulnerabilidad de WannaCry, por lo que no nos vimos afectados. Fue, además, un momento importante. La seguridad no se tenía tan en cuenta antes de WannaCry, ya que se pensaba que ‘seguridad’ era cumplir con la ley. Sin embargo, cuando ocurren incidentes así, empiezas a asumir un rol de asesor al negocio, advirtiendo de los riesgos. Ahora nos escuchan, acotando el apetito al riesgo en función de nuestras recomendaciones.
Por otra parte, la integración con los proveedores y el cloud abre un montón de vectores de riesgo. Son tecnologías donde no hay suficiente madurez y en las que todos los días sale una cosa nueva. Tratamos de mantener un equilibrio y que el negocio tome decisiones con la mayor cantidad de información posible.
SANTIAGO RODRÍGUEZ.- El riesgo ha aumentado exponencialmente con la nube. La exposición de datos a las que nos sometemos es totalmente anómala. No tenemos conocimiento de lo que pasa en la nube porque, al menos de momento, no hay herramientas capaces de darnos esa información. Es muy importante que se conciencie, de forma continua, a los usuarios de las amenazas a las que estamos expuestas las empresas, así como de los riesgos para sus propios equipos y sus datos.
CARMEN DUFUR.- Va a haber muchas amenazas que no se van a poder detectar porque es tecnología nueva y desconocida. Y los cibercriminales siempre van un paso por delante. El contexto del sector y del país es fundamental. Las familias de malware tienen distintas versiones y se van replicando en diferentes zonas, por lo que es fundamental contar con un SOC local conectado a una red global, que permita compartir globalmente esa inteligencia y solventar la falta de especialistas de seguridad en temas muy concretos ya que tener expertos en todos los temas es complejísimo. Además, en el mercado faltan profesionales. Y vosotros tenéis que estar pendientes de vuestro negocio. No podéis estar a todo. Es responsabilidad del proveedor externo aportar esos servicios con un nivel alto de calidad.
Necesidad de colaboración
ANDRÉS PERAL.- Hay algunas asociaciones de SOC donde se produce un intercambio de información sobre amenazas. Nosotros estamos en ellas, junto a otras entidades españolas y mundiales, aunque hay pocos proveedores de servicios integrados en dichas asociaciones. Además, tenemos la suerte de contar con el INCIBE y el CCN-CERT del CNI, que hacen un trabajo muy importante de integración de comunicación entre empresas y de intercambio de información sobre amenazas.
ALBERTO BERNÁLDEZ.- El problema es que no entramos en el circuito de gestión de crisis del INCIBE al no ser una infraestructura crítica. La pieza que falta en el puzle respecto a los SOC es que haya una ciberinteligencia nacional y europea que rompa las barreras que puede haber por la competitividad entre empresas, ya que los ataques son globales. Además, no podemos ser los policías de todo el ciberespacio. Necesitamos ayuda de agencias nacionales de seguridad. Quizá se podría impulsar alguna iniciativa sectorial para recabar este apoyo porque hablamos de crisis muy graves, que pueden parar una compañía, causar un daño reputacional y económico enorme y afectar a clientes y proveedores. Y a veces hay que tomar decisiones sobre asuntos que suponen un delito por lo que se requieren organismos que tengan esa capacidad, como hacen en EE.UU. con conocidas agencias gubernamentales. Nos gustaría que se orquestara la relación con el Estado y con las agencias europeas que gestionan la ciberinteligencia.
JUAN ARECHABALA.- La inteligencia, sea artificial o no, aprende de la información y hay mucha en empresas y en los SOC que no se comparte. Puesta en común, enriquecería el sistema global. Si facilitaran información los SOC, las aseguradoras, las eléctricas, etc., la inteligencia de seguridad podría aportar más. Pero esa información está muy compartimentada.
