El Comisionado de Seguros, licenciado Alexander Adams Vega, anunció la adopción de un nuevo marco de regulación sobre ciberseguridad en la industria de seguros para salvaguardar la protección de información financiera y de salud de los consumidores recopilada en el negocio de seguro en la Regla Núm. 108 del Reglamento del Código de Seguros, conocida como “Normas de Ciberseguridad para la Industria de Seguros”.

La adopción de este marco de regulación refleja el compromiso de la Oficina del Comisionado de Seguros de Puerto Rico de crear las salvaguardas necesarias para minimizar los riegos de acceso no autorizado a sistemas de información que comprometa datos e información no pública de los consumidores relacionada con el negocio de seguros. La información no pública de los consumidores protegida incluye, entre otras, el número de seguro social, número de licencia de conducir o tarjeta de identificación alterna, número de cuenta de banco, números de tarjetas de crédito o de débito e información o datos sobre el estado de salud de los consumidores.

Según explica Adams Vega, “la regulación adoptada establece los criterios a regir en la industria de seguros para la implementación de un programa integral de ciberseguridad, basado en la evaluación de riesgos según la naturaleza y alcance de las actividades del Regulado”. Para ello se utiliza como principio rector los estándares del U.S.National Institute of Standards and Technology (NIST) cuyo marco proporciona los estándares, pautas y prácticas adecuadas para asistir en la gestión de riesgos cibernéticos.

“El Programa de Ciberseguridad será requerido a nuestros regulados para proteger y asegurar la confidencialidad, integridad y prevenir acceso o uso no autorizado de la Información No-Pública almacenada en los Sistemas de Información de los consumidores de seguros, incluyendo el diseño de plan para responder a los ataques cibernéticos, intrusiones u otros fallos de los sistemas”, enfatizó Adams Vega.

Bajo el marco de regulación de ciberseguridad los aseguradores deberán establecer expectativas claras de seguridad a nivel directivo, gerencial y para todos los empleados de la organización y la ciberseguridad deberá considerarse como un tema clave de capacitación que ayude a prevenir incidentes y posibilite reconocer potenciales vectores de ataque cibernéticos.

La implementación del programa de ciberseguridad requerido dará a las organizaciones las herramientas necesarias para que se puedan tomar las medidas adecuadas para reaccionar y controlar oportunamente el evento en ocasión de que se produzca un incidente de ciberseguridad.

“Comprometidos con la seguridad de la información de los consumidores de seguros, a partir del mes de octubre, la Oficina del Comisionado de Seguros contará con un Portal de Ciberseguridad en donde los regulados encontrarán herramientas libres de costo, como las de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) para identificar vulnerabilidades, y otros recursos para mantenerse informados con respecto a las mejores prácticas de seguridad cibernética y cómo implementarlas.”, añadió el Comisionado de Seguros.

Este portal de ciberseguridad, a su vez servirá de canal de comunicación para la notificación a la Oficina del Comisionado de Seguros en ocasión de un incidente de ciberseguridad que el regulado entienda razonablemente comprometa la seguridad de información no pública de los consumidores de seguros o información relacionada con el negocio de un Regulado, y le dará visibilidad al Comisionado de los esfuerzos de mitigación de vulnerabilidades en la industria de seguros. Para proteger esta información, la Oficina se encuentra tomado medidas proactivas de ciberseguridad, entre ellas, ejercicios de simulación de ataques junto a la Fundación Semilla Cyber, organización sin fines de lucro dedicada a desarrollar profesionales de alto rendimiento en el campo de la ciberseguridad.

Sin duda, en el periodo actual en el que la tecnología es parte integral de las operaciones de una organización, la seguridad informática es esencial para fomentar un ambiente de confianza entre los consumidores y el buen funcionamiento de las actividades de negocios al reducir el riesgo de un ataque cibernético que comprometa la confidencialidad de información sensitiva de los consumidores o paralice las operaciones de la organización.

El valor que apareja los datos de salud e información financiera de los consumidores de seguros le hace a la industria de seguros un blanco natural para ataques cibernéticos maliciosos. “Los reguladores de seguros tenemos un papel fundamental en la protección de información personal de los consumidores de seguros ante la continua escala y proliferación de las diversas modalidades de ataques cibernéticos”, finalizó Adams Vega.