Las compañías de seguro en Puerto Rico estarán obligadas a adoptar mecanismos internos para que información sensitiva de los consumidores, como el número de seguro social o de tarjetas de crédito, no sea blanco de estafadores cibernéticos.

La exigencia emana de una nueva regla en el Código de Seguros de Puerto Rico, informó este martes, el Comisionado de Seguros (OCS), Alexander Adams Vega.

La regla 108, que lleva por nombre, “Normas de Ciberseguridad para la Industria de Seguros”, establece los criterios que debe seguir el sector de seguros para implementar un programa integral de ciberseguridad que considere la naturaleza y las actividades de las empresas de seguros o entidades relacionados.

Para implementar tal programa, explicó Adams Vega, los regulados utilizarán como referencia los estándares del U.S. National Institute of Standards and Technology (NIST), entidad que marca la pauta y prácticas adecuadas para asistir en la gestión de riesgos cibernéticos.

Según la OCS, las aseguradoras y otros componentes del sector estarán obligados a crear las salvaguardas necesarias para minimizar los riegos de acceso no autorizado a sistemas de información que comprometan datos e información no pública de los consumidores relacionada con el negocio de seguros. Entre la información no pública de los consumidores que debe estar protegida figura el número de seguro social de la persona, número de licencia de conducir o tarjeta de identificación alterna, número de cuenta de banco, números de tarjetas de crédito o de débito e información o datos sobre el estado de salud, entre otras.

“El programa de ciberseguridad será requerido a nuestros regulados para proteger y asegurar la confidencialidad, integridad y prevenir acceso o uso no autorizado de la Información No-Pública almacenada en los Sistemas de Información de los consumidores de seguros, incluyendo el diseño de plan para responder a los ataques cibernéticos, intrusiones u otros fallos de los sistemas”, dijo Adams Vega mediante comunicado de prensa.

Según la OCS, los programas de riesgo cibernético que se adopten deben establecer expectativas claras de seguridad a nivel directivo, gerencial y para todos los empleados de la organización. Deben incluir, además, la capacitación del personal en el tema a fin de prevenir posibles ataques y reconocer potenciales vectores de ataque cibernéticos.

La implementación del programa de ciberseguridad requerido dará a las organizaciones las herramientas necesarias para que se puedan tomar las medidas adecuadas para reaccionar y controlar oportunamente el evento en ocasión de que se produzca un incidente de ciberseguridad.

“Comprometidos con la seguridad de la información de los consumidores de seguros, a partir del mes de octubre, la OCS contará con un Portal de Ciberseguridad en donde los regulados encontrarán herramientas libres de costo, como las de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) para identificar vulnerabilidades, y otros recursos para mantenerse informados con respecto a las mejores prácticas de seguridad cibernética y cómo implementarlas.”, añadió el Comisionado de Seguros.

El portal de ciberseguridad será el canal de comunicación para que aseguradores y profesionales del sector de seguros informen a la OCS si se ha producido un incidente de ciberseguridad que el regulado entienda que compromete la seguridad de información no pública de los consumidores de seguros o información relacionada con el negocio de un regulado. De igual manera, dará visibilidad a la OCS de los esfuerzos de mitigación de vulnerabilidades en la industria de seguros.

Según Adams Vega, quien no informó la frecuencia o si se han suscitado incidentes cibernéticos en el sector de seguros en Puerto Rico, la OCS ha tomado sus propias medidas de ciberseguridad, entre ellas, ejercicios de simulación de ataques junto a la Fundación Semilla Cyber, organización sin fines de lucro dedicada a desarrollar profesionales de alto rendimiento en el campo de la ciberseguridad.