Innovación y Tecnología en los Seguros, para la gestión del riesgo Protección al usuario de seguros

Transcripción

1 Innovación y Tecnología en los Seguros, para la gestión del riesgo Protección al usuario de seguros

2 La convergencia tecnológica ha aumentado las oportunidades de las empresas, pero también ha aumentado los riesgos 1980s 1990s 2000s OT y CT se enfrentan a poco o ningún riesgo cibernético, ya que no se encuentran conectadas a una red. OT se vuelve vulnerable debido a la conexión; sin embargo, se encuentra parcialmente protegida gracias a la obscuridad de las soluciones propietarias. OT ya no es protegida por la obscuridad y el CT es ahora vulnerable. La seguridad en TI tradicional no la cubre más. IT, OT y CT son todas ahora vulnerables a ataques cibernéticos. Las empresas deben adaptar su modelo de seguridad e incluir dentro de su alcance a toda la gama de tecnologías. INFORMATION TECHNOLOGY (IT) OPERATIONAL TECHNOLOGY (OT) CONSUMER TECHNOLOGY (CT) INTERNET PROPRIETARY CONNECTION IT PROTOCOL BASED CONNECTION

3 Partiendo de las megatendencias Desde el comienzo de Internet of things SMAC Población mundial 6.3 billones 6.8 billones 7.2 billones 7.6 billones Dispositivos conectados 500 millones 12.5 billones 25 billones 50 billones Social Media Mas dispositivos conectados que gente Cloud Analytics Mobile Dispositivos conectados por persona

4 Medio ambiente En la actualidad operamos en un ecosistema global de negocios Economía Proveedores Empresa Tecnológico

5 Los Cyber ataques son titulares de noticias todos los días

6 Un vistazo a la seguridad: Como están respondiendo las empresas a los crecientes riesgos cibernéticos? Perspectivas de la Encuesta sobre la Situación Global de la Seguridad de la Información 2016 (Global State of Information Security Survey)

7 Dónde se encuentra la información? Activo vital para instituciones de seguros Riesgos para la organización Domicilios Nombre y edades Bienes Percepciones económicas Procesos Procesos Manuales Registros Pólizas Facturas Propuestas Multas por incumplimiento Costos de atención Datos de salud Expedientes digitalizados Gente Gente Pérdidas por indisponibilidad de servicios Datos de tarjetas Personajes de alto impacto Papel Conversaciones Ajustadores Call center Agentes de seguros Archiveros Internet Móviles Computadoras Servidores Equipo de comunicaciones BYOD Tecnología Tecnología Daños a la reputación Pérdida de competitividad Proteger la información para evitar pérdidas no esperadas Robo de información (y pérdidas) sin identificarlo por una inadecuada gestión.

8 Gestión de riesgos, protección al consumidor y cumplimiento Establecer una adecuada gestión de seguridad de la información mediante la identificación, evaluación y tratamiento de los riesgos de la organización, que les permita la protección al consumidor y cumplir los requisitos normativos vigentes a los que están sujetos Establezca su perfil de riesgo y su política 1. Estrategia y politica 2. Proteger Defina, implemente y pruebe sus controles de seguridad para administrar el riesgo y proteger el negocio Recuperación, concienciación y aprendizaje ante Cyber incidentes 5. Remediar Monitoree y mejore sus controles de Cyber security 3. Operar 4. Responder Respuesta efectiva ante Cyber incidentes

9 Qué pasó con las empresas que no tuvieron un adecuado modelo de Cyber Security? Tienda departamental Liverpool sufre ataque cibernético Univision.com publicado: dic 26, :24 PM Consecuencias Estimado > 100 mdp en pérdidas por resarcir daño y multas Daño no cuantificable a su reputación Thu Dec 19, :38pm EST Target cyber breach hits 40 million payment cards at holiday peak Reuters.com Costó 148 millones USD a Target y 200 millones a instituciones financieras Pérdida de utilidad y del valor de la acción Renuncia del CEO y el CIO The Wall Street Journal Home Depot Confirms Data Breach Sept. 8, :21 p.m. ET Costo estimado > 60 millones USD a Home Depot y 90 millones USD a bancos Afectación a clientes en > 2000 tiendas 9

10 Qué hacer para implementar un modelo de Cyber Security? Definición de estrategia Evaluaciones de seguridad Monitoreo y mejora continua Situación actual Arquitectura de seguridad Cumplimiento y certificación Métricas de seguridad Gap analisys Administración de identidades Privacy Continuidad del negocio Marco de referencia y gobierno Aspectos a tomar en cuenta: La implementación puede tomar + 6 meses Representa cambios importantes en Procesos y Sistemas Se requiere de una inversión importante en tecnologías de seguridad

