Este documento presenta una agenda para discutir la protección de datos en la industria del seguro. Aborda definiciones clave, el contexto de la transformación digital, la evolución de los riesgos relacionados con la tecnología, el tratamiento de la información, la integración de la tecnología, los dominios de gobierno de la información, y la importancia de la cultura y la gestión para una transformación digital exitosa. El objetivo es establecer un marco para proteger los datos y cumplir con los requisitos regulatorios a medida que
2. Protección de datos en la industria del seguro – Fabián Descalzo
Agenda
• Definiciones
• Contexto
• Evolución de los riesgos
• Escenario de información y su tratamiento
• Integración de la tecnología
• Nuestro entorno y el entorno de terceros
• Objetivos de establecer dominios de gobierno de la información
• Cómo establecer dominios de gobierno de la información
• Como determinar el alcance
• Cuales son los dominios de gobierno de la información
• Identificar el objetivo funcional de la información
• Riesgos más importantes relacionados con la tecnología
• Cultura y comunicación
• Gestión y herramientas
• Conclusión
3. Protección de datos en la industria del seguro – Fabián Descalzo
Definiciones
1. La mera implementación de tecnología por sí sola no
produce “transformación digital”.
2. La transformación digital es la reinvención de una
organización a través de la utilización de la tecnología
digital para mejorar la forma en que la organización se
desempeña y sirve a quienes la constituyen.
3. “Digital” se refiere al uso de la tecnología que genera,
almacena y procesa los datos.
https://searchdatacenter.techtarget.com/es/definicion/Transformacion-digital
4. Protección de datos en la industria del seguro – Fabián Descalzo
Contexto
Procesos
internos
Terceros
interesados
Productos
Canales
Comerciales
Canales
Administrativos
Canales de
desarrollo
• Cumplimiento
Regulatorio
• Cumplimiento legal
• Cumplimiento Normativo
Interno
• Resultado de Negocios
• Cumplimiento
Contractual
Necesidades del cliente Desarrollo y administración
de soluciones
Comercialización
Mejora o nuevos
productos
5. Protección de datos en la industria del seguro – Fabián Descalzo
Contexto
Negocio
Tecnología
Datos
Modelo de
protección y
cumplimiento
Diseño de
servicios
Diseño de
productos
6. Protección de datos en la industria del seguro – Fabián Descalzo
Evolución de los riesgos
RIESGOS
NEGOCIO
• Confidencialidad: Robo de información, fraude, estafas
• Integridad: Falla en los procesos de negocio o tecnológicos
• Disponibilidad: Indisponibilidad de los sistemas o de los procesos críticos
de negocio
VALOR DE LOS DATOS BASADO EN RIESGOS
7. Protección de datos en la industria del seguro – Fabián Descalzo
Evolución de los riesgos
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración de
perfiles
Nivel
1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de licencia de
conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel
2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito, cuenta
bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel
3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de
prescripciones y servicios médicos, fraude de identificación médica
Nivel
4
8. Protección de datos en la industria del seguro – Fabián Descalzo
Escenario de información y su tratamiento
Terceros
• Talleres
• Asociados
Terceros
• Talleres
• Asociados
Laboratorios
Op. especiales
Tarifas
Reglas de negocio
Call Center
Servicios Médicos
Terceros
• Clínicas
• Laboratorios
• Profesionales médicos
Terceros
• Clínicas
• Laboratorios
• Profesionales médicos
Análisis Clínicos
Gestión de lesiones
Informes ART
Patrimonio Cliente
Gestión Pólizas
Internaciones
DATOS DE SALUD
Facturación y Pagos
Info bancaria cliente
Info bancaria propia
9. Protección de datos en la industria del seguro – Fabián Descalzo
Integración de la tecnología
El percibe que los riesgos en el mundo son
mayores para el desarrollo de los negocios y
empresas
El manifiestan una sensación de
incertidumbre y consideran que la innovación
y la capacidad de adoptar la transformación
tecnológica son las dos áreas para las que sus
negocios están menos preparados.
Fuente: Global Risk Landscape de BDO
500 altos directivos, líderes, consejeros y miembros de comités de auditoría de los sectores más relevantes en
55 países de Europa, Oriente Medio, África, Asia y América
El identifican los riesgos regulatorios como el
riesgo más importante para el que sus empresas
no están preparadas, y esto incluye a la necesidad
de cumplimiento por parte del uso de la
tecnología
10. Protección de datos en la industria del seguro – Fabián Descalzo
Integración de la tecnología
Fuente: RAS RISK ADVISORY SERVICES - Encuesta de seguridad de la información de BDO
¿Cuenta la organización con políticas de procedimientos específicos de TI para alguno de los siguientes servicios/actividades?
