Las compañías de seguros de todo Estados Unidos se están viendo obligadas a revisar sus protocolos de seguridad de datos, tras una serie de infracciones y ciberataques de gran repercusión en los últimos años.

Los estados están promulgando leyes de ciberseguridad específicas para el sector de los seguros, encabezadas por Carolina del Sur, Ohio y Michigan, que ya han aprobado leyes de seguridad de datos para las aseguradoras en los últimos 12 meses.

El gobernador de Misisipi aprobó nuevas medidas el 3 de abril. Connecticut y New Hampshire también tienen proyectos de ley que avanzan en sus legislaturas.

Todos estos estados están utilizando elLey Modelo de Seguridad de Datos de Seguros' de 2017 (alias "MDL-668") de la Asociación Nacional de Comisionados de Seguros, que extrajo la ley de la Reglamento de ciberseguridad del Departamento de Servicios Financieros de Nueva York.

Ejemplo de Ohio: Desarrollo de programas de seguridad de la información

Ohio fue el segundo estado en adoptar una versión de la MDL-668 cuando el proyecto de ley 273 del Senado de Ohio entró en vigor el 20 de marzo, creando nuevos requisitos para que las compañías de seguros de Ohio, incluidos los planes de seguros de salud, desarrollen y apliquen programas específicos de seguridad de la información para salvaguardar la información comercial y personal no pública.

La nueva ley se aplica a todas las personas o entidades no gubernamentales que deban estar autorizadas, registradas o con licencia en virtud de las leyes de seguros de Ohio. Todos los licenciatarios están obligados a desarrollar, implementar, mantener y documentar completamente un programa integral de seguridad de la información, basado en la evaluación interna de riesgos del licenciatario, para salvaguardar la información no pública del licenciatario, que se define como información comercial y personal, cuya divulgación podría dañar el negocio, o exponer ciertos detalles personales de un cliente.

Como mínimo absoluto, el plan de seguridad de la información de un licenciatario debe lograr lo siguiente:

  1. Proteger la seguridad y confidencialidad de la información no pública y la seguridad del sistema de información;

  2. Proteger contra cualquier amenaza o peligro para la seguridad o integridad de la información no pública y del sistema de información;

  3. Proteger contra el acceso o el uso no autorizado de la información no pública y minimizar la probabilidad de daño a cualquier consumidor; y

  4. Definir y reevaluar periódicamente un calendario de conservación de la información no pública y un mecanismo para su destrucción cuando ya no se necesite.

En una declaración, Jeffrey Taft, socio de Mayer Brown LLP dijo:

"No hay duda de que la ciberseguridad es el mayor riesgo al que se enfrenta el sector de los servicios financieros". ...La promulgación de estas leyes, ya sea la norma cibernética del NYDFS, o la norma modelo de la NAIC, no es más que una prueba de hasta qué punto los reguladores entienden eso y cómo quieren que las entidades reguladas entiendan ese riesgo".

Como parte de su programa de seguridad de la información, los licenciatarios de Ohio también deben:

  • Designar a una parte que actúe en nombre del licenciatario y sea responsable de la información
    programa de seguridad;

  • Identificar las amenazas internas o externas razonablemente previsibles que podrían dar lugar a un acceso, transmisión, divulgación, uso indebido, alteración o destrucción no autorizados de información no pública, incluidas las amenazas a la seguridad de los sistemas de información y de la información no pública a la que tienen acceso o que está en manos de terceros proveedores de servicios, definidos como entidades contratadas con un Licenciatario para mantener, procesar o almacenar información no pública, para garantizar que sus programas de seguridad de la información son adecuados;

  • Evaluar la probabilidad y el daño potencial de las amenazas internas o externas en función de la sensibilidad de la información no pública;

  • Evaluar la suficiencia de las salvaguardias establecidas para gestionar las amenazas descritas anteriormente;

  • Aplicar las salvaguardias de la información para gestionar las amenazas identificadas en su evaluación continua; y

  • Al menos una vez al año, evaluar la eficacia de los controles, sistemas y procedimientos clave de las salvaguardias.

