risk. reinsurance. human resources - health · daño a la reputación o a la marca 2. ... servicio...

Risk. Reinsurance. Human Resources


8:30 – 8:45 Llegada

8:45 – 9:00 Bienvenida y presentación GRMS

9:00 – 9:20 Jose LAGOS, DeloitteCyber Seguridad: Avanzando al Próximo Nivel, Transformando las Defensas

9:20 – 9:40: Andrea GARCÍA y Maria SILVA. London Broking CentreAndrés ZERENÉ. Aon Risk Solutions ChileRiesgo Cibernético / Seguros de Riesgo Cibernético

9:40 – 10:00 Preguntas y Respuestas

4

La Encuesta

1.418 Empresas participaron en la encuesta

935 Cuentan con un área de RiskManagement (66%)

147 Son empresas Latinoamericanas

42% Compañías Norteamericanas que compran cobertura de seguros para Cyber

37% Empresas que incrementarán su gasto en risk managementen los próximos 12 meses

28% Compañías que miden el indicador Costo Total de Riesgo Asegurable

Top 10 Risks

1. Daño a la reputación o a la marca

2. Desaceleración económica o recuperación lenta

3. Cambios al margo regulatorio y/o legal

4. Mayor competencia

5. Dificultad para atraer o retener talento

6. Dificultad para innovar o satisfacer las necesidades de clientes

7. Interrupción del negocio

8. Responsabilidad por daños a terceros

9. Cyber Risk

10. Daño a la propiedad

5

Una Nueva Clase de Riesgo

¿A cuál de ustedes lo trajeron por “hackear” computadores?

Algunos puntos a debatir

¿QUÉ RIESGOS CIBERNÉTICOS LE GUSTARÍA TRANSFERIR?

Conoce cuáles son las principales causas de estos riesgos?

Conoce cuáles son los costos que debe enfrentar al ser víctima de un ataque o fuga de datos?

Sabe cómo debe responder?

Quiénes están expuestos?

Conclusión

Causas/Origen del Riesgo

Acciones Intencionales

Acciones Involuntarias

Factores Internos Factores

ExternosFactores Externos

Disfunción de programas

Mal funcionamiento del sistema

Fuga de datos

Robo de identidad

Corrupción de datos

Error humanoAtaques cibernéticos

Hacking

Espionaje

Virus

Hacktivismo y sabotaje

Extorsión

Seguro Cibernético: Estudio de Reclamaciones Pagadas

(Estudio en $US)

Total siniestros pagadospor tipo de costo:

Fuente: NetDiligence Annual Cyber Liability & Data Breach Insurance Claims: A Study of Actual Claim Payouts

Servicio en crisis

Defensa legalAcuerdos legales

Gastos regulatorios

Multas regulatorias

Multas PCI

Promedios

2011 Resultados

2012 Resultados

2013 Resultados

2014 Resultados

117 reclamaciones

estudiadas

137 reclamaciones

estudiadas

140 reclamaciones

estudiadas

111 reclamaciones

estudiadas

# Registros Expuestos 1.7 Milliones 1.4 Milliones 2.3 Milliones 2.4 Millones

Costo por Reclamación $2,400,000 $3,700,000 $3,500,000 $ 2.900.000

Defensa Legal $ 500.000 $ 600.000 $ 574.984 $ 698.797Acuerdo Legal $1,000,000 $2,100,000 $ 258.099 $ 558.520Servicios en Crisis: $ 881.533 $ 982.620 $ 737.473 $ 366.484

Forenses $ 170.000 $ 341.000 $ 104.740 $ 119.278Notificaciones $ 201.000 $ 180.000 $ 126.703 $ 175.000,00

Call Center $ 15,00 $ 50,00 (Not broken out)

(Not broken out)

Monitoreo del Crédito $ 253.000,00 $ 345.000,00 $ 55.865,00 (Not broken

out)

Consejería Legal $ 242.000,00 $ 66.000,00 $ 29.225,00 $ 117.613

Relaciones Públicas

(Not brokenout)

(Not broken out)