• Procesamiento en la nube,
• Uso de redes sociales, virtualización y BYOD (Bring Your Own
Device), menos del
BYOD, Bring your own device
Copia de seguridad de datos
Plan de recupero de procesamiento de datos
Procesamiento en la nube
Pruebas de recuperación
Uso de las redes sociales
Virtualización
11. Protección de datos en la industria del seguro – Fabián Descalzo
Nuestro entorno
La transformación digital no solo pasa por los recursos tecnológicos, sino
también por cómo los gestionamos
PROYECTOS
• Revisión de seguridad en proyectos
• Desarrollo seguro
• Ciclo de vida de proyectos
• Prueba de entrega y mantenimiento
• Parcheo y control de cambios
• Planes de respuesta y continuidad
• Documentación del sistema
• Sustitución y baja
• Disposición final de información)
TERCERAS PARTES
• Inventario de terceras partes
• Conexiones con otras redes
• Nómina de empleados acreditados
• Acuerdos de servicios
• Subcontrataciones
• Auditoria de gestión de servicios
• Cobertura legal y regulatoria
SEGURIDAD FÍSICA
• El inventario de sistemas
• Análisis de localizaciones, centros,
sistemas y activos
• Control del acceso físico (salas, edificios,
dependencias)
• Seguridad perimetral y ambiental
• Administración y continuidad operativa
de Data Centers
PLANES DE RESPUESTA
• Gestión de los planes de respuesta
• Plan de crisis
• Composición de equipos de respuesta
• Planes de continuidad de negocio
• Gestión de incidentes
• Planes de reducción de riesgos
• Plan de continuidad tecnológica
• Tratamiento de riesgos residual
GESTIÓN DE LA SEGURIDAD
• Políticas, Normas, Procedimientos y
Estándares
• Procesos de seguridad
• Equipo de control
• Programa de seguridad
• Política y estrategia de cumplimiento del
personal
• Concientización y capacitación al personal
CONTROLES DE LA SEGURIDAD
• Software de base, políticas,
configuraciones, parcheo
• ABM de cuentas de usuario
• Segregación de funciones
• Plan de reducción de riesgos y
tratamiento de riesgo residual
• Plan de continuidad operativa
12. Protección de datos en la industria del seguro – Fabián Descalzo
El entorno de terceros
13. Protección de datos en la industria del seguro – Fabián Descalzo
Objetivos de establecer dominios de gobierno de la información
• Cumplimiento de las obligaciones legales tal como se expresa en las leyes y
regulaciones de protección de datos, íntimamente relacionado con el derecho de
atención a la privacidad;
• Formar un sistema de gestión para asegurar la autenticidad y auditabilidad de la
información en cada proceso funcional y protegerla para que no sea utilizada con
otros fines diferentes para los que fue creada u obtenida
• Mantener las normas y la ética profesional según lo establecido por las leyes y
regulaciones para la confidencialidad e integridad de la información
• Facilitar la interoperabilidad entre los sistemas en forma segura, ya que la
información fluye entre diferentes organizaciones y a través de límites
jurisdiccionales que requieren garantizar su confidencialidad continua, integridad
y disponibilidad.
