www.pwc.com
Innovación y Tecnología en los Seguros, para la gestión del riesgo
Protección al usuario de seguros
La convergencia tecnológica ha aumentado las oportunidades de las empresas, pero también ha aumentado los riesgos
1980s •
OT y CT se enfrentan a poco o ningún riesgo cibernético, ya que no se encuentran conectadas a una red.
INFORMATION TECHNOLOGY (IT)
PwC
1990s •
2000s
OT se vuelve vulnerable debido a la conexión; sin embargo, se encuentra parcialmente protegida gracias a la obscuridad de las soluciones propietarias.
OPERATIONAL TECHNOLOGY (OT)
•
CONSUMER TECHNOLOGY (CT)
2010+
OT ya no es protegida por la obscuridad y el CT es ahora vulnerable. La seguridad en TI tradicional no la cubre más.
INTERNET
•
IT, OT y CT son todas ahora vulnerables a ataques cibernéticos. Las empresas deben adaptar su modelo de seguridad e incluir dentro de su alcance a toda la gama de tecnologías.
PROPRIETARY CONNECTION
IT PROTOCOL BASED CONNECTION
Partiendo de las megatendencias
Desde el comienzo de… “Internet of things”
‘SMAC’
Población mundial
6.3 billones
6.8 billones
7.2 billones
7.6 billones
Dispositivos conectados
500 millones
12.5 billones
25 billones
50 billones
Cloud
Mas dispositivos conectados que gente
Dispositivos conectados por persona
PwC
Social Media Mobile Analytics
0.08
1.84
3.47
6.58
2003
2010
2015
2020
En la actualidad operamos en un ecosistema global de negocios
Medio ambiente
Economía
Proveedores
Empresa
Tecnológico PwC
Los Cyber ataques son titulares de noticias todos los días
PwC
Un vistazo a la seguridad: ¿Como están respondiendo las empresas a los crecientes riesgos cibernéticos? Perspectivas de la “Encuesta sobre la Situación Global de la Seguridad de la Información 2016” (Global State of Information Security Survey)
PwC
¿Dónde se encuentra la información? Activo vital para instituciones de seguros
Riesgos para la organización
Domicilios Nombre y edades Bienes Percepciones económicas
Procesos Procesos
• Manuales • Registros • Pólizas • Facturas • Propuestas
Datos de salud
Expedientes digitalizados
Datos de tarjetas
Personajes de alto impacto
PwC
• • • • • •
Multas por incumplimiento
Costos de atención
Pérdidas por indisponibilidad de servicios
Gente Gente
Daños a la reputación
Papel Conversaciones Ajustadores Call center Agentes de seguros Archiveros
Tecnología Tecnología • • • • • •
Internet Móviles Computadoras Servidores Equipo de comunicaciones BYOD
Proteger la información para evitar pérdidas no esperadas Robo de información (y pérdidas) sin identificarlo por una inadecuada gestión.
Pérdida de competitividad
Gestión de riesgos, protección al consumidor y cumplimiento Establecer una adecuada gestión de seguridad de la información mediante la identificación, evaluación y tratamiento de los riesgos de la organización, que les permita la protección al consumidor y cumplir los requisitos normativos vigentes a los que están sujetos Establezca su perfil de riesgo y su política
Defina, implemente y pruebe sus controles de seguridad para administrar el riesgo y proteger el negocio
1. Estrategia y politica 2. Proteger
Recuperación, concienciación y aprendizaje ante Cyber incidentes
Monitoree y mejore sus controles de Cyber security
5. Remediar
3. Operar
4. Responder
Respuesta efectiva ante Cyber incidentes PwC
¿Qué pasó con las empresas que no tuvieron un adecuado modelo de Cyber Security? Tienda departamental Liverpool sufre ataque cibernético Univision.com publicado: dic 26, 2014 2:24 PM
Thu Dec 19, 2013 6:38pm EST Target cyber breach hits 40 million payment cards at holiday peak Reuters.com
Consecuencias • Estimado > 100 mdp en pérdidas por resarcir daño y multas •
• Costó 148 millones USD a Target y 200 millones a instituciones financieras
• Pérdida de utilidad y del valor de la acción •
The Wall Street Journal
Home Depot Confirms Data Breach Sept. 8, 2014 7:21 p.m. ET
PwC
Daño no cuantificable a su reputación
Renuncia del CEO y el CIO
• Costo estimado > 60 millones USD a Home Depot y 90 millones USD a bancos •
Afectación a clientes en > 2000 tiendas
9
¿Qué hacer para implementar un modelo de Cyber Security?
