Ciudad de México, 19 de abril de 2016. Versión estenográfica de la Sesión Especializada Mercadotecnia y distribución de seguros “¿Cómo proteger al usuario de seguros?”, ofrecida por Fernando Román, durante el Primer Día de Trabajos de la 26 Convención de Aseguradores de la Asociación Mexicana de Instituciones de Seguros, llevada a cabo en la Sala Montejo 4, del Centro Banamex de esta ciudad. Presentador: Bueno, la siguiente plática es “¿Cómo proteger al usuario de seguros?” y está al cargo de Fernando Román, que es Socio Líder de Tecnologías de la Información. Los dejo con Fernando. (Transmisión de video) Fernando Román: Buenas tardes a todos. Mi nombre es Fernando Román, soy socio de la práctica cyber security en PWC. Creo que ya, primero agradecerles por el tiempo, ya es una hora bastante adelantada, pero bueno, vamos a tratar de hacer nuestra plática, nuestra charla un poquito muy amena. Yo les voy a platicar de cómo proteger la información de nuestros usuarios de seguros, un poquito enfocada más a cómo hemos venido nosotros viendo la convergencia tecnológica, cómo están cambiando los modelos de negocio y cómo tenemos que proteger la información de nuestros consumidores. Si nos remontamos un poquito a ver cómo ha evolucionado el tema tecnológico en todo el mundo, podemos ver que en los 80’s todavía las áreas de operaciones y los consumidores no tenían mucho contacto; operaban en áreas diferentes, cada quien iba por sus objetivos, y esto permitía que las empresas no se encontraran tan expuestas ante un incidente de seguridad. Hacia 1990, hacia los 90’s, las áreas de tecnología y de operaciones ya se vuelven vulnerables debido a que ya empiezan a existir conexiones en diferentes ámbitos del negocio. Sin embargo, todavía se encontraban parcialmente protegidas porque los sistemas que utilizaban eran cajas negras que nadie conocía y no se daban tantos incidentes. Hacia el año 2000 ya las áreas de operaciones de sistemas ya no estaban protegidas por estos sistemas, ya empezaban a utilizar sistemas más abiertos, con más funcionalidades, ya estaban expuestos ante internet, y empezamos entonces a sufrir estos temas de incidentes de seguridad en donde los datos de nuestros consumidores empezaban a ser más vulnerables. Y a partir de 2010, con el tema del internet de las cosas, con el avance de la tecnología, tanto las áreas de operaciones de tecnología como los consumidores, empiezan a usar todas estas herramientas tecnológicas que hoy en día contamos y aquí es donde empieza el verdadero problema, en donde ya los datos de nuestros usuarios, de nuestros consumidores que captamos, que traemos, a través de la contratación de nuestras pólizas, a través del uso de aplicaciones móviles en donde reportamos un incidente, en donde contratamos o incluso hacemos una cotización, pues nuestros datos empieza a estar más expuestos. Y esto es solamente para ver cómo ha evolucionado la tecnología, pero si partimos de estas megatendencias que nos hablaban tanto Ignacio como Alberto en sus presentaciones, desde el comienzo del internet de las cosas, empezamos a tener hacia el 2003 un poquito, decíamos, la población mundial es aproximadamente de 6.3 billones, y de estos 6.3 billones se encuentran conectados a internet aproximadamente 500 millones de dispositivos, es decir, el 0.08 de dispositivos por persona. Ya hacia el 2010, con 6.8 billones de personas en el mundo, encontramos que tenemos aproximadamente 12.5 billones de dispositivos conectados a internet, lo que nos da una cifra de 1.84 dispositivos por persona, conectados a internet. ¿Esto qué hace? Que ya tenemos más dispositivos conectados a internet que número de personas en el mundo. Hacia 2015, ya encontramos que tenemos 3.47 dispositivos por persona conectados a internet, o sea que yo hoy traigo por lo menos cuatro dispositivos en mis bolsillos conectados a internet, a través de los cuales mis datos son vulnerables. Imagínense, multipliquen esto por el número de personas que somos en el mundo. Pregunta: (Sin micrófono). Fernando Román: Sí. Tú tienes, se calcula que tenemos por personas 3.47 dispositivos conectados a internet, ya sea que los traigamos en las bolsas, que los tengamos en nuestros escritorios o en nuestras casas. ¿Quiénes no llegamos hoy a casa y tenemos hasta la televisión conectada a internet? Los datos de nuestros hijos