Ciudad de México, 19 de abril de 2016. Versión estenográfica de la Sesión Especializada “Impacto de los riesgos cibernéticos en los negocios”, ofrecida por Chris Newton, durante el Primer Día de Trabajos de la 26 Convención de Aseguradores de la Asociación Mexicana de Instituciones de Seguros, llevada a cabo en la Sala Diezmo 1, del Centro Banamex de esta ciudad. Presentador: Buenas tardes. (Falla de audio) Chris Newton: ... sindicatos y particularmente nos enfocaremos en las tecnologías de medios y ciber. Digamos que ciber viene de un término que tiene que ver con la seguridad de las redes y la interrupción y sus consecuencias. NGA ha jugado un rol muy importante para Roloids en el Reino Unido, tiene un ingreso de 30 por ciento generado por las ONG´s. Quiero recordarles sobre lo que estamos hablando, cuando hablamos a cerca de este término, todo mundo conoce lo que quiere decir los software malicioso, el hackeo en una organización o externo. Se utiliza técnicas de ingeniería social y cada vez más que engañan a la persona para que revelen información a cerca de ciertas cosas de sus empresas para obtener ventajas. Pero esto tiene que ver con los datos, hay muchísima actividad desafortunadamente en donde las compañías son afectadas no por datos, sino para tirar sus negocios y reducir la velocidad de los negocios y sus procesos de negocios. Y creo que es un fenómeno nuevo y todo mundo está familiarizado con los problemas e interrupción de los negocios digitales y por qué estamos enfrentando este riesgo. Lo que necesitamos hacer es enfocarnos en el hecho de que dependemos muchísimo de la tecnología. Creo que es el sector único en término de ingresos globales y de desarrollo y hardware, software, son un conductor de los negocios, y es una industria de la cual nos aventajamos, pero dependemos en la tecnología, pero también ha aumentado las tecnologías operativas para poder, para manejar nuestros negocios. Todos queremos ser más eficientes y la industria de seguros necesita aprender mucho acerca de la manera en que hacen los negocios y el papel que tenemos que jugar en este sector. También nos hace mucho más vulnerable en caso de una falla de esa tecnología porque depende de muchas tecnologías de terceros y outsourcing. Siempre es un reto cuando se trata con proveedores de servicios, de modo qué es lo que pueden ganar con servicios, a lo mejor de un mes adicional y hay algunos problemas que tienen que enfrentar en caso de una interrupción en su negocio. El internet de las cosas se usa ampliamente y la red, es una red de artículos con una tecnología que necesita de diferente tipo de datos que circule y los transmita. Han revolucionario la manera en que manejamos los datos y cómo los captamos y cómo los usamos. Claro, muchos negocios han mejorado sus operaciones dependiendo de la tecnología integrada y ha generado muchísimas demandas y exigencias de inventarios y manufactura. La tecnología justo a tiempo de manufacturas se desarrolló en el mercado de automóviles japonés en donde el tiempo era crucial y se dependía de la cadena de abasto para obtener las partes que se necesitan y se podía monitorear el negocio por si había alguna escasez. Y también quiero hablar acerca de la manera de monitorear los síntomas y cómo tratar a la gente y a las operaciones. Infortunadamente hay un lado negativo de todo eso, mientras que del internet, las cosas, si queremos utilizar ese término, dependíamos de tecnología aislada que pudiera accesarse discretamente pero, desafortunadamente, la conectividad ha hecho que muchas empresas enfrente problemas en cuanto a los beneficios que tengan acceso de hackeo o de cierto tipo de datos y hay un mercado enorme para eso. Cuando pensamos acerca de los problemas que enfrentan las compañías y si nos referimos a los datos, ¿qué quiere decir en términos reales? ¿Qué hace la gente con los datos cuando lo obtiene y cuánto vale? Se hizo un estudio reciente de Yale, donde monitorearon los elementos, el web oscuro, que es parte de la red en donde no es accesabilidad por los navegadores, hay muchas actividades dentro de ella muy críticas. Llegaron con muchas estadísticas, depende de los puntos de vista, pero demuestra que tan barato es comprar las herramientas para crear problemas en los negocios. Así que quizás quisieran obtener detalles de las tarjetas de crédito o dispositivos de cajeros automáticos o quizás alguna cuenta y sacar 500 