Ciber Riesgos y soluciones para Instituciones Financieras Los nuevos riesgos de la era digital La aplicación de nuevas tecnologías en la empresa ha aportado una nueva forma de promocionar y diferenciar su negocio así como una forma eficaz de gestión. No obstante, existen riesgos (derivados de la información y de los propios sistemas) que deben ser analizados. La amplia variedad de Ciber Riesgos existentes, así como su rápida evolución y cambio, hacen conveniente contar con un sólido asesoramiento que sirva de guía durante el proceso de gestión y que permita encontrar las soluciones que mejor se adapten a la casuística de cada organización. Los ciber riesgos se han convertido en una de las principales preocupaciones de las empresas según han ido tomando conciencia de los riesgos derivados de la computación en la nube (“cloud computing”), de los medios sociales, el uso de dispositivos móviles en el negocio (incluyendo BYOD o “Bring your own device”) o big data, y de sus amenazas, especialmente tras los ataques maliciosos sufridos por diversas empresas a lo largo de la Unión Europea o los casos de ciber espionaje, algunos por parte de estados. En un entorno donde la regulación legal y sancionadora está en aumento, las empresas previsoras están tomando los pasos más adecuados para el análisis y transferencia de estos riesgos. ¿Cuándo deben las empresas analizar su exposición a los ciber riesgos? Las empresas deben realizar el análisis de su exposición a estos riesgos si: Recopilan, mantienen, ceden o almacenan información privada Tienen una alta dependencia en procesos electrónicos o redes Contratan con proveedores de servicios tecnológicos u otros proveedores y contratistas independientes Están sujetos a normativa sectorial reguladora de su actividad Están sujetas a normativa específica en cuanto a seguridad en las comunicaciones electrónicas o redes Tienen obligación de cumplir con los requisitos de la industria de medios de pago con tarjeta en materia de seguridad Les preocupan los daños materiales o lesiones personales derivados de un ciberataque Dependen de o gestionan infraestructuras críticas (empresas eléctricas o energéticas, logísticas, suministros, etc.) Les preocupan los actos intencionados de empleados ¿Cuáles son los riesgos específicos de una institución financiera? Están sujetos a diversa normativa reguladora de su actividad Interrupción de su infraestructura de redes y comunicaciones Son objetivo de ataques maliciosos (Ataques Ddos, cibercriminales, empleados, spear phishing) Elevada información de tarjetas de pago, información financiera, información de crédito, otra información corporativa de terceros, etc. Daño reputacional elevado (pérdida de confianza) Aon Risk Solutions | Líneas Financieras ¿Por qué los seguros tradicionales no son suficientes? Los seguros tradicionales típicos (Daños Materiales, RC de Explotación, Infidelidad y Fraude Informático o RC Profesional) no dan cobertura a los riesgos derivados del uso de tecnologías digitales y de la información. Los ciber riesgos tienen como consecuencias fundamentales pérdidas económicas directas (por gastos diversos, por pérdida de beneficios derivada de interrupción de sistemas), responsabilidades frente a terceros por vulneración de la privacidad de la información o de la seguridad en redes así como un impacto directo en la reputación de la empresa, que depende en gran medida de la gestión de la crisis que acometa la organización tras el incidente. ¿Cuáles son las coberturas principales del seguro de ciber riesgos? Responsabilidades Defensa + Perjuicios + Multas regulatorias Fallo seguridad redes Protección indebida de la información / Revelado no autorizado de información