La seguridad no es una inquietud nueva para las compañías de seguros, pero seamos realistas: con la explosión de datos y los esfuerzos de las aseguradoras por aprovecharlos y manejarlos, la industria no cuenta con un método establecido para proteger tanto los datos tradicionales como los masivos.
La capacidad de manejar datos tradicionales y nuevos será una señal de progreso; sin embargo, mejorar su protección no sólo se reduce a invertir en productos y herramientas. A continuación se muestran tres principios que le ayudarán a vincular las inversiones en protección de datos con los objetivos de negocio:
- Todo es cuestión de cultura
La principal prioridad es transformar la cultura corporativa para entender tanto los cambios del modelo de negocio como las limitaciones de la tecnología que manejará esos cambios. La respuesta del departamento de TI puede no concordar con otras prioridades de la empresa. Las líneas de negocio con frecuencia perciben los sistemas y controles impuestos por el departamento de TI como un obstáculo para acelerar la comercialización –una idea que es necesario cambiar. Debe formarse una cultura general, donde los productos se lancen rápidamente pero también se mantenga la confidencialidad de la información del cliente y no haya pérdida de datos. Eso significa evitar atajos peligrosos como utilizar los datos de producción para conducir pruebas.
- Mantener la casa en orden
La seguridad debe ser integral, al igual que protegemos el hogar; así como debemos saber qué puerta es frágil y si cierta ventana necesita permanecer cerrada, lo mismo hay que hacer con los datos, esto es, implementar controles para proteger los datos contra filtraciones en la misma manera que se instalarían cerraduras o muros para impedir la entrada de intrusos a casa. Una empresa grande o incluso mediana puede ejecutar entre 3,000 y 5,000 aplicaciones, muchas de las cuales son propiedad de más de un grupo o unidad. Algunas aseguradoras han construido repositorios gigantescos que reciben todos los datos de los sistemas de administración interna y de pólizas. Con tantas actividades de negocio que se realizan en las plataformas en línea, las aseguradoras –al tratarse de información– enfrentan vulnerabilidades de seguridad en prácticamente todas partes. Y los hackers no necesitan la información del código para acceder a esa información confidencial, sólo requieren “tentáculos” para obtener la identidad de un cliente.
- Enfocarse en proteger la identidad
Es esencial considerar los datos en forma holística. En lugar de proteger piezas aisladas de información, deben concentrarse en la identidad personal, es decir, en todos los datos que proporcionan una imagen más completa de cada asegurado. Existen muchas maneras de obtener información sobre una persona –número de cuenta bancaria o seguro social, o escribir un nombre en Google, Skype o LinkedIn– por lo que debe enfocarse en la identidad completa de la persona para proteger sus datos. Después de todo, los datos de las pólizas de seguros y médicas tienen más valor en el mercado negro que la información de una cuenta bancaria.
Supervisar y auditar constantemente todos los aspectos de los datos, en particular los referentes a la Información de Identificación Personal (PII, por sus siglas en inglés) o la Información Médica Personal (PHA, por sus siglas en inglés).
Se necesita saber todo: qué (qué PII), dónde (qué aplicaciones, servicios, almacenes/inventario de datos), cuánto (volumen), cómo (cómo llega la información, cómo sale, cómo se mueve dentro y fuera de la empresa), quién (quién la necesita, quién accedió a ella, quién intentó acceder a ella), cuándo (frecuencia de acceso), y por qué (acceso razonable, acceso privilegiado contra abierto, relevancia para un puesto).
En conclusión, la protección de los datos no es una actividad que se realiza una sola vez, requiere un enfoque continuo por parte de la empresa y del departamento de TI.
___________
El autor de este artículo, Viswanathan Ganapathy, es miembro del Grupo de Excelencia Tecnológica (TEG) en la Unidad de Soluciones de Cuidado de la Salud de Tata Consultancy Services (TCS).
