Risk. Reinsurance. Human Resources

Transcripción

1 Risk. Reinsurance. Human Resources

2 8:30 8:45 Llegada 8:45 9:00 Bienvenida y presentación GRMS 9:00 9:20 Jose LAGOS, Deloitte Cyber Seguridad: Avanzando al Próximo Nivel, Transformando las Defensas 9:20 9:40: Andrea GARCÍA y Maria SILVA. London Broking Centre Andrés ZERENÉ. Aon Risk Solutions Chile Riesgo Cibernético / Seguros de Riesgo Cibernético 9:40 10:00 Preguntas y Respuestas Risk. Reinsurance. Human Resources

3 Risk. Reinsurance. Human Resources

4 La Encuesta Empresas participaron en la encuesta 935 Cuentan con un área de Risk Management (66%) 147 Son empresas Latinoamericanas 42% Compañías Norteamericanas que compran cobertura de seguros para Cyber 37% Empresas que incrementarán su gasto en risk management en los próximos 12 meses 28% Compañías que miden el indicador Costo Total de Riesgo Asegurable Top 10 Risks 1. Daño a la reputación o a la marca 2. Desaceleración económica o recuperación lenta 3. Cambios al margo regulatorio y/o legal 4. Mayor competencia 5. Dificultad para atraer o retener talento 6. Dificultad para innovar o satisfacer las necesidades de clientes 7. Interrupción del negocio 8. Responsabilidad por daños a terceros 9. Cyber Risk 10. Daño a la propiedad 4

5 Una Nueva Clase de Riesgo A cuál de ustedes lo trajeron por hackear computadores? 5

6 Risk. Reinsurance. Human Resources

7 Algunos puntos a debatir QUÉ RIESGOS CIBERNÉTICOS LE GUSTARÍA TRANSFERIR? Conoce cuáles son las principales causas de estos riesgos? Conoce cuáles son los costos que debe enfrentar al ser víctima de un ataque o fuga de datos? Sabe cómo debe responder? Quiénes están expuestos? Conclusión

8 Causas/Origen del Riesgo Acciones Intencionales Ataques cibernéticos Error humano Corrupción de datos Acciones Involuntarias Hacking Robo de identidad Espionaje Fuga de datos Extorsión Hacktivismo y sabotaje Virus Mal funcionamiento del sistema Disfunción de programas Factores Externos Factores Internos Factores Externos

9 Seguro Cibernético: Estudio de Reclamaciones Pagadas (Estudio en $US) 2011 Resultados 2012 Resultados 2013 Resultados 2014 Resultados Total siniestros pagados por tipo de costo: Servicio en crisis Defensa legal Acuerdos legales Gastos regulatorios Multas regulatorias Multas PCI Promedios 117 reclamaciones estudiadas 137 reclamaciones estudiadas 140 reclamaciones estudiadas 111 reclamaciones estudiadas # Registros Expuestos 1.7 Milliones 1.4 Milliones 2.3 Milliones 2.4 Millones Costo por Reclamación $2,400,000 $3,700,000 $3,500,000 $ Defensa Legal $ $ $ $ Acuerdo Legal $1,000,000 $2,100,000 $ $ Servicios en Crisis: $ $ $ $ Forenses $ $ $ $ Notificaciones $ $ $ $ ,00 Call Center $ 15,00 $ 50,00 Monitoreo del Crédito Consejería Legal Relaciones Públicas (Not broken out) $ ,00 $ ,00 $ ,00 (Not broken out) (Not broken out) $ ,00 $ ,00 $ ,00 $ (Not broken out) (Not broken out) (Not broken out) $ 4.513,00 Fuente: NetDiligence Annual Cyber Liability & Data Breach Insurance Claims: A Study of Actual Claim Payouts

