riesgo ciberné-co vinculado a los sectores...
TRANSCRIPT
CongresoCASACONACActuariosXYZ,
CiudaddeMéxico,MéxicoOctubre23-24,2018
RiesgoCiberné-covinculadoalossectoresAseguradoryAfianzador
NormaAliciaRosas,presidenteCNSF-México
CONTENIDO
! RiesgoCibernéGco! Ataquesenelsectorasegurador! GesGónderiesgoscibernéGcosyproductosdeseguros! Regulacióndeciberseguridad! DesaNos
RiesgoCibernéGco
“Cualquier riesgo que emane del uso de datos electrónicos y su transmisión,incluyendo herramientas tecnológicas como Internet y redes detelecomunicaciones”.Los incidentes cibernéGcos abarcan: Daños Nsicos; fraude por uso indebido dedatos, responsabilidad por almacenamiento de datos, así como disponibilidad,integridadyconfidencialidaddeinformación.(individuos,empresasygobiernos).ElRiesgoCibernéGcoes consideradocomounode losprincipales riesgos, tantoporsuprobabilidaddeocurrencia,comoporsuimpacto.Asímismo,lasamenazassematerializantantoporlosataquesdirigidoscomoporlasdeficienciasenlaprotecciónenlossistemas.Elsectorfinancieroensuconjunto,hasidoelblancopredilectodelosataques.
Fuente: Chief Risk Officers Forum, “Cyber resilience Paper”
RiesgoCibernéGco
PanoramaGlobaldeRiesgos2018,WEF
Ciberataquesagranescala:AtaquescibernéGcosagranescalaomalwarequecausangrandesdañoseconómicos,tensionesgeopolíGcasopérdidageneralizadadeconfianzaenInternet.Incidentemasivodefraude/robodedatos:Explotación indebidadedatosprivadosuoficialesqueGene lugarenunaescalasinprecedentes.
Fuente:GlobalRisksReport2018,WEF1.
10principalesriesgos
RiesgoCibernéGco
Fuente:IncognitoForensicFoundaGon.
Serviciosdecomputaciónporinternetbajoamenaza.
VulnerabilidaddelInternetdelasCosas(IOT).
TácGcasdecriminalescibernéGcoscadavezmásperjudiciales.
SilenciodelosinvesGgadoresdeseguridadcibernéGca.
DeficienciasdeldepartamentodeTI.
afectóa300,000Computadorasdemásde150países
143millonesdenúmerosdeseguridadsocialcompromeGdosenEE.UU.
4,000ataquesdiariosderansomwareanivelglobal
1decada131emailsconGeneunmalwareataquesransomware
aumentaronal36%
230,000modelosdemalwaresoncreadoscadadía
Amenazas
MásdisrupGvaLosimpactospotencialesdeunciber-
incidenteestánaumentando.
MásfrecuentesElvolumendeciber-acGvidadmaliciosaestáincrementando
MáspeligrosoLosactoresestánmigrandohaciaacGvidadesmasdestrucGvas.
MayorespacioLasuperficiesuscepGbledeataqueseincrementaexponencialmente
RiesgoCibernéGco.-Comoestáevolucionando…
4GposdeadversarioscibernéGcos
Ac-vistasCiberné-cosActúanenapoyoaunacausaTerroristasAprovechanelciberespacioparareclutar
OrganizacionesCriminalesBeneficiosporacGvidadesmaliciosasEstadosNacionalesPersiguensusinteresesnacionales
Porestosactores,elciber-riesgoesahora:
Elvolumenyladiversidaddelosinstrumentosconectados,incrementanlacomplejidad.
LainfraestructuracríGcaseconvierteenelcentrodelosataques.
BarrerasbajasdeentradayaltarentabilidadincenGvanalosactores.
Laaltadependenciaenlodigitalaumentalavulnerabilidaddelasociedad
Fuente:CYBERTHREATAlliance
RiesgoCibernéGco
Manufactura
Público
Inmob
iliario
Fina
nciero
Salud
Profesional
Alporm
enor
Inform
ación
Comercio
Construcción
Transportación
AdministraGvo
Otrosse
rvicios
GesGón
Agricultura
Servicios
Minero
Educación
Entreten
imiento
Hotelero
Ciberataquesreportados(%) PIB2016(%)
Fuente:TheCouncilofEconomicAdvisers(2018)ThecostofmaliciouscyberacGvitytotheU.S.economy.
