1

Riesgo Cibernético

Mas allá de la Pérdida de

Datos

Que es?Vulneración de activos de información, a través deltratamiento de amenazas que ponen en riesgo lainformación que es procesada, almacenada ytransportada por los sistemas de información que seencuentran interconectados

DATOS APLICACIONES ACTIVOS DE TECNOLOGÍAS DE

INFORMACIÓN

SERVICIOS

2

2

3

Tendencias del CIBERCRIMEN

Estafa porsuplantación de sim card.

Vishing

Fraude por falsoWhatsApp.

Obstaculización del Sistema

BEC (Suplantación de correo corporativo)

01

02

03

04

05PHARMING

PHISHING

SKIMMING

RANSOMWARE

SMISHING

SPYWARE

SPAM

CARTA

NIGERIANA

.

MALWARE

4

DISTRIBUCIÓN DE ATAQUES CIBERNÉTICOS POR SECTOR EN COLOMBIA 2017

40%40%40%40% 26%26%26%26% 16%16%16%16% 4%4%4%4% 10%10%10%10% 7%7%7%7%

SECTOR FINANCIERO

214.600 ataques por día.

TELECOMUNICACIONES

138.329 ataques por día

SECTOR GOBIERNO

83.756 ataques por día

SECTOR ENERGÉTICO

19.583 ataques por día

INDUSTRIA Y TRANSPORTE

51.263 ataques por día

RETAIL

34.934 ataques por día Fuente: Fuente: Fuente: Fuente: cibercrimencibercrimencibercrimencibercrimen en Colombia 2016en Colombia 2016en Colombia 2016en Colombia 2016---- 2017 / 2017 / 2017 / 2017 /

DigiwareDigiwareDigiwareDigiware

3

5

Argentina a nivel regional:• 2°en phishing y ataques por internet• 3°en malware, spam, bots y criptojacking• 5°en ataques a la red y ransomware. • 8°países amenazados por spam

Por tipo de ataque:• Malware: los ataques son 1 en 314 amenazas, afectando

principalmente a la industria manufacturera (1 en 210) y a la minera (1 en 2.148). Las compañías con menos de 250 empledos sufren un ataque cada 204 y las mayores uno cada 3.209.

• Spam: Argentina tiene un promedio de 57,8% de ataques efectivos por correo electrónico, mientras que la media mundial es del 54,6%. Las industrias más afectadas por esta amenaza son: manufactura (63,8%), minería (48,1%) y comercio al por menor (47,2%). Las empresas pequeñas (menos de 250 empleados) son más vulnerables (63,8%) que las grandes (54,5%).

• Phising: en Argentina en uno de cada 2.413 casos, perjudicando principalmente a la industria manufacturera (1 en 1.564) y a la minera (1 en 34.910). Las empresas pequeñas lo sufren una en 1.542 y las mayores una en 3.209.

Fuente: 23ª edición del Internet Security Threat Report (ISTR), informe anual de seguridad de Symantec

Delincuenciacibernética/ hackersvirus/ códigosmaliciososSegún laGRMS*2017deAon�Top 10 de riesgosproyectadosa 2020

1+1

Daño alareputación/marca

4=

Cambiosnormativos/legislativos

9+2

Riesgos/incertidumbrespolíticas

3+3

Incapacidaddeinnovar/satisfacer lasnecesidadesdelcliente

8+1 Interrupción de

losnegocios

2+1

Desaceleración/recuperaciónlentade laeconomía

7=

Fracaso en laatracción yretención delmejor talento

5=

Delincuenciacibernética/hacking/ virus/códigosmaliciosos

6-5

Incapacidadde innovar/satisfacer lasnecesidadesdelcliente

10+10

Responsabilidadcivil deterceros(inc.IngenieríayOperaciones)

Riesgo número 1 en los siguientes sectores:- Aviación- Educación- Gobierno

Clasificaciónen encuestas anteriores

201720152013201120092007

5918182519

4

GRMS GRMS GRMS GRMS Comparativo Comparativo Comparativo Comparativo O&GO&GO&GO&G

Conocimiento

Conocimiento

Global Interdependence- Cyber Crime

5

Conocimiento

10 Principales RiesgosOil & Gas

Asegurable

Parcialmente asegurable

No asegurable

Daño a la reputación/marcaRiesgos / incertidumbres políticasFallas Tecnológicas/Fallas de SistemaConducta no éticaTerrorismo/ SabotajeRedes socialesFalta de infraestructura tecnológica para apoyar las necesidades de los empleadosResponsabilidad social corporativa

Delito cibernético

Fallas en los proyectos

Interrupción del negocioDaños materialesFallas tecnológicas o del sistema Fusión/ Adquisición/ ReestructuraciónFracaso del plan de recuperación de desastres/ plan de continuidad del negocioTerrorismo y sabotajeTercerización (Outsourcing)

10

Pero que tipo de ataques son y cual son sus orígenes?