11 Beneficios Uso efectivo de recursos Evitar pérdidas no esperadas Confianza del mercado y continuidad del negocio Oportunidades de negocio (ej. seguros para cyber ataques) Cumplimiento legal y regulatorio Protección al consumidor

12 En resumen Aumentan los riesgos en la seguridad de información Contar con sistemas de seguridad de la información que vayan de acuerdo con los cambios en el mundo de los negocios. Hay que Identificar cuales son nuestras joyas de la corona Hay que identificar el tipo de información que tenemos y no tratar de proteger todo de la misma forma. Conocer sus amenazas, motivos y medios Los hacktivistas están identificando rápidamente las debilidades de cyber security que tienen las empresas. Hay que contar con un modelo integral y eficaz de cyber security. Cyber security es un modelo de negocio y no sólo un problema del área de tecnología Creación de una estrategia de seguridad empresarial y un programa de sensibilización que cuente con el compromiso de los niveles ejecutivos más altos de la organización, con el fin de destinar los recursos e inversiones adecuadas. Protección del Consumidor

13 Sesión especializada Nombre: Fernando Román, Socio Posición: Socio Líder de Tecnología en la información en Risk Assurance Detalles del contacto: Teléfono: Perfil : Fernando Román es Licenciado en computación administrativa certificado en CEGTI CRISC Administrativa con más de 20 años de experiencia profesional en el ramo de Seguridad y Tecnologías de la información. Actualmente es Socio Líder de Tecnología de la Información en Risk Assurance línea de servicio en, Durante los últimos 7 años, ha desarrollado el portafolio de servicios de seguridad informática y tecnología de México, servicios a través de los cuales ha apoyado a numerosos clientes a fortalecer la gestión de riesgos y a dar cumplimiento a las diferentes regulaciones a las que están sujetos. Fernando ha colaborado y administrado numerosos proyectos en diferentes sectores de la industria como: Sector Financiero, Sector Público, Consumo, Sector Minero, principalmente. Experiencia Su experiencia comprende los siguientes temas: Seguridad, Controles y Administración de Identidades. Desde la concepción de arquitecturas de seguridad, diseño de controles e implementación de diversas soluciones para el control de accesos, y administración de identidades así como proyectos de Seguridad informática para la administración de riesgos, análisis de vulnerabilidades e implementación de estándares como ISO Auditoría de Sistemas de Información. Dirección y supervisión de numerosas auditorías a las áreas de sistemas de aproximadamente 40 empresas enfocadas a los Controles Generales de cómputo así como revisiones independientes sobre la base SAS-70, ISAE 3402, SSAE 16 (SOC1, SOC2 y SOC3) además de participar en proyectos de Readiness y Attestation para Sarbanes Oxley en algunos de sus clientes. Business Process Management. Área en la cual Fernando se ha especializado y ha participado en proyectos de Modelado y automatización de procesos a través de herramientas especializadas. Business Process Outsourcing. Fernando se ha especializado en la generación de servicios que agreguen valor al cliente en diferentes áreas como Nómina, Contabilidad, Servicios Administrados de Seguridad etc. GRC. Responsable del desarrollo de la práctica de Governance, Risk and Compliance en México para Risk Assurance. Fernando es el responsable coordinador del Grupo de Innovación de Tecnologías de la Información en Risk Assurance para México, grupo en el cual se desarrolla y mantiene alineado a las mejores prácticas Globales y al Grupo de Innovación de Global.

14 Gracias Esta publicación se elaboró exclusivamente con el propósito de ofrecer orientación general sobre algunos temas de interés, por lo que no debe considerarse una asesoría profesional. No es recomendable actuar con base en la información aquí contenida sin obtener la debida asesoría profesional. No garantizamos, expresa o implícitamente, la precisión o integridad de la información de la presente publicación, y dentro de los límites permitidos por la ley, PricewaterhouseCoopers, S.C., sus miembros, empleados y agentes no aceptan ni asumen ninguna responsabilidad, deber u obligación derivada de las acciones, decisiones u omisiones que usted u otras personas tomen con base en la información contenida en esta publicación PricewaterhouseCoopers. Todos los derechos reservados. se refiere a la red y/o una o más firmas miembro de, cada una de las cuales constituye una entidad legal independiente. Favor de ir a para obtener mayor información al respecto. Elaborado por MPC: gm-pres-amis