dólares, y hay muchísimas herramientas muy baratas. También hay datos que se pueden falsificar y se utilizan, no solamente desaparecen, los europeos creo que pagan muchísimo dinero por esto, pero lo que también es fascinante es que es un mercado y hay valores asociados con estos datos y esos valores pueden aumentar y bajar también, y algo que sí Salió de esto fue el hecho de que el malware es absolutamente barato y es muy fácil para que la gente que utiliza el malware para atacar a las compañías y buscar datos, desafortunadamente solamente necesita ser, estar vigilando la red todo el tiempo. Cuando entramos a estos ambientes es una comunidad de negocios es efectivamente donde se compran servicios y ellos saben cómo jaquearlos y atacar los servicios. Vi un sitio en internet en donde el vendedor estaba ofreciendo una garantía si no funcionaba el malware como la persona quisiera. Y lo peor es que el efecto en la infraestructura y lo que nosotros dependemos para poder fusionar como sociedad y creo que es mejor decir que grandes industrias están despertando al hecho de que ahora enfrentan los mismos riesgos que las empresas corporativas han enfrentado durante mucho tiempo, dependemos cada vez más de las sociedad móvil y hacemos todo o cuanto podemos desde nuestros teléfonos, el uso de medios sociales ha crecido enormemente y eso nos expone a un riego mayor y hay gente que quiere vivir en una sociedad pequeña de móvil de información. Se ha probado estadísticamente que tenemos que vigilar lo que hace nuestros empleados, afortunadamente el riesgo que enfrentamos son los empleados y sus actividades. Hay muchas instituciones financieras que se preocupaban por la pérdida de fondos o dinero, pero ahora las tecnologías que tienen hacen cosas más significativas y también pueden hacer daño importante, porque aplicamos tecnología para mejorar lo que entra al internet y para mejorar nuestras vidas, los controles industriales, los sistemas de configuración remota requieren de datos y adquisición de datos, ese grado de conectividad es muy útil y es esencial para las compañías que generan electricidad y las compañías manufactureras como la automotriz. Pero claro, esto también plantea algunas cuestiones, había una compañía fundidora que tenía entre sus principios de la compañía de tener las operaciones en cuanto a detectar el malware, hubieron muchos que sufrieron por un jaqueo el año pasado, una de las cosas que hace (…) de Londres es ofrecer acceso a escenarios y recientemente emprendió un ejercicio para espejear el hackeo ucraniano en un contexto norteamericano y ver cuál es el efecto reverberador en todas estas empresas, y hoy en día los montos eran enormes para la economía, y obtuvieron una cifra cercana a dos billones de dólares, y es un problema que todavía están, apenas se arreglaron en enero, cuando también la autoridad electoral también fue sujeto a un saqueo. Así que hay muchos criminales y otros que están perseguidos por muchos estados que obtienen a través de sistemas operativos que hackean. Hay un enfoque constante en los datos, porque eso es lo que tiende a pegar, llegar a los encabezados de los periódicos. Pero las empresas están conscientes de que tienen muchísimos datos para manejar sus negocios, y pueden ser afectados por alguna interrupción, y en términos financieros el impacto de su reputación en el mercado implica una ventaja competitiva para otros mercados. Así que tienen la capacidad técnica de la infraestructura para realizar los ataques. Si hay un mercado, como ha quedado demostrado que tiene un valor asociado. Y hay muchísimos datos que están allá afuera, que podemos accesar, y hay una empresa llamada Hackpegen, que es una de las compañías que ofrecen seguridad de información y sus estadísticas. Y claramente ustedes pueden ver que hay un crecimiento enorme en los delitos cibernéticos. Hace cinco o diez años los activistas, había gente que tenía acceso y podían utilizar, pero no lo usaban para una ventaja financiera y eso ha cambiado. Y también los factores mayores son las industrias, esta es una foto de febrero de este año que está seguido por el gobierno, aplicación a la ley, etcétera. Ustedes pueden ver que hay muchísimas información al respecto. Esto demuestra que ninguna entidad, ningún negocio o actividad queda inmune de esa amenaza, y también hay unos incumplimientos importantes. Desafortunadamente sí creo que se publicó mucho