Segurinfo 2010: La seguridad más allá de las normativas, Caso MAPFRE

El Ing. Gustavo Lorenzi, Jefe de Seguridad de la Información del Grupo MAPFRE, disertó acerca de las medidas de seguridad que la empresa tomó para protegerse, más allá de lo exigido por la normativa local.

Desde el año 2007 esta compañía viene llevando adelante un plan de seguridad de la información, organizado por etapas y objetivos, que busca integrar las diferentes áreas de la empresa. El Grupo MAPFRE abarca tanto los seguros patrimoniales, como los de Vida y los de ART, por lo que a nivel local, se ve regulado por la normativa de diferentes Superintendencias, como la de Seguros y de Riesgos del Trabajo (Resolución 734/2008, sobre la creación de un Sistema de Control Interno), además de leyes nacionales (ley 25.326 de protección de Datos Personales) y provinciales (en la Ciudad de Buenos Aires, la ley 2014, conocida como Registro “No llame”). A estos cumplimientos, deben agregarse los exigidos por el grupo a la filial local.

Cualquier medida de seguridad parece insuficiente, cuando vemos que las bases de datos de la compañía contienen información sensible con datos personales de los asegurados, su patrimonio, siniestros acontecidos, estado de salud, historias clínicas, y planes de negocios, entre otros. Como un primer paso, MAPFRE Argentina implementó la creación de un Comité de Seguridad, que involucra al presidente de la empresa, y a los mandos de las gerencias medias y altas, y los pone en relación con los especialistas en seguridad. De esta forma se logró un involucramiento total de quienes tienen capacidad de tomar decisiones, en un ámbito que requiere de una gran capacidad de maniobra ante situaciones de emergencia. Además, toda implementación de políticas de seguridad necesita a su vez de un presupuesto que las respalde, y cuando en las dirigencias no hay una verdadera conciencia del riesgo, tiende a subestimarse su importancia.

Sin embargo, esto no es suficiente, y se buscó también llegar a la sensibilización de los empleados, que son quienes manejan diariamente la información confidencial de la empresa, y quienes tienen responsabilidad directa en muchos de los incidentes de seguridad. Para esto se focalizaron en concientizar a las personas de su rol en la seguridad de la empresa, y en hacerles conocer los límites de su responsabilidad, que suelen ser mucho más amplios de lo que perciben. Cuando existe un departamento de seguridad, la tendencia es a desligarse de las responsabilidades, y a delegarlas en los encargados de solucionar el problema.

El área de seguridad de la información tomó además algunas decisiones respecto al filtrado de contenidos en web, como el bloqueo de la mensajería instantánea y de sitios con posible contenido malicioso, mientras que el problema de las redes sociales está aún en evaluación. Con respecto a los dispositivos extraíbles de almacenamiento, se dejó libertad a cada área para definir sus permisos según sus necesidades, aunque sí existe un registro de la entrada y salida de archivos, y el uso de file servers para evitar el adjunto de grandes paquetes que colapsan el sistema de e-mails. El uso de software homologado fue otra de las problemáticas a las que tuvieron que dar resolución, ya que en esta área en particular, debía decidirse antes si esto correspondía a Sistemas o a Seguridad. A pesar de todas las medidas tomadas, la capacitación y concientización de los empleados sigue siendo la herramienta más fuerte de prevención, y a esto se apostó a través de una campaña interna con afiches, que intentaba alertar al personal sobre prácticas cotidianas de las que no se conocen sus riesgos.

A modo de conclusión, el Ing. Lorenzi compartió los resultados de esta experiencia, resaltando algunos puntos que fueron fundamentales para la implementación del plan, como el arranque consensuado y participativo de las acciones, la apertura del Comité a la resolución de conflictos, entender que lo que es normativa no se negocia, y finalmente, que no hay que ser demasiado optimista en los tiempos de implementación, sino tener una visión clara de los objetivos a cumplir, y de las dificultades que pueden surgir en el camino.

María Eugenia Druetta