Ciberataquesyelsectorfinanciero
Ataquesenelsectorasegurador
• El 27 enero de 2015, Anthem Blue Cross Blue Shield y Premera Blue Cross (EEUU)experimentarontransgresionesadatos(tarjetasdecréditoydatosdesalud)quecompromeGólainformaciónde90millonesdeclientes(78.8millonesdeAnthemy11millonesdePremera).ElcostoparaAnthemfuedeUSD375millones(260enmejorasyseguridady115endemandasdeclientes).
• El grupo "DD4BC" ha extorsionado a insGtuciones financieras (Europa, Australia, Canadá yEEUU),conDistributedDenialofService(DDoS).Elmontodelosrescatesvariabayexigíapagoenbitcoins.Dos gruposalemanes fueronatacadosbajoestamodalidadamediadosde2015,recibiendoamenazasdeunataqueDDoSdelacompañíaamenosquepagaran40bitcoins.(lasaseguradorassenegaron,yaqueevaluaronquesólohabríancausadodañosmenores).
• OtraaseguradoraimportanteanuncióunaviolacióndelosdatosdesussistemasdeTIen2015,queafectóa1.1millonesdemiembros.ElaseguradornoGficóacadamiembroafectadoporlainfracciónyleofrecióuncontrolcrediGciogratuitoylaproteccióncontrarobo.
• En 2015, pruebas de penetración (realizadas por auditoría interna de una aseguradorafrancesa) descubrieronque sehabía tenidounaccesonoautorizadoa lasherramientasdecontabilidad.Fuente:IAIS,KPMGyEY
Ataquesenelsectorasegurador
• En Países Bajos, un asegurador fue sujeto a "hack CEO", una forma específica de“phishing”, donde se finge ser el CEO de un cliente importante y bien conocido delasegurador, los criminales intentaron persuadir a los empleados del asegurador paratransferir dinero a una cuenta y, al parecer conocían detalles operacionales delasegurador.
• Una aseguradora de salud de EE. UU. sufrió un ciberataque en julio de 2016 quecompromeGódos sistemas de datos separados y expuso la información confidencial de3.7 millones de clientes y proveedores de atenciónmédica (números de seguro social,reclamos, datos de pago – nombre, número y vencimientos). Al menos una demandacolec-vasehapresentadodespuésdeestaviolacióndedatos.
• En2017,Anthemseñalóquelosdatosde18,500clientesestabancompromeGdos.
• Esemismoaño,Bupasufrióunaflitracióndeinformaciónqueafectó500,000clientesdesuplandesegurointernacional.
Ø Nose-eneconocimientodeataquesciberné-cosrelevantesenins-tucionesdesegurosdeMéxico.
Fuente:IAIS,EYeInsuranceblogAccenture
GesGónderiesgoscibernéGcosyproductosdeseguros
Iden-ficar01
Proteger02
Detectar03
Responder04
Recuperar05
Diagnós-co:Perfildeamenazas,exposiciónalriesgoypérdidasesperadas.
Aumentarlaseguridadinternaydeterceros.ParchesinternosyatercerosparagaranGzarseguridadyfuncionalidaddelentorno.
Evaluacióndecapacidadesdeseguridad.Escaneosperiódicosdevulnerabilidades.Evaluacióncautelosadelainfraestructuradigitalydefensasdelaorganización.
Capacidadderespuestaaincidentesenescenariosdeamenazas.SimulacióndinámicadeunaamenazaparaevaluarlapreparaciónyefecGvidaddelarespuestaalincidente.
IniciodeplanesdeacciónymovilizaciónderecursosparasubsanarunincidentecibernéGco.
MarcodeCiberseguridad
0301
02
0405
Fuente:CPMI-IOSCO
GesGónderiesgoscibernéGcosyproductosdeseguros
Sirvecomopuntodecontactoparaqueuna organización evalúe sus prácGcascibernéGcas y coordine su plan derespuestaaincidentescibernéGcos.