(Not broken out) $ 4.513,00

Gestión de una Falla de Seguridad / Violación de Datos

Descubrimiento y escalado

Investigación para determinar la causa del incidente;• Poner medidas correctoras

inmediatas para evitar un mayor daño• Análisis de la información afectada;

tipo de datos comprometidos, n. de datos, etc

• Puesta en marcha de los protocolos internos de gestión de crisis y organizar a los equipos de respuesta y restablecer la producción si se ha visto afectada

• Organizar los planes de comunicación y relaciones públicas

• Preparación de documentos de comunicación a los afectados y a los reguladores

• Implementar servicios de call-center y/o monitorización de crédito a los afectados ( gratuito)

Notificación

Afectados

Reguladores

Post Incidente

• Respuesta a procedimientos reguladores

• Respuesta a potenciales reclamaciones

• Aplicación de mejoras en sistemas/ procedimientos

• Pagos de Multas/ Sanciones• Análisis/ cuantificación de la

pérdida de clientes/ reputación

• Análisis/ cuantificación de la pérdida de ingresos por parada de sistemas

Conceptos Erróneos Típicos

Tenemos un firewall, estamos

protegidos!

Tenemosprotección

antimalware, entonces no estamos en

riesgo!

Tenemos el mejorDepartamento de

IT

No hacemose-commerce, entonces no estamos en

riesgo!

Conceptos Erróneos Típicos

La realidad es que…

Firewalls/Antivirus/ Departamentos IT no pueden prevenir que haya empleados deshonestos, computadores robados o perdidos, cintas con datos.

Nunca debe subestimarse la posibilidad de un error humano: es la causa más común de cortes en las redes.

Cumplir con las reglas no exime la notificación Compañías que no ofrecen e-commerce aún tienen expuesta la

información sensible de empleados y clientes así como la información corporativa privada.

Los Hackers no discriminan, ellos buscan redes con vulnerabilidades sin un target específico.

Es posible concluir que el Riesgo Cibernético es:

Incidente• Accidental• Intencional• Malicioso• Empleado• Tercero

Naturaleza del Evento• Hacking• Virus• Extorsión • Robo de identidad• Error del sistema• Pérdida/destrucción de

información• Difamatoria• Infracción de privacidad• Infracción de propiedad

intelectual

Espectro de Resultados• Infracción de

notificación• Daño reputacional • Interrupción de los

sistemas• Investigaciones

forenses• Daño a los activos

digitales• Procedimientos legales• Investigaciones

regulatorias• Demandas por

extorsión• Pérdida de datos

Consecuencias•Responsabilidad legal frente a clientes, proveedores y empleados

•Costos de notificación•Multas y sanciones•Incremento en costos de compliance

• Compromisos exigibles• Reemplazo de activos digitales

•Pérdida de beneficios• Impacto en la confianza de los clientes

• Impacto en el precio de la acción

•Costos por restauración de datos

•Costos por consultoría forense

El riesgo cibernético es una realidad… en constante evolución y mayor complejidad técnica

REDES SOCIALES• Información falsa de productos o

servicios• Privacidad• Difamación, calumnia comercial,

infracción de derechos de autor y similares

• Seguridad IP

BIG DATA

BRING YOUR OWN DEVICE• Dispositivos compartidos

y siempre en uso (= siempre vulnerables)

• Uso personal (descargas, virus, hacking)

• Falta de seguridad/sofisticación IT

• Múltiples dispositivos y sistemas operativos, en continuo cambio

BIG DATA• Accesos a los datos• Aspectos técnicos

(seguridad de las aplicaciones de conversión de datos)

• Aspectos legales (jurisdicción, responsabilidad)

SERVICIOS EN LA NUBE• Control de seguridad/accesos y procesos en un tercero (Ddos, privacidad)• Aspectos técnicos (carga datos, encriptado, segregación, prestación servicio)• Aspectos legales (propiedad de los datos, jurisdicción, responsabilidades)

CLOUD

Infraestructura IT Plataforma

Soluciones de transferencia de archivos

AplicacionesDato

sDesarrollo software & QA

usuarios

proveedores

empresa

DISPOSITIVOS MOVILES/PAGOS MOVILES• Riesgos para el usuario (lost

phone = lost wallet) y comercios (brecha de datos)

• Red de acuerdoscontractuales y responsabilidades (bancos, mediso de pago, desarrolladores de aplicaciones, proveedores de telefonía, etc.)