Fuente: Verizon 2018Data Breach Investigation Reports

6

02

01Sus sistemas de redes suelen

contener grandes cantidades de datos de carácter personal y

confidencial de nivel alto,

02Recursos asignados a

seguridad física en lugar de información y

sistemas

04Interrupción del negocio o pérdida de ingresos debido a incidente cibernético

03Uso no autorizado de sofisticados sistemas de control industrial y adquisición de datos (SCADA*) dirigidos por hackers

RIESGOS – Fuentes y Efectos en O&G

12

PRINCIPALES RIESGOS EN EL SECTOR ENERGIA, PETROLEO, GAS

• Manipulación, uso y transferencia de datos por parte de Terceros

• Dependencia de los proveedores de TI

• Falta de actualización

en los sistemas de

operación (sistemas

antiguos).

• Transferencia de

datos a través de "la

nube" proporcionada

por contratistas

• Dispositivos y productos conectados

• Riesgos cibernéticos más emergentes que involucran lesiones corporales y daños a la propiedad derivados de vulnerabilidad de seguridad en los productos

• transmisión de información a destinatarios incorrectos, información sensible que se utiliza para la extorsión

• Lesiones corporales o daños a la propiedad como resultado de un incidente cibernético

7

13

Vulnerabilidades del Sector O&G al riesgo Cibernético

Ataques – Vulnerabilidades del Sector O&G

8

01010101

02020202

03030303

Contraseñasseguras

Creación de políticas administrativas respecto de la seguridad de la

información

Cifrado de datosParchado de la red

Filtros de firewall La segregación de red

Exigir garantías de transferencia de riesgo en los contratos con terceros

Realizar protocolos de autenticación de correo electrónico. 04040404

10101010

09090909

08080808

07070707

15

Mecanismos y controles de Riesgo Informático

Mecanismos de Transferencia Riesgo Cibernético

9

MODULOS

010203

RESPONSABILIDAD / DEFENSA/ MULTAS REGULATORIAS

PERDIDA PROPIA

GASTOS PAGADOS A PROVEEDORES

Transferencia de riesgos Capacidades

1. RESPONSABILIDAD / DEFENSA/ MULTAS REGULATORIAS

propiedad intelectual

Impedimento de Acceso

Reputación

Privacidad

Falta de protección / divulgación injusta de la información, incluida la información del empleado

Difamación, calumnias o injurias de una persona natural en redes sociales

Los perjuicios que resulten de una reclamación de autoridad competente

FALLA DE LA SEGURIDADDE LA RED

RESPONSABILIDAD POR PRIVACIDAD

INVESTIGACIÓN DEL REGULADOR RELACIONADO CON LA PRIVACIDAD O LA SEGURIDAD

INFRACCIÓN DE CONTENIDO DE MEDIOS / CONTENIDO DIFAMATORIO

1

2

3

4

10

2. PERDIDA PROPIA

Interrupción Del Negocio Por

Falla En El Sistema (Algunas

Pólizas)

Riesgo Reputacional

Restauración De Datos Interrupción Del Negocio

Dependiente (Algunas

Pólizas)

Interrupción Del Negocio Relacionada Con

Fallas En La Red

3. GASTOS PAGADOS A PROVEEDORES

Gestión de crisis

Orientación jurídica

Centro de llamadas (call center)

Monitoreo de crédito, monitoreo de identidad

1

2

3

4

Pagos de cyber extorsión5

11

DAÑO A LA PROPIEDAD

RESPONSABILIDAD POR INTERNET DE LAS COSAS

COBERTURA PARA CADENA DE SUMINISTRO

DISTRIBUIDORES INCLUYENDO, SERVICIOS EN LA NUBE

PAGO DE MULTAS

LESIONES FISICAS A TERCEROS

1111

2222

3333

4444

5555

6666

AON CYBER ENTERPRISE SOLUTION

COBERTURAS DIFERENCIALES

Computer Crime

Amparos sin Coberturas Cyber

1. SISTEMAS OPERATIVOS DE CÓMPUTO.

2. OPERACIONES DE OFICINA DE SERVICIOS DEL ASEGURADO.

3. INSTRUCCIONES ELECTRÓNICAS POR COMPUTADOR

4. MEDIOS DE ALMACENAMIENTO DE INFORMACIÓN ELECTRÓNICA.

5. VIRUS DE COMPUTADOR.

6. COMUNICACIONES ELECTRÓNICAS.

7. TRANSMISIONES ELECTRÓNICAS.

8. TÍTULOS VALORES ELECTRÓNICOS.

9. TELEFACSÍMILES FALSIFICADOS.

10. TRANSFERENCIAS INICIADAS PORVOZ.

Social Engineering

Cripto Currencies

12

Sergio Ivan Torres B.Vicepresidente Lineas Fiancias

AON Colombiasergio.i.torres@aon.com