Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Impacto de los riesgos cibernéticos en los negocios 19 abril 2016.

Anuncio 
Ciudad de México, 19 de abril de 2016.
Versión estenográfica de la Sesión Especializada “Impacto de los
riesgos cibernéticos en los negocios”, ofrecida por Chris Newton,
durante el Primer Día de Trabajos de la 26 Convención de
Aseguradores de la Asociación Mexicana de Instituciones de
Seguros, llevada a cabo en la Sala Diezmo 1, del Centro Banamex
de esta ciudad.
Presentador: Buenas tardes. (Falla de audio)
Chris Newton: ... sindicatos y particularmente nos enfocaremos en
las tecnologías de medios y ciber.
Digamos que ciber viene de un término que tiene que ver con la
seguridad de las redes y la interrupción y sus consecuencias.
NGA ha jugado un rol muy importante para Roloids en el Reino Unido,
tiene un ingreso de 30 por ciento generado por las ONG´s.
Quiero recordarles sobre lo que estamos hablando, cuando hablamos
a cerca de este término, todo mundo conoce lo que quiere decir los
software malicioso, el hackeo en una organización o externo.
Se utiliza técnicas de ingeniería social y cada vez más que engañan
a la persona para que revelen información a cerca de ciertas cosas de
sus empresas para obtener ventajas. Pero esto tiene que ver con los
datos, hay muchísima actividad desafortunadamente en donde las
compañías son afectadas no por datos, sino para tirar sus negocios y
reducir la velocidad de los negocios y sus procesos de negocios.
Y creo que es un fenómeno nuevo y todo mundo está familiarizado
con los problemas e interrupción de los negocios digitales y por qué
estamos enfrentando este riesgo.
Lo que necesitamos hacer es enfocarnos en el hecho de que
dependemos muchísimo de la tecnología.
Creo que es el sector único en término de ingresos globales y de
desarrollo y hardware, software, son un conductor de los negocios, y
es una industria de la cual nos aventajamos, pero dependemos en la
tecnología, pero también ha aumentado las tecnologías operativas
para poder, para manejar nuestros negocios.
Todos queremos ser más eficientes y la industria de seguros necesita
aprender mucho acerca de la manera en que hacen los negocios y el
papel que tenemos que jugar en este sector.
También nos hace mucho más vulnerable en caso de una falla de esa
tecnología porque depende de muchas tecnologías de terceros y
outsourcing.
Siempre es un reto cuando se trata con proveedores de servicios, de
modo qué es lo que pueden ganar con servicios, a lo mejor de un mes
adicional y hay algunos problemas que tienen que enfrentar en caso
de una interrupción en su negocio.
El internet de las cosas se usa ampliamente y la red, es una red de
artículos con una tecnología que necesita de diferente tipo de datos
que circule y los transmita.
Han revolucionario la manera en que manejamos los datos y cómo los
captamos y cómo los usamos.
Claro, muchos negocios han mejorado sus operaciones dependiendo
de la tecnología integrada y ha generado muchísimas demandas y
exigencias de inventarios y manufactura.
La tecnología justo a tiempo de manufacturas se desarrolló en el
mercado de automóviles japonés en donde el tiempo era crucial y se
dependía de la cadena de abasto para obtener las partes que se
necesitan y se podía monitorear el negocio por si había alguna
escasez.
Y también quiero hablar acerca de la manera de monitorear los
síntomas y cómo tratar a la gente y a las operaciones.
Infortunadamente hay un lado negativo de todo eso, mientras que del
internet, las cosas, si queremos utilizar ese término, dependíamos de
tecnología aislada que pudiera accesarse discretamente pero,
desafortunadamente, la conectividad ha hecho que muchas empresas
enfrente problemas en cuanto a los beneficios que tengan acceso de
hackeo o de cierto tipo de datos y hay un mercado enorme para eso.
Cuando pensamos acerca de los problemas que enfrentan las
compañías y si nos referimos a los datos, ¿qué quiere decir en
términos reales? ¿Qué hace la gente con los datos cuando lo obtiene
y cuánto vale?
Se hizo un estudio reciente de Yale, donde monitorearon los
elementos, el web oscuro, que es parte de la red en donde no es
accesabilidad por los navegadores, hay muchas actividades dentro de
ella muy críticas.
Llegaron con muchas estadísticas, depende de los puntos de vista,
pero demuestra que tan barato es comprar las herramientas para crear
problemas en los negocios.