Mapa de información tecnológica y de comunicacionesIndustria de Aviación

Peligros Cibernéticos en los Aviones Modernos

Respuesta del Mercado Asegurador – Alcance de la Cobertura

Sección Responsabilidad CivilGastos de Defensa+ Perjuicios

+ Sanciones Regulatorias

Sección Daños PropiosSiniestro Asegurado

Sección Gastos/Serviciode Incidentes

Honorarios + Gastos

• Manejo de Crisis

• Asesoría legal relacionado a infracciones

• Investigación Forense

• Notificación de infracción

• Call Center

• Monitoreo del Crédito, Monitoreo de la Identidad, Seguro Contra Robo de Identidad

Pagos/Asistencia de Extorsión Cibernética

• Falla de Red de Seguridad

• Falla en Proteger/ Revelación de Información Errónea, incluyendo información de empleados

• Investigaciones regulatorias relacionadas con la privacidad o Seguridad

•• Todo lo anterior cuando se

compromete por un subcontratista

• Recolección de Información Errónea (algunas polizas)

• Infracción Contenido Multimedia/Contenido Difamatorio

• Interrupción de Actividades por falla de red.

• Interrupción de Actividades por falla de sistema

• Dependent Business Interruption (algunas polizas)

• Gastos Extraordinarios

• Daños a Activos Intangibles

• Daño Reputacional

17

Professional Indemnity

*Dependera de los Terminos y condiciones de las polizas que tenga actualmente y de los hechos de los siniestros

Las Pólizas Estandar Probablemente No Funcionan

Necesidad de una póliza a la medida

No sirve la misma póliza para todos. Los textos estándares varían mucho y deben adaptarse a cada industria y empresa particular. Se deben tener en cuenta las consecuencias específicas para la empresa derivadas de:

Una falla en los sistemas

Revelar información indebidamente

Gastos de defensa/ sanciones de reguladores

Responsabilidad subsidiaria por errores de proveedores

Gastos de notificación/ gestión de crisis

Responsabilidad de contenidos/ media

Entre otros.

El Mercado

Capacidad

Cobertura

Siniestralidad

La capacidad global de Cyber continuará fluctuando en lospróximos meses:Aunque existen cerca de 67 Aseguradores que ofrecen capacidad de Cyber, y nuevosmercados cada año, algunos mercados han reducido su capacidad o la han retirado,mientras otros han entrado o incrementado su capacidad.

La cobertura continúa extendiéndose tanto en amplitud como límitedisponible en mercados de cuentas medianas, pero no de cuentasgrandes:• Los Aseguradores continúan ofreciendo productos diferenciadores y componentes

de cobertura mejorados (Servicios de Respuesta, Cobertura PCI).• Las coberturas de mitigación continúan ampliándose para satisfacer las

necesidades de los clientes, incluyendo límites más altos y disponibilidad de lacobertura a través de torres.

Se ha recolectado cada vez más y mejor información a partir de lasinfracciones reportadas:• Continúan reportándose numerosas infracciones con reportes adicionales sobre los

costos de dichas infracciones.• Las pólizas están respondiendo, particularmente a la mitigación de la infracción,

permitiendo un mejor seguimiento de los pagos de reclamaciones.• Mayor enfoque en seguridad tecnológica en llamadas y sistemas relacionados con

puntos de ventas.

El Mercado

Retenciones

Precios

Las retenciones se mantienen estables para cuentas medianasaunque se han presentado algunos incrementos materiales enalgunas cuentas globales grandes.• Existen retenciones de todo nivel en el mercado, pero varían dependiendo de la

industria, los ingresos y la exposición de cada cliente.• Ajustar las retenciones permite obtener coberturas más amplias y/o flexibilidad en

sublímites.

Los precios tienden a incrementar:• Los precios continúan incrementando debido a las significativas infracciones,

particularmente en las industrias afectadas. Incrementos de 100% - 400% encuentas con alta siniestralidad.

• Incrementos generales de entre el 10% y el 15%.