conectados en el Xbox, jugando en cualquier parte del mundo, y eso nos vulnera como personas. Hacia el 2020 ya encontramos, se espera que contemos por persona con siete dispositivos conectados a internet. Ya esto está pasando, no está muy lejos de la realidad, ahora ya tenemos el smartwatch, nuestros teléfonos móviles, nuestra computadora, tenemos muchos dispositivos que están conectados a internet. Y esto, aunado a toda una oferta en internet, como las redes sociales, la parte móvil, el Analytics que nos platicaba Nacho y toda la parte de la nube en donde vive la información de nuestros consumidores, eso nos pone en riesgo, y es lo que vamos a ver más adelante. ¿Cómo han cambiado hoy los modelos de negocios? Veíamos al principio que desde los 80’s no nos conectábamos con nadie y la información la manejaba cada quien por su lado y la teníamos más o menos segura, porque cuando nos pedían buscar una póliza, ahí se las cuento, y era conseguirla del archivo, era algo duro. Bueno, los modelos de negocios han cambiado, hoy nos encontramos interconectados todos con todos. Tenemos economías globalizadas, tenemos regulaciones, estamos sujetos a regulaciones que tenemos que cumplir, tenemos que estarle reportando a la autoridad información de nuestras empresas de cómo estamos operando y qué estamos haciendo con la información. Tenemos una parte muy importante sociocultural y tecnológica, con quién tenemos que tener contacto para el desarrollo de nuestro negocio. Nuestros modelos de negocios hoy son globalizados y son ecosistemas en los cuales tenemos que convivir hoy en día porque si no nuestros negocios podrían llegar a morir. Pensaríamos que los cyber ataques que nos hablaba un poquito Alberto en su plática, pesaríamos hace un par de años que sólo pasaba en Estados Unidos o pasaba en países del primer mundo en donde la información para los atacantes era muy importante, pero no, estos ataques pasan hoy en nuestro país. México, acuérdense que está dentro de los 10 países muy importantes en donde se tiene que invertir, entonces nos hemos convertido en un foco para todo el mundo y ahora los ataques son más y más recurrentes. Nos pasa todos los días y estos son los últimos, pensaríamos que nunca le iba a pasar nada a Liverpool, que nunca le iba a pasar nada a ninguna de nuestras instituciones financieras porque somos México, pasa también en México. Estos son algunas estadísticas que traemos de nuestra Encuesta Global de Cyber Security, que hacemos año con año, y estas son del 2015. Nos indica que han aumentado en 38 por ciento los incidentes de seguridad, en comparación con 2014; que el robo de la propiedad intelectual, es decir, todas las patentes, por ejemplo, se ha aumentado en un 56 por ciento en 2015. De todos los que encuestamos, un 24 por ciento de los encuestados realizó inversiones en seguridad de la información, lo que provocó que de 2014 a 2015 disminuyeran los ataques cibernéticos, sin embargo, es una estadística que se mueve mucho, es muy dinámica, hoy en día estas estadísticas se mueven. En 2015 todos tenemos conocimiento que en México han sucedido casos de cyber ataques muy importantes, entonces son estadísticas que van en crecimiento. Calculamos que aproximadamente en 2015 y lo que va de 2016 ha crecido esta estadística en un 40 por ciento, es decir, estamos siendo más atacados. Y bueno, mientras los empleados, acuérdense que había una estadística que hemos hablado desde hace mucho años en la cual decimos que los empleados de nuestras empresas son el origen de donde vienen los principales ataques. Esta estadística se ha empezado a revertir, hoy el 22 por ciento del origen de estos ataques vienen de los terceros, es decir, de todas aquellas empresas que, como presentábamos en el ecosistema, con las cuales hacemos negocio. Entonces es importante que protejamos la información de nuestros consumidores. ¿Dónde se encuentra o dónde vive la información que nosotros manejamos? Hoy en nuestra empresa nosotros manejamos procesos, manejamos gente, manejamos tecnología. La empresa que no pase por estos tres pasos creo que difícilmente tiene mercado. Entonces ¿qué capturamos hoy nosotros de nuestros consumidores? Pues tenemos sus domicilios, sus nombres, sus edades, sus bienes, sus percepciones económicas, sus datos de salud. Les voy a dar un dato, por ejemplo, en el mercado negro una