CongresoCASACONACActuariosXYZ,

CiudaddeMéxico,MéxicoOctubre23-24,2018

RiesgoCiberné-covinculadoalossectoresAseguradoryAfianzador

NormaAliciaRosas,presidenteCNSF-México

CONTENIDO

!  RiesgoCibernéGco!  Ataquesenelsectorasegurador!  GesGónderiesgoscibernéGcosyproductosdeseguros!  Regulacióndeciberseguridad!  DesaNos

RiesgoCibernéGco

“Cualquier riesgo que emane del uso de datos electrónicos y su transmisión,incluyendo herramientas tecnológicas como Internet y redes detelecomunicaciones”.Los incidentes cibernéGcos abarcan: Daños Nsicos; fraude por uso indebido dedatos, responsabilidad por almacenamiento de datos, así como disponibilidad,integridadyconfidencialidaddeinformación.(individuos,empresasygobiernos).ElRiesgoCibernéGcoes consideradocomounode losprincipales riesgos, tantoporsuprobabilidaddeocurrencia,comoporsuimpacto.Asímismo,lasamenazassematerializantantoporlosataquesdirigidoscomoporlasdeficienciasenlaprotecciónenlossistemas.Elsectorfinancieroensuconjunto,hasidoelblancopredilectodelosataques.

Fuente: Chief Risk Officers Forum, “Cyber resilience Paper”

RiesgoCibernéGco

PanoramaGlobaldeRiesgos2018,WEF

Ciberataquesagranescala:AtaquescibernéGcosagranescalaomalwarequecausangrandesdañoseconómicos,tensionesgeopolíGcasopérdidageneralizadadeconfianzaenInternet.Incidentemasivodefraude/robodedatos:Explotación indebidadedatosprivadosuoficialesqueGene lugarenunaescalasinprecedentes.

Fuente:GlobalRisksReport2018,WEF1.

10principalesriesgos

RiesgoCibernéGco

Fuente:IncognitoForensicFoundaGon.

Serviciosdecomputaciónporinternetbajoamenaza.

VulnerabilidaddelInternetdelasCosas(IOT).

TácGcasdecriminalescibernéGcoscadavezmásperjudiciales.

SilenciodelosinvesGgadoresdeseguridadcibernéGca.

DeficienciasdeldepartamentodeTI.

afectóa300,000Computadorasdemásde150países

143millonesdenúmerosdeseguridadsocialcompromeGdosenEE.UU.

4,000ataquesdiariosderansomwareanivelglobal

1decada131emailsconGeneunmalwareataquesransomware

aumentaronal36%

230,000modelosdemalwaresoncreadoscadadía

Amenazas

MásdisrupGvaLosimpactospotencialesdeunciber-

incidenteestánaumentando.

MásfrecuentesElvolumendeciber-acGvidadmaliciosaestáincrementando

MáspeligrosoLosactoresestánmigrandohaciaacGvidadesmasdestrucGvas.

MayorespacioLasuperficiesuscepGbledeataqueseincrementaexponencialmente

RiesgoCibernéGco.-Comoestáevolucionando…

4GposdeadversarioscibernéGcos

Ac-vistasCiberné-cosActúanenapoyoaunacausaTerroristasAprovechanelciberespacioparareclutar

OrganizacionesCriminalesBeneficiosporacGvidadesmaliciosasEstadosNacionalesPersiguensusinteresesnacionales

Porestosactores,elciber-riesgoesahora:

Elvolumenyladiversidaddelosinstrumentosconectados,incrementanlacomplejidad.

LainfraestructuracríGcaseconvierteenelcentrodelosataques.

BarrerasbajasdeentradayaltarentabilidadincenGvanalosactores.

Laaltadependenciaenlodigitalaumentalavulnerabilidaddelasociedad

Fuente:CYBERTHREATAlliance

RiesgoCibernéGco

Manufactura

Público

Inmob

iliario

Fina

nciero

Salud

Profesional

Alporm

enor

Inform

ación

Comercio

Construcción

Transportación

AdministraGvo

Otrosse

rvicios

GesGón

Agricultura

Servicios

Minero

Educación

Entreten

imiento

Hotelero

Ciberataquesreportados(%) PIB2016(%)

Fuente:TheCouncilofEconomicAdvisers(2018)ThecostofmaliciouscyberacGvitytotheU.S.economy.

