Segurinfo 2010: Un caso de seguridad de la información, La Meridional

El panorama presentado por el panel de aseguradoras durante la segunda jornada de Segurinfo 2010, quedó ejemplificado con el caso expuesto por Luis Vidaurreta, Gerente de Sistemas de la compañía de seguros La Meridional.

La digitalización y automatización de los procesos llevada a cabo por las compañías aseguradoras en los últimos años, respondió a las necesidades que el mercado comenzó a tener a partir de su expansión. El cruce entre exigencias normativas y la posibilidad de cumplirlas masivamente planteaba algunos problemas de capacidad física, como el resguardo de la póliza por un plazo de 10 años, la imposibilidad de cumplir con los períodos legales de entrega de la misma al asegurado, altos costos administrativos, y un alto porcentaje de errores en las emisiones.

Esta masificación del servicio, impulsada por los nuevos canales de comercialización como brokers, agencias de viaje, bancos y centros de telemarketing, llevó a una expansión del mercado desproporcionada con respecto a la respuesta que las compañías podían dar a semejante cantidad de demanda. En este punto, la curva de crecimiento se ameseta al llegar al límite de respuesta del sistema. Los procesos de automatización se hacían cada vez más necesarios, pero por otra parte, su incursión en las ya solidificadas estructuras de las compañías de seguros significaba una irrupción traumática en los modos y la cultura de trabajo de cada institución.

Nuevos conceptos como los de calidad del servicio, que implican menores costos para abarcar mayor cantidad de clientes, derivan en soluciones de tipo informático y de contacto a distancia, como los centros de atención telefónica, servicios web y móviles. Todos estos canales son utilizados de forma complementaria, para proveer a los distintos niveles de clientes la información necesaria: un particular puede consultar a través del sitio en Internet los servicios que la compañía ofrece, mientras que el productor asesor puede realizar trámites a través de la red interna de la misma. Las soluciones móviles por otra parte, agilizaron ciertos procesos como los de la inspección del bien asegurable y la verificación del siniestro, donde el asiento a la base de datos de la compañía es automático, sin necesidad de trasladarse hasta ella, corriendo el riesgo de perder información en el camino, y sin contar con los beneficios en tiempo que se ganan.

Ahora bien, como el mismo término “canal” lo indica, éstos pueden servir tanto para el ingreso de información, como para su salida, y esto, según la intención que se tenga sobre el uso del sistema, puede convertirse fácilmente en infiltración de código malicioso, o robo de datos. La protección entonces de estos canales, resulta vital para el desarrollo normal de estos procesos de digitalización, ya que el mayor activo de la compañía hoy no se encuentra en sus papeles, sino en sus bases de datos y servidores.

Con el objetivo de brindar protección a todas las áreas de la compañía, La Meridional implementó un sistema de seguridad basado en el modelo arquitectural DMZ (DeMilitarized Zone) en tres capas, que consiste en un perímetro de seguridad entre la red interna y la externa, que impide los pasos desde la segunda hacia la primera, aunque sí el proceso inverso. Por otra parte, y debido a las exigencias del grupo internacional, se ven obligados a implementar procesos de seguridad certificados por normas ISO, garantizar la alta disponibilidad de los data centers, un sólido plan de contingencia, y la duplicación de los equipamientos y controles. En el ámbito local, se está empezando a trabajar con la Superintendencia de Seguros de la Nación en el área de protección de datos.

María Eugenia Druetta