tarjeta de crédito válida, con todo y nip, pagan por ella .90 centavos de dólar; por un expediente de salud se están pagando 22 dólares en el mercado negro. ¿Y qué es lo que manejamos nosotros en nuestros negocios? Expedientes de salud de nuestros consumidores. Entonces es muy importante. Pregunta: ¿Quién paga por estos expedientes y qué uso hacen de ellos? Fernando Román: El mercado negro que compra información le sirve mucho para explotarla. Hoy los ataques no se ciñen solamente a las computadoras, a las bases de datos. Hoy los marcapasos pueden ser intervenidos, pueden ser atacados, nos pueden detener el marcapasos. Entonces, por ejemplo, en el gobierno de Estados Unidos los funcionarios que llegan a tener o que son diagnosticados con problemas de arritmias, ya no pueden seguir en el cargo porque pueden ser atacados por su arritmia o por su marcapasos y detenerle el corazón. Entonces esa información que tiene la aseguradora de un funcionario que tiene una arritmia, puede ser utilizada en su contra. Entonces, ¿cómo se dan cuenta? A través de los expedientes de la aseguradora pueden darse cuenta quién tiene esos problemas. Entonces ese tipo de ataques sucede, lo que pasa en las películas ya no es ficción. De esa manera es como la información que nosotros hoy tenemos de nuestros asociados, es como la pueden utilizar. Bien. Entonces decíamos, también tenemos hoy expedientes digitalizados, por ejemplo, que ya no nada más los tenemos en papel, los tenemos digitalizados y es más fácil que los vulneren y que se los lleven. Hoy todos estamos enterados del tema de los Panama Papers, es importante que protejamos esa información. Bien. ¿Cómo podemos proteger a nuestro consumidor y dar cumplimiento a nuestra regulación? Estableciendo una gestión de seguridad de información, mediante la identificación, la evaluación y el tratamiento de los riesgos potenciales a los que estamos sujetos. ¿Cómo lo debemos hacer? Estableciendo o definiendo el perfil de riesgo de nuestra organización; a qué riesgos estamos sujetos, qué información captamos y cómo la tenemos que proteger. Ese es el primer paso que tenemos que dar para iniciar la protección de la información de nuestros consumidores. Protegerlos, definir implementar todos los controles necesarios, si es a través de los controles internos de la empresa, de tecnología, podemos llevar a cabo la implementación de todos estos controles que aseguren que la información está protegida. Y la operación, pues monitorear todos los controles que tenemos de toda la tecnología que tengamos implementada. Sé que es muy complicado, todos tenemos mucha tecnología hoy implementada para poder operar nuestros negocios, pero tenemos que proteger lo más importante. Ahorita vamos a platicar un poquito de lo que son las joyas de la corona que tenemos que identificar y que tenemos que proteger. Y responder. Tenemos que tener una respuesta efectiva ante cualquier incidente que podamos tener que esté vulnerando nuestra información. Y, por último, remediar lo que nos pase, que ojalá que fuera lo mínimo, que no nos pase nada. Pero no hay seguridad que valga, en estos tiempos, con los avances de la tecnología, con lo que está pasando en el mundo, tenemos, sí, que estar alertas, tenemos que hacer todo lo posible para que nuestros controles sean muy efectivos y que todo el tiempo estén operando, pero no se puede proteger todo y nadie nos puede garantizar que vamos a estar seguros todo el tiempo, tenemos que estar a la vanguardia. ¿Hasta acá alguna pregunta? Quizá no lo vean bien pero se los voy a contar. ¿Qué pasó con aquellas empresas que no tuvieron un adecuado modelo para proteger la información de sus consumidores? Por ejemplo, ponemos el tema de Liverpool que sufrió a finales de 2015 un ataque cibernético. Está estimado ese ataque en pérdidas mayores a cien millones de pesos para poder resarcir el daño y en pagar multas, eso es un estimado de lo que pasó y no hay una cuantificación de cuánto les pudo haber pegado en cuanto a su reputación. Ya se nos olvidó, seguimos yendo a las noches nocturnas, pero eso no es cuantificable, siguen teniendo mucho éxito, obviamente como consumidores seguimos confiando en las empresas. El caso de Target, donde se estima que costó 148 millones de dólares a Target y 200 millones a instituciones financieras, y son algunos casos. Como