La seguridad es lo primero
ALBERTO BERNÁLDEZ.- Con el cloud y los proveedores externos de servicios, el paradigma de la seguridad perimetral, se ha roto. La seguridad está distribuida y repartida por el mundo, igual que los datos. Y nuestra responsabilidad también. Es muy difícil tratar con un gran proveedor cloud y revisar su contrato para que encaje con nuestro nivel de Compliance, nuestros requisitos legales y la Ley de Protección de Datos actual y la que viene. Hay que asumir que delegamos la responsabilidad en proveedores globales a los que les cuesta adaptarse a nuestra regulación. La seguridad es un asunto que afecta a Compliance, Legal, Negocio, etc. Han de participar todos los departamentos. Por ejemplo, estamos intentando introducir la seguridad en el diseño. El jefe de proyecto cuenta con una persona de Seguridad IT le va a ayudar y a asesorar en todo el proceso. Y los business analysts deben advertir a Negocio que van a manejar determinada información y que compartirán datos personales en el exterior.
DANIEL DAMAS.- El security by design es un principio que tiene que hacer que los desarrolladores cambien su marcha porque no se trata solo de crear un producto per se, sino que tiene que ser seguro. Cuando incorporas la seguridad desde el principio, sabes cómo vas a tratar el dato.
SANTIAGO RODRÍGUEZ.- A día de hoy, es condición necesaria que las aplicaciones pasen primero por el área de Seguridad. Es imprescindible implementar todas las medidas de seguridad desde la primera línea de código, medidas que día a día cambian, acompañando a la nueva reglamentación, para proteger los datos de las intrusiones de terceros.
JOSÉ MANUEL ZANGO.- Nuestra oficina técnica de seguridad también participa a la hora de concebir el diseño de cualquier aplicación. Aunque, con el ritmo que lleva el negocio, es muy complicado llegar a todas las iniciativas con la misma fuerza. Ahí es importante la concienciación de los arquitectos, de los jefes de proyecto, de Negocio, etc.
Concienciación ante las nuevas amenazas
‘A.A’.- ¿Se aprecian cambios en el tipo de amenazas?
ANDRÉS PERAL.- Las amenazas están mutando. Antes, los ataques estaban orientados a aprovechar vulnerabilidades de hace años. Sin embargo, WannaCry aprovechó una vulnerabilidad publicada tres meses antes. Otro ejemplo son los correos de phising, que solían ser mensajes con mala traducción, que no se parecían demasiado al original… Últimamente, están muy bien hechos, prácticamente iguales que los originales. Además, son ataques orientados a una o dos personas dentro de la organización y con un conocimiento claro del entorno. Se trata de correos dirigidos, suplantando la identidad de empleados de la compañía.
Es importante la concienciación de la todos. Es la única manera de responder y estar preparados. El mediador tiene que saber que nadie le va a pedir por correo electrónico que haga una transferencia o una operación importante.
FANNY PÉREZ.- Todos hemos sufrido estos ataques. Nosotros aplicamos técnicas de phising e ingeniería social antes de que los demás lo hagan. También ofrecemos e-learning, hacemos campañas de comunicación y ‘bombardeamos’ la intranet, pero, si el usuario no se hace partícipe del proceso y no lo interioriza, hay un punto débil en la organización.
ALBERTO BERNÁLDEZ.- Por mucha inversión en herramientas que queramos hacer, el factor clave son las personas. Hay que construir todo a partir de las personas: definición de procesos, modelo de relación, concienciación, etc. Y las personas más expuestas requieren una formación específica del tratamiento de la información, porque algunas veces no somos conscientes de los riesgos. El empleado que realiza tareas de bajo riesgo está bastante protegido, pero es más complicado cuando se trata de personas que toman decisiones, que participan en nuevos proyectos y procesos, etc. Y mucho más si hablamos de los mediadores. Un corredor se relaciona con nosotros y con otras compañías; en muchas ocasiones son pymes, con una capacidad de inversión limitada, y en cuyos datos tampoco tenemos derecho a intervenir porque tienen información de otras compañías. Necesitan y quieren formación. Nos están invitando a los colegios de mediadores para hablar de seguridad, back-up, encriptación, robo de datos, etc. Tienen que concienciarse de que el tratamiento del dato es crítico para su negocio, para los clientes y para nuestra relación.