un evento, un ataque que Panamá y su bufete de abogados sufrió recientemente. Lo irónico es que para una compañía que está dedicada en actividades con una base de clientes tan importantes, que esté involucrada en muchísimo dinero en términos de fondos que sean transferidos y su actividad de todos se desmoronó porque no habían parchado su sistema. Y esto muestra que muchas compañías no se dan cuenta de que ahora han sido objetivos, que antes no lo hubieran sido, así que hay negocios que han sido usados para accesar otras fuentes de datos, y ha habido una irrupción importante a partir de todos estos eventos. Los problemas no solamente se restringen a los negocios Nares on line y los servicios de citas con el establecimiento de perfiles también sufrió una intrusión importante en cuanto a la información que fue robada a cerca de los hábitos y las preferencias de la gente. También pudieron identificarse lo que ofreció la compañía una facilidad para poder eliminar todos los datos y hay muchísimas información que se ha dado a conocer al respecto en donde la gente está preocupada, que su información está allá afuera por algunos motivos. Y el resultado de este incumplimiento, las vidas de algunas personas han sido afectadas dramáticamente y ha habido suicidios como resultado de ello y también hay un elemento objetivo financiero en esto. Y creo que todo mundo conoce los problemas que Anton tuvo. Y una vez más vale la pena mencionar que esto fue el ejemplo verdadero de una pérdida sistemática disparada por un hackeo o por una interrupción de seguridad. Esto ha habido muchas compañías que han acudido a nuestro negocio y cuando vienen con nosotros les requerimos que tengan seguridad implementada y que tengan los controles apropiados. Hay muchísimos registros, alrededor de ocho millones. Cuando vemos la diapositiva anterior a cerca del valor de estos datos para esta gente y lo que pueden hacer con esto, podemos ver que hay muchísimos datos ahí afuera. Y claro, no hay garantía de que los datos se van a recuperar una vez que ya estén en internet. Creo que se queda ahí para siempre. Hay muchísima información valiosa para ser usado para propósitos injustos. Ahora compraron cobertura y es un mercado único para esto y que son las pólizas de responsabilidad cibernética que responden a este tipo de incumplimiento. Voy a hablar a cerca de eso en un minuto. Pero claramente este monto no era suficiente y no suficiente para enfrentar todos estos problemas, este incumplimiento. Hubo una catástrofe que había que cubrir. Hubo algo que sucedió que es antiguo, pero creo que fue el primer ejemplo de un verdadero daño físico impulsado por el malware como resultado de la infección y esto tuvo que ver con el implante de uranio y creo que esto se trató de una infección por malware que afectó los sistemas. Afectó y destruyó el centrífugo que controla las operaciones y que condujo a muchos efectos negativos. Hay muchísimas cosas que cuando el genio sale de la botella es difícil enfrentar las variaciones y la destrucción que emana de todo esto. ¿Así que qué están haciendo las empresas al respecto? Así que, ¿qué están haciendo las empresas al respecto? Sí, claro. Hay seguros cibernéticos y digamos que es un término correcto y debemos de definirlo. Y, ¿qué queremos definir? Lo que quiere ser cibernético. Distorsión, las consecuencias de un hackeo, las consecuencias del malware, la desaceleración del negocio, la extorsión y todo crea impacto en el negocio y todo tiene un costo anexo. Los negocios no tienen presupuesto para esto y no tienen planeado este presupuesto. Hay una cobertura que intenta llenar estos huecos, pero no es perfecto, no es ideal, se traslapa con otras coberturas y puede haber confusión en cuanto a las políticas de daño a la propiedad y qué es lo que va a cubrir la cobertura cibernética u otro. Esta diapositiva casi no se puede leer, pero es la anatomía de la responsabilidad cibernética y la primera parte y los terceros y sus responsabilidades, pero todo se reduce a la gestión de crisis. Y una de las cosas buenas acerca de las pólizas que ofrecen recurso en cuanto al asegurado, las ayuda a manejar estos asuntos y también les ofrece un apoyo después de este incumplimiento y su impacto. Es bueno pensar que esta es la cura y es la Panacea para todo lo que pasa en el mundo y no lo es. Y como industria tenemos que saber que esta cobertura es única, está creciendo, está