Gestión de una Falla de Seguridad/ Violacion de Datos

ResponsabilidadReguladorMitigación

Brecha Mitigación Regulador

• Online / offline• Acciones

accidentales de empleados

• Fallas causadas por proveedores externos

• Costo de notificación

• Forenses de Tecnología

• Relaciones Publicas

• Monitoreo de Crédito

• Investigaciones• Sanciones civiles• Multas de PCI • empleados• Fallas causadas

por proveedores externos

• Online / offline• Acciones

accidentales de empleados

• Fallas causadas por proveedores externos

Falla

Casos

• Jul. 2005 – Dic. 2006: Ocurre el incidente

• Ene. 12 de 2007: Se descubre el incidente

• Ene.17 de 2007: TJX reporta del incidente

• Ene. 29 de 2009: Se presenta la primera demanda

$ 256,000,000 en costos a la fecha94,000,000 de datos afectados

Casos

• Mayo 15 de 2008: Ocurre el incidente

• Enero 12 de 2009: Se descubre el incidente

• Enero 20 de 2009: Heartland reporta del incidente

• Enero 27 de 2009: Se presenta la primera demanda

• $ 143,000,000 en costos a la fecha, incluyendo acuerdos con clientes, Visa y American Express

• A 2012 los pagos por pérdidas habían superado los $84.4 millones.

• 130,000,000 de datos afectados

• Mayo 2015 Ocurre un hurto de equipos con información critica no encriptada – se contrato monitoreo de identidad para otorgar protección para robo de identidad – numero de clientes afectado inciertos

Casos

• Abril 14 a 19 de 2011: Ocurre el primer incidente

• Abril 26 de 2011: Sony reporta el incidente

• Abril 27 de 2011: Sony envía notificaciones

• Abril 27 de 2011: Se presenta la primera demanda

• $ 280,000,000 es el costo proyectado del caso a la fecha

• 77,000,000 de datos afectados

Casos

El programa de viajero frecuente se vio comprometido. Loshackers utilizaron botnet para lanzar el ataque, usando listas para quecoincidieran los nombres de usuario con contraseñas.

Una vez coincidieron, los números de viajero frecuente robadosfueron utilizados para comprar vuelos y redimir otrosbeneficios. Los hackers no tuvieron acceso a la base de datos de lalínea aérea y ninguna información personal fue comprometida.

En el caso de BA se reportaron millones de cuentasafectadas

AA, United Airlines ofrecieron servicio de monitoreode crédito a los clientes afectados.

Incidentes aislados.

Casos

A finales de 2013, unos cibercriminales lograron acceder a los sistemas informáticos de los

grandes almacenes Target , robaron datos financieros y personalesde 110 millones de clientes y desviaron esta información a un servidor deEuropa del Este para venderla en el mercado negro de tarjetas. Adicionalmente le generomovimiento negativos en sus acciones cotizadas en la bolsa de Nueva York. En su 8-K Formen Febrero del 2015, anuncio que la perdida ya supera los $ 252M y siguió sumando.

• Target contaba con una póliza de riesgo cibernético que ha respondido de la siguienteforma:

• 90 M$ indemnizados ( $100 M de límite con $ 10 M de retención).• De los cuales más de $ 60 M corresponden a gastos de notificación y respuesta.• El resto de indemnización ha cubierto principalmente gastos forenses.

• Agotado el límite de la póliza, otros gastos incurridos han quedado portanto sin cobertura.

• Las consecuencias de la brecha aún no han finalizado, pues hay reclamaciones deafectados en curso (gastos legales y ciertas reclamaciones también tendrían encaje en lapóliza de no haberse agotado el límite).

• El 18 de Agosto 2015 Target llego a un acuerdo legal conVISA por un monto de $ 67M.

• Mastercard rechazo el acuerdo ofrecido a principios del 2015.

Casos

En Julio de 2015 fue víctima de hackers en el cual se robaron los datos de usuarios de esta web de citas extraconyugales entre los que se encontrabas oficiales del gobierno de Estados Unidos, Reno Unido, etc

Esta semana se han reportado 2 suicidios Los clientes han sido víctimas de Extorsiones La casa matriz está ofreciendo $380k dólares canadiense como

recompensa para capturar a los responsables La casa matriz tendrá que suspender indefinidamente su apertura de

bolsa Ya se entablo una demanda colectiva con pretensiones

de $760M por daños a los clientes canadienses afectados por uso ilegitimo de la información.