JOSÉ MANUEL ZANGO.- El negocio necesita realizar su actividad percibiendo a veces la seguridad como un obstáculo. Por ejemplo, no poder acceder a una cuenta de correo personal, siendo este un vector de ataque muy importante, o portar un pendrive con información confidencial sin proteger, son riesgos de seguridad. Nuestra función es concienciarles acerca de estos riesgos y buscar soluciones conjuntamente.
SANTIAGO RODRÍGUEZ.- El problema de los mediadores es que en ocasiones no consideran suficientemente importantes los datos que manejan, pudiendo considerar que no son tan relevantes como para ser atacados y que les sean robados; pero hay que hacerles ver que esos datos son muy importantes para la compañía y que los datos de los asegurados/clientes que manejan han de estar protegidos ante las posibles amenazas de robo de los mismos.
Equilibrio entre tecnología y legalidad
‘A.A’.- ¿Cómo afronta su equipo de seguridad la disrupción que conllevan estas nuevas tecnologías?
ALBERTO BERNÁLDEZ.- En big data, analytics o business intelligence, con la gran cantidad de datos que tratamos, hay que tener en cuenta el equilibrio entre la necesidad que tienen los científicos de datos de contar con suficientes datos para tratar y las exigencias de Seguridad de proteger esa información y darle un uso adecuado. Hay varios conceptos nuevos que están entrando alrededor del dato, como el data encryption y la data minimization. Pero, ¿cómo lo llevamos a cabo? En entornos de desarrollo, la encriptación y la disociación es más fácil, sin embargo, en entornos productivos transaccionales hay que hacer un esfuerzo para decidir qué dato es necesario y cuál deja de serlo. Y más aún en la parte informacional o en big data. Si se encripta y se disocia, se pierde cierta información relevante. Y también tenemos el compromiso de conservación de datos.
ANDRÉS PERAL.- Por un lado, las compañías queremos utilizar todos los datos que tengamos y sacarle todo el jugo posible para ofrecer mejores productos, maximimizar la venta cruzada, realizar perfilados de nuestros clientes para ofrecer una mejor tarificación, etc. Y los reguladores buscan proteger los intereses de los ciudadanos ante un mal uso de sus datos. Y en medio está el cliente final, que da todos sus datos a grandes plataformas digitales, pero a quien le causa rechazo proporcionar esa misma información a su banco o a su aseguradora. Seguridad trata de asesorar de la mejor forma a Negocio y a Tecnología para que se pueda maximizar el uso de la información sin contravenir ninguna legislación, ni los intereses de nuestros clientes. En EE.UU., el acceso a la información es distinto. Tienen otras ‘reglas de juego’. Por ejemplo, para hacer la tarificación de un seguro de Vida, pueden consultar un registro con las prescripciones facultativas médicas de cada persona.
ALBERTO BERNÁLDEZ.- A las nuevas generaciones les resulta natural compartir toda la información, pero también deben saber qué información se puede ofrecer en las redes sociales. Las aseguradoras nos defendemos y adquirimos un montón de herramientas de seguridad, pero nada sirve si la gente luego tiene su ordenador con Windows XP y accede a su seguradora o banco y realiza pagos por Amazon.
CARMEN DUFUR.- Sin embargo, un cliente se entera de que su aseguradora ha sido atacada y han robado sus datos, pierde totalmente la confianza. No valoran el riesgo de sus datos pero sí que exigen seguridad a las aseguradoras.