Ciberataquesyelsectorfinanciero

Ataquesenelsectorasegurador

•  El 27 enero de 2015, Anthem Blue Cross Blue Shield y Premera Blue Cross (EEUU)experimentarontransgresionesadatos(tarjetasdecréditoydatosdesalud)quecompromeGólainformaciónde90millonesdeclientes(78.8millonesdeAnthemy11millonesdePremera).ElcostoparaAnthemfuedeUSD375millones(260enmejorasyseguridady115endemandasdeclientes).

•  El grupo "DD4BC" ha extorsionado a insGtuciones financieras (Europa, Australia, Canadá yEEUU),conDistributedDenialofService(DDoS).Elmontodelosrescatesvariabayexigíapagoenbitcoins.Dos gruposalemanes fueronatacadosbajoestamodalidadamediadosde2015,recibiendoamenazasdeunataqueDDoSdelacompañíaamenosquepagaran40bitcoins.(lasaseguradorassenegaron,yaqueevaluaronquesólohabríancausadodañosmenores).

•  OtraaseguradoraimportanteanuncióunaviolacióndelosdatosdesussistemasdeTIen2015,queafectóa1.1millonesdemiembros.ElaseguradornoGficóacadamiembroafectadoporlainfracciónyleofrecióuncontrolcrediGciogratuitoylaproteccióncontrarobo.

•  En 2015, pruebas de penetración (realizadas por auditoría interna de una aseguradorafrancesa) descubrieronque sehabía tenidounaccesonoautorizadoa lasherramientasdecontabilidad.Fuente:IAIS,KPMGyEY

Ataquesenelsectorasegurador

•  En Países Bajos, un asegurador fue sujeto a "hack CEO", una forma específica de“phishing”, donde se finge ser el CEO de un cliente importante y bien conocido delasegurador, los criminales intentaron persuadir a los empleados del asegurador paratransferir dinero a una cuenta y, al parecer conocían detalles operacionales delasegurador.

•  Una aseguradora de salud de EE. UU. sufrió un ciberataque en julio de 2016 quecompromeGódos sistemas de datos separados y expuso la información confidencial de3.7 millones de clientes y proveedores de atenciónmédica (números de seguro social,reclamos, datos de pago – nombre, número y vencimientos). Al menos una demandacolec-vasehapresentadodespuésdeestaviolacióndedatos.

•  En2017,Anthemseñalóquelosdatosde18,500clientesestabancompromeGdos.

•  Esemismoaño,Bupasufrióunaflitracióndeinformaciónqueafectó500,000clientesdesuplandesegurointernacional.

Ø  Nose-eneconocimientodeataquesciberné-cosrelevantesenins-tucionesdesegurosdeMéxico.

Fuente:IAIS,EYeInsuranceblogAccenture

GesGónderiesgoscibernéGcosyproductosdeseguros

Iden-ficar01

Proteger02

Detectar03

Responder04

Recuperar05

Diagnós-co:Perfildeamenazas,exposiciónalriesgoypérdidasesperadas.

Aumentarlaseguridadinternaydeterceros.ParchesinternosyatercerosparagaranGzarseguridadyfuncionalidaddelentorno.

Evaluacióndecapacidadesdeseguridad.Escaneosperiódicosdevulnerabilidades.Evaluacióncautelosadelainfraestructuradigitalydefensasdelaorganización.

Capacidadderespuestaaincidentesenescenariosdeamenazas.SimulacióndinámicadeunaamenazaparaevaluarlapreparaciónyefecGvidaddelarespuestaalincidente.

IniciodeplanesdeacciónymovilizaciónderecursosparasubsanarunincidentecibernéGco.

MarcodeCiberseguridad

0301

02

0405

Fuente:CPMI-IOSCO

GesGónderiesgoscibernéGcosyproductosdeseguros

Sirvecomopuntodecontactoparaqueuna organización evalúe sus prácGcascibernéGcas y coordine su plan derespuestaaincidentescibernéGcos.

PapeldelSeguro

SeguroCiberné-co

Reembolsar los costos que unacompañíapagaporresponderaunincidentecibernéGco.