10 Gestión de una Falla de Seguridad / Violación de Datos Descubrimiento y escalado Investigación para determinar la causa del incidente; Poner medidas correctoras inmediatas para evitar un mayor daño Análisis de la información afectada; tipo de datos comprometidos, n. de datos, etc Puesta en marcha de los protocolos internos de gestión de crisis y organizar a los equipos de respuesta y restablecer la producción si se ha visto afectada Organizar los planes de comunicación y relaciones públicas Preparación de documentos de comunicación a los afectados y a los reguladores Implementar servicios de call-center y/o monitorización de crédito a los afectados ( gratuito) Notificación Afectados Reguladores Post Incidente Respuesta a procedimientos reguladores Respuesta a potenciales reclamaciones Aplicación de mejoras en sistemas/ procedimientos Pagos de Multas/ Sanciones Análisis/ cuantificación de la pérdida de clientes/ reputación Análisis/ cuantificación de la pérdida de ingresos por parada de sistemas

11 Conceptos Erróneos Típicos Tenemos el mejor Departamento de IT No hacemos e-commerce, entonces no estamos en riesgo! Tenemos protección antimalware, entonces no estamos en riesgo! Tenemos un firewall, estamos protegidos!

12 Conceptos Erróneos Típicos La realidad es que Firewalls/Antivirus/ Departamentos IT no pueden prevenir que haya empleados deshonestos, computadores robados o perdidos, cintas con datos. Nunca debe subestimarse la posibilidad de un error humano: es la causa más común de cortes en las redes. Cumplir con las reglas no exime la notificación Compañías que no ofrecen e-commerce aún tienen expuesta la información sensible de empleados y clientes así como la información corporativa privada. Los Hackers no discriminan, ellos buscan redes con vulnerabilidades sin un target específico.

13 Es posible concluir que el Riesgo Cibernético es: Incidente Accidental Intencional Malicioso Empleado Tercero Naturaleza del Evento Hacking Virus Extorsión Robo de identidad Error del sistema Pérdida/destrucción de información Difamatoria Infracción de privacidad Infracción de propiedad intelectual Espectro de Resultados Infracción de notificación Daño reputacional Interrupción de los sistemas Investigaciones forenses Daño a los activos digitales Procedimientos legales Investigaciones regulatorias Demandas por extorsión Pérdida de datos Consecuencias Responsabilidad legal frente a clientes, proveedores y empleados Costos de notificación Multas y sanciones Incremento en costos de compliance Compromisos exigibles Reemplazo de activos digitales Pérdida de beneficios Impacto en la confianza de los clientes Impacto en el precio de la acción Costos por restauración de datos Costos por consultoría forense

14 El riesgo cibernético es una realidad en constante evolución y mayor complejidad técnica REDES SOCIALES Información falsa de productos o servicios Privacidad Difamación, calumnia comercial, infracción de derechos de autor y similares Seguridad IP Mapa de información tecnológica y de comunicaciones Industria de Aviación Peligros Cibernéticos en los Aviones Modernos BRING YOUR OWN DEVICE Dispositivos compartidos y siempre en uso (= siempre vulnerables) Uso personal (descargas, virus, hacking) Falta de seguridad/sofisticación IT Múltiples dispositivos y sistemas operativos, en continuo cambio BIG DATA BIG DATA Accesos a los datos Aspectos técnicos (seguridad de las aplicaciones de conversión de datos) Aspectos legales (jurisdicción, responsabilidad) empresa usuarios Infraestructura IT Dato s Desarrollo software & QA CLOUD Plataforma Aplicacion es Soluciones de transferenc ia de archivos proveedore s DISPOSITIVOS MOVILES/PAGOS MOVILES Riesgos para el usuario (lost phone = lost wallet) y comercios (brecha de datos) Red de acuerdos contractuales y responsabilidades (bancos, mediso de pago, desarrolladores de aplicaciones, proveedores de telefonía, etc.) SERVICIOS EN LA NUBE Control de seguridad/accesos y procesos en un tercero (Ddos, privacidad) Aspectos técnicos (carga datos, encriptado, segregación, prestación servicio) Aspectos legales (propiedad de los datos, jurisdicción, responsabilidades)