emergiendo, pero necesita hacer mucho más como practicantes de la industria en términos de los riesgos y la evaluación de riesgos. Sabemos que los aseguradores están atados a la erosión del riesgo. Necesitamos identificar, mitigar y después entrar la etapa de la transferencia. Así que hay una gran oportunidad para nosotros como practicantes de la industria para poder ayudar a nuestros clientes, pero tenemos que pensar en esto diferentemente. No solamente tiene que ver datos, aunque los incluye, pero también hay que ver el impacto y las pérdidas no aseguradas y lo que podemos hacer como industria para ayudar a nuestros clientes. Algunos son más sofisticados que otros, pero se necesita tener asistencia y soporte importante en términos de esta evaluación, el proceso de evaluación de la gestión del riesgo y estamos muy complacidos de ser parte de este proceso. Esto fue muy rápido y creo que quería ganar tiempo con esto. Quisiera saber si tienen alguna pregunta al respecto hasta ahora. Pregunta: (Inaudible) Chris Newton: Es muy buena pregunta. El problema es que como industria tendemos a desarrollar productos fuera de lo que necesitan los clientes. Sí hay pólizas, sí van a tener todos estos elementos de las coberturas, sí van a ser hechos para las jurisdicciones específicas en donde se compran. Así que se ha hecho mucho trabajo en Estados Unidos, personalizarlo específicamente para atender cuestiones regulatorias y hay otras pólizas que son más específicas para cada país. Bueno, Sudamérica, lo interesante acerca de Latinoamérica es el interés y el deseo y las necesidades, aquí los datos son importantes, pero hemos visto mayor interés en la interrupción de negocio, físico o no físico, porque sí hay pólizas que van a responder a los riesgos latinoamericanos, pero lo importante es parte del proceso y es el diseño de la póliza y debe ser parte de esa travesía de gestión de riesgo, hay que saber cuáles son los activos que el comprador tiene y asegurarnos de que la póliza responde en lugar de la propuesta de cinco preguntas. Aquí tenemos una póliza con una bola de exclusiones, como industria debemos dedicar más tiempo con nuestros clientes para asegurarnos de que entendemos completamente sus problemas y hay que asegurarnos de que ellos entiendan el valor de los activos que tienen y que necesitan proteger y cómo los van a proteger. Estamos dedicando más tiempos en la seguridad, los consultores, la seguridad en cuanto a las preguntas que hacen, pero dijo que todavía hemos llegado a ese punto todavía. Fuera de Estados Unidos… (No lo oigo, lo siento) Es interesante porque esos países que tienen muy buenos, unas estructuras de internet para tantos o buenas velocidades de internet lo utilizan las industrias y los negocios, Europa del Este más que de Europa del Oeste, y la gente estaba preguntándose, bueno, entienden los problemas de Estados Unidos, también tiene que ver con las regulaciones, hay países como Austria no salen y parte de (…) están despertando. El Medio Oriente otras cosas por las actividades de infraestructura que se llevan a cabo allá, Japón, China, el mercado de Estados Unidos es masivo dado el régimen masivo que tienen ahí regulatorio y la cantidad de dinero que tiene invertido en cuanto a las demandas de acción de grupo, también hay bases industriales y manufacturas que también están preocupados con las interrupciones, todavía no se ha cubierto del todo hasta ahora. Crhis Newton: A nivel básico necesitamos entender las actividades del negocio. Igualmente es importante la naturaleza de datos que tienen y cómo los usan, cómo los recolectan y cómo los almacenan y cómo los aseguran y cómo los comparten. Desde el punto de vista el proceso de negocios lo que hacen cómo pueden ser afectados por la pérdida de datos por un ataque potencial. Y esto es a nivel básico. Y luego también pueden ir más profundamente, podemos dar indicaciones de precios con base en poca información, pero también tenemos que entender profundamente sobre sus problemas. Y claro, la jurisdicción tiene que ver, porque un asegurado en Latinoamérica debe de sufrir las mismas restricciones de precio que un comprador de Norteamérica, donde no tienen los mismos problemas reculatorios. Pero esta es la información básica que estamos buscando generalmente. Moderador: Muchísimas gracias, Chris. Muchas gracias por su presentación. Muchas gracias por venir desde Londres. ---oo0oo---