14. Protección de datos en la industria del seguro – Fabián Descalzo
Cómo establecer dominios de gobierno de la información
Conocimiento y Entendimiento del entorno del Negocio y de los servicios que
soportan sus procesos
Identificación de registros y controles
Mapeo adecuado de
los procesos de
Negocio
Mapeo adecuado de
los procesos de
Servicio IT/SI
Identificación de documentos
del Marco Normativo según
leyes y regulaciones
Adecuación de documentos del
Marco Normativo a los procesos
y regulaciones del Negocio
Nivel de Madurez de la Gestión de Gobierno y Cumplimiento
Identificación de riesgos asociados al entorno del Negocio y a los
servicios que soportan sus procesos
15. Protección de datos en la industria del seguro – Fabián Descalzo
Como determinar el alcance
Identificar los escenarios
de intercambio
electrónico de
información
Identificar los procesos,
áreas y responsables
cuyos sistemas de
información se vean
involucrados
Decidir qué tipo de
herramientas de TI
(hardware y software)
se va a emplear
Verificar la conformidad
de los sistemas de
información
involucrados
16. Protección de datos en la industria del seguro – Fabián Descalzo
Cuales son los dominios de gobierno de la información
MODELO
FUNCIONAL
ENTORNO DE
TRATAMIENTO
GESTIÓN DEL
CONOCIMIENTO
CONTROL Y
AUDITABILIDAD
17. Protección de datos en la industria del seguro – Fabián Descalzo
Identificar el objetivo funcional de la información
Atributos
de datos
Naturaleza del
contenido
(Clasificación)
Fuente de
Información
Depositario del
registro
Almacenamiento de
datos
Grado de interacción
Control de acceso a
datos
18. Protección de datos en la industria del seguro – Fabián Descalzo
Riesgos más importantes relacionados con la tecnología
Incidente de fraude /
robo de datos
Consecuencias adversas
de los avances
tecnológicos
Administración de la
infraestructura y las
redes críticas de
información
Ciberataques
Proveedor de
tecnología y Terceras
Partes
Administración de
datos
19. Protección de datos en la industria del seguro – Fabián Descalzo
Riesgos más importantes relacionados con la tecnología
Para transformar, las organizaciones deben rediseñar sus modelos de negocio y
operativos, así como sus productos y servicios.
Impacto en la
confidencialidad,
disponibilidad e integridad
de los datos
Imagen de
nuestra empresa Penalidades
regulatorias
20. Protección de datos en la industria del seguro – Fabián Descalzo
Riesgos más importantes relacionados con la tecnología
• Exposición de la confidencialidad de la información por falta de disociación de
datos o fuga de información
• Error en la integridad de la información por fallas en la conversión de datos al
interfasearlos con los aplicativos de terceros
• Error en la integridad de la información por fallas en la operación de terceros
• Falla en la generación o imposibilidad de recuperar registros requeridos por el
marco regulatorio
• Mayores costos por el rediseño del proceso, del software desarrollado,
dimensionamiento deficiente del hardware, horas hombre adicionales y
aplicaciones de software productivas fuera de línea.
21. Protección de datos en la industria del seguro – Fabián Descalzo
Cultura y comunicación
¿MI ORGANIZACIÓN ESTÁ PREPARADA PARA LAS NUEVAS TECNOLOGÍAS?
FuncionalesFuncionales
TécnicosTécnicos
Áreas
tecnológicas y
de seguridad
Áreas
tecnológicas y
de seguridad
Dirección y
Gerencia
Dirección y
Gerencia
Usuarios clave
y finales
Usuarios clave
y finales
Marco LegalMarco Legal
22. Protección de datos en la industria del seguro – Fabián Descalzo
Cultura y comunicación
¿ESTABLEZCO PAUTAS CLARAS PARA COMPARTIR CONOCIMIENTO?
Leyes y
Regulaciones
Leyes y
Regulaciones
Aspectos de
solución técnica
Aspectos de
solución técnica
Procesos de
Servicio
adecuados o
Nuevos procesos
Procesos de
Servicio
adecuados o
Nuevos procesos
Procesos
Funcionales
adecuados o
Nuevos procesos
Procesos
Funcionales
adecuados o
Nuevos procesos
ProyectosProyectos
RemediacionesRemediaciones
Revisiones y
Auditorías
Revisiones y
Auditorías
23. Protección de datos en la industria del seguro – Fabián Descalzo
Gestión y herramientas
IDM
RRHH
Tecnología
EndPoint
Tecnología
Clasificación
de Información
Toda la
Organización
Monitoreo y Control
de Plataformas
Tecnología
Desarrollo
DLP
Organización
Tecnología
Soporte de Consultoría a
Áreas Técnicas
(Participación en proyectos de TI ,
proyectos de remediación para
cumplimiento regulatorio )
Toda la
Organización
Marco Regulatorio
(SOX/BCRA/HD)
Toda la
Organización
GestiónIT
(Control de gestión Data Centers
y operaciones de TI )
Tecnología
24. Protección de datos en la industria del seguro – Fabián Descalzo
Conclusión
Las necesidades del Negocio son cada vez más exigentes, y las tecnologías
son cada vez más complejas.
Cultura, madurez y gestión son las bases hacia una transformación digital
que sea una oportunidad de negocio. Adquirir herramientas y recursos para
la gestión sin una planificación estratégica previa pondrá en riesgo nuestro
Negocio, ya que tendremos una falsa sensación de que “todo está bien”…
Pero en realidad nuestro éxito dependerá más de la suerte que de nuestras
acciones.