Variaciones de la ley modelo

Los profesionales de la seguridad de los datos y de los seguros prevén que un número cada vez mayor de estados adoptará una legislación similar en el transcurso de los próximos años, y afirman que las empresas deben ser conscientes de los diferentes requisitos entre las leyes existentes y las que se promulguen en el futuro, para garantizar su pleno cumplimiento.

Alan Berliner, ex director adjunto y asesor jurídico jefe del Departamento de Seguros de Ohio, dijo. "Los Estados lo verán como una protección a favor del consumidor".

Cuando las leyes estatales, como la de Nueva York, afectan a las compañías de seguros que hacen negocios allí, "otros estados dirán 'si nuestras compañías de seguros tienen que cumplir la ley, deberíamos tener nuestras propias leyes'". añadió Berliner, que ahora es socio y asesor de seguros en Thompson Hine LLP.

Tanto el modelo como las adaptaciones estatales individuales de la ley suelen requerir que las entidades cubiertas tengan una documentación completa:

  • programas de seguridad de la información;

  • completar las evaluaciones de riesgo, y;

  • mantener los planes de respuesta a las incidencias,

así como otras disposiciones. Las empresas de seguros que ya cumplen con la normativa de ciberseguridad de Nueva York tienen una ruta algo simplificada para cumplir con otras leyes estatales debido a la similitud de los requisitos, han dicho los abogados.

Andreas Kaltsounis, socio de privacidad y seguridad de datos de BakerHostetler, dijo que, hasta ahora, los requisitos de notificación de violaciones de datos y las disposiciones de exención representan las diferencias más significativas en las leyes estatales. Las versiones estatales de la ley también tienen diferentes criterios de exención basados en "el número de empleados, los ingresos de la empresa o los activos de la empresa", añadió Kaltsounis.

La nueva ley de Ohio permite a los titulares de licencias con determinados programas de ciberseguridad utilizar una defensa afirmativa contra las reclamaciones por daños y perjuicios que aleguen que el titular de la licencia no implementó controles razonables de ciberseguridad.

En las jurisdicciones de derecho consuetudinario, un agravio es una infracción civil que hace que el demandante sufra una pérdida o un daño que da lugar a la responsabilidad legal de la persona que comete el acto torticero.

Pero a pesar de las variaciones en las leyes, las aseguradoras que operan a escala nacional se prepararán para los requisitos más estrictos, adoptando el "enfoque del mínimo común denominador", dijo Taft.

Cumplimiento de la normativa: el futuro

Las entidades cubiertas pueden tener que modificar los contratos de los proveedores para cumplir con las disposiciones de los proveedores de servicios de terceros, dijo Taft.

"Para muchas empresas, ese es un punto especialmente doloroso, porque les exige que algún tercero acepte hacer ciertas cosas como parte de su relación contractual", ... Las entidades también tendrán que revisar sus sistemas de gestión de proveedores para asegurarse de que mantienen unos estándares elevados".

Al igual que cualquier otra organización que tenga información sensible de las personas, las compañías de seguros podrían verse afectadas por el acceso no autorizado a su red o sistemas de correo electrónico de forma remota, dijo Kaltsounis.

"Para combatir esto, las aseguradoras deberían implementar la autenticación multifactorial para el acceso remoto a los recursos -este control es destacado por la regulación del NYDFS y la ley modelo de la NAIC". dijo.

Mientras tanto, los expertos en seguridad de datos advierten que las aseguradoras deben recordar que el mero hecho de tener programas y protocolos de seguridad de la información no garantiza que los procesos funcionen. Las entidades cubiertas deben poner a prueba su respuesta a los incidentes, la calidad de la formación de los empleados y la eficacia de otras políticas de forma continua, con el fin de garantizar que todos los protocolos sean eficaces.

concluyó Taft:

"La mayoría de la gente está mejorando en cuanto a tener políticas y procedimientos. Lo que falla es la aplicación de las políticas y su personalización".

¿Trabaja usted en el sector de los seguros? ¿Le afecta este artículo? Exprese sus preocupaciones, opiniones o preguntas sobre este tema.

Fuentes: Ley Bloomberg, Revista de Derecho de Nueva York, Revista Nacional de Derecho

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.