solución aseguradora en la gestión de los ciber riesgos · servicio •robo de datos •malware...
TRANSCRIPT
Solución Aseguradora en la Gestión
de los Ciber Riesgos Mª Victoria Valentín-Gamazo
2
3
Algunas cifras
4
Algunas cifras
5
Algunas cifras
6
Algunas cifras
7
Algunas cifras
8
Incidencias de seguridad, de los que se
tiene conocimiento en las últimas 24 horas
El Incibe prevé llegar a gestionar
100.000 ciberataques este año
9
Exposición al ciber riesgo
…
Cualquier entidad que almacene, manipule o transmita datos se
encuentra expuesta al ciber riesgo así como a sufrir un robo de datos.
Empresa de Comunicación
Consultoras Tecnológicas
Comercios
Empresas de Telecomunicaciones
Empresas de Servicios
Transporte y Distribución
Sanidad
Instituciones Financieras
Hoteles y Ocio
Compañías con exposición en EEUU
10
11
12
¿Qué factores influyen en la compra de un ciber seguro? Resultados de una encuesta a los asistentes de un evento de ciber riesgos organizado por AIG en Londres el 24 de
noviembre de 2016
13
14
Nuevo reglamento en protección de
datos
Incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
Por ejemplo, pérdida de un portátil, acceso no autorizado a bases de datos incluso del propio personal, borrado accidental de registros…
NOTIFICACIÓN
de “violaciones de seguridad de los
datos” Comunicar a la agencia en menos de 72h (naturaleza, categoría de datos e interesados afectados, medidas adoptadas para solventar, medidas aplicadas para paliar los efectos negativos sobre los interesados Documentar todas las violaciones Notificación a los afectados, en situaciones de alto riesgo para que puedan tomar medidas de protección, el RGPD indica sin dilación. La notificación deberá contener recomendaciones
OBLIGACIONES
15
Régimen Sancionador
TIPIFICACIÓN INFRACCIONES Y
SANCIONES
Multa hasta 10 M € Multa hasta 20 M € o hasta el 4%
o para empresas, optándose por la de mayor cuantía, hasta el 2 % de volumen de negocio anual a nivel mundial
Obligaciones de responsable o encargado
Obligación de organismos de certificación
Obligaciones de organismos de supervisión de códigos de conducta (Medidas por incumplimiento del C. de conducta)
Principios básicos
Derechos
Transferencias internacionales
¿Qué es lo que
está en riesgo?
17
¿Cómo afectaría en mi empresa?
Crisis Legal
Crisis de Sistemas
Crisis Reputacional
Crisis Financiera
18
¿Entiende el impacto potencial?
Nº y tipo de datos afectados
Sector de actividad de la empresa
Tipo de brecha (violación de datos,
cibercrimen …)
Requerimientos legislativos de
notificación en el país donde se produce la
brecha
Capacidad de respuesta rápida o
existencia de planes de respuesta a
incidencias/crisis
Grado de afectación en cuanto a
pérdidas de ingresos
Otros impactos: pérdida bursátil,
pérdida clientes / reputación ….
19
Costes de un ciber incidente
20
Costes de un ciber incidente
21
Cronograma de gastos
BRECHA
¿En qué consiste
el ciber riesgo?
23
Conozca los ciber riesgos
Espionaje Industrial
Caída de
Infraestructuras
CPD y Cloud
•Interrupción de red
•Intrusión fallo
seguridad
•Acceso no autorizado
•Pérdida de Datos
•Robo físico en CPD
•Intrusión Backdoor
Activistas
Informáticos
Delincuentes
•Denegación de
Servicio
•Robo de Datos
•Malware
•Extorsión
Fallo de Sistemas
•Mantenimiento
•Procesos Batch
Fallo de Electricidad
•Subida tensión
•Fuego, agua
Fallo de Seguridad
•Intrusión y interrupción
Suplantación de
Identidad
Malintencionado
•Robo Físico
•Venta a Criminales
•Extorsión
Negligentes
•Enviar datos erróneos
•Pérdida de HW
24
Solución Integral del ciber riesgo
Prevención
Respuesta
Seguro
Ciber Riesgos Solución
25
Consultoría y Prevención de riesgos
Prevención
Respuesta
Perjuicios Financieros
Herramientas preventivas proporcionan conocimientos, formación, seguridad y
soluciones consultivas que les permiten adelantarse a los acontecimientos.
26
AIG CyberEdge App: Protección activa
27
IBM Infrastructure Vulnerability Scanning
• Detecta y prioriza los riesgos ocultos en la
infraestructura de red visible públicamente.
