Protección de la información y la privacidad global

Protección de la información y la privacidad global

En Cigna, los datos y la información son fundamentales para nuestras operaciones. Nos hemos comprometido a proteger el derecho a la privacidad de nuestros clientes y valoramos la confianza que depositan en nosotros. Para brindar servicio a nuestros clientes a nivel global, Cigna debe recopilar y usar información personal delicada sobre su salud y bienestar. Cigna mantiene un sólido programa de privacidad para proteger y utilizar apropiadamente la información que nuestros clientes nos entregan.

Todos los días, los sistemas informáticos de Cigna se utilizan para recopilar, guardar y procesar grandes volúmenes de información personal relacionada con los servicios que brindamos. Nuestra empresa depende de la disposición de nuestros clientes para confiarnos su información relacionada con la salud y otro tipo de información personal delicada, y de nuestra capacidad para proteger y usar esa información de manera apropiada. A medida que avanzamos en el desarrollo de nuestras ofertas de servicios de salud, los programas de protección de la información y privacidad de Cigna tienen por objetivo proteger bien esa información.

El entorno digital cada vez domina más el ámbito empresarial y toda nuestra vida personal. Al mismo tiempo, los avances tecnológicos continúan acelerando los dispositivos conectados, inteligencia artificial, informática cuántica, robótica avanzada, blockchain y otras capacidades innovadoras. La ciberseguridad y privacidad se vuelven cada vez más importantes en este entorno dinámico.

Nuestras operaciones se extienden a más de 30 países y jurisdicciones, todos ellos con leyes particulares en relación con la recopilación, almacenamiento, uso, procesamiento, transferencia, divulgación y destrucción de la información personal. Tomamos con mucha seriedad estas obligaciones legales. En este sentido, nos hemos comprometido a mantener un programa de protección de la información y la privacidad que tenga conformidad global y esté alineado con las mejores prácticas y los estándares internacionales, entre ellos el Marco de Ciberseguridad del National Institute of Standards and Technology (NIST) 800-53, ISO 27001 e ISO 27002. Estos últimos son los estándares de seguridad de la información publicados por la International Organization for Standardization.

Descripción general del programa de privacidad 2020

En el 2020, se realizaron actualizaciones importantes en las leyes y reglamentaciones sobre privacidad, así como una pandemia sin precedentes que puso a prueba nuestros sistemas de cuidado de la salud y obligó a reevaluar la manera en que trabajamos y apoyamos a nuestros clientes. En el 2020, Cigna abordó las necesidades de privacidad cambiantes para trabajar e interactuar con los clientes en entornos virtuales, apoyó el creciente uso de la telesalud, mantuvo el flujo de información para respaldar las respuestas a los proveedores de cuidado de la salud y los clientes y respaldó los requerimientos de la salud pública. También continuamos ampliando nuestro programa de privacidad de toda la empresa. Nuestro programa de cumplimiento de privacidad está diseñado de manera tal que se cumplan las políticas, la capacitación, los mecanismos de presentación de informes, las medidas preventivas y los protocolos de gestión de incidentes apropiados para prevenir problemas que pudieran derivarse de fallas en la recopilación, el uso, el intercambio y la protección adecuada de la información personal.

En el 2020, continuamos mejorando nuestras prácticas de gestión de privacidad en nuestros mercados en los EE. UU. y a nivel internacional, así como las herramientas y los marcos utilizados para gestionar incidentes de privacidad y filtraciones de datos. Con la mayoría de nuestra fuerza laboral trabajando desde casa, también ofrecimos pautas estratégicas basadas en riesgos relacionadas con el uso y el intercambio de datos sobre el COVID-19 y los requisitos legales para prevenir el bloqueo de información.

Un esfuerzo colectivo: la privacidad requiere la participación de toda la compañía

Proteger la privacidad de nuestros clientes, clientes empleadores, empleados y colaboradores empresariales es de suma importancia para nosotros. En este sentido, forma parte del Código de Ética y Principios de Conducta (“Código”) de Cigna. Ofrecemos capacitación continua sobre el Código, así como capacitación específica sobre privacidad y protección de la información, con el fin de cultivar un entorno en el cual cada empleado se vea a sí mismo como responsable de asegurar la privacidad de nuestras partes interesadas al adherirse a las políticas y prácticas de protección de datos de nuestra compañía.

Como parte de este esfuerzo, también ofrecemos a los clientes una gran cantidad de recursos en línea sobre la Privacidad de la información de Cigna (“CIP”, por sus siglas en inglés), incluida nuestra Declaración de privacidad móvil y en línea (en inglés), los Avisos de prácticas de privacidad (en inglés) y los Formularios de privacidad (en inglés). De acuerdo con las leyes vigentes, todo cambio en nuestras prácticas de privacidad se comunica a los clientes. Brindamos a los clientes información sobre cómo pueden proteger todavía más su información personal, incluida su información de salud, así como cualquier uso potencial de la información de identificación personal. En apoyo al compromiso de Cigna con la transparencia de sus prácticas de privacidad, Cigna ofrece a los clientes material que describe cómo Cigna puede usar y divulgar su información personal, y sus derechos relacionados con dicha información, incluso sobre las opciones que tienen para permitir o no permitir determinados tipos de intercambios de información.

La Oficina de privacidad de Cigna trabaja para proteger la información personal y cumplir con los distintos requerimientos a través de la colaboración y coordinación entre su programa de privacidad corporativa, el programa de protección de la información y la estructura de gestión o control de riesgos. Estos tres aspectos son clave para apoyar el programa de privacidad de Cigna, sólido y conforme a las reglas.

Nuestros programas de privacidad

El Programa de privacidad corporativa de Cigna tiene la responsabilidad de:

  • Desarrollar políticas que respalden la gestión y el uso de la información protegida de Cigna y proporcionar asesoramiento sobre iniciativas estratégicas.
  • Monitorear las leyes y regulaciones sobre privacidad y seguridad, actualizar las políticas si fuera necesario y comunicar los cambios en esas políticas.
  • Manejar el riesgo para la privacidad e informar los riesgos relacionados con la privacidad a los directivos de Cigna.
  • Crear y mantener capacitaciones sobre privacidad y esfuerzos de concientización sobre privacidad para formar a los empleados con respecto a la importancia de manejar la información personal con cuidado.
  • Brindar pautas legales relacionadas con incidentes, infracciones y quejas vinculados a la información y establecer contratos con terceros que procesan datos personales en representación de Cigna.
  • Investigar y responder a posibles incidentes relacionados con la privacidad, supervisar los planes de acciones correctivas y proporcionar las notificaciones requeridas.
  • Asegurar el cumplimiento de las leyes sobre infracciones aplicables.
  • Monitorear la eficacia de los programas de privacidad.

Protección de la información de Cigna

Un objetivo clave del equipo de Protección de la información de Cigna (CIP) es mantener los datos de los clientes, los proveedores y la compañía seguros y disponibles, y a la vez permitir velocidad, escala y confianza. Este equipo se centra en la convergencia de la tecnología y la gestión, asegurando la protección de los sistemas y la información de los clientes y de las actividades comerciales de Cigna. El 2020 nos obligó a apoyar y proteger nuevas maneras de trabajar y ofrecer un cuidado de la salud sencillo, asequible y predecible a nuestras partes interesadas. También vimos un aumento significativo de la actividad en todas las áreas de amenazas a la ciberseguridad global. Con este fin, CIP adaptó su tecnología y sus procedimientos, además de colaborar con nuestros equipos comerciales, de tecnología, privacidad, cumplimiento y asuntos legales para superar estos desafíos.

Las bases del programa de ciberseguridad de Cigna son nuestras políticas y estándares de seguridad de toda la empresa. CIP ha alineado el programa de ciberseguridad de Cigna, sus políticas y estándares de seguridad con el Marco de Ciberseguridad NIST 800-53. El NIST es un marco de control de la seguridad con reconocimiento internacional que las compañías utilizan para evaluar y mejorar su capacidad de prevenir, detectar y responder a los ciberataques. Además del marco del NIST, CIP hace uso de los estándares ISO 27001 y 27002. El NIST y los estándares ISO están aceptados a nivel internacional y ofrecen recomendaciones de buenas prácticas para iniciar, implementar y mantener sistemas de gestión de seguridad de la información. Alinearse con estos marcos y hacer uso de ellos ayuda a asegurar que los programas de ciberseguridad y protección de la información de Cigna sigan siendo relevantes y apropiados a la luz de los cambios en el panorama de la ciberseguridad y las tecnologías emergentes. CIP revisa las políticas y los estándares de seguridad de Cigna y los actualiza para facilitar el cumplimiento de las recomendaciones y los requisitos internacionales regulatorios, contractuales y los propios de la industria.

En el 2020, continuamos invirtiendo en ciberseguridad para impulsar su pleno desarrollo, y esto se ha convertido en un diferenciador de Cigna en el mercado. También designamos un director adjunto de Seguridad de la información (DCISO, por sus siglas en inglés) para cada una de las tres principales unidades de negocios de Cigna (Evernorth, Servicios Médicos en EE. UU. y Mercados Internacionales). En el 2021, seguimos desarrollando nuestro programa de ciberseguridad y aumentamos la eficacia en toda la empresa y las unidades de tecnología de la información. Entre las nuevas tendencias emergentes, siguen existiendo cibersecuestros de datos, ataques a trabajadores remotos y fraudes con correos electrónicos que afectan al sector del cuidado de EE.UU. Al analizar los eventos y las lecciones aprendidas en toda la industria, podemos acelerar los esfuerzos de nuestro programa de ciberseguridad en áreas como la supervisión de la seguridad de terceros.

Procesos críticos de seguridad

CIP también tiene la responsabilidad de implementar y hacer funcionar de manera eficaz los siguientes procesos críticos de seguridad:

  • Evaluaciones de riesgo cibernético: Cigna implementó un proceso definido instituido para identificar, cuantificar, evaluar, manejar e informar posibles riesgos cibernéticos, así como sus respectivos niveles de riesgo y planes de acción, a los directivos sénior y la Junta Directiva de Cigna.
  • Evaluaciones de seguridad de las aplicaciones y la infraestructura: Cigna utiliza un marco integral del ciclo de vida de desarrollo de sistemas (SDLC, por sus siglas en inglés) que requiere que CIP revise y evalúe las aplicaciones y la infraestructura relacionada antes de su implementación. La revisión de CIP tiene como fin verificar los estándares y los requisitos de la política de seguridad de Cigna. El marco incluye evaluaciones de vulnerabilidad de la red y sitios web, que se realizan con software de exploración estándar de la industria.
  • Administración de acceso e identidades: El acceso al sistema de información de Cigna se administra con una metodología de control de acceso basada en roles, que define el acceso que recibe un usuario a los sistemas de información de Cigna basado en la función laboral e incluye un proceso para validar que los derechos de acceso de ese usuario sigan siendo apropiados a lo largo del tiempo. El acceso privilegiado o de alto nivel a los sistemas de Cigna está sujeto a requisitos de aprobación interna más rigurosos. Al tener instituidos controles de seguridad apropiados, Cigna puede establecer y mantener una visión integral de la identidad digital de un individuo. Esto asegura que los empleados tengan la cantidad mínima de acceso que requieren para realizar su trabajo.
  • Capacitación y concientización en seguridad: El programa de educación y concientización en ciberseguridad de Cigna se centra en simulaciones de ciberseguridad, contenido de educación y concientización, cumplimiento y aplicación de normas. Se realizan simulaciones de phishing (fraude electrónico) mensualmente y se ofrece capacitación de apoyo según sea necesario. Además de capacitación sobre el Código, se requiere que todos los empleados realicen un curso anual de capacitación en ciberseguridad. Esta capacitación se complementa con mensajes continuos de concientización sobre seguridad. Además, durante todo el año se organizan eventos patrocinados de concientización sobre seguridad. En el 2020, también mejoramos la capacitación sobre seguridad para incluir protecciones para el trabajo virtual y distribuimos recordatorios y comunicaciones de concientización entre la fuerza laboral de Cigna para reforzar estas protecciones.
  • Supervisión de la seguridad de terceros: Se requiere por contrato que los distribuidores que tienen acceso a, guardan o envían datos de Cigna cumplan con las Políticas de seguridad de Cigna. Además, los distribuidores podrían estar sujetos a una revisión de seguridad, que incluye requisitos como completar un extenso cuestionario de seguridad; la evaluación de las capacidades de seguridad y su desarrollo; la inspección de evidencia de cumplimiento de las Políticas de seguridad de Cigna; el alineamiento de la seguridad con estándares de la industria específicos de un servicio como NIST, ISO, HIPPA y estándares de la industria de las tarjetas de pago, según corresponda; la realización de evaluaciones de vulnerabilidad de las aplicaciones; la validación de controles autenticados en el sitio de los cuestionarios de seguridad y la realización de una evaluación de riesgos. CIP mejora continuamente la capacidad de la compañía para identificar y dar participación a distribuidores críticos mediante una evaluación anual de sus programas de seguridad y el monitoreo continuo de su presencia pública en Internet. En el 2020, CIP aseguró la implementación de las protecciones adecuadas para los prestadores de servicio que hacen trabajo remoto.
  • Operaciones y monitoreo de seguridad: Los datos de registros de seguridad se ingresan en un sistema centralizado, que establece una correlación de eventos y crea una alerta si se producen eventos desencadenantes identificados. Las alertas luego se asignan a un miembro del equipo de gestión de amenazas corporativas para su análisis. Las alertas se pueden escalar a un nivel de incidente si así lo justifica una investigación. El equipo global de gestión de amenazas de Cigna también monitorea la industria de la seguridad para conocer las amenazas, exposiciones y actualizaciones más recientes.
  • Planificación de respuesta ante incidentes de ciberseguridad: Cigna tiene un plan formal de manejo de incidentes en el cual se siguen procesos de escalamiento preestablecidos cuando ocurre un incidente cibernético. El equipo de Gestión Global de Amenazas corporativas trabaja en cooperación con nuestros colaboradores de servicios de seguridad administrados para brindar una cobertura continua.

CIP implementa una amplia variedad de controles técnicos relacionados con estos procesos, que incluyen la prevención de pérdida de datos, el acceso basado en roles, el ingreso a aplicaciones/escritorios y el cifrado de datos. Cigna también cuenta con varias tecnologías que se utilizan para mejorar la privacidad de los clientes, como autenticación multifactorial y controles mejorados de los servidores de seguridad para aplicaciones web, que incluyen geolocalización, mitigación de inicios de sesión forzados, inteligencia de IP y bloqueo según reputación, así como prevención y detección de bots o robots de internet.

Además, empresas independientes y confiables evalúan con frecuencia la eficacia del programa general de ciberseguridad de Cigna por medio de diversos niveles de evaluación de controles, como pruebas de penetración externa, simulaciones de ataques avanzados (ejercicios de equipo rojo) y auditorías de Control Organizacional de Servicio (SOC, por sus siglas en inglés) 2. También realizamos análisis de referencia de controles de seguridad y monitoreamos las métricas de seguridad operativa para identificar oportunidades de fortalecer el programa de ciberseguridad de Cigna.

Gestión y control de riesgos

Mejoramos sistemáticamente nuestros programas de protección de la información y la privacidad para dar respuesta a los riesgos de protección de la información y la privacidad actuales y predecibles. Nuestro marco de gestión de riesgos de protección de la información y la privacidad es un modelo de riesgo compartido que pretende integrar mejor nuestras funciones de protección de la información y la privacidad y la gestión de riesgos empresariales relacionados. Además de nuestra Oficina de Privacidad Global y nuestro equipo de CIP, nuestras prácticas incluyen lo siguiente:

Junta Directiva: La Junta Directiva de Cigna está a cargo de la supervisión principal de la estrategia y los programas de ciberseguridad y privacidad de la compañía. La Junta realiza esta supervisión directamente a través del Comité de Auditoría, para fines de ciberseguridad, y del Comité de Cumplimiento, para fines de privacidad. Con estas funciones, la Junta es responsable de asegurar que la compañía tenga procesos y políticas de gestión de riesgos establecidos para dar respuesta y mitigar las amenazas y los riesgos en evolución. Estos comités y toda la Junta reciben informes sobre temas de ciberseguridad y privacidad. Estos informes están diseñados para proporcionar visibilidad con respecto a la identificación, la evaluación y el manejo de los riesgos críticos, los hallazgos de las auditorías y las estrategias de mitigación de riesgos de los directivos. Estos informes también incluyen información sobre tendencias actuales en el entorno, preparación ante incidentes y diversos componentes de los programas de privacidad y ciberseguridad de la compañía.

Consejo de Privacidad y Asuntos Informáticos: El Consejo de Privacidad y Asuntos Informáticos (CPC, por sus siglas en inglés) de Cigna está compuesto por miembros del equipo de liderazgo empresarial de la compañía, entre ellos el director de información, el director de privacidad, el director de seguridad de la información, el director de cumplimiento, seguridad corporativa (física) y asuntos legales. El CPC tiene la responsabilidad de aprobar la estrategia de privacidad y ciberseguridad, la guía de trabajo y el presupuesto, establecer las prioridades de la organización e impulsar el alineamiento con las iniciativas empresariales estratégicas. Esta organización fomenta la participación de los líderes para apoyar e impulsar una cultura de protección de la información y la privacidad en todo Cigna y promueve proyectos de apoyo a la mejora continua del enfoque de Cigna con respecto a la protección de la información.

Gestión de riesgo empresarial: Gestión de riesgo empresarial (ERM, por sus siglas en inglés) es una iniciativa de toda la compañía que involucra a la Junta, a los directivos de Cigna, al director de riesgos y auditor general (CRO, por sus siglas en inglés) de Cigna y a los encargados de auditoría interna. Liderados por el CRO de Cigna, ERM está diseñada para identificar, evaluar, gestionar y controlar los riesgos que tienen impacto en el cumplimiento de los objetivos financieros y estratégicos de Cigna.

Integración empresarial: Nuestros programas de protección de la información y la privacidad tienen intermediarios empresariales que desempeñan roles fundamentales en nuestro programa. Estos intermediarios empresariales respaldan la implementación de la protección de la información y la privacidad ya que aportan perspectivas para que las acciones y los mensajes sean relevantes a nivel local. Entre otras tareas, estos intermediarios ayudan a investigar incidentes y brindan información específica de la empresa a los equipos de protección de la información y la privacidad con el fin de colaborar en el análisis y la resolución de incidentes. Las combinaciones colectivas de estos esfuerzos ayudan a impulsar el cumplimiento en cuanto a seguridad y privacidad en toda la empresa.

Protocolos de respuesta ante posibles incidentes relacionados con la información

Cigna ha establecido protocolos que están diseñados para brindar protección contra la divulgación o el uso indebido de información de salud protegida. Aunque nos esforzamos mucho por proteger la privacidad de la información de nuestros clientes, tenemos incidentes relacionados con la información. Los costos para eliminar o resolver las amenazas y las vulnerabilidades relacionadas con la seguridad antes o después de un incidente informático podrían ser significativos o inviables, y podrían potencialmente superar el monto del seguro de responsabilidad por incidentes informáticos que tiene Cigna. Hemos tenido errores humanos y hemos sido blanco de intentos de acceso no autorizado, de ataques de phishing (fraude informático) y otros ciberataques.

Cigna tiene procesos documentados de manejo de vulneraciones; entre ellos las políticas y los manuales de estrategias que establecen el plan de respuesta de Cigna ante incidentes y describen las responsabilidades de cada área. Esto incluye unificar las prácticas en toda la organización, brindar una supervisión continua de los planes de respuesta ante incidentes y asegurar que las amenazas a la seguridad y la privacidad actuales y las que vayan surgiendo se identifiquen y se aborden de manera adecuada.

Los planes de Cigna se ponen a prueba regularmente mediante ejercicios de simulación que involucran a las partes interesadas de distintas áreas relevantes de la empresa para asegurar la preparación e identificar oportunidades para fortalecer todavía más nuestra respuesta ante incidentes.