este, el de Home Depot, que un costo estimado mayor a 60 millones de dólares y también tuvo un impacto en las instituciones financieras, porque como nosotros, como instituciones de seguros, también recibimos pagos de nuestros clientes. Entonces son algunos casos, no son todos. ¿Qué hacer para implementar este modelo de Cybersecurity?, ¿por dónde tenemos que empezar? Por algún lado se debe de poder. Lo primero que tenemos que hacer es determinar cuál es nuestra situación actual, como dijimos, cuál es nuestro perfil de riesgo y a qué riesgo estamos expuestos y cómo lo vamos a cubrir. Dos. Hacer un análisis entre lo que ya tengo y cuánto me falta para dar cumplimiento a mis regulaciones, para que esté mi información protegida, etcétera. Definir una estrategia de cómo voy a proteger esta información. Hoy tenemos información que quizá no necesitamos. Necesitamos darle validez a la información que necesito, darle un sentido a lo que estoy captando de mis usuarios y correr menos riesgos. Para eso hoy estamos expuestos no nada más a un cyber ataque, también estamos expuestos a que la autoridad venga y me levante una multa por el mal manejo de datos personales de mis clientes. Entonces tenemos que mirar tanto a las regulaciones a las que estamos sujetos como el riesgo que tenemos exponiendo nuestros servicios en internet. Tenemos que trabajar bajo un marco de referencia, existen muchos en el mercado a los cuales podemos nosotros apelar o acudir para poder establecer un marco de seguridad dentro de nuestra empresa, establecer un buen gobierno de seguridad de la información junto con las áreas de tecnología, y lograr que nuestra protección de datos y la protección que le tenemos que dar al consumidor sea constante, que se convierta en un ciclo virtuoso y que nuestros clientes al final su información esté segura. La administración de identidades, ver a quién le damos acceso y por qué le damos acceso a la información que tenemos de nuestros clientes. Viene alguna justificación del por qué entrar esa información, con qué tipo de permisos va a entrar y qué es lo que va a hacer con esa información. Tenemos que mirarlo y ver que la información la aseguremos por ese lado. La de incumplimiento y la certificación, hablábamos de que estamos sujetos, por ejemplo, a cumplir con la CUS, la Ley Federal de Protección de Datos en Protección de Particulares, y bueno, habrá alguna otra que tengamos por ahí que debamos dar cumplimiento. Evaluaciones de seguridad constantes, que estemos monitoreando que nadie se meta a nuestros sistemas, que logremos identificar qué están haciendo con la información y qué tenemos que hacer en el futuro. Les decía, tiene que ser un ciclo virtuoso, no podemos parar, hoy no es, ya puse seguridad, ya invertí en tecnología, ¿se acabó el asunto? No. La tecnología avanza, entonces teneos que seguirnos protegiendo. Métricas de seguridad, estar midiendo qué estamos haciendo en cuanto a seguridad de la información. Que podamos, a través de la tecnología, darle continuidad a nuestro negocio para que sigamos operando, y bueno, establecer un proceso de mejora continua en todo esto de seguridad de la información. Los beneficios que vamos a tener si hacemos esto que acabamos de platicar, obviamente es proteger a nuestro consumidor, dar un cumplimiento legal y regulatorio, un uso efectivo de los recursos que nosotros ponemos a disposición de nuestros clientes y con lo cual operamos nuestro negocio; evitar pérdidas no esperadas, nadie esperamos el que nuestro negocio sufra un desfalco, pero estamos expuestos a ello, simplemente si alguno de nuestros consumidores viene y hace uso de sus derechos ARCO y pide que borremos sus datos y nosotros no lo hacemos, automáticamente nos estamos haciendo acreedores a una multa y puede ser muy cuantiosa, por lo menos de 32 millones de pesos, y van para arriba. Entonces hay que evitar estas pérdidas no esperadas y revisar los procesos que estamos ejecutando para proteger toda esta información. Confianza en el mercado y continuidad del negocio. Este beneficio es importante, creo que hoy nuestros negocios dependen mucho de la confianza que nuestros clientes nos tengan. Y, por último, se crean nuevas oportunidades de negocio. Por ejemplo, hoy las aseguradoras tienen nuevas oportunidades de negocio con los seguros de cyber ataques, de lo que estamos hablando. Hoy