 PrioridadesEl sector tiene muchos frentes abiertos. El imparable avance de las tecnologías y la llegada del nuevo GDPR obligan a invertir tiempo y recursos para adaptarse. Alberto Bernáldez especifica que LIBERTY se plantea “el desarrollo de un nuevo modelo de ciberseguridad”, donde deben encajarse arquitecturas distribuidas, datos compartidos, terceros relevantes, relaciones internacionales, etc. “Hay que hacer un road map de hacia dónde queremos ir”, apunta. La entidad también se va a enfocar en su adaptación al GDPR y a la IDD, la Directiva de Distribución de Seguros y su adaptación a la legislación nacional, e incidirá en el gobierno de la seguridad y la aplicación de ciberinteligencia. Además, espera avanzar en el desarrollo de los Business Continuity Planning (BCP) y Disaster Recovery Plan. Para CASER, “la prioridad es el GDPR”, afirma José Manuel Zango. La entidad también está inmersa en su proceso de digitalización, por lo que el Departamento de Seguridad está trabajando para garantizar que se cumple con la seguridad en el dato. Asimismo, está avanzando en la gestión de identidades, la implantación de un sistema de detección de intrusos (IDS) y la segmentación de la red. AEGON también da prioridad a la adaptación a la IDD y el GDPR. Además, este año está reforzando la seguridad en proveedores. “Es muy importante porque tenemos proveedores en la nube, que son claves para el negocio. Y esto se alinea con la continuidad de negocio, que también recae en nuestra responsabilidad”, remarca Fanny Pérez. Asimismo, dedica buena parte de sus esfuerzos a la gestión de vulnerabilidades. “Tenemos que identificarlas antes que otros para ser más proactivos que reactivos”, precisa. La empresa también prioriza la incorporación de seguridad y privacidad desde el diseño y la resolución de los problemas que conlleva el shadow IT. En esa misma línea, NATIONALE-NEDERLANDEN está haciendo especial hincapié en la prevención. “Todos los planes están orientados a prevenir que se escapen datos o que nos ataquen. Tratamos de ser muy ágiles en la aplicación de las recomendaciones de los grupos de seguridad externos”, explica Daniel Damas. Santiago Rodríguez explica que MUTUA MADRILEÑA se va a centrar en asentar la tecnología desplegada este año. “Hemos sido muy vivos a la hora de buscar las tecnologías más punteras del mercado y no hemos tenido miedo a la hora de implementarlas”, comenta. Además, subraya, se incidirá en la toma de conciencia de todo el personal. Andrés Peral afirma que MAPFRE está incidiendo en la transformación digital. “Seguridad forma parte de las iniciativas desde el principio, asesorando a las áreas de negocio sobre cómo adoptar determinadas tecnologías, qué recursos existen, etc. Es un papel de asesor y parte integrante de los proyectos desde el principio, en el análisis y en el diseño, para aprovechar las nuevas tecnologías y guiar la transformación digital”, apunta. La entidad también está ocupada en la adaptación al GDPR y en la sostenibilidad operativa de la compañía, “tanto en la parte de continuidad de negocio como de la prevención del fraude”. |
Dudas en torno al GDPR
‘A.A’.- ¿Qué cambios conllevará la entrada en vigor del GDPR?
ANDRÉS PERAL.- La LOPD [la Ley Orgánica de Protección de Datos de Carácter Personal] sirvió como palanca para la implantación de la seguridad y la protección de la información en España. Ahora cambia esa antigua normativa, a la que todos estábamos adaptados, y hay algunos cambios que afectan enormemente a nuestra forma de concebir la seguridad. Por ejemplo, la comunicación de brechas de seguridad no era obligatoria en nuestro sector y ahora sí lo será. Esto nos va a afectar significativamente porque impone unos plazos muy exigentes. También tendrá impacto el consentimiento explícito, así como la portabilidad de datos. El privacy by design es otro concepto que traerá cambios. No tanto en la seguridad, que ya teníamos implantada, sino en la necesidad de hacer una evaluación de impacto en la privacidad de cada una de las iniciativas. Si la compañía es una multinacional, con presencia en varios países y distintos marcos regulatorios, la situación se complica. Además, todavía hay aspectos poco claros. Por ejemplo, ¿qué sucede con los proveedores de servicios de nube o similares que están fuera de UE, pero van a proveer servicios de datos para ciudadanos europeos? ¿Cómo van a ser capaces de imponer su criterio los entes reguladores? Hay incongruencias entre la legislación europea y lo que ofrecen contractualmente estas compañías.