Cubrir honorarios y daños enrespuesta a un liGgio por unincidentecibernéGco.

Reembolsar ingresos o gastos porinterrupción relacionada con unincidentecibernéGco.

Confidencialidad

TiposdeCoberturas

Seguridad

Costosporrespuestaaincidentes

ResponsabilidadDigital

ExtorsióncibernéGca

PérdidadeDatos

Interrupcióndenegocio

• Actosmaliciosos• Malware• Hacking• Accesonoautorizado• Errordeprogramación• Errorhumano• Fallaenelsuministroeléctrico

• Gastosdedefensa• Responsabilidadlegal• Gastosdedefensarelacionadosconlaregulación

• Confidencialidadsobremultas/sanciones

GesGónderiesgoscibernéGcosyproductosdesegurosAnivelinternacional,elmercadodesegurosvs.riesgoscibernéGcosaúnesincipiente:

Ø  En2016,elmercadoesGmadoseubicabaentreUSD3y3.5billones.Ø  EEUUGeneun85%-90%(dominadopor20aseguradoras)yEuropacon5-9%.Ø  Seesperaqueparael2025elmercadoseadeUSD20billones.Ø  Aún esa cifra es pequeña cuando se compara con otros ramos (el ramo de

incendioenpaísesdelaOCDEfuedeUSD277billonesen2015).

Fuente: Chief Risk Officers Forum, “Cyber resilience Paper”

Europa EstadosUnidos Global(pronósGco)Primas(billonesUSD)

EsGmacióndeprimasemiGdasanivelglobal

Fuente: OCDE

GesGónderiesgoscibernéGcosyproductosdeseguros

Ins-tucióndeSeguros

Nombredelproductodeseguro Coberturas

GrupoNacionalProvincial,S.A.B

GNPCyberSafe CoberturadeDatosSeguros.CoberturadePérdidaporInterrupcióndeAcGvidades.

Zurich,CompañíadeSeguros,S.A.

SegurodeproteccióndedatosyseguridadinformáGca(DataProtect)

Responsabilidad Civil relacionada con Datos Personales yCorporaGvos,GastosporvulneracionesdeSeguridad,DefensaySanciones,PérdidadelIngreso(delaseguradoydelnegociode dependientes), Gastos de Reemplazo o reposición deAcGvidades Digitales, Responsabilidad Civil derivada decontenidoenpáginaWebyCostosdeReputacióndelnegocioasegurado.

ChubbSegurosMéxico,S.A

PaquetedeseguroProtecciónCyberPersonal

UsoindebidodetarjetaporRobooAsalto,HurtooExtravío;Falsificacióny/oadulteraciónNsicadelatarjeta;ComprasfraudulentasporInternetoteléfono.

•  EnMéxico,8aseguradorasofrecenproductosrelacionadosconriesgocibernéGco,yaseacomoproductosad-hocobienconcoberturasadicionalesaotrosproductos.

GesGónderiesgoscibernéGcosyproductosdeseguros

Ins-tucióndeSeguros Nombredelproductodeseguro Coberturas

ZurichSantanderSegurosMéxico,S.A.

SúperBlindajeconRobodeIdenGdad

CoberturadeFraudeporRobooextravíodeTarjetasdeDébitoyCrédito.

QBEdeMéxicoCompañíadeSeguros,S.A.deC.V.

SegurodeProtecciónFinanciera

RobodeidenGdadCoberturacontraelPhishing

XLSegurosMéxico,S.A.deC.V.

ResponsabilidadCivilProfesional

Sancionesenmateriadeproteccióndedatos.

AIGSegurosMéxico,S.A.deC.V.