en Estados Unidos como ustedes podrán saber, se liberó una carta a través de Obama, que es un marco de referencia que se llama el NIST, este marco de referencia hace mención a que las empresas hoy tienen que tener este tipo de seguros para ciberataques. Entonces es un nuevo modelo de negocio, es una nueva oportunidad que va a subsistir a lo largo de los años. En resumen, sabemos que hemos aumentado los riesgos en la seguridad de la información. Tenemos que contar con sistemas de la seguridad de la información que vayan de acuerdo con los cambios que están pasando en el mundo y con nuestro modelo de negocios. Hay que proteger, hay que identificar el tipo de información que tenemos y no tratar de proteger todo, lo que les decía; hay que identificar y proteger nuestras joyas de la corona, qué es lo importante para nosotros como negocio tener siempre bien protegido. Los activistas están identificando rápidamente las debilidades de cyber security, mientras nosotros estamos preocupados por cómo seguimos haciendo negocios, estos señores están sentados en su escritorio inventando cómo hackearnos. Entonces tenemos que establecer un modelo que nos permita estar al tanto y monitoreando todo este tipo de ataques. Y la creación de una estrategia de seguridad empresarial. Todas las estrategias de cyber seguridad hoy deben estar en la mesa de los altos ejecutivos y se tienen que hacer responsables de lo que pasa con la información de sus clientes. Son los principales sponsors de todos estos temas de cyber y ellos tienen que estar ¿cómo decimos award? De todos estos temas. Y con esto lograremos proteger a nuestros consumidores. No sé si tengan alguna pregunta. Pregunta: ¿El hecho de que los datos se ubiquen en la nube, aumenta, disminuye o es neutro en cuanto a estos riesgos? Fernando Román: El riesgo es similar. Nosotros tenemos que establecer, estando en la nube o no estando en las nubes, tenemos que establecer modelos que protegen la información. Hoy está muy de moda la nube en donde nosotros transferimos incluso a veces la responsabilidad de la custodia de la información a un tercero, y que decíamos acá, esos riesgos han aumentado; los riesgos de cyber secutiry porque nosotros transferimos esa custodia a un tercero. El riesgo nosotros tenemos que contralo, ¿cómo? Si vamos a transferir la custodia de la información a un tercero, pues también repercutiéndole la responsabilidad que conlleva la protección de esa información y exigiendo que nuestra información esté segura. Lo mismo nos puede pasar si nosotros tenemos la información. El mismo riesgo al que yo como empresa estoy expuesto teniendo la información, lo voy a tener, teniéndola en un tercero. Entonces el modelo y la estrategia que definamos de cyber security o de seguridad de la información para nuestra empresa, tiene que ir acorde a nuestro modelo de negocios, estemos o no en la nube. ¿Alguna otra? Sí. Pregunta: Este tema de cyber security la verdad es súper interesante porque a las aseguradoras les pega por todos lados. Y es un reto de la propia empresa como cuidad su información, y estamos hablando de la información de todos los asegurados, que es información muy sensible. Entonces tiene que cubrir esa información, porque aparte de tener que cumplir con toda la regulación y evitarse este tipo de tragedias que pudieran suceder, le permite o da confianza a los asegurados de que su información está en buenas manos y es usada de forma responsable. Entonces, por un lado, sí es mucha responsabilidad manejar esa información, pero también bien manejada les da un valor agregado a las instituciones de seguros el tener toda esta seguridad. Y, por el otro lado, también se convierte en un asesor de negocios, porque si va a estar cubriendo este seguro algunas instituciones, algunas empresas, pues tiene que conocer información muy sensible de esas empresas y se vuelve como un aliado de negocio. Voy a la par con tu riesgo porque sé dónde te pueden pegar, sé esto, y tiene que medir perfectamente ese riesgo y cómo poder controlarlo. Entonces, como decía Fernando, realmente las estadísticas en Estados Unidos, es que esto es un potencial de crecimiento del sector asegurador inmenso, pero con el mismo grado de riesgo que podría estar implicando. Fernando Román: Exacto. Sí, acordémonos que la evolución de la tecnología sí nos da beneficios en