• Proporciona una visión detallada de la situación
de vulnerabilidad de la empresa para que los
clientes pueden realizar un mejor seguimiento,
entender e informar sobre su situación de
seguridad.
• Prioriza las vulnerabilidades para que los
clientes reduzcan su exposición global de la
amenaza.
El escaneo IBM de vulnerabilidad es un buscador remoto de la infraestructura
en relación a las vulnerabilidades en los sistemas y aplicaciones web del
tomador. El escaneo identifica y prioriza potenciales vulnerabilidades a las
que un hacker podría acceder y proporciona al tomador un informe que
incluye su identificación y solución por lo que se reduce su exposición.
CyberEdge RiskTool
CyberEdge RiskTool es una
plataforma online, que ayuda a los
clientes a racionalizar el proceso de
gestión de riesgos. El contenido de la
plataforma es personalizable y se
puede adaptar para satisfacer las
necesidades de gestión de riesgos.
Esta herramienta incluye asistencia en
iniciativas de cumplimiento, formación
a los empleados sobre requerimientos
legales y para capacitar al personal en
protocolos de seguridad para ayudar a
prevenir errores humanos que podrían
causar una infracción en el futuro.
Aunque AIG responde cuando ocurre un ciber ataque, la mejor manera de
protegerse de ellas es la prevención. CyberEdge RiskTool ayuda a la Sociedad a
mantenerse en la vanguardia de la gestión y la automatización en la mitigación de
riesgos a través de un portal personalizado.
•AutoShun® detiene un ataque
bloqueando la comunicación bi-
direccional a las “malas” direcciones
IP conocidas.
•La capacidad de rechazo de
AutoShun® bloquea la comunicación
de los ordenadores infectados con
los servidores de comando y control,
eliminando la posibilidad de que el
“botnet” pueda llevar a cabo sus
acciones criminales.
•La información del ataque es
enviada a la correspondiente cuenta
de CyberEdge RiskTool.
AutoShun®
AutoShun® complementa la primera línea de defensa más potente para prevenir las
amenazas cibernéticas – los propios sistemas informáticos de una compañía. El
dispositivo de hardware esta fortalecido por una inteligencia vanguardista que aísla
áreas de Internet donde se sabe que las acciones “malas” suceden y las mantiene
fuera de la red de su empresa.
30
Respuesta 24x7
Prevención
Respuesta
Perjuicios Financieros
Cronología de una fuga de seguridad y respuesta proporcionada por CyberEdge
CyberReact
Aplicación en un caso real
Cybersoc
• Asesoramiento técnico primera
respuesta
• Análisis y contención del incidente a
nivel técnico
• Recomendaciones de actuación a corto
y medio plazo
Forensic
• Aislamiento y preservación de las fuentes de
prueba
• Análisis forense de los ordenadores utilizados
por personal clave
• Elaboración de informe pericial técnico sobre el
incidente
• Elaboración de informe pericial económico sobre
el daño
Legal
• Asesoramiento legal primera respuesta
• Notificación/es AEPD/sujetos afectados
• Denuncia ante la Brigada de
Investigación Tecnológica de la Policía.
Iniciación acciones penales/civiles.
Delito intromisión ilegítima/datos
informáticos. Responsabilidad civil.
Lucro cesante
Comunicación
• Construcción de mensajes a transmitir a los
grupos de interés
• Atención a la prensa
• Establecimiento de protocolos de
comunicación.
• Formación de portavoces
• Plan de comunicaciones interna sobre la
importancia de los protocolos de seguridad.
Respuesta ante un fallo de seguridad 2
4x
7 3
65
33
Cobertura Aseguradora
Prevención
Respuesta
Seguro
Herramientas preventivas proporcionan conocimientos, formación, seguridad y
soluciones consultivas que les permiten adelantarse a los acontecimientos.
34
Coberturas CyberEdge 2.0
Fraude Informático pérdida financiera directa resultante del robo de fondos de la sociedad de una cuenta bancaria derivada de instrucciones electrónicas fraudulentas
35
Reclamaciones Pymes
La progresión: ¿Qué sistemas están afectados y desde cuando?
Recomendaciones empleados, políticas.
Reconfiguración redes, sistemas y SW. 150.000 €
Impacto legal
Aprovechamiento automatizado de una
vulnerabilidad conocida
Sistemas Operativos y ordenadores
LEGAL
INVESTIGACIÓN
COSTES DE RECUPERACIÓN
FORENSE
Email HTML malicioso - cryptolocker
Dispositivos capaces de abrir emails
¿Sistemas Infectados? ¿Se puede recuperar?