JOSÉ MANUEL ZANGO.- Tenemos en curso el análisis para adaptarnos a GDPR definiendo las principales acciones. Partimos de la LOPD, que nos obliga ya a ciertas actividades y procesos, pero el nuevo reglamento es más exigente. Al no tener el texto definitivo existen aún dudas en su aplicación. Es una de nuestras prioridades para 2018.
FANNY PÉREZ.- En España tenemos un avance sólido gracias a la LOPD. Es una de las regulaciones más restrictivas de Europa pero el nuevo reglamento conlleva cambios en los procesos que hay que ver cómo se incorporan, como la realización del PIA [Análisis del Impacto a la Privacidad], el consentimiento expreso, etc. Es más fácil modificar los procesos si la ley termina de definirse. Por ejemplo, ¿cómo vamos a hacer la portabilidad de datos? ¿Qué se envía y cómo? ¿Por FTP? ¿Debe ser cifrado? Hay temas que tenemos que revisar para ver cómo estandarizarlos. Esto hace que los procesos sean más pesados cuando deberíamos ser más ágiles. Nosotros estamos abordando la adaptación al GDPR globalmente. El PMO está en Holanda, donde hemos contratado a una empresa externa que nos ayuda en los asuntos metodológicos. Tenemos un alineamiento general pero luego hay que customizarlo, dependiendo de lo que diga cada regulador nacional.
ANDRÉS PERAL.- Porque en el GDPR también hay un cambio con respecto a quién es la entidad supervisora. En el caso de multinacionales como nosotros, la actividad será supervisada por la entidad del país donde está la matriz. Pero no está claro a quién le tendremos que comunicar si ocurre un incidente en un país distinto. Por ejemplo, si sucede en Holanda y la matriz está en España, ¿no se va a comunicar al supervisor holandés, sino solo al español? Todavía hay mucho por definir en el “cómo” y en el “qué”. Es muy difícil que esté en mayo y probablemente sea la jurisprudencia la que nos vaya llevando.
ALBERTO BERNÁLDEZ.- El problema es que en la directiva parece que está claro el “qué”, pero falta desarrollar el “cómo”. Y es el cliente quien está en medio. Lo hacemos por el cliente, pero también hay que tener en cuenta la experiencia de usuario, que puede verse afectada. Si vas a pedir dos consentimientos para contratar o para dar un presupuesto, ¿cómo se gestiona todo en una compañía omnicanal? otro aspecto son las evidencias. ¿Cómo se evidencia lo que estoy haciendo? Tenemos tres meses para pensar cómo hacerlo, dos meses para implementarlo y uno para probarlo. Y las multas son tan grandes que no puedes esperar a ver cómo se desenvuelve. Además, el nuevo reglamento no se enfoca tanto en el dato como en el riesgo de ese dato, por lo que hay que revisar todos los procesos. Tienen que intervenir Legal, Compliance y el Data Protection Officer. Asimismo, debemos resolver cómo incorporar a terceros en los procesos de control, si se van a auditar, si se incluyen en el plan de continuidad de negocio, etc.
DANIEL DAMAS.- Tenemos muchas integraciones con servicios de otros proveedores y el dato está en el centro. No solo tenemos que cambiar nuestros procesos, sino también obligar a los proveedores de servicios a modificar los suyos para adaptarse a la normativa. Es muy complejo porque hay procesos transversales, integraciones, datos que compartimos, etc. Por ejemplo, ING vende nuestros seguros. A veces, el dato del usuario acaba en nosotros. Y puede que el cliente deje de tener relación con ellos pero el seguro siga vivo.
