Unespa ha publicado un 'Compendio de mejores prácticas sobre seguridad lógica y física en aseguradoras', un documento que reúne principios y procesos en materia de seguridad para ayudar a las aseguradoras a mejorar la planificación de riesgos y las medidas para minimizar su impacto. Su contenido está basado en" desarrollos y recomendaciones emitidos por instituciones y organizaciones nacionales e internacionales en materia de seguridad integral".

En este sentido, el objetivo es abarcar la seguridad en su sentido más amplio: seguridad física de las personas que han de realizar las labores relacionadas con la actividad aseguradora o ligadas a ella, así como de los clientes o terceros que se encuentren en sus instalaciones o en eventos organizados por la entidad; seguridad de los datos que son confiados a los aseguradores, así como la información de su propiedad sobre la que sustenta su actividad; seguridad relativa a la capacidad de continuar la actividad en situaciones disruptivas externas y no previstas (como un ciberataque); y seguridad en la reputación (individual y sectorial) del seguro como actividad que transmite confianza no sólo a la hora de cumplir sus compromisos, sino en los procesos que instrumenta para realizar dicho cumplimiento.

En primer lugar, Unespa insta a contar con un buen 'Plan de Continuidad de Negocio', entendido como una "estrategia estructurada" donde se describen "las acciones, procesos, responsabilidades y tomas de decisión que se activarán en el caso de que ocurra un suceso susceptible de impedir o limitar la capacidad de la aseguradora de realizar su actividad diaria con normalidad".

Para que un 'Plan de Continuidad de Negocio' sea acorde debe incluir, entre otros, los siguientes aspectos: un análisis de impacto de negocio, las medidas tendentes a recuperar los servicios informáticos, el Plan de Recuperación ante Desastres Informáticos y escenarios de recuperación y respuesta. Y todo ello debe constar por escrito.

En segundo lugar, Unespa recomienda a las aseguradoras que realicen "un análisis o mapeo de los riesgos de seguridad física y lógica" a los que están sometidas. Y este análisis debe llevarse a cabo de "forma sistemática y adaptada a la complejidad y naturaleza" del negocio. Este mapeo de riesgos debe incluir elementos como las actividades y funciones relevantes del negocio; los activos existentes, incluyendo la interdependencia entre ellos y con los activos de información; y los procesos o servicios que entran en juego, además de la información o flujo de datos entre los procesos. Unespa precisa que este análisis "debería ser suficiente para permitir la definición de los niveles de apetito de riesgo de la entidad" y para clasificar los riesgos identificados "en función de su nivel de intensidad o criticidad" con el fin de ofrecer la mejor respuesta.

En tercer lugar, la patronal subraya que es importante definir "la lista de controles relevantes de seguridad que es necesario implantar para poder enfrentarse a los riesgos detectados" y también sugiere que sería esencial "disponer de un sistema para la detección de vulnerabilidades y, como consecuencia de todo ello, de una estrategia de seguridad TIC".

En cuarto lugar, Unespa señala que "conviene que la entidad o grupo asegurador defina los principios de alto nivel de su política de seguridad en la información, con el objetivo de proteger la confidencialidad, la integridad y la disponibilidad de los datos en su poder". Y, por último, la asociación empresarial del seguro propone a las aseguradoras que determinen "qué departamento(s) o función(es) han de implicarse en la gestión diaria de la seguridad lógica y física de acuerdo con el nivel de apetito de riesgo definido".

Este compendio de buenas prácticas, bastante amplio y detallado, está publicado en la web de Unespa y tiene carácter voluntario, por lo que la patronal pide que se interprete como una "serie de herramientas que pueden ser utilizadas por cada entidad para, en el marco de su soberanía e independencia de gestión, diseñar su propia estrategia".