Blog de Internet Security Auditors

Blog de Internet Security Auditors: Regulaciones de ciberseguridad del sector asegurador

Escrito por Internet Security Auditors | Mar 6, 2023 5:00:00 AM

Estrategia de Ciberseguridad de la Comisión Europea

Una de las prioridades de la Comisión Europea en un mundo cada vez más interconectado digitalmente es garantizar la ciberseguridad. Si bien los ataques en el ciberespacio ya estaban sucediendo con anterioridad, debido a la situación de pandemia global que se ha vivido en los últimos años, no han dejado de aumentar y han llegado a afectar gravemente a instituciones gubernamentales, centros hospitalarios, empresas privadas y por supuesto a usuarios finales de los sistemas de información y comunicación.

Con el objetivo de luchar contra el cibercrimen la Comisión Europea ha desarrollado a lo largo de los años una serie de iniciativas enfocadas a adoptar medidas firmes para que la economía y los ciudadanos de los estados miembros de la UE se encuentren debidamente preparados ante el escenario que se dibuja [3][7].


Estas iniciativas se focalizan en tres ámbitos de acción:
  1. Resiliencia, soberanía tecnológica y liderazgo.
  2. Desarrollo de la capacidad operativa para prevenir, disuadir y responder.
  3. Promover un ciberespacio global y abierto a través de una mayor cooperación.

Todas estas iniciativas proponen la integración de la ciberseguridad en todos y cada uno de los elementos que componen la cadena de suministro, así como concentrar los recursos disponibles y las actividades realizadas en torno a cuatro aspectos básicos de la ciberseguridad:
  • Mercado interior.
  • Aplicación de la ley.
  • Diplomacia.
  • Defensa.

Regulación específica del sector asegurador

Partiendo de la base de consultas públicas y del alcance de las finanzas digitales, durante el año 2020, la Comisión Europea aprobó un paquete de medidas que incluye una estrategia de finanzas digitales y propuestas legislativas sobre criptoactivos y resiliencia digital. El paquete respalda la ambición de la UE de una recuperación que abarque la transición digital.

Al hacer que las reglas sean más amigables con la tecnología digital y seguras para los consumidores, la Comisión Europea quiere aprovechar las sinergias entre las nuevas empresas altamente innovadoras y las empresas establecidas en el sector financiero, al tiempo que aborda los riesgos asociados. [5]

La estrategia establece cuatro prioridades principales: eliminar la fragmentación en el Mercado Único Digital, adaptar el marco normativo de la UE para facilitar la innovación digital, promover una financiación basada en datos y abordar los desafíos y riesgos de la transformación digital, incluida la mejora de la resiliencia operativa digital del sistema financiero. [4]


