4 minute read
Protección de datos y ciberseguridad
PRINCIPALES RIESGOS EXTERNOS
RIESGO DEFINICIÓN
Operacionales
Posibles fallos en los procesos de gestión en seguros con un nivel de especialización como salud afectan negativamente a la relación con el cliente.
Obligan a una mayor vigilancia y atención, en especial en redes sociales, en un contexto en el que hay un mayor acceso a la información y conectividad que da lugar a nuevas realidades de comunicación y difusión de información.
Especialmente relevantes con la implantación del teletrabajo y el avance significativo en la digitalización de la compañía. Sistema de Control Interno configurado a través de un procedimiento de evaluación de puntos de control de riesgo operacional asociados a procesos.
Cooperación de las funciones de gobierno corporativo en la identificación y monitorización de riesgos operacionales, de cumplimiento normativo o de sistema de gobierno.
Certificaciones de excelencia y calidad, Comité de Experiencia del Cliente, etc.
Sistema de medición de la reputación que integra las evaluaciones de los grupos de interés clave para la compañía.
Política de ciberseguridad.
Actualizado y validado con Múnich Re el procedimiento de gestión de incidencias y respuesta ante incidentes de seguridad.
Plan anual de refuerzo de la concienciación de los empleados.
Reputacionales
Ciberseguridad GESTIÓN E INICIATIVAS
Durante los últimos años hemos observado una mayor exposición a riesgos de ciberseguridad debido a la extensión del modelo de teletrabajo. Para adaptarnos a este nuevo contexto en el que la ciberseguridad y la protección de datos es fundamental, trabajamos en tres grandes líneas de actuación:
• Protección de la infraestructura tecnológica
• Factor Humano
• Planes de contingencia
En 2021 hemos revisado y actualizado nuestro procedimiento de gestión y respuesta ante incidentes de ciberseguridad, cumpliendo con las políticas de seguridad de nuestro grupo.
Este proceso es clave para garantizar una recuperación de la normalidad en caso de ataque ya que nos permite actuar con rapidez y efectividad ante cualquier incidente de este tipo, mitigando los posibles daños que el ataque pueda ocasionar para la actividad o la información de la compañía.
Entre los proyectos llevados a cabo durante 2021 para incrementar la seguridad de los activos digitales de la compañía destacan:
• Despliegue tanto en servidores como en dispositivos de usuario, de una nueva solución EDR (Endpoint Detection & Response) con mayores capacidades de detección y respuesta
• Despliegue de doble Factor de autenticación (MFA) en todas las conexiones que se realizan desde fuera de la red de la compañía, especialmente las realizadas a servicios en la nube • Integración en un nuevo servicio WAF (Web Application
Firewall) unificado para dar cobertura a la exposición externa de las aplicaciones
• Ejecución del Plan de concienciación en ciberseguridad y protección de datos para reforzar el nivel de preparación en la organización
• Mejoras en la gestión de vulnerabilidades
CORREO ELECTRÓNICO
El correo electrónico es uno de los medios más usados y que está expuesto a riesgos y amenazas de ciberseguridad
33,3 MILLONES de correos electrónicos recibidos
80% PELIGROSOS. En línea con nuestra rigurosa política de ciberseguridad, 24,8 millones de correos fueron bloqueados antes de entrar a nuestros buzones y 29.000 ficheros adjuntos fueron analizados por filtros avanzados para determinar su peligrosidad
37.000 media diaria de peticiones de acceso a nuestras páginas web bloqueadas por riesgo de seguridad
María Jesús Castro
Directora área organización y sistemas
IMAGINAMOS 2022: RETOS CLAVE
Proteger la información de nuestros asegurados y del resto de grupos de interés tiene nuestra máxima prioridad. Por ello, nuestro primer reto para 2022 será acometer un proyecto para incluir una solución de clasificación de la información y prevención de perdida de datos (DLP) que no se logró acometer el pasado año.
El segundo reto será mantener permanentemente actualizadas las medidas de seguridad para hacer frente a la evolución de los ataques, cada vez más sofisticados y complejos.
Además, trabajaremos en entrenar a la organización y en especial al equipo de respuesta ante incidentes de seguridad, a través de ejercicios prácticos y simulaciones.
SENSIBILIZACIÓN EN CIBERSEGURIDAD A GRUPOS DE INTERÉS
COMITÉ DE DIRECCIÓN
— Información continua sobre amenazas y tendencias en ciberseguridad — Reportes periódicos de la evolución del nivel de madurez en Ciberseguridad de DKV — Formación en ciberseguridad a mediadores del Programa Medialia a través de vídeos y artículos divulgativos
MEDIADORES
EMPLEADOS
— Concienciación con el objetivo de que los empleados sean capaces de detectar posibles emails maliciosos — Concienciación en ciberseguridad — Cursos internos para mejorar habilidades digitales en ciberseguridad — Podcast descriptivo de la situación actual de la ciberseguridad a nivel global y en nuestra compañía — Difusión de artículos divulgativos
— Colaboración con organizaciones sin ánimo de lucro para fomentar la concienciación en ciberseguridad en colectivos con dificultades para acceder a este tipo de información — Difusión de artículos divulgativos sobre privacidad y ciberseguridad
SOCIEDAD PROFESIONALES SANITARIOS
— Plan de despliegue previsto de formación en ciberseguridad y protección de datos en todos los Espacios de Salud DKV — Generación de contenidos sobre privacidad en el portal comunicación de médicos
PROVEEDORES Y TERCEROS
— Distribución de información sobre la evaluación de riesgos de todos los encargados de tratamientos críticos, comunicación de plan de mejora y seguimiento — Cuestionario de valoración de riesgos de seguridad para evaluación de riesgos — Mejora de los procesos de revisión del estado de cumplimiento de los proveedores a nivel de seguridad y protección de la información.