Así que quizás quisieran obtener detalles de las tarjetas de crédito o
dispositivos de cajeros automáticos o quizás alguna cuenta y sacar
500 dólares, y hay muchísimas herramientas muy baratas.
También hay datos que se pueden falsificar y se utilizan, no solamente
desaparecen, los europeos creo que pagan muchísimo dinero por
esto, pero lo que también es fascinante es que es un mercado y hay
valores asociados con estos datos y esos valores pueden aumentar y
bajar también, y algo que sí Salió de esto fue el hecho de que el
malware es absolutamente barato y es muy fácil para que la gente que
utiliza el malware para atacar a las compañías y buscar datos,
desafortunadamente solamente necesita ser, estar vigilando la red
todo el tiempo.
Cuando entramos a estos ambientes es una comunidad de negocios
es efectivamente donde se compran servicios y ellos saben cómo
jaquearlos y atacar los servicios.
Vi un sitio en internet en donde el vendedor estaba ofreciendo una
garantía si no funcionaba el malware como la persona quisiera. Y lo
peor es que el efecto en la infraestructura y lo que nosotros
dependemos para poder fusionar como sociedad y creo que es mejor
decir que grandes industrias están despertando al hecho de que ahora
enfrentan los mismos riesgos que las empresas corporativas han
enfrentado durante mucho tiempo, dependemos cada vez más de las
sociedad móvil y hacemos todo o cuanto podemos desde nuestros
teléfonos, el uso de medios sociales ha crecido enormemente y eso
nos expone a un riego mayor y hay gente que quiere vivir en una
sociedad pequeña de móvil de información.
Se ha probado estadísticamente que tenemos que vigilar lo que hace
nuestros empleados, afortunadamente el riesgo que enfrentamos son
los empleados y sus actividades.
Hay muchas instituciones financieras que se preocupaban por la
pérdida de fondos o dinero, pero ahora las tecnologías que tienen
hacen cosas más significativas y también pueden hacer daño
importante, porque aplicamos tecnología para mejorar lo que entra al
internet y para mejorar nuestras vidas, los controles industriales, los
sistemas de configuración remota requieren de datos y adquisición de
datos, ese grado de conectividad es muy útil y es esencial para las
compañías que generan electricidad y las compañías manufactureras
como la automotriz.
Pero claro, esto también plantea algunas cuestiones, había una
compañía fundidora que tenía entre sus principios de la compañía de
tener las operaciones en cuanto a detectar el malware, hubieron
muchos que sufrieron por un jaqueo el año pasado, una de las cosas
que hace (…) de Londres es ofrecer acceso a escenarios y
recientemente emprendió un ejercicio para espejear el hackeo
ucraniano en un contexto norteamericano y ver cuál es el efecto
reverberador en todas estas empresas, y hoy en día los montos eran
enormes para la economía, y obtuvieron una cifra cercana a dos
billones de dólares, y es un problema que todavía están, apenas se
arreglaron en enero, cuando también la autoridad electoral también fue
sujeto a un saqueo.
Así que hay muchos criminales y otros que están perseguidos por
muchos estados que obtienen a través de sistemas operativos que
hackean.
Hay un enfoque constante en los datos, porque eso es lo que tiende a
pegar, llegar a los encabezados de los periódicos. Pero las empresas
están conscientes de que tienen muchísimos datos para manejar sus
negocios, y pueden ser afectados por alguna interrupción, y en
términos financieros el impacto de su reputación en el mercado implica
una ventaja competitiva para otros mercados.
Así que tienen la capacidad técnica de la infraestructura para realizar
los ataques. Si hay un mercado, como ha quedado demostrado que
tiene un valor asociado. Y hay muchísimos datos que están allá
afuera, que podemos accesar, y hay una empresa llamada
Hackpegen, que es una de las compañías que ofrecen seguridad de
información y sus estadísticas.
Y claramente ustedes pueden ver que hay un crecimiento enorme en
los delitos cibernéticos. Hace cinco o diez años los activistas, había
gente que tenía acceso y podían utilizar, pero no lo usaban para una
ventaja financiera y eso ha cambiado.
Y también los factores mayores son las industrias, esta es una foto de
febrero de este año que está seguido por el gobierno, aplicación a la
ley, etcétera. Ustedes pueden ver que hay muchísimas información al
respecto.