PapeldelSeguro
SeguroCiberné-co
Reembolsar los costos que unacompañíapagaporresponderaunincidentecibernéGco.
Cubrir honorarios y daños enrespuesta a un liGgio por unincidentecibernéGco.
Reembolsar ingresos o gastos porinterrupción relacionada con unincidentecibernéGco.
Confidencialidad
TiposdeCoberturas
Seguridad
Costosporrespuestaaincidentes
ResponsabilidadDigital
ExtorsióncibernéGca
PérdidadeDatos
Interrupcióndenegocio
• Actosmaliciosos• Malware• Hacking• Accesonoautorizado• Errordeprogramación• Errorhumano• Fallaenelsuministroeléctrico
• Gastosdedefensa• Responsabilidadlegal• Gastosdedefensarelacionadosconlaregulación
• Confidencialidadsobremultas/sanciones
GesGónderiesgoscibernéGcosyproductosdesegurosAnivelinternacional,elmercadodesegurosvs.riesgoscibernéGcosaúnesincipiente:
Ø En2016,elmercadoesGmadoseubicabaentreUSD3y3.5billones.Ø EEUUGeneun85%-90%(dominadopor20aseguradoras)yEuropacon5-9%.Ø Seesperaqueparael2025elmercadoseadeUSD20billones.Ø Aún esa cifra es pequeña cuando se compara con otros ramos (el ramo de
incendioenpaísesdelaOCDEfuedeUSD277billonesen2015).
Fuente: Chief Risk Officers Forum, “Cyber resilience Paper”
Europa EstadosUnidos Global(pronósGco)Primas(billonesUSD)
EsGmacióndeprimasemiGdasanivelglobal
Fuente: OCDE
GesGónderiesgoscibernéGcosyproductosdeseguros
Ins-tucióndeSeguros
Nombredelproductodeseguro Coberturas
GrupoNacionalProvincial,S.A.B
GNPCyberSafe CoberturadeDatosSeguros.CoberturadePérdidaporInterrupcióndeAcGvidades.
Zurich,CompañíadeSeguros,S.A.
SegurodeproteccióndedatosyseguridadinformáGca(DataProtect)
Responsabilidad Civil relacionada con Datos Personales yCorporaGvos,GastosporvulneracionesdeSeguridad,DefensaySanciones,PérdidadelIngreso(delaseguradoydelnegociode dependientes), Gastos de Reemplazo o reposición deAcGvidades Digitales, Responsabilidad Civil derivada decontenidoenpáginaWebyCostosdeReputacióndelnegocioasegurado.
ChubbSegurosMéxico,S.A
PaquetedeseguroProtecciónCyberPersonal
UsoindebidodetarjetaporRobooAsalto,HurtooExtravío;Falsificacióny/oadulteraciónNsicadelatarjeta;ComprasfraudulentasporInternetoteléfono.
• EnMéxico,8aseguradorasofrecenproductosrelacionadosconriesgocibernéGco,yaseacomoproductosad-hocobienconcoberturasadicionalesaotrosproductos.
GesGónderiesgoscibernéGcosyproductosdeseguros
Ins-tucióndeSeguros Nombredelproductodeseguro Coberturas
ZurichSantanderSegurosMéxico,S.A.
SúperBlindajeconRobodeIdenGdad
CoberturadeFraudeporRobooextravíodeTarjetasdeDébitoyCrédito.
QBEdeMéxicoCompañíadeSeguros,S.A.deC.V.
SegurodeProtecciónFinanciera
RobodeidenGdadCoberturacontraelPhishing
XLSegurosMéxico,S.A.deC.V.
ResponsabilidadCivilProfesional
Sancionesenmateriadeproteccióndedatos.
AIGSegurosMéxico,S.A.deC.V.