nuestro negocio pero también aumenta los riesgos potencialmente, es decir, tenemos que estar enterados de qué está pasando. Pregunta: Que la aseguradora cuente con una certificación ISO27001-2013, que es de seguridad de la información, ¿qué tanto puede disminuir este tipo de ataques? ¿Apoya? Fernando Román: Por supuesto que la apoya. Hablábamos de los marcos de referencia y está bien, cuando nosotros implementamos y logramos una certificación de nuestros procesos de seguridad de la información bajo estos estándares, logramos que exista control. Sin embargo, hay que mirar bien que los controles todo el tiempo sean efectivos. O sea, no porque tengamos la certificación, porque muchas veces las certificaciones las logramos a través de la documentación o de que hay viene el auditor y tenemos que preparar la información. Hay que lograr que esos controles realmente sean efectivos y que operen constantemente para que estemos protegidos, y no nos asegura nada. Hoy sí disminuimos los riesgos, pero ahí están. Pregunta: Oye Fer, y yo creo que no hay que perder de vista es el que se afecten las empresas en sus temas o tener un problema de cyber security, sin duda también los puede llevar a un tema de riesgo reputacional, con todos los efectos que esto puede tener. Fernando Román: Y que desafortunadamente como veíamos en la charla, no son cuantificables. ¿Cómo medimos el riesgo reputacional? A través de la pérdida de clientes, de la falta de emisión de primas, a través de eso, y para eso hablábamos de que tenemos que contar con medidores que nos permitan ver en cuánto nos impacta cualquiera de estos tipos de vulnerabilidades. Pregunta: Nada más como dato, como auditora, que revisamos los sistemas por ejemplo. Nos encontramos muchas veces en que la información más sencilla, que pueden ser controles generales de información tecnológica, hay muchas cosas administrativas que no están cuidando. Vemos usuarios que tienen acceso a información que no es permitida, gracias a Dios ahora sí que no ha pasado nada, pero al mismo tiempo te das cuenta que el Consejo de Administración ni siquiera la Dirección General sabe que existen esos hoyos, esos huecos, y que no existe un monitoreo continuo. Entonces yo creo que es momento de que antes de que pudiera alguna empresa estar apareciendo en esos periódicos, empezar a implementar controles fuertes, desde lo más básico hasta lo más complejo. Si no tienen alguna otra pregunta, les agradezco su tiempo. Pregunta: No sé si una pregunta. Es más que en verdad en los países latinoamericanos existen estos ataques y se roban mucha información, lo que pasa es que no tienes los procedimientos para detectarlo y luego clarificarlo ante la prensa, como sucede en Estados Unidos. La ISO27001, por ejemplo, que es algo fantástico, pero si cuentan la aseguradoras que tienen ISO27001 versus la cantidad de aseguradoras que hay en el mercado, te sobran los dedos de la mano. Particularmente, por ejemplo, en el tema de bancos, es mucho más la exigencia, de hecho nosotros somos proveedores y trabajar con un banco versus trabajar con una aseguradora, el cambio es tremendo. Si trabajas con un banco te hacen, por ejemplo un ethical hacking dos veces al año, lo tienes que certificar, pagarle a un hacker para que te rompa el sistema, si lo logra, te ponen una recomendación de que lo tienes que arreglar en determinado tiempo. Nunca vi que una aseguradora nos pida cuál fue el último reporte de ethical hacking. En ese sentido, quédense tranquilos que se roba muchísima información, y aparece y se vende la información, y llaman a base de datos con clientes de bases que robaron y ni cuenta nos damos. Ese es el punto. Fernando Román: Así es. Efectivamente, el tema, sin embargo, complementando un poquito lo que dices, la información con que cuentan o que son custodios las aseguradoras, no es menos importante que la que tiene un banco, es igual de importante. Entonces hay que ponerle mucha atención. Muchas gracias. Presentadora: Bueno, le agradecemos mucho a Fernando Román su plática y le vamos a pedir al actuario Mauricio Arredondo que le haga entrega de un reconocimiento. Y pues muchas gracias a todos por su presencia. Esperamos que haya sido interesante para todos la manera en que fue organizada toda la sesión, y esperamos verlos el próximo año. Gracias a todos. Gracias Adriana. ---oo0oo---