Situación actual
Monitoreo y mejora continua
Evaluaciones de seguridad
Definición de estrategia Arquitectura de seguridad
Gap analisys
Cumplimiento y certificación
Administración de identidades
Métricas de seguridad
Privacy
Continuidad del negocio
Marco de referencia y gobierno
Aspectos a tomar en cuenta: •
La implementación puede tomar + 6 meses
•
Representa cambios importantes en Procesos y Sistemas
• Se requiere de una inversión importante en tecnologías de seguridad PwC
Beneficios
Evitar pérdidas no esperadas Uso efectivo de recursos Cumplimiento legal y regulatorio Protección al consumidor PwC
Confianza del mercado y continuidad del negocio
Oportunidades de negocio (ej. seguros para cyber ataques)
En resumen … Aumentan los riesgos en la seguridad de información
Contar con sistemas de seguridad de la información que vayan de acuerdo con los cambios en el mundo de los negocios.
Hay que Identificar cuales son nuestras “joyas de la corona”
Hay que identificar el tipo de información que tenemos y no tratar de proteger “todo” de la misma forma.
Conocer sus amenazas, motivos y medios
Los hacktivistas están identificando rápidamente las debilidades de cyber security que tienen las empresas. Hay que contar con un modelo integral y eficaz de cyber security.
Cyber security es un modelo de negocio y no sólo un problema del área de tecnología
Creación de una estrategia de seguridad empresarial y un programa de sensibilización que cuente con el compromiso de los niveles ejecutivos más altos de la organización, con el fin de destinar los recursos e inversiones adecuadas.
Protección del Consumidor PwC
Sesión especializada PwC Nombre: Fernando Román, Socio Posición: Socio Líder de Tecnología en la información en Risk Assurance Detalles del contacto: Teléfono: 52 5552-635898 Email:
[email protected]
Perfil : Fernando Román es Licenciado en computación administrativa certificado en CEGTI CRISC Administrativa con más de 20 años de experiencia profesional en el ramo de Seguridad y Tecnologías de la información. Actualmente es Socio Líder de Tecnología de la Información en Risk Assurance línea de servicio en PwC, Durante los últimos 7 años, ha desarrollado el portafolio de servicios de seguridad informática y tecnología de PwC México, servicios a través de los cuales ha apoyado a numerosos clientes a fortalecer la gestión de riesgos y a dar cumplimiento a las diferentes regulaciones a las que están sujetos. Fernando ha colaborado y administrado numerosos proyectos en diferentes sectores de la industria como: Sector Financiero, Sector Público, Consumo, Sector Minero, principalmente. Experiencia Su experiencia comprende los siguientes temas: • Seguridad, Controles y Administración de Identidades. Desde la concepción de arquitecturas de seguridad, diseño de controles e implementación de diversas soluciones para el control de accesos, y administración de identidades así como proyectos de Seguridad informática para la administración de riesgos, análisis de vulnerabilidades e implementación de estándares como ISO27001. • Auditoría de Sistemas de Información. Dirección y supervisión de numerosas auditorías a las áreas de sistemas de aproximadamente 40 empresas enfocadas a los Controles Generales de cómputo así como revisiones independientes sobre la base SAS-70, ISAE 3402, SSAE 16 (SOC1, SOC2 y SOC3) además de participar en proyectos de Readiness y Attestation para Sarbanes Oxley en algunos de sus clientes. • Business Process Management. Área en la cual Fernando se ha especializado y ha participado en proyectos de Modelado y automatización de procesos a través de herramientas especializadas. • Business Process Outsourcing. Fernando se ha especializado en la generación de servicios que agreguen valor al cliente en diferentes áreas como Nómina, Contabilidad, Servicios Administrados de Seguridad etc. • GRC. Responsable del desarrollo de la práctica de Governance, Risk and Compliance en PwC México para Risk Assurance.
PwC
Fernando es el responsable coordinador del Grupo de Innovación de Tecnologías de la Información en Risk Assurance para PwC México, grupo en el cual se desarrolla y mantiene alineado a las mejores prácticas Globales y al Grupo de Innovación de PwC Global.
Gracias
Esta publicación se elaboró exclusivamente con el propósito de ofrecer orientación general sobre algunos temas de interés, por lo que no debe considerarse una asesoría profesional. No es recomendable actuar con base en la información aquí contenida sin obtener la debida asesoría profesional. No garantizamos, expresa o implícitamente, la precisión o integridad de la información de la presente publicación, y dentro de los límites permitidos por la ley, PricewaterhouseCoopers, S.C., sus miembros, empleados y agentes no aceptan ni asumen ninguna responsabilidad, deber u obligación derivada de las acciones, decisiones u omisiones que usted u otras personas tomen con base en la información contenida en esta publicación.
© 2016 PricewaterhouseCoopers. Todos los derechos reservados. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto.
Elaborado por MPC: 20160329-gm-pres-amis