SegurodeProteccióndeDatos

ResponsabilidadporDatosPersonalesResponsabilidadporDatosCorporaGvosResponsabilidadporSeguridaddeDatosResponsabilidadporempresasubcontratada

AceSeguros,S.A.,actualmente,ChubbSegurosMéxico

PólizaparalaGesGóndeRiesgosCibernéGcos

ResponsabilidadporPrivacidadResponsabilidadporSeguridaddelaRedResponsabilidadporContenidosElectrónicosPérdidadeAcGvosDigitalesInterrupcióndelnegocio

DañosNsicosapersonas

DañoNsicoalacGvo

Pérdidapropiedadintelectual

Dañodereputación

Robofinancieroy/ofraude

RescatecibernéGcoyextorsión

Responsabilidaddefalladeseguridaddered

Comunicaciónyresponsabilidaddemedioselectrónicos

Interrupcióndelnegocio

Pérdidadedatosysovware

Incumplimientodelacompensacióndeprivacidad

Multasysanciones

Costosregulatoriosydedefensalegal

Costosderespuestaaincidentes

RevisiónRMS/CCRS RevisiónOCDE

GesGónderiesgoscibernéGcosyproductosdeseguros

Fuente: OCDE

Costoscomúnmentecubiertosenpólizasespeciales

•  Coberturasvaríanentrecadaaseguradora(RCfrenteaterceros,dañospropios).

•  Laspólizasse“personalizan”deacuerdoalasnecesidadesdelosasegurados(mayoríaempresariales).

•  Existen“gaps”entrelascoberturasylosriesgosacubrir.

•  Existen importantes brechas entre las coberturas y los riesgos a cubrir (dañosNsicosydereputación,responsabilidad,fraude,etc.).

GesGónderiesgoscibernéGcosCNSF

Fuente: OCDE

•  Para preservar la confidencialidad, integridad y disponibilidad de la informaciónque se maneja en la CNSF, se Gene implementado un Sistema de Ges-ón deSeguridaddelaInformación(SGSI)cerGficadobajoelestándarinternacionalISO/IEC27001:2013.

RegulaciónenCiberseguridad

EnOctubrede2017,el“FSBsummaryreportonfinancialsectorcybersecurityregulaGonsandsupervisorypracGces”concluyóque:

•  Las inicia-vas regulatorias están principalmente orientadas a evaluación de riesgos,informesalregulador,roldelconsejodeadministración,serviciosconterceros,sistemasde control de acceso a la información, acciones de recuperación luego de incidentes ypruebasdesistemasdeprotección.

•  Las inicia-vas de supervisión están orientadas a la revisión de documentación (i.e. elprocedimiento de gesGón de riesgos), revisión de programas de monitoreo, test yauditoría,revisióndemecanismosderespuestaaincidentes,etc.

Porsuparte,laIAISen2016publicóel“IssuesPaperonCyberRisktotheInsuranceSector”enelqueexploralosdesaNosrelacionadosconlaregulaciónylasupervisióndelciber-riesgoenlasaseguradoras. Así mismo, se encuentra elaborando un documento, que saldrá a consultapública éste año, mismo que proveerá lineamientos guía para desarrollar los marcos desupervisióndeciber-riesgos.

PanoramaInternacional

RegulaciónenCiberseguridadPanoramaNacional

•  En diciembre 2013 se publicó la LISF la cual entró en vigor el 4 de abril de 2015. En ella secontempla un nuevo modelo de solvencia basado en una mejor idenGficación, medición,miGgación, control y prevención de los diferentes riesgos a que se encuentran expuestas lasinsGtuciones.Siendoelriesgotecnológicounodeellos(art.235).

•  Porsuparte,elarwculo69delaLISFseñalaquelasinsGtucionesdebenestablecerunsistemadegobiernocorpora-voqueestablezcaunsistemadeadministración integralderiesgosquecontemple:

•  PolíGcas y procedimientos para la administración de riesgos, el establecimiento demetodologías específicas para su medición, Autoevaluación de Riesgos y SolvenciaInsGtucionales(ARSI)evaluando,entreotros,losnivelesdeexposiciónalosdisGntosGposderiesgo,yplanesdeconGngencia.

•  LaCNSFenlosúlGmosdosañoshaenfocadosuslaboresdesupervisiónaverificareladecuadoestablecimientodeestesistemadegobiernocorporaGvo.EnparGcular:

•  Verificarque las insGtucionescuentenconunsistemaeficazypermanentedegobiernocorporaGvoquecontempleunaadecuadagesGóndesusriesgos,realicenperiódicamenteel ARSI (detectando riesgos y generando planes de conGngencia), en visitas decerGficaciónyaperturadenuevasoperacionesseverificaeladecuadofuncionamientodelossistemasylaseguridaddelosmismos.