15 Risk. Reinsurance. Human Resources

16 Respuesta del Mercado Asegurador Alcance de la Cobertura Sección Gastos/Servicio de Incidentes Honorarios + Gastos Sección Responsabilidad Civil Gastos de Defensa+ Perjuicios + Sanciones Regulatorias Sección Daños Propios Siniestro Asegurado Manejo de Crisis Asesoría legal relacionado a infracciones Investigación Forense Notificación de infracción Call Center Monitoreo del Crédito, Monitoreo de la Identidad, Seguro Contra Robo de Identidad Pagos/Asistencia de Extorsión Cibernética Falla de Red de Seguridad Falla en Proteger/ Revelación de Información Errónea, incluyendo información de empleados Investigaciones regulatorias relacionadas con la privacidad o Seguridad Todo lo anterior cuando se compromete por un subcontratista Recolección de Información Errónea (algunas polizas) Infracción Contenido Multimedia/Contenido Difamatorio Interrupción de Actividades por falla de red. Interrupción de Actividades por falla de sistema Dependent Business Interruption (algunas polizas) Gastos Extraordinarios Daños a Activos Intangibles Daño Reputacional

17 Las Pólizas Estandar Probablemente No Funcionan Professional Indemnity *Dependera de los Terminos y condiciones de las polizas que tenga actualmente y de los hechos de los siniestros 17

18 Necesidad de una póliza a la medida No sirve la misma póliza para todos. Los textos estándares varían mucho y deben adaptarse a cada industria y empresa particular. Se deben tener en cuenta las consecuencias específicas para la empresa derivadas de: Una falla en los sistemas Revelar información indebidamente Gastos de defensa/ sanciones de reguladores Responsabilidad subsidiaria por errores de proveedores Gastos de notificación/ gestión de crisis Responsabilidad de contenidos/ media Entre otros.

19 El Mercado Capacidad La capacidad global de Cyber continuará fluctuando en los próximos meses: Aunque existen cerca de 67 Aseguradores que ofrecen capacidad de Cyber, y nuevos mercados cada año, algunos mercados han reducido su capacidad o la han retirado, mientras otros han entrado o incrementado su capacidad. Cobertura La cobertura continúa extendiéndose tanto en amplitud como límite disponible en mercados de cuentas medianas, pero no de cuentas grandes: Los Aseguradores continúan ofreciendo productos diferenciadores y componentes de cobertura mejorados (Servicios de Respuesta, Cobertura PCI). Las coberturas de mitigación continúan ampliándose para satisfacer las necesidades de los clientes, incluyendo límites más altos y disponibilidad de la cobertura a través de torres. Siniestralidad Se ha recolectado cada vez más y mejor información a partir de las infracciones reportadas: Continúan reportándose numerosas infracciones con reportes adicionales sobre los costos de dichas infracciones. Las pólizas están respondiendo, particularmente a la mitigación de la infracción, permitiendo un mejor seguimiento de los pagos de reclamaciones. Mayor enfoque en seguridad tecnológica en llamadas y sistemas relacionados con puntos de ventas.

20 El Mercado Retenciones Las retenciones se mantienen estables para cuentas medianas aunque se han presentado algunos incrementos materiales en algunas cuentas globales grandes. Existen retenciones de todo nivel en el mercado, pero varían dependiendo de la industria, los ingresos y la exposición de cada cliente. Ajustar las retenciones permite obtener coberturas más amplias y/o flexibilidad en sublímites. Precios Los precios tienden a incrementar: Los precios continúan incrementando debido a las significativas infracciones, particularmente en las industrias afectadas. Incrementos de 100% - 400% en cuentas con alta siniestralidad. Incrementos generales de entre el 10% y el 15%.