Se desconoce si tienen una póliza de seguros de riesgos cibernéticos Se desconocen los montos para la gestión de la crisis Sanciones de reguladores por determinar Gastos de defensa por determinar

Ashley Madison

2015 | Proprietary & Confidential

Cyber Diagnostic Tool:

Aon ha desarrollado una herramienta de diagnóstico para sus clientes para ayudar acuantificar y comparar sus medidas de Seguridad en su “network” y sus políticas dePrivacidad de Datos.

Mediante esta herramienta, y después de completar un básico formulario en no mas de 15minutos, se da un primer análisis o diagnóstico sobre sus medidas de seguridad en sussistemas y políticas de tratamiento de datos. Con esto, se puede identificar los potencialesCyber riesgos y otros aspectos de interés. Lo invitamos a realizarlo online:

https://www.aoncyberdiagnostic.com/es/

“Ignoramos los Riesgos que son difíciles de cuantificar, incluso cuando estos pueden ser las mayores amenazas para nuestro Bienestar”

Nate Silver The Signal And The Noise: Why So Many Predictions Fail – But Some Don’t

Cyber – Aon Approach: Cyber Diagnostic Tool

Cyber Seguridad: Avanzando al Próximo

Nivel

José Lagos

Partner Cyber Risk Services

Deloitte

Agosto 25, 2015

Transformando las Defensas

Definiendo el Panorama Global. Entendiendo la Evolución. 3

Definiendo la Necesidad. Cambiando el Pensamiento. 8

Transformando las Defensas. Secure, Vigilant, Resilient. 11

Contenido

2© 2015. For more information, contact Deloitte Touche Tohmatsu Limited.

Definiendo el Panorama

Global

Entendiendo la

Evolución


El Cyber Crimen ha ido evoluciando en volumen,

sofisticación e impacto



El costo del Cyber Crimen en la economía global es

cerca de $445 billones cada año, impactando los

negocios con pérdidas superiores a $160 billones por

robo de propiedad intelectual debido a ataques.

El Cyber Crimen es un impuesto a la innovación y

desacelera el ritmo de crecimiento global mediante la

reducción del ROI a los innovadores e inversionistas

‘‘‘‘

- Jim Lewis, Director and Senior Fellow, Centre for Strategic and International

Studies

Patrones de Incidentes

de los incidentes

puede ser descrito

solo por 9 patrones

básicos

De los incidentes en

una industria pueden

ser descrito solo por

3 de los 9 patrones

Robo de información de tarjetas

Cyber-espionajePérdida/Robos físicos

Intrusiones en POSErrores comunes

Ataque a

Aplicaciones WebUso indebido de

información privilegiada

Crimeware

Ataques de denegación

de Servicios


* Verizon 2014.

Malware en la industria del retail que afectó a las tarjetas, impactando al 30% de

las tiendas (1M de transacciones de débito y crédito por día) :

Detección en el Día 0 – Mínimo impacto, remediación efectiva. Impacto

alrededor de $10m

Detección en el Día 2 – 600m Tarjetas comprometidas, Costo de la

remediación $2 – $5M

Detección en el Día 30 – Podría afectar la continuidad

del negocio, infección no contenida y costos de

remediación superiores a $23M+


La velocidad de los ataques se está acelerando,

mientras los tiempos de respuesta se extienden


Cambio global en vectores de ataque, patrones y

capacidades


1. Vectores de ataque cambiando desde la tecnologia a las personas

2. Patrones de ataque cada vez más similares a comportamientos normales. Estas

amenazas se están incrementando. Algunas de estas amenazas son

adaptables y tienen la capacidad de entrar en modo inactivo, lo cual es difícil de

detectar.

3. Criminales, actores gubernamentales e incluso Hactivistas están construyendo

mejor inteligencia, capacidades y poseen una amplia red de recursos, incluso

superiores a las organizaciones (i.e. ampliando el gap de

capacidades)

4. Cadena de logística y partner de negocios son una puerta lateral en

constante crecimiento

5. APT - Advanced Persistent Threat– Desafían enfoques tradicionales7© 2015. For more information, contact Deloitte Touche Tohmatsu Limited.