En este contexto se producen tres normas enfocadas específicamente al sector asegurador:
  • Directrices sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones, de la European Insurance and Occupational Pensions Authority (EIOPA) [6]:
    • Esta normativa se aplica a empresas de seguros y reaseguros tanto individuales como a nivel de grupo, según lo descrito en el Artículo 212, apartado 1, de la Directiva 2009/138/CE [2].
    • Está compuesta por un total de 25 directrices, las siguientes:
      • Directriz 1 – Proporcionalidad.
      • Directriz 2 – TIC dentro del sistema de gobernanza.
      • Directriz 3 – Estrategia de TIC.
      • Directriz 4 – Riesgos de TIC y seguridad en el ámbito del sistema de gestión de riesgos.
      • Directriz 5 – Auditoría.
      • Directriz 6 – Política y medidas de seguridad de la información.
      • Directriz 7 – Función de seguridad de la información.
      • Directriz 8 – Seguridad lógica.
      • Directriz 9 – Seguridad física.
      • Directriz 10 – Seguridad de las operaciones de TIC.
      • Directriz 11 – Supervisión de la seguridad.
      • Directriz 12 – Revisiones, evaluaciones y pruebas de la seguridad de la información.
      • Directriz 13 – Formación y sensibilización sobre seguridad de la información.
      • Directriz 14 – Gestión de las operaciones de TIC.
      • Directriz 15 – Gestión de incidentes y problemas de TIC.
      • Directriz 16 – Gestión de proyectos de TIC.
      • Directriz 17 – Adquisición y desarrollo de sistemas de TIC.
      • Directriz 18 – Gestión de cambios de TIC.
      • Directriz 19 – Gestión de la continuidad del negocio.
      • Directriz 20 – Análisis de impacto en el negocio.
      • Directriz 21 – Planificación de la continuidad del negocio.
      • Directriz 22 – Planes de respuesta y recuperación.
      • Directriz 23 – Pruebas de los planes.
      • Directriz 24 – Comunicaciones de crisis.
      • Directriz 25 – Externalización de los servicios y los sistemas de TIC.
    • Tal y como se puede observar, dichas directrices visitan prácticamente todos los aspectos clave de otro tipo de estándares como las ISO de las familias de la 27001 o la 22301. Esto no quiere decir que dichos requisitos sean equivalentes, ni tampoco que la disposición de los certificados de las correspondientes normas ISO convaliden el cumplimiento de EIOPA. Su cumplimiento deberá ser evaluado separadamente.
    • Un aspecto importante en el cumplimiento y la evaluación de estas directrices es que deben ser proporcionales a la naturaleza, la escala y la complejidad de los riesgos inherentes a las actividades desempeñadas por las empresas a las que le aplica.
  • Reglamento sobre la resiliencia operativa digital (DORA)[8]:
    • Este reglamento establece requisitos relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras y proveedores terceros de servicios TIC.
    • Este reglamento se aplica a:
      • Proveedores terceros de servicios de TIC.
      • Las denominadas colectivamente “entidades financieras”:
        • entidades de crédito.
        • entidades de pago.
        • entidades de dinero electrónico.
        • empresas de servicios de inversión.
        • proveedores de servicios de criptoactivos, emisores de criptoactivos, emisores de fichas referenciadas a activos y emisores de fichas significativas referenciadas a activos.
        • depositarios centrales de valores.
        • entidades de contrapartida central.
        • centros de negociación.
        • registros de operaciones.
        • gestores de fondos de inversión alternativos.
        • sociedades de gestión.
        • proveedores de servicios de suministro de datos.
        • empresas de seguros y de reaseguros.
        • intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios.
        • fondos de pensiones de jubilación.
        • agencias de calificación crediticia.
        • auditores legales y sociedades de auditoría.
        • administradores de índices de referencia cruciales.
        • proveedores de servicios de financiación participativa.
        • registros de titulizaciones.
    • Está compuesto por 56 Artículos, agrupados en 9 capítulos y que tratan las siguientes temáticas principales:
      • Ámbito de aplicación del Reglamento y proporcionalidad en la aplicación de las medidas exigidas.
      • Requisitos relacionados con la gobernanza.
      • Requisitos de gestión del riesgo de TIC.
      • Notificación de incidentes relacionados con las TIC.
      • Pruebas de resiliencia operativa digital.
      • Riesgo de terceros relacionado con las TIC.
      • Intercambio de información.
  • Threat Intelligence-Based Ethical Red-teaming (TIBER-EU) y su marco local en España (TIBER-ES) [1][9]:
    • Estos marcos de trabajo tienen como objetivos principales:
      • mejorar la resiliencia cibernética de las entidades y del sector financiero en general.
      • estandarizar y armonizar la forma en que las entidades realizan pruebas de red-team basadas en inteligencia en toda la UE, al mismo tiempo que permiten a cada jurisdicción un grado de flexibilidad para adaptar el marco de acuerdo con sus especificidades.
      • brindar orientación a las autoridades sobre cómo pueden establecer, implementar y administrar esta forma de prueba a nivel nacional o europeo.
      • apoyar las pruebas de red-team dirigidas por inteligencia transfronterizas y transjurisdiccionales para entidades multinacionales.
      • permitir discusiones de supervisión y/o vigilancia donde las autoridades buscan confiar en las evaluaciones de los demás realizadas utilizando TIBER-EU, reduciendo así la carga regulatoria sobre las entidades y fomentando el reconocimiento mutuo de las pruebas en toda la UE.
      • crear el protocolo para la colaboración transfronteriza/entre autoridades, el intercambio de resultados y el análisis.
    • El marco a nivel español (TIBER-ES), implica a los equipos de:
      • TIBER Cyber Team (Banco de España): quién revisará periódicamente el marco de trabajo de TIBER-ES, entre otras responsabilidades.
      • White-Team (entidad a evaluar): responsables en última instancia de la definición del alcance del test y su ejecución efectiva. Es un equipo pequeño para mantener la confidencialidad del mismo dentro de la entidad.
      • Blue-Team (entidad a evaluar): comprende al personal que no formará parte del White-Team. No deben ser notificados de la ejecución del test hasta la fase de cierre.
      • Threat Intelligence (proveedor): recolectará información, imitando la investigación que un actor de ciber amenazas realizaría y proveerá a la entidad con un informe de los hallazgos sobre las amenazas específicas que podrían ser aprovechadas en contra de la entidad.
      • Red-Team (proveedor): intentará comprometer las capacidades de seguridad de la entidad mediante el uso de tácticas, procedimientos y técnicas de hacking ético.
    • Se define una estructura en tres fases, con sub-fases:
      • Preparación.
        • Pre-lanzamiento.
        • Preparación / Obtención de los recursos.
        • Lanzamiento.
        • Definición del alcance.
      • Testing.
        • Obtención de las amenazas.
        • Definición del Plan del test.
        • Ejecución del test.
      • Cierre.
        • Informes preliminares de los equipos de Red-Team y Blue-Team.
        • Repetición del test, lecciones aprendidas y plan de remediación.
        • Informe resumen del test.
        • Validación del test.