SegurodeProteccióndeDatos
ResponsabilidadporDatosPersonalesResponsabilidadporDatosCorporaGvosResponsabilidadporSeguridaddeDatosResponsabilidadporempresasubcontratada
AceSeguros,S.A.,actualmente,ChubbSegurosMéxico
PólizaparalaGesGóndeRiesgosCibernéGcos
ResponsabilidadporPrivacidadResponsabilidadporSeguridaddelaRedResponsabilidadporContenidosElectrónicosPérdidadeAcGvosDigitalesInterrupcióndelnegocio
DañosNsicosapersonas
DañoNsicoalacGvo
Pérdidapropiedadintelectual
Dañodereputación
Robofinancieroy/ofraude
RescatecibernéGcoyextorsión
Responsabilidaddefalladeseguridaddered
Comunicaciónyresponsabilidaddemedioselectrónicos
Interrupcióndelnegocio
Pérdidadedatosysovware
Incumplimientodelacompensacióndeprivacidad
Multasysanciones
Costosregulatoriosydedefensalegal
Costosderespuestaaincidentes
RevisiónRMS/CCRS RevisiónOCDE
GesGónderiesgoscibernéGcosyproductosdeseguros
Fuente: OCDE
Costoscomúnmentecubiertosenpólizasespeciales
• Coberturasvaríanentrecadaaseguradora(RCfrenteaterceros,dañospropios).
• Laspólizasse“personalizan”deacuerdoalasnecesidadesdelosasegurados(mayoríaempresariales).
• Existen“gaps”entrelascoberturasylosriesgosacubrir.
• Existen importantes brechas entre las coberturas y los riesgos a cubrir (dañosNsicosydereputación,responsabilidad,fraude,etc.).
GesGónderiesgoscibernéGcosCNSF
Fuente: OCDE
• Para preservar la confidencialidad, integridad y disponibilidad de la informaciónque se maneja en la CNSF, se Gene implementado un Sistema de Ges-ón deSeguridaddelaInformación(SGSI)cerGficadobajoelestándarinternacionalISO/IEC27001:2013.
RegulaciónenCiberseguridad
EnOctubrede2017,el“FSBsummaryreportonfinancialsectorcybersecurityregulaGonsandsupervisorypracGces”concluyóque:
• Las inicia-vas regulatorias están principalmente orientadas a evaluación de riesgos,informesalregulador,roldelconsejodeadministración,serviciosconterceros,sistemasde control de acceso a la información, acciones de recuperación luego de incidentes ypruebasdesistemasdeprotección.
• Las inicia-vas de supervisión están orientadas a la revisión de documentación (i.e. elprocedimiento de gesGón de riesgos), revisión de programas de monitoreo, test yauditoría,revisióndemecanismosderespuestaaincidentes,etc.
Porsuparte,laIAISen2016publicóel“IssuesPaperonCyberRisktotheInsuranceSector”enelqueexploralosdesaNosrelacionadosconlaregulaciónylasupervisióndelciber-riesgoenlasaseguradoras. Así mismo, se encuentra elaborando un documento, que saldrá a consultapública éste año, mismo que proveerá lineamientos guía para desarrollar los marcos desupervisióndeciber-riesgos.
PanoramaInternacional
RegulaciónenCiberseguridadPanoramaNacional
• En diciembre 2013 se publicó la LISF la cual entró en vigor el 4 de abril de 2015. En ella secontempla un nuevo modelo de solvencia basado en una mejor idenGficación, medición,miGgación, control y prevención de los diferentes riesgos a que se encuentran expuestas lasinsGtuciones.Siendoelriesgotecnológicounodeellos(art.235).
• Porsuparte,elarwculo69delaLISFseñalaquelasinsGtucionesdebenestablecerunsistemadegobiernocorpora-voqueestablezcaunsistemadeadministración integralderiesgosquecontemple:
• PolíGcas y procedimientos para la administración de riesgos, el establecimiento demetodologías específicas para su medición, Autoevaluación de Riesgos y SolvenciaInsGtucionales(ARSI)evaluando,entreotros,losnivelesdeexposiciónalosdisGntosGposderiesgo,yplanesdeconGngencia.
• LaCNSFenlosúlGmosdosañoshaenfocadosuslaboresdesupervisiónaverificareladecuadoestablecimientodeestesistemadegobiernocorporaGvo.EnparGcular:
• Verificarque las insGtucionescuentenconunsistemaeficazypermanentedegobiernocorporaGvoquecontempleunaadecuadagesGóndesusriesgos,realicenperiódicamenteel ARSI (detectando riesgos y generando planes de conGngencia), en visitas decerGficaciónyaperturadenuevasoperacionesseverificaeladecuadofuncionamientodelossistemasylaseguridaddelosmismos.