Definiendo la Necesidad

Cambiando el

Pensamiento


Cambiando el pensamiento convencional de

seguridad

Definiendo la Necesidad


1. Dificultad para demostrar alineamiento con el Negocio

2. Pérdida de una clara visión en comunicar el valor

3. Consenso limitado a través de un Objetivo/Marco común

4. Demasiado pensamiento en procesos, capacidades, etc. Programas

de Cyber demasiado robustos y demasiada

tecnología

5. Marcos tradicionales focalizados en métodos reactivos

Cambios en el panorama de las amenazas versus capacidad

Análisis de Comportamiento y Modelo de Aprendizaje

Análisis de Riesgo

Efectivo MarginalmenteEfectivo

Inefectivo

Signature based (e.j. correlación)

Convencional(Guerra Convencional, vectores simétricos)

Amenzas de Infraestructura(Denegación de Servicios, General Botnet)

Gu

erra

Co

nven

cio

nal

Cyb

er

Gu

erra

System 1 learning

Guerilla(Oculto entre las personas)

Ataques Objetivos(Oculto en el tráfico de negocios)

Espionaje(Buscar, analizar e infiltrar)

Cyber-espionaje(Buscar, analizar e infiltrar)

System 2 learning

A - SIEM (Análisis en tiempo real)B – Análisis de Comportamiento y

Aprendizaje (Análisis mediano plazo)

C – Cyber analytics

(Análisis largo Plazo)


Transformando las

defensas

Ser Seguros, Vigilantes

y Resilentes


Ser Seguros, Vigilantes y Resilentes



Cyber Governance

Cyber Mitigación de

Amenazas

Cyber Inteligencia de

Amenazas

Cyber Respuesta de

Incidentes

Seguros

Existen los controles en su empresa

para detectar las amenazas

conocidas y las emergentes?

Vigilantes

Podemos nosotros detectar código

malicioso o actividades no

autorizadas, incluyendo lo

desconocido?

Resilentes

Podemos nosotros actuar y

recuperarnos rápidamente para

minimizar el impacto?

Cyber no es solo un asunto de TI


• La efectividad de la Cyber Seguridad se inicia con la sensibilización del

Directorio y nivel C-suite – el reconocimiento que en algún punto en el

tiempo su organización será atacada

• Directores y nivel C-suite están tomando un rol más activo en proteger sus

organizaciones, pero intentando en como hacer el rol más efectivo(Cuáles son sus responsabilidades, cuáles competencias debieran estar

desarrollando, Cuáles son las preguntas correctas que deben realizar, etc.)


Cyber Governance se inicia en el Directorio

Transformando las defensas

Su Directorio y nivel C-Suite se debiera preguntar:

1. Estamos nosotros focalizados en las cosas correctas?

2. Tenemos nosotros el talento correcto?

3. Somos nosotros proactivos o reactivos?

4. Estamos nosotros incentivando apertura y colaboración?

5. Estamos nosotros adaptándonos a los cambios?


Evaluar la efectividad de su programa de Cyber

Risk


• El Directorio, o comité ejecutivo, se compromete en forma

regular a revisar y discutir la implementación del marco de cyber seguridad,

incluyendo la adecuación de los controles mitigantes existentes?

• Evaluaciones básicas de cyber security se llevan a cabo sobre una base

periódica?

• Auditoría Interna evalúa la eficacia de la gestión de los Cyber Riesgos

a lo menos una vez al año?

• Evaluaciones de Cyber Seguridad y evaluaciones de auditoria interna son

esporádicas o no existentes?


Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and

their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not

provide services to clients. Please see www.deloitte.com/about for a more detailed description of DTTL and its member firms.

Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With

a globally connected network of member firms in more than 150 countries and territories, Deloitte brings world-class capabilities and high-quality service to

clients, delivering the insights they need to address their most complex business challenges. Deloitte’s more than 210,000 professionals are committed to

becoming the standard of excellence.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively,

the “Deloitte network”) is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for

any loss whatsoever sustained by any person who relies on this communication.

© 2015. For more information, contact Deloitte Touche Tohmatsu Limited.

risk. reinsurance. human resources - health · daño a la reputación o a la marca 2. ... servicio...

Documents