Como referencia rápida, podemos resumir que estas normativas tratan los siguientes puntos clave:



Régimen sancionador

Como todas las normativas, llevan aparejado el correspondiente régimen sancionador que vendrá a castigar a las entidades que estén obligadas al cumplimiento pero que por una u otra razón no lo estén haciendo. Estas sanciones pueden tener carácter pecuniario e incluso penal para los infractores.

Con el objetivo de ilustrar las que se están produciendo, en el caso de EIOPA, entre 2018 y 2021 [10]:

  • Se han producido un total de 5.486 sanciones: 1.923 en 2018-2019, 1.942 en 2020 y 1.621 en 2021.
  • Acumulan un total de 2.090.456 € en sanciones: 945.710 € en 2018-2019, 793.571 € en 2020 y 351.175 € en 2021.

En el caso de España:

  • Se han producido un total de 2 brechas que han culminado en sanción, únicamente en el año 2021.
  • Se acumulan unas sanciones administrativas pecuniarias por valor de 36.000€ basadas en el Artículo 33 Investigaciones Generales.

Conclusión

Desde el punto de vista de las entidades públicas, entidades privadas y para la población en general es un aspecto positivo que la ciberseguridad se tenga cada vez más en cuenta en las agendas de las instituciones gubernamentales y de la Unión, que generen un escenario propicio para unas relaciones digitales con mayores garantías.

Cabe remarcar, que las distintas agendas e iniciativas no solo incumben al sector en el que se ha hecho foco en este artículo, sino que paulatinamente abarcarán a la mayoría de los ámbitos y sectores, pues también así lo hacen y seguirán haciendo los ciberdelincuentes. Ante esta realidad, no cabe sino formarse y comprender los riesgos a los que nos enfrentamos día a día y obtener las habilidades necesarias para prevenir y combatir situaciones de riesgo.

Referencias

[1] Banco de España. (s.f.). TIBER-ES. Obtenido de https://www.bde.es/bde/es/secciones/servicios/tiber-es-3f6bfe7e907ed71.html
[2] Comisión Europea. (25 de Noviembre de 2009). Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 , sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II). Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32009L0138&from=ES
[3] Comisión Europea. (17 de Abril de 2019). Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act). Obtenido de https://eur-lex.europa.eu/eli/reg/2019/881/oj
[4] Comisión Europea. (24 de Septiembre de 2020). A Digital Finance Strategy for Europe. Obtenido de https://finance.ec.europa.eu/document/download/8e1c7d22-6808-46ac-84d8-ba65f1661818_en?filename=200924-digital-finance-factsheet_en.pdf
[5] Comisión Europea. (24 de Septiembre de 2020). Digital finance package. Obtenido de https://finance.ec.europa.eu/publications/digital-finance-package_en
[6] Comisión Europea. (08 de Octubre de 2020). EIOPA-BoS-20/600. Obtenido de Directrices sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones: https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwiJ1OiYiKD8AhUsRaQEHZWSAB8QFnoECBAQAQ&url=https%3A%2F%2Fwww.eiopa.europa.eu%2Fsites%2Fdefault%2Ffiles%2Fpublications%2Feiopa_guidelines%2Feiopa-gls-ict-security-and-go
[7] Comisión Europea. (16 de Diciembre de 2020). Nueva Estrategia de Ciberseguridad de la UE y nuevas normas para aumentar la resiliencia de las entidades críticas físicas y digitales. Obtenido de https://ec.europa.eu/commission/presscorner/detail/es/IP_20_2391
[8] Comisión Europea. (24 de Septiembre de 2020). REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO. Obtenido de sobre la resiliencia operativa digital del sector financiero: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CONSIL:ST_11051_2020_INIT&from=ES
[9] European Central Bank. (s.f.). TIBER-EU framework. Obtenido de https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
[10] European Insurance and Occupational Pensions Authority (EIOPA). (20 de Diciembre de 2022). EIOPA 3RD ANNUAL REPORT ON ADMINISTRATIVE SANCTIONS AND OTHER MEASURES UNDER THE INSURANCE DISTRIBUTION DIRECTIVE (IDD) (2021). Obtenido de https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwiQldvnjKH8AhXlhP0HHSYiCDQQFnoECBEQAQ&url=https%3A%2F%2Fwww.eiopa.europa.eu%2Fsites%2Fdefault%2Ffiles%2Fpublications%2Freports%2Fannual_report_idd_sanctions_2021.pdf&usg=AOvVaw3aPYhV

Autor: José Antonio Prieto - CISA, ISO 27001 L.A., ISO 22301 L.A., SFPC, CDPSE
Dpto. Consultoría