RegulaciónenCiberseguridad• LasinsGtucionesdesegurosydefianzasensusoperacionesruGnariasGenenexposiciónanteel
riesgociberné-codebidoa:Ø Cuentas concentradoras con insGtuciones de crédito para cobro de primas y pago de
siniestros, administradores de inversiones y custodios para las inversiones quemanGenen,operaciones con contrapartes (préstamos, reaseguro, etc.),bases de datosconfidenciales(informacióndeclientesyusuarios-médicos,financieros,etc.).
Ø Operacionescon losclientesatravésdemedioselectrónicosàAl respectoelCapítulo4.10 de la CUSF señala los mecanismos de autenGficación de los clientes y el arwculo4.10.16 establece: “Las Ins2tuciones y Sociedades Mutualistas que u2licen MediosElectrónicos para la celebración de operaciones y prestación de servicios, deberánimplementarmedidasomecanismosdeseguridadenlatransmisión,almacenamientoyprocesamientode la informacióna travésdedichosMediosElectrónicos,afindeevitarqueseaconocidaporterceros.”
• Como resultado de la firma de las Bases de Coordinación en Materia de Seguridad de laInformación:
Ø Fortalecerlanorma-vaparaestablecerrequisitosdereporteenmateriadeseguridaddelainformación.
Ø EstablecerlacoordinaciónconelGremioparaunaestrategiaintegraldeCiberseguridad.Ø Generarelmarconorma-voadecuadoparalacorrectaimplementacióndelasBases.
ElfuturodelaRegulaciónenCiberseguridad…
ElementosqueconduciránlaspolíGcaspúblicasrespectoalaciber-seguridad…
¿Cómopodremostenerprivacidadyseguridadenelciber-espacio?
¿Cómoseaplicarálasoberanía
respectoalciber-espacio?
¿CómosetrataráelInternetdelas
cosas?
Unavezquelosaparatosconectadosrepresentesuna
amenazaNsicaalosusuarios,laregulación
seráinevitable.
Necesitamosnuevasherramientaspara
administrarlafricciónenelciberespacio
Privacidadyseguridaddebenreforzarseunoaotro,peropuedensermutuamentedestrucGvas
Fuente:CYBERTHREATAlliance
ElfuturodelaRegulaciónenCiberseguridad…
ElementosqueconduciránlaspolíGcaspúblicasrespectoalaciber-seguridad…
Lasinterconexiones,sovwarecomúnylareuGlizaciónde
malwarereducenlaindependenciade
riesgos.
Necesitamosnuevasdefinicionesque
puedanadaptarsealciber-espacio.
ElimpactodelainteligenciaarGficialpodráserbuena,mala
oindiferente.
¿CómodebengesGonarselosriesgos
correlacionados?
¿Cómosedefiniráun“actodeguerra”enel
ciber-espacio?
¿CómoafectarálaInteligenciaArGficialla
ciber-seguridad?
Fuente:CYBERTHREATAlliance
DesaNos
• Implementarunmarcoderegulación-supervisióndeciberseguridadparaelsectorfinanciero.
• DiseñarprácGcasdesupervisiónespecificasparaidenGficar,mediryposiblementecalcular el requerimiento de capital necesario para enfrentar los riesgoscibernéGcos (a nivel internacional, en materia de ciberseguridad ya se estahablando sobre cyber stress tesGng). Asímismo establecer áreas específicas desupervisión.
• Separar el riesgo cibernéGco del riesgo operaGvo para una mejor gesGón ysupervisióndelmismo.
• Incluir el reporte de incidentes cibernéGcos como parte de los reportesregulatorios regulares, tanto para protección del sector financiero como parafuturamodelacióndelriesgo.
• Promoverel intercambiode informaciónentreautoridadesdelsectorfinancierotantoanivelnacionalcomointernacional.
CongresoCASACONACActuariosXYZ,
CiudaddeMéxico,MéxicoOctubre23-24,2018
RiesgoCiberné-covinculadoalossectoresAseguradoryAfianzador
NormaAliciaRosas,presidenteCNSF-México