Asesoramiento negociación
Reembolso bitcoins amenaza extorsión 60.000 €
FORENSE
LEGAL y RRPP
FINANCIERO
INVESTIGACIÓN Recomendaciones
Uso imprudente de puntos de
acceso Wi-Fi
Datos de la empresa
50.000 registros y secretos comerciales
Sanciones LOPD y RC proveedores
¿Cómo mitigar la amenaza de un daño reputacional? 500.000 €
FORENSE
LEGAL
RELACIONES PÚBLICAS
COSTES DE NOTIFICACIÓN Notificaciones Monitoreo de crédito
Ataque de Denegación de servicio al
servidor Web
Sistema de ventas
Redirigir el tráfico limpio a otro CPD
Pérdida de beneficio por la caida
Políticas de prevención
1.300.000 €
FORENSE
FINANCIERO
RELACIONES PUBLICAS
INVESTIGACIÓN
Mitigación riesgo reputacional
36
Reclamaciones Pymes
La progresión: ¿Quien fue robado? ¿Qué datos fueron robados?
Acción del cliente
Notificación Monitoreo de crédito 100k€ Cuota & costes
500k€ en daños
Coordinación y asesoramiento legal 100k€ costes de defensa
Información Personalmente Identificable
de 3m de personas ilegalmente robada
LEGAL
INVESTIGACIÓN
COSTES DE NOTIFICACIÓN
FORENSE
Servidor de email y disco duro
externo
Robado mientras se encuentra con
proveedor externo
¿Cuándo fueron robados los datos?
Coordinación y asesoramiento legal
¿Cómo responder a los medios? 1.200.000 €
FORENSE
LEGAL
RELACIONES PÚBLICAS
COSTES DE NOTIFICACIÓN Notificaciones Monitoreo de crédito
Hackeo
Los hackers consiguen acceso a los
sistemas informáticos de 5
localizaciones de hoteles
180.000 tarjetas de crédito y nombres
Sanciones LOPD
¿Cómo mitigar el daño reputacional? 980.000 €
FORENSE
LEGAL
RELACIONES PÚBLICAS
COSTES DE NOTIFICACIÓN Notificaciones Monitoreo de crédito
Hackeo
El sistema de procesamiento de pago
con tarjeta de crédito es hackeado y
compromete la seguridad de los datos
¿De quién son los datos?
Mitigación de la amenaza
Sanciones Industria de las tarjetas de pago 2.000.000 €
FORENSE
RELACIONES PÚBLICAS
COSTES DE NOTIFICACIÓN
INVESTIGACIÓN
LEGAL Costes de defensa
Coordinación y asesoramiento legal
Notificaciones Monitoreo de crédito
Bring on tomorrow
Cibercrimen como servicio
Ramsomware
Hacktivismo
Ataques a Proveedores
Causa de la Siniestralidad
38
Conclusiones Clave
Trabajo en Equipo - No sólo sistemas
Peligra su continuidad
Cambios Regulatorios
Riesgo Vs Control Vs Coste
39
Aseguradora líder a
nivel mundial
Contamos con una
red global pero con
experiencia local en
gestión de sinestros
Posibilidad de emitir
pólizas locales en 35
países
Hasta 50M€ de
capacidad
• Less dependency, more influence
• Faster cash movement
• Full transparency, systems integrated
• Consistency, reliability and sustainability
BENEFITS
100
80
60
40
20
0
OW
NE
D O
PE
RA
TIO
NS
AIG Owned Operations
¿Por qué AIG para proteger sus ciber riesgos?
40
Bring on tomorrow Muchas Gracias!
AIG es la marca comercial para las operaciones mundiales en seguros generales de American International Group, Inc. Los productos y servicios son suscritos o proporcionados por compañías filiales o subsidiarias de American International Group, Inc. No todos los productos y servicios estan disponibles en todas las jurisdicciones, las garantías de seguro estan sujetas a los términos contractuales de cada póliza en su idioma original. Algunos productos o servicios pueden ser proporcionados por terceros independientes. Los productos aseguradores pueden ser distribuidos por medio de entes afiliados o no. Ciertos seguros de daños o responsabilidad civil pueden ser proporcionados por aseguradores de líneas en exceso. Los aseguradores de líneas de exceso generalmente no participan en fondos estatales de garantía y los asegurados consiguientemente no estarán protegido por tales fondos.