Esto demuestra que ninguna entidad, ningún negocio o actividad
queda inmune de esa amenaza, y también hay unos incumplimientos
importantes. Desafortunadamente sí creo que se publicó mucho un
evento, un ataque que Panamá y su bufete de abogados sufrió
recientemente. Lo irónico es que para una compañía que está
dedicada en actividades con una base de clientes tan importantes, que
esté involucrada en muchísimo dinero en términos de fondos que sean
transferidos y su actividad de todos se desmoronó porque no habían
parchado su sistema.
Y esto muestra que muchas compañías no se dan cuenta de que
ahora han sido objetivos, que antes no lo hubieran sido, así que hay
negocios que han sido usados para accesar otras fuentes de datos, y
ha habido una irrupción importante a partir de todos estos eventos.
Los problemas no solamente se restringen a los negocios Nares on
line y los servicios de citas con el establecimiento de perfiles también
sufrió una intrusión importante en cuanto a la información que fue
robada a cerca de los hábitos y las preferencias de la gente. También
pudieron identificarse lo que ofreció la compañía una facilidad para
poder eliminar todos los datos y hay muchísimas información que se
ha dado a conocer al respecto en donde la gente está preocupada,
que su información está allá afuera por algunos motivos.
Y el resultado de este incumplimiento, las vidas de algunas personas
han sido afectadas dramáticamente y ha habido suicidios como
resultado de ello y también hay un elemento objetivo financiero en
esto. Y creo que todo mundo conoce los problemas que Anton tuvo.
Y una vez más vale la pena mencionar que esto fue el ejemplo
verdadero de una pérdida sistemática disparada por un hackeo o por
una interrupción de seguridad.
Esto ha habido muchas compañías que han acudido a nuestro negocio
y cuando vienen con nosotros les requerimos que tengan seguridad
implementada y que tengan los controles apropiados.
Hay muchísimos registros, alrededor de ocho millones. Cuando vemos
la diapositiva anterior a cerca del valor de estos datos para esta gente
y lo que pueden hacer con esto, podemos ver que hay muchísimos
datos ahí afuera. Y claro, no hay garantía de que los datos se van a
recuperar una vez que ya estén en internet.
Creo que se queda ahí para siempre.
Hay muchísima información valiosa para ser usado para propósitos
injustos.
Ahora compraron cobertura y es un mercado único para esto y que
son las pólizas de responsabilidad cibernética que responden a este
tipo de incumplimiento.
Voy a hablar a cerca de eso en un minuto. Pero claramente este
monto no era suficiente y no suficiente para enfrentar todos estos
problemas, este incumplimiento. Hubo una catástrofe que había que
cubrir.
Hubo algo que sucedió que es antiguo, pero creo que fue el primer
ejemplo de un verdadero daño físico impulsado por el malware como
resultado de la infección y esto tuvo que ver con el implante de uranio
y creo que esto se trató de una infección por malware que afectó los
sistemas. Afectó y destruyó el centrífugo que controla las operaciones
y que condujo a muchos efectos negativos.
Hay muchísimas cosas que cuando el genio sale de la botella es difícil
enfrentar las variaciones y la destrucción que emana de todo esto.
¿Así que qué están haciendo las empresas al respecto?
Así que, ¿qué están haciendo las empresas al respecto? Sí, claro. Hay
seguros cibernéticos y digamos que es un término correcto y debemos
de definirlo.
Y, ¿qué queremos definir? Lo que quiere ser cibernético. Distorsión,
las consecuencias de un hackeo, las consecuencias del malware, la
desaceleración del negocio, la extorsión y todo crea impacto en el
negocio y todo tiene un costo anexo.
Los negocios no tienen presupuesto para esto y no tienen planeado
este presupuesto.
Hay una cobertura que intenta llenar estos huecos, pero no es
perfecto, no es ideal, se traslapa con otras coberturas y puede haber
confusión en cuanto a las políticas de daño a la propiedad y qué es lo
que va a cubrir la cobertura cibernética u otro.
Esta diapositiva casi no se puede leer, pero es la anatomía de la
responsabilidad cibernética y la primera parte y los terceros y sus
responsabilidades, pero todo se reduce a la gestión de crisis.
Y una de las cosas buenas acerca de las pólizas que ofrecen recurso
en cuanto al asegurado, las ayuda a manejar estos asuntos y también
les ofrece un apoyo después de este incumplimiento y su impacto.
Es bueno pensar que esta es la cura y es la Panacea para todo lo que
pasa en el mundo y no lo es. Y como industria tenemos que saber que
esta cobertura es única, está creciendo, está emergiendo, pero
necesita hacer mucho más como practicantes de la industria en
términos de los riesgos y la evaluación de riesgos.