RegulaciónenCiberseguridad•  LasinsGtucionesdesegurosydefianzasensusoperacionesruGnariasGenenexposiciónanteel

riesgociberné-codebidoa:Ø  Cuentas concentradoras con insGtuciones de crédito para cobro de primas y pago de

siniestros, administradores de inversiones y custodios para las inversiones quemanGenen,operaciones con contrapartes (préstamos, reaseguro, etc.),bases de datosconfidenciales(informacióndeclientesyusuarios-médicos,financieros,etc.).

Ø  Operacionescon losclientesatravésdemedioselectrónicosàAl respectoelCapítulo4.10 de la CUSF señala los mecanismos de autenGficación de los clientes y el arwculo4.10.16 establece: “Las Ins2tuciones y Sociedades Mutualistas que u2licen MediosElectrónicos para la celebración de operaciones y prestación de servicios, deberánimplementarmedidasomecanismosdeseguridadenlatransmisión,almacenamientoyprocesamientode la informacióna travésdedichosMediosElectrónicos,afindeevitarqueseaconocidaporterceros.”

•  Como resultado de la firma de las Bases de Coordinación en Materia de Seguridad de laInformación:

Ø  Fortalecerlanorma-vaparaestablecerrequisitosdereporteenmateriadeseguridaddelainformación.

Ø  EstablecerlacoordinaciónconelGremioparaunaestrategiaintegraldeCiberseguridad.Ø  Generarelmarconorma-voadecuadoparalacorrectaimplementacióndelasBases.

ElfuturodelaRegulaciónenCiberseguridad…

ElementosqueconduciránlaspolíGcaspúblicasrespectoalaciber-seguridad…

¿Cómopodremostenerprivacidadyseguridadenelciber-espacio?

¿Cómoseaplicarálasoberanía

respectoalciber-espacio?

¿CómosetrataráelInternetdelas

cosas?

Unavezquelosaparatosconectadosrepresentesuna

amenazaNsicaalosusuarios,laregulación

seráinevitable.

Necesitamosnuevasherramientaspara

administrarlafricciónenelciberespacio

Privacidadyseguridaddebenreforzarseunoaotro,peropuedensermutuamentedestrucGvas

Fuente:CYBERTHREATAlliance

ElfuturodelaRegulaciónenCiberseguridad…

ElementosqueconduciránlaspolíGcaspúblicasrespectoalaciber-seguridad…

Lasinterconexiones,sovwarecomúnylareuGlizaciónde

malwarereducenlaindependenciade

riesgos.

Necesitamosnuevasdefinicionesque

puedanadaptarsealciber-espacio.

ElimpactodelainteligenciaarGficialpodráserbuena,mala

oindiferente.

¿CómodebengesGonarselosriesgos

correlacionados?

¿Cómosedefiniráun“actodeguerra”enel

ciber-espacio?

¿CómoafectarálaInteligenciaArGficialla

ciber-seguridad?

Fuente:CYBERTHREATAlliance

DesaNos

•  Implementarunmarcoderegulación-supervisióndeciberseguridadparaelsectorfinanciero.

•  DiseñarprácGcasdesupervisiónespecificasparaidenGficar,mediryposiblementecalcular el requerimiento de capital necesario para enfrentar los riesgoscibernéGcos (a nivel internacional, en materia de ciberseguridad ya se estahablando sobre cyber stress tesGng). Asímismo establecer áreas específicas desupervisión.

•  Separar el riesgo cibernéGco del riesgo operaGvo para una mejor gesGón ysupervisióndelmismo.

•  Incluir el reporte de incidentes cibernéGcos como parte de los reportesregulatorios regulares, tanto para protección del sector financiero como parafuturamodelacióndelriesgo.

•  Promoverel intercambiode informaciónentreautoridadesdelsectorfinancierotantoanivelnacionalcomointernacional.

CongresoCASACONACActuariosXYZ,

CiudaddeMéxico,MéxicoOctubre23-24,2018

RiesgoCiberné-covinculadoalossectoresAseguradoryAfianzador

NormaAliciaRosas,presidenteCNSF-México