La adopción de la nube en el sector asegurador, una apuesta segura para evitar ciberataques
  • Gfi ha expuesto las acciones más relevantes para cumplir con la nueva regulación EIOPA que entrará en vigor el 2021.

 

  • La consultora tecnológica ha hablado de un enfoque DevSecOps integral, automatizado y continuo como factores clave para acometer el proceso de adopción de un entorno multinube de una manera eficaz y eficiente.

 

Ha tenido lugar la jornada sobre Ciberseguridad en la nueva regulación EIOPA 2021, organizada por ICEA, y en la que Gfi ha participado para explicar, por qué es necesario cambiar el paradigma con la adopción de la nube para acometer el cumplimiento de esta regulación, y paralelamente, mejorar la seguridad de la organización de una manera eficiente.

La Autoridad Europea de Seguros y Pensiones (EIOPA), con el objetivo de contar con requisitos claros, amplios y armonizados sobre la seguridad cibernética, para garantizar la prestación de servicios de seguros en condiciones de seguridad, ha lanzado esta nueva normativa que entrará en vigor en 2021. Ha marcado las directrices en base a cuatro áreas clave de riesgo: protección de datos, localización, problemas de seguridad y riesgo de concentración, que siguen lo marcado por la European Banking Authority (EBA) sobre acuerdos con proveedores de Cloud con aplicación a todas las entidades bancarias y de medios de pago en septiembre de 2019.

Luis Carlos Tristán, Director Insurance Business Unit de Gfi España, ha presentado las nuevas medidas que hay que adoptar para reforzar la resistencia del sector asegurador y las actuaciones a llevar a cabo para tener una correcta evaluación de riesgo operacional en la externalización y uso de proveedores de servicios cloud. “Lo cual incluiría la racionalización de los marcos de notificación de incidentes cibernéticos en todo el sector financiero y de seguros, a fin de evitar incoherencias en la información notificada y, en última instancia, evaluar la mejora continua en seguridad que las entidades están abordando”.

Precisamente, en este sentido ha destacado que los gestores de riesgo de otros sectores se encuentran centrados en minimizar su exposición mediante negociación de acuerdos a largo plazo con aseguradoras. Es por ello, que las aseguradoras deben mostrar niveles de confianza y cumplimiento normativo exhaustivo en todo lo referente a la ciberseguridad.

Las nuevas directrices nos dan las pautas para, desde el origen, implementar herramientas de automatización de procesos de evaluación, testing y control de nuestra exposición a ciberataques con el propósito de proteger pérdidas de servicio a clientes, financieras y de reputación.

Rafael Ortega y Alberto Brezmes, de área Digital Risk de Gfi España, han puesto de relieve que el concepto DevSecOps no es solo la revisión de seguridad de código desarrollado, como muchas veces se refieren a este término. En un entorno multinube, es necesario tener una visión completa, desde el comienzo del proceso de construcción de un servicio, hasta su explotación. Para ello, el uso de herramientas opensource de seguridad, las utilidades y mecanismos de seguridad que proporcionan los proveedores de nube, hace posible tener un control completo, integrado y automatizado de la Ciberseguridad.

Como base metodológica para la consecución de esta visión holísitica del DevSecOps, Gfi se basa en el uso del Modelado de Amenazas, Behaviour Driven Development (BDD-Security) y Patrones de Seguridad, que permiten la automatización completa del ciclo, además del control continuo de la arquitectura y de las medidas de ciberseguridad implantadas en entorno multinube.

Artículos relacionados

Compartir