Sabemos que los aseguradores están atados a la erosión del riesgo.
Necesitamos identificar, mitigar y después entrar la etapa de la
transferencia.
Así que hay una gran oportunidad para nosotros como practicantes de
la industria para poder ayudar a nuestros clientes, pero tenemos que
pensar en esto diferentemente.
No solamente tiene que ver datos, aunque los incluye, pero también
hay que ver el impacto y las pérdidas no aseguradas y lo que
podemos hacer como industria para ayudar a nuestros clientes.
Algunos son más sofisticados que otros, pero se necesita tener
asistencia y soporte importante en términos de esta evaluación, el
proceso de evaluación de la gestión del riesgo y estamos muy
complacidos de ser parte de este proceso.
Esto fue muy rápido y creo que quería ganar tiempo con esto. Quisiera
saber si tienen alguna pregunta al respecto hasta ahora.
Pregunta: (Inaudible)
Chris Newton: Es muy buena pregunta. El problema es que como
industria tendemos a desarrollar productos fuera de lo que necesitan
los clientes.
Sí hay pólizas, sí van a tener todos estos elementos de las coberturas,
sí van a ser hechos para las jurisdicciones específicas en donde se
compran.
Así que se ha hecho mucho trabajo en Estados Unidos, personalizarlo
específicamente para atender cuestiones regulatorias y hay otras
pólizas que son más específicas para cada país.
Bueno, Sudamérica, lo interesante acerca de Latinoamérica es el
interés y el deseo y las necesidades, aquí los datos son importantes,
pero hemos visto mayor interés en la interrupción de negocio, físico o
no físico, porque sí hay pólizas que van a responder a los riesgos
latinoamericanos, pero lo importante es parte del proceso y es el
diseño de la póliza y debe ser parte de esa travesía de gestión de
riesgo, hay que saber cuáles son los activos que el comprador tiene y
asegurarnos de que la póliza responde en lugar de la propuesta de
cinco preguntas.
Aquí tenemos una póliza con una bola de exclusiones, como industria
debemos dedicar más tiempo con nuestros clientes para asegurarnos
de que entendemos completamente sus problemas y hay que
asegurarnos de que ellos entiendan el valor de los activos que tienen y
que necesitan proteger y cómo los van a proteger.
Estamos dedicando más tiempos en la seguridad, los consultores, la
seguridad en cuanto a las preguntas que hacen, pero dijo que todavía
hemos llegado a ese punto todavía.
Fuera de Estados Unidos…
(No lo oigo, lo siento)
Es interesante porque esos países que tienen muy buenos, unas
estructuras de internet para tantos o buenas velocidades de internet lo
utilizan las industrias y los negocios, Europa del Este más que de
Europa del Oeste, y la gente estaba preguntándose, bueno, entienden
los problemas de Estados Unidos, también tiene que ver con las
regulaciones, hay países como Austria no salen y parte de (…) están
despertando.
El Medio Oriente otras cosas por las actividades de infraestructura que
se llevan a cabo allá, Japón, China, el mercado de Estados Unidos es
masivo dado el régimen masivo que tienen ahí regulatorio y la
cantidad de dinero que tiene invertido en cuanto a las demandas de
acción de grupo, también hay bases industriales y manufacturas que
también están preocupados con las interrupciones, todavía no se ha
cubierto del todo hasta ahora.
Crhis Newton: A nivel básico necesitamos entender las actividades
del negocio. Igualmente es importante la naturaleza de datos que
tienen y cómo los usan, cómo los recolectan y cómo los almacenan y
cómo los aseguran y cómo los comparten.
Desde el punto de vista el proceso de negocios lo que hacen cómo
pueden ser afectados por la pérdida de datos por un ataque potencial.
Y esto es a nivel básico.
Y luego también pueden ir más profundamente, podemos dar
indicaciones de precios con base en poca información, pero también
tenemos que entender profundamente sobre sus problemas.
Y claro, la jurisdicción tiene que ver, porque un asegurado en
Latinoamérica debe de sufrir las mismas restricciones de precio que
un comprador de Norteamérica, donde no tienen los mismos
problemas reculatorios. Pero esta es la información básica que
estamos buscando generalmente.
Moderador: Muchísimas gracias, Chris. Muchas gracias por su
presentación. Muchas gracias por venir desde Londres.
---oo0oo---
Documentos relacionados
uvi1120a
uvi1120a
Obstáculos propuestas
Obstáculos propuestas
6.
6.
Descargar
Anuncio
Anuncio