21 Gestión de una Falla de Seguridad/ Violacion de Datos Falla Mitigación Regulador Responsabilidad Online / offline Acciones accidentales de empleados Fallas causadas por proveedores externos Costo de notificación Forenses de Tecnología Relaciones Publicas Monitoreo de Crédito Investigaciones Sanciones civiles Multas de PCI empleados Fallas causadas por proveedores externos Brecha Mitigación Regulador Online / offline Acciones accidentales de empleados Fallas causadas por proveedores externos

22 Casos Jul Dic. 2006: Ocurre el incidente Ene. 12 de 2007: Se descubre el incidente Ene.17 de 2007: TJX reporta del incidente Ene. 29 de 2009: Se presenta la primera demanda $ 256,000,000 en costos a la fecha 94,000,000 de datos afectados

23 Casos Mayo 15 de 2008: Ocurre el incidente Enero 12 de 2009: Se descubre el incidente Enero 20 de 2009: Heartland reporta del incidente Enero 27 de 2009: Se presenta la primera demanda $ 143,000,000 en costos a la fecha, incluyendo acuerdos con clientes, Visa y American Express A 2012 los pagos por pérdidas habían superado los $84.4 millones. 130,000,000 de datos afectados Mayo 2015 Ocurre un hurto de equipos con información critica no encriptada se contrato monitoreo de identidad para otorgar protección para robo de identidad numero de clientes afectado inciertos

24 Casos Abril 14 a 19 de 2011: Ocurre el primer incidente Abril 26 de 2011: Sony reporta el incidente Abril 27 de 2011: Sony envía notificaciones Abril 27 de 2011: Se presenta la primera demanda $ 280,000,000 es el costo proyectado del caso a la fecha 77,000,000 de datos afectados

25 Casos El programa de viajero frecuente se vio comprometido. Los hackers utilizaron botnet para lanzar el ataque, usando listas para que coincidieran los nombres de usuario con contraseñas. Una vez coincidieron, los números de viajero frecuente robados fueron utilizados para comprar vuelos y redimir otros beneficios. Los hackers no tuvieron acceso a la base de datos de la línea aérea y ninguna información personal fue comprometida. En el caso de BA se reportaron millones de cuentas afectadas AA, United Airlines ofrecieron servicio de monitoreo de crédito a los clientes afectados. Incidentes aislados.

26 Casos A finales de 2013, unos cibercriminales lograron acceder a los sistemas informáticos de los grandes almacenes Target, robaron datos financieros y personales de 110 millones de clientes y desviaron esta información a un servidor de Europa del Este para venderla en el mercado negro de tarjetas. Adicionalmente le genero movimiento negativos en sus acciones cotizadas en la bolsa de Nueva York. En su 8-K Form en Febrero del 2015, anuncio que la perdida ya supera los $ 252M y siguió sumando. Target contaba con una póliza de riesgo cibernético que ha respondido de la siguiente forma: 90 M$ indemnizados ( $100 M de límite con $ 10 M de retención). De los cuales más de $ 60 M corresponden a gastos de notificación y respuesta. El resto de indemnización ha cubierto principalmente gastos forenses. Agotado el límite de la póliza, otros gastos incurridos han quedado por tanto sin cobertura. Las consecuencias de la brecha aún no han finalizado, pues hay reclamaciones de afectados en curso (gastos legales y ciertas reclamaciones también tendrían encaje en la póliza de no haberse agotado el límite). El 18 de Agosto 2015 Target llego a un acuerdo legal con VISA por un monto de $ 67M. Mastercard rechazo el acuerdo ofrecido a principios del 2015.

27 Casos Ashley Madison En Julio de 2015 fue víctima de hackers en el cual se robaron los datos de usuarios de esta web de citas extraconyugales entre los que se encontrabas oficiales del gobierno de Estados Unidos, Reno Unido, etc Esta semana se han reportado 2 suicidios Los clientes han sido víctimas de Extorsiones La casa matriz está ofreciendo $380k dólares canadiense como recompensa para capturar a los responsables La casa matriz tendrá que suspender indefinidamente su apertura de bolsa Ya se entablo una demanda colectiva con pretensiones de $760M por daños a los clientes canadienses afectados por uso ilegitimo de la información. Se desconoce si tienen una póliza de seguros de riesgos cibernéticos Se desconocen los montos para la gestión de la crisis Sanciones de reguladores por determinar Gastos de defensa por determinar

28 Risk. Reinsurance. Human Resources

29 Cyber Aon Approach: Cyber Diagnostic Tool Cyber Diagnostic Tool: Aon ha desarrollado una herramienta de diagnóstico para sus clientes para ayudar a cuantificar y comparar sus medidas de Seguridad en su network y sus políticas de Privacidad de Datos. Mediante esta herramienta, y después de completar un básico formulario en no mas de 15 minutos, se da un primer análisis o diagnóstico sobre sus medidas de seguridad en sus sistemas y políticas de tratamiento de datos. Con esto, se puede identificar los potenciales Cyber riesgos y otros aspectos de interés. Lo invitamos a realizarlo online: Ignoramos los Riesgos que son difíciles de cuantificar, incluso cuando estos pueden ser las mayores amenazas para nuestro Bienestar Nate Silver The Signal And The Noise: Why So Many Predictions Fail But Some Don t 2015 Proprietary & Confidential

30 Risk. Reinsurance. Human Resources

31 Cyber Seguridad: Avanzando al Próximo Nivel Transformando las Defensas José Lagos Partner Cyber Risk Services Deloitte Agosto 25, 2015

32 Contenido Definiendo el Panorama Global. Entendiendo la Evolución. 3 Definiendo la Necesidad. Cambiando el Pensamiento. 8 Transformando las Defensas. Secure, Vigilant, Resilient For more information, contact Deloitte Touche Tohmatsu Limited. 2

33 Definiendo el Panorama Global Entendiendo la Evolución For more information, contact Deloitte Touche Tohmatsu Limited. 3

34 Definiendo el Panorama El Cyber Crimen ha ido evoluciando en volumen, sofisticación e impacto El costo del Cyber Crimen en la economía global es cerca de $445 billones cada año, impactando los negocios con pérdidas superiores a $160 billones por robo de propiedad intelectual debido a ataques. El Cyber Crimen es un impuesto a la innovación y desacelera el ritmo de crecimiento global mediante la reducción del ROI a los innovadores e inversionistas - Jim Lewis, Director and Senior Fellow, Centre for Strategic and International Studies For more information, contact Deloitte Touche Tohmatsu Limited. 4

35 Patrones de Incidentes de los incidentes puede ser descrito solo por 9 patrones básicos Robo de información de tarjetas Cyber-espionaje Pérdida/Robos físicos Intrusiones en POS Errores comunes Ataque a Aplicaciones Web Uso indebido de información privilegiada Crimeware Ataques de denegación de Servicios De los incidentes en una industria pueden ser descrito solo por 3 de los 9 patrones * Verizon For more information, contact Deloitte Touche Tohmatsu Limited. 5

36 Definiendo el Panorama La velocidad de los ataques se está acelerando, mientras los tiempos de respuesta se extienden Malware en la industria del retail que afectó a las tarjetas, impactando al 30% de las tiendas (1M de transacciones de débito y crédito por día) : Detección en el Día 0 Mínimo impacto, remediación efectiva. Impacto alrededor de $10m Detección en el Día 2 600m Tarjetas comprometidas, Costo de la remediación $2 $5M Detección en el Día 30 Podría afectar la continuidad del negocio, infección no contenida y costos de remediación superiores a $23M For more information, contact Deloitte Touche Tohmatsu Limited. 6

37 Definiendo el Panorama Cambio global en vectores de ataque, patrones y capacidades 1. Vectores de ataque cambiando desde la tecnologia a las personas 2. Patrones de ataque cada vez más similares a comportamientos normales. Estas amenazas se están incrementando. Algunas de estas amenazas son adaptables y tienen la capacidad de entrar en modo inactivo, lo cual es difícil de detectar. 3. Criminales, actores gubernamentales e incluso Hactivistas están construyendo mejor inteligencia, capacidades y poseen una amplia red de recursos, incluso superiores a las organizaciones (i.e. ampliando el gap de capacidades) 4. Cadena de logística y partner de negocios son una puerta lateral en constante crecimiento 5. APT - Advanced Persistent Threat Desafían enfoques tradicionales For more information, contact Deloitte Touche Tohmatsu Limited. 7

38 Definiendo la Necesidad Cambiando el Pensamiento For more information, contact Deloitte Touche Tohmatsu Limited. 8

39 Definiendo la Necesidad Cambiando el pensamiento convencional de seguridad 1. Dificultad para demostrar alineamiento con el Negocio 2. Pérdida de una clara visión en comunicar el valor 3. Consenso limitado a través de un Objetivo/Marco común 4. Demasiado pensamiento en procesos, capacidades, etc. Programas de Cyber demasiado robustos y demasiada tecnología 5. Marcos tradicionales focalizados en métodos reactivos For more information, contact Deloitte Touche Tohmatsu Limited. 9

40 Cambios en el panorama de las amenazas versus capacidad A - SIEM (Análisis en tiempo real) B Análisis de Comportamiento y Aprendizaje (Análisis mediano plazo) C Cyber analytics (Análisis largo Plazo) Signature based (e.j. correlación) Análisis de Comportamiento y Modelo de Aprendizaje Análisis de Riesgo Guerra Convencional Convencional (Guerra Convencional, vectores simétricos) Guerilla (Oculto entre las personas) Espionaje (Buscar, analizar e infiltrar) Cyber Guerra Amenzas de Infraestructura (Denegación de Servicios, General Botnet) Ataques Objetivos (Oculto en el tráfico de negocios) Cyber-espionaje (Buscar, analizar e infiltrar) System 1 learning System 2 learning For more information, contact Deloitte Touche Tohmatsu Limited. Efectivo Marginalmente Efectivo Inefectivo 10

41 Transformando las defensas Ser Seguros, Vigilantes y Resilentes For more information, contact Deloitte Touche Tohmatsu Limited. 11

42 Transformando las Defensas Ser Seguros, Vigilantes y Resilentes Seguros Existen los controles en su empresa para detectar las amenazas conocidas y las emergentes? Vigilantes Podemos nosotros detectar código malicioso o actividades no autorizadas, incluyendo lo desconocido? Resilentes Podemos nosotros actuar y recuperarnos rápidamente para minimizar el impacto? Cyber Governance Cyber Inteligencia de Amenazas Cyber Mitigación de Amenazas Cyber Respuesta de Incidentes For more information, contact Deloitte Touche Tohmatsu Limited. 12

43 Transformando las Defensas Cyber no es solo un asunto de TI La efectividad de la Cyber Seguridad se inicia con la sensibilización del Directorio y nivel C-suite el reconocimiento que en algún punto en el tiempo su organización será atacada Directores y nivel C-suite están tomando un rol más activo en proteger sus organizaciones, pero intentando en como hacer el rol más efectivo (Cuáles son sus responsabilidades, cuáles competencias debieran estar desarrollando, Cuáles son las preguntas correctas que deben realizar, etc.) For more information, contact Deloitte Touche Tohmatsu Limited. 13

44 Transformando las defensas Cyber Governance se inicia en el Directorio Su Directorio y nivel C-Suite se debiera preguntar: 1. Estamos nosotros focalizados en las cosas correctas? 2. Tenemos nosotros el talento correcto? 3. Somos nosotros proactivos o reactivos? 4. Estamos nosotros incentivando apertura y colaboración? 5. Estamos nosotros adaptándonos a los cambios? For more information, contact Deloitte Touche Tohmatsu Limited. 14

45 Transformando las Defensas Evaluar la efectividad de su programa de Cyber Risk El Directorio, o comité ejecutivo, se compromete en forma regular a revisar y discutir la implementación del marco de cyber seguridad, incluyendo la adecuación de los controles mitigantes existentes? Evaluaciones básicas de cyber security se llevan a cabo sobre una base periódica? Auditoría Interna evalúa la eficacia de la gestión de los Cyber Riesgos a lo menos una vez al año? Evaluaciones de Cyber Seguridad y evaluaciones de auditoria interna son esporádicas o no existentes? For more information, contact Deloitte Touche Tohmatsu Limited. 15

46 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see for a more detailed description of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings world-class capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte s more than 210,000 professionals are committed to becoming the standard of excellence. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte network ) is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication For more information, contact Deloitte Touche Tohmatsu Limited.

47 Risk. Reinsurance. Human Resources