EIOPA y las aseguradoras siguen los pasos de la EBA

Cuando las barbas de tu vecino veas pelar...

El 31 de enero de 2020, la EIOPA (European Insurance and Occupational Pensions Authority), el regulador europeo de aseguradoras y reaseguradoras, ha publicado el documento EIOPA-BoS-20-002, en el que se establecen las directrices para la supervisión de los proveedores de servicios en la nube que las aseguradoras contraten para la realización de actividades consideradas críticas o importantes para su negocio. 

Además del pertinente análisis de los riesgos relacionados con la externalización de estas actividades, cabe destacar que las directrices disponen la realización de una evaluación de los potenciales proveedores con anterioridad a su contratación, para asegurar que sean adecuados al análisis de riesgos realizado.

Por otra parte, también se establece la obligación de realizar una supervisión activa de los proveedores, para verificar que éstos cumplen con los requisitos de seguridad que las entidades deben haber definido, y que este cumplimiento se mantiene durante la prestación de sus servicios. 

En consecuencia, las compañías aseguradoras y reaseguradoras adquieren una serie de obligaciones que les podrán exigir la dedicación de una serie de recursos, en aras de asegurar la protección y seguridad de la información y gestionar los riesgos que la cadena de suministro introduce en el propio negocio.

Este tipo de normativa no es algo nuevo. Las entidades financieras fueron el primer sector cuyos reguladores han establecido las pautas a seguir en la externalización de servicios.

En primer lugar, el documento que en diciembre de 2006 publicó el Comité Europeo de Supervisores Bancarios (CEBS), y que constaba de 12 directrices para su aplicación en la externalización de “actividades materiales”, entendiendo por tales aquellas cuyo fallo o debilidad pueden impactar el cumplimiento de sus funciones y obligaciones regulatorias, todas las que requieren licencia del regulador, o las que pueden tener impacto en la gestión de riesgos.

La Autoridad Bancaria Europea (EBA) publicó en 2017 unas nuevas directrices estableciendo requisitos de supervisión y auditoría para aquellas actividades materiales que se externalizasen con proveedores de servicios en la nube. El reciente documento de la EIOPA es prácticamente una copia de estas directrices de la EBA, limitando su aplicación a los servicios críticos o importantes, en lugar de a los entendidos como “materiales”, que parecen incluir un mayor alcance.

No obstante, la EBA publicó un nuevo documento de directrices en febrero de 2019, en el que se consolidan los dos documentos mencionados anteriormente, y que extiende la aplicación, ya no solo a los servicios en la nube, sino a la totalidad de servicios en los que se externalizan las funciones relacionadas con esas actividades materiales. No sería de extrañar que en un futuro próximo, la EIOPA ampliase el alcance de los servicios que las aseguradoras deberán incluir en la supervisión.

Por otra parte, ¿qué sentido tiene que únicamente los proveedores cloud sean supervisados? Sin duda, todas las entidades disponen de muchos otros proveedores cuya actividad, o mejor dicho, en los que un incidente de seguridad puede tener un serio impacto en el negocio, pudiendo afectar a la continuidad del mismo, provocar una fuga de información, causando perjuicios económicos directos o indirectos, daños reputacionales, etc. En resumen, la lógica dicta que se supervise en base a un concepto de proporcionalidad, a todos aquellos proveedores que pueden impactar, y no solo a los prestadores de servicios en la nube.

Dicho esto, tanto la EIOPA como su modelo de la EBA, abren la posibilidad de que para que la supervisión resulte más eficiente, en lugar de que cada entidad evalúe individualmente a sus proveedores, pero siempre manteniendo la responsabilidad, estas puedan emplear mecanismos tales como las auditorías compartidas o las certificaciones y auditorías realizadas por terceros, siempre que estas cumplan una serie de condiciones.

En LEET Security hemos mostrado cómo nuestra calificación ofrece esas condiciones, de forma que ya son varias las entidades, tanto del sector financiero como del asegurador, que la están utilizando, puesto que facilita tanto la requerida evaluación previa a la contratación, como la supervisión durante la prestación de los servicios. La tabla a continuación ofrece una comparativa sobre la adecuación de diferentes modelos a los requisitos para la utilización de certificaciones y auditorías de terceros que establece la EIOPA:

Y esto no es todo…hace tan solo unos días, el regulador europeo de los mercados de valores, ESMA, que actúa sobre las empresas cotizadas, y que en España tiene su reflejo en la CNMV, acaba de publicar una consulta pública, exactamente en los mismos términos que, primero la EBA y posteriormente la EIOPA, emitieron en su día con el objetivo de identificar, tratar y monitorizar los riesgos derivados asociados a la externalización de servicios en la nube, y que la EBA amplió a todos los servicios externalizados. Cuando las barbas de tu vecino veas pelar…

All you need is LEET!

Recibe nuestras notificaciones desde este enlace