Protección de la información y la privacidad global

Protección de la información y la privacidad global

En Cigna, respetamos el derecho a la privacidad de los clientes y valoramos la confianza que depositan en nosotros. Todos los días, los sistemas informáticos de Cigna se utilizan para recopilar, guardar y procesar grandes volúmenes de información personal confidencial relacionada con los servicios que brindamos. Nuestra compañía depende de la disposición de nuestros clientes para confiarnos su información personal confidencial y relacionada con la salud. Por lo tanto, estamos comprometidos a administrar, utilizar y proteger de manera responsable la información personal de nuestros clientes.

El panorama digital cada vez domina más el ámbito empresarial y toda nuestra vida personal. Al mismo tiempo, los avances tecnológicos continúan acelerando los dispositivos conectados, la inteligencia artificial, la informática cuántica, la robótica avanzada, blockchain y otras capacidades innovadoras. La ciberseguridad y la privacidad se hacen más importantes en este entorno dinámico.

Nuestras operaciones se extienden a más de 30 países, todos los cuales tienen leyes particulares en relación con la recopilación, almacenamiento, uso, procesamiento, transferencia, divulgación y destrucción de la información personal. Tomamos con mucha seriedad estas obligaciones legales. En este sentido, estamos comprometidos a mantener un programa de protección de la información y la privacidad que tenga conformidad global y esté alineado con las mejores prácticas y los estándares internacionales, entre ellos el Marco de Ciberseguridad del National Institute of Standards and Technology (“NIST”), ISO 27001 e ISO 27002. Estos últimos son los estándares de seguridad de la información publicados por la International Organization for Standardization.

Un esfuerzo colectivo

Proteger la privacidad de nuestros clientes, clientes empleadores, empleados y colaboradores comerciales es de suma importancia para nosotros. En este sentido, forma parte del Código de Ética y Principios de Conducta (“Código”) de Cigna. Ofrecemos capacitación continua sobre el Código, así como capacitación específica sobre privacidad y protección de la información, con el fin de cultivar un entorno en el cual cada empleado se vea a sí mismo como responsable de asegurar la privacidad de nuestras partes interesadas al adherirse a las políticas y prácticas de protección de datos de nuestra compañía.

Como parte de este esfuerzo, también ofrecemos a los clientes una gran cantidad de recursos en línea sobre la Privacidad de la información de Cigna (“CIP”, por sus siglas en inglés), incluida nuestra Declaración de privacidad móvil y en línea (en inglés), avisos de prácticas de privacidad y formularios de privacidad. También brindamos a los clientes información sobre cómo pueden proteger aun más su información personal, incluida su información de salud así como cualquier uso potencial de la información de identificación personal.

Hay muchas regulaciones que rigen la protección y el uso de la información personal, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, por sus siglas en inglés), el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), la Ley de Protección al Consumidor de Telefonía (TCPA, por sus siglas en inglés) y el Reglamento Federal sobre Ventas Telefónicas. Además, hay nuevas leyes de privacidad estatales, como la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés). También somos muy cuidadosos en cómo usamos y compartimos la información competitivamente confidencial de clientes de planes de salud para administrar nuestros negocios. Se requiere que todos los empleados protejan la información competitivamente confidencial de los clientes de planes de salud y que respeten las pautas de seguridad establecidas. Los empleados cuyas funciones se ven afectadas por estas regulaciones y restricciones reciben capacitación sobre ellas durante su incorporación a la compañía y luego durante su empleo.

En el 2019, la Oficina de Privacidad de Cigna inició un Programa de política de privacidad corporativa para revisar, consolidar y actualizar todas las políticas de privacidad dentro de diversos segmentos empresariales. Cuando se complete, esto dará como resultado un marco normativo común y pautas específicas en toda la compañía y para unidades de negocios específicas. Además, en el 2019 se iniciaron gestiones para integrar la capacitación sobre privacidad de toda la compañía Cigna para los nuevos empleados con la capacitación anual sobre privacidad de la compañía para los empleados actuales. A partir del 2020, todos los empleados de la compañía recibirán una capacitación optimizada sobre las políticas de privacidad, las leyes de privacidad aplicables (por ej., CCPA y TCPA), junto con otras capacitaciones personalizadas.

Nuestros programas de privacidad

El Programa de privacidad corporativa de Cigna tiene la responsabilidad de:

  • Desarrollar políticas que respalden la gestión y el uso de la información protegida de Cigna y proporcionar asesoramiento sobre iniciativas estratégicas.
  • Monitorear las leyes y regulaciones sobre privacidad y seguridad, actualizar las políticas si fuera necesario y comunicar los cambios en esas políticas.
  • Manejar el riesgo para la privacidad e informar los riesgos relacionados con la privacidad a los directivos de Cigna.
  • Crear y mantener capacitaciones sobre privacidad y esfuerzos de concientización sobre privacidad para enseñar a los empleados la importancia de manejar la información personal con cuidado.
  • Proporcionar orientación legal sobre quejas, infracciones e incidentes relacionados con la información.
  • Investigar y responder a posibles incidentes relacionados con la privacidad, supervisar los planes de acciones correctivas y proporcionar las notificaciones requeridas.
  • Asegurar el cumplimiento de las leyes sobre infracciones aplicables.
  • Monitorear la eficacia de los programas de privacidad.

Protección de la información de Cigna ("CIP")

CIP es la unidad dentro de nuestra compañía que se centra en la tecnología y la gestión con el fin de asegurar la protección de los sistemas y la información de los clientes y de las actividades comerciales de Cigna. La unidad se centra en la tecnología y los comportamientos necesarios para proteger la información del acceso, uso o divulgación no autorizados o inapropiados. CIP se esfuerza por mantener la seguridad y disponibilidad de los datos al tiempo que facilita la velocidad, el escalamiento y la confianza.

Un aspecto clave del programa de ciberseguridad de Cigna son las políticas y los estándares de seguridad para toda la compañía. CIP ha alineado el programa de ciberseguridad de Cigna y sus políticas y estándares de seguridad con el Marco de Ciberseguridad del NIST. El NIST es un marco de control de la seguridad con reconocimiento internacional que las compañías utilizan para evaluar y mejorar su capacidad de prevenir, detectar y responder a los ciberataques. Además del marco del NIST, CIP hace uso de los estándares ISO 27001 y 27002. Estos estándares aceptados a nivel internacional ofrecen recomendaciones de mejores prácticas para iniciar, implementar y mantener sistemas de administración de seguridad de la información. Alinearse con estos marcos y hacer uso de ellos ayuda a asegurar que el programa de ciberseguridad y protección de la información de Cigna siga siendo relevante y apropiado a la luz de los cambios en el panorama de la ciberseguridad y las tecnologías emergentes. CIP revisa las políticas y los estándares de seguridad de Cigna y los actualiza regularmente para facilitar el cumplimiento de las recomendaciones y los requisitos regulatorios, industriales y contractuales.

En el 2019, continuamos invirtiendo en ciberseguridad para impulsar la madurez, lo que se ha convertido en un diferenciador para Cigna en el mercado. Luego de la combinación con Express Scripts®, evaluamos y reorganizamos la función de protección de la información para aprovechar las mejores prácticas e impulsar la estandarización en todos los servicios compartidos de la compañía. Como parte de esta reestructuración, designamos un director adjunto de Seguridad de la Información (CISO, por sus siglas en inglés) para cada una de las principales unidades de negocios de Cigna (Servicios de Salud, Comercio en EE. UU., Gobierno y Mercados Internacionales). En el 2020, seguiremos desarrollando nuestro programa de ciberseguridad y aumentaremos la eficacia en toda la compañía y las unidades de TI. Entre las nuevas tendencias emergentes, las amenazas internas siguen siendo un punto central en el cuidado de la salud, como lo demuestran las infracciones previas. Al analizar las lecciones aprendidas de esos incidentes, podemos acelerar los esfuerzos en nuestro programa de ciberseguridad, en áreas como educación y concientización.

Procesos críticos de seguridad

CIP también tiene la responsabilidad de implementar y hacer funcionar de manera eficaz los siguientes procesos críticos de seguridad:

  • Evaluaciones de riesgo cibernético: Cigna implementó un proceso definido instituido para identificar, cuantificar, evaluar, manejar e informar posibles riesgos cibernéticos, así como sus respectivos niveles de riesgo y planes de acción, a los directivos sénior y la Junta Directiva de Cigna.
  • Evaluaciones de seguridad de infraestructura y aplicaciones: Cigna utiliza un ciclo de vida de desarrollo del sistema (SDLC, por sus siglas en inglés) integral que requiere que CIP revise y evalúe las aplicaciones y la infraestructura relacionada antes de su implementación. La revisión de CIP tiene como fin verificar los estándares y requisitos de la política de seguridad de Cigna. El marco incluye evaluaciones de vulnerabilidad de la red y sitios web que se realizan con software de exploración estándar de la industria.
  • Administración de acceso e identidades: El acceso al sistema de información de Cigna se administra con una metodología de control de acceso basada en roles, que define el acceso que recibe un usuario a los sistemas de información de Cigna basado en la función laboral e incluye un proceso para validar que los derechos de acceso de ese usuario sigan siendo apropiados a lo largo del tiempo. El acceso privilegiado o de alto nivel a los sistemas de Cigna está sujeto a requisitos de aprobación interna más rigurosos. Al instituir controles de seguridad apropiados, Cigna puede establecer y mantener una visión integral de la identidad digital de un individuo. Esto asegura que los empleados tengan la cantidad mínima de acceso que requieren para realizar su trabajo.
  • Capacitación y concientización en seguridad: El programa de educación y concientización en ciberseguridad de Cigna se centra en simulaciones de ciberseguridad, contenido de educación y concientización, cumplimiento y aplicación de normas. Se realizan simulaciones de phishing (fraude electrónico) mensualmente y se ofrece capacitación de apoyo según sea necesario. Además de capacitación sobre el Código, se requiere que todos los empleados realicen un curso anual de capacitación en ciberseguridad. Esta capacitación se complementa con mensajes continuos de concientización sobre seguridad. Además, durante todo el año se organizan eventos patrocinados de concientización sobre seguridad.
  • Supervisión de la seguridad de terceros: Se requiere por contrato que los distribuidores que tienen acceso a, guardan o envían datos de Cigna cumplan con las Políticas de seguridad de Cigna. Además, los distribuidores podrían estar sujetos a una revisión de seguridad, que incluye requisitos como completar un extenso cuestionario de seguridad; una evaluación de capacidades de seguridad y su desarrollo; una inspección de evidencia de cumplimiento de las Políticas de seguridad de Cigna; alineamiento de la seguridad con estándares de la industria específicos de un servicio como NIST, ISO, HIPPA y la industria de las tarjetas de pago, según corresponda; realización de evaluaciones de vulnerabilidad de las aplicaciones; validación de controles autenticados en el sitio de los cuestionarios de seguridad y realización de una evaluación de riesgo. CIP mejora continuamente la capacidad de la compañía para identificar y dar participación a distribuidores críticos mediante una evaluación anual de sus programas de seguridad y el monitoreo continuo de su presencia pública en Internet.
  • Operaciones y monitoreo de seguridad: Los datos de registros de seguridad se ingresan en un sistema centralizado, que establece una correlación de eventos y crea una alerta si se producen eventos desencadenantes identificados. Las alertas luego se asignan a un miembro del equipo de gestión de amenazas corporativas para su análisis. Las alertas se pueden escalar a un nivel de incidente si así lo justifica una investigación. El equipo global de gestión de amenazas de Cigna también monitorea la industria de la seguridad para conocer las amenazas, exposiciones y actualizaciones más recientes.
  • Planificación de respuesta ante incidentes de ciberseguridad: Cigna tiene un plan formal de manejo de incidentes en el cual se siguen procesos de escalamiento preestablecidos cuando ocurre un incidente cibernético. El equipo global de gestión de amenazas corporativas de Cigna trabaja en cooperación con nuestros colaboradores de servicios de seguridad administrados para brindar una cobertura continua.

Además, CIP implementa una amplia variedad de controles técnicos relacionados con estos procesos, que incluyen la prevención de pérdida de datos, el acceso basado en roles, el ingreso a aplicaciones/escritorio y el cifrado de datos. Cigna también mantiene varias tecnologías que se utilizan para mejorar la privacidad del cliente, como autenticación multi-factor y control de los servidores de seguridad para aplicaciones web mejorados, que incluyen el geolocalización, la mitigación de inicio de sesión forzados, inteligencia de IP y bloqueo según reputación, así como prevención y detección de bots o robots de internet.

Empresas independientes y confiables frecuentemente evalúan la eficacia del programa general de ciberseguridad de Cigna por medio de diversos niveles de evaluación de controles, como pruebas de penetración externa, simulaciones de ataques avanzados (ejercicios de equipo rojo) y auditorías de Control organizacional de servicio (SOC, por sus siglas en inglés) 2. También realizamos análisis de referencia de controles de seguridad y monitoreamos las métricas de seguridad operativa para identificar oportunidades de fortalecer el programa de ciberseguridad de Cigna.

Gestión y control de riesgos

Proteger la información de nuestros clientes y nuestra compañía es una prioridad importante para Cigna. En consecuencia, mejoramos constantemente nuestros programas de Protección de la información y la privacidad con el fin de dar respuesta a los riesgos de protección de la información y la privacidad. Nuestro marco de gestión de riesgos y protección de la información es un modelo de riesgo compartido, que se esfuerza por integrar mejor nuestras funciones de protección de la información y la privacidad y la gestión de riesgos empresariales relacionados. Además de nuestra Oficina de Privacidad Global y nuestro equipo de CIP, nuestras prácticas incluyen lo siguiente:

Junta Directiva: La Junta Directiva de Cigna está a cargo de la supervisión final de la estrategia y los programas de ciberseguridad y privacidad de la compañía. La Junta lleva a cabo esta supervisión directamente, a través del Comité de Auditoría de la Junta. En conjunto, la Junta y el Comité de Auditoría se aseguran de que la compañía tenga instituidas políticas y procesos de gestión de riesgos para dar respuesta a las amenazas y los riesgos en evolución y mitigarlos. La Junta y el Comité de Auditoría regularmente reciben informes sobre los problemas relacionados con el perfil de riesgo de la compañía, incluidos los riesgos de ciberseguridad. Estos informes han sido diseñados para proporcionar visibilidad con respecto a la identificación, evaluación y gestión de los riesgos críticos, los hallazgos de las auditorías y las estrategias de mitigación de riesgo de los directivos. Los directivos informan al Comité de Auditoría anualmente sobre el programa y la estrategia de privacidad y ciberseguridad, con un enfoque en elementos como las tendencias actuales en el entorno, la preparación para incidentes, el manejo de la continuidad de la actividad comercial, la gestión de los programas y sus componentes, lo que incluye actualizaciones sobre los procesos de seguridad, pruebas externas y capacitación para los empleados, así como iniciativas de concientización. 

Consejo de Privacidad y Asuntos Informáticos: El Consejo de Privacidad y Asuntos Informáticos (CPC, por sus siglas en inglés) de Cigna está compuesto por miembros del Equipo de Liderazgo Empresarial de la compañía, entre ellos el director de Información, el director de Privacidad, el director de Seguridad de la Información, el director de Cumplimiento, Seguridad Corporativa (física) y Asuntos Legales. El CPC tiene la responsabilidad de aprobar la estrategia de privacidad y ciberseguridad, la guía de trabajo y el presupuesto, establecer las prioridades de la organización e impulsar el alineamiento con los negocios. 

Gestión de riesgos corporativos: Gestión de riesgos corporativos (ERM, por sus siglas en inglés) es una iniciativa para toda la compañía que involucra a la Junta, a los directivos de Cigna, al director de Riesgo, al auditor general de Cigna y a los encargados de auditoría interna. La función de ERM está liderada por el director de Riesgo de Cigna, que está bajo la supervisión funcional del director financiero de Cigna y la supervisión administrativa del Comité de Auditoría y de la Junta Directiva. ERM es un esfuerzo integrado para (1) identificar, evaluar, priorizar y monitorear una amplia gama de riesgos, entre ellos los riesgos de privacidad y protección de la información y (2) formular y ejecutar planes para monitorear y, en la medida que sea posible, mitigar el efecto de esos riesgos.

Integración de la compañía: Nuestros programas de privacidad y protección de la información tienen intermediarios empresariales: representantes de privacidad o funcionarios/líderes de privacidad internacionales y responsables y coordinadores de protección de la información, que desempeñan funciones fundamentales en nuestro programa. Estos intermediarios empresariales respaldan la implementación de la protección de la información y la privacidad y aportan perspectivas para que las acciones y los mensajes sean relevantes a nivel local. Estos intermediarios se esfuerzan por asegurar que los empleados del área comercial y funcional tengan un acceso fácil a expertos en los temas que puedan brindarles orientación, ayudarlos respondiendo sus preguntas, ayudar a resolver problemas y mitigar riesgos relacionados con la protección de la información y la privacidad. Además, estos intermediarios ayudan a investigar incidentes y brindan información específica de la compañía a los equipos de Protección de la Información y la Privacidad con el fin de colaborar en el análisis y la resolución de incidentes. Las combinaciones colectivas de estos esfuerzos ayudan a impulsar el cumplimiento en cuanto a seguridad y privacidad en toda la compañía.

Protocolos de respuesta en caso de incidentes relacionados con la información

Cigna ha establecido protocolos que están diseñados para brindar protección contra la divulgación o el uso indebido de información de salud protegida. Aunque nos esforzamos mucho por proteger la privacidad de la información de nuestros clientes, tenemos incidentes relacionados con la información. Los costos para eliminar o resolver las amenazas y vulnerabilidades relacionadas con la seguridad antes o después de un incidente informático podrían ser significativos o no viables, y podrían superar potencialmente el monto del seguro de responsabilidad por incidentes informáticos que tiene Cigna. Hemos tenido errores humanos y hemos sido blanco de intentos de acceso no autorizado, ataques de phishing (fraude informático) y otros ciberataques relacionados con la computación.

En caso de que ocurriera una infracción, Cigna ha implementado procesos para asegurar que todas las notificaciones requeridas se envíen a los clientes afectados y a las agencias regulatorias. Lo clientes generalmente son notificados por correo, pero podrían ser notificados por otros medios, dependiendo de la naturaleza y el alcance del incidente. Cigna ofrece monitoreo de crédito, a cargo nuestro, cuando existe un riesgo de robo de identidad u otros perjuicios potenciales. En todos los casos, nos esforzamos por identificar y remediar la causa de origen del incidente para prevenir que ocurra en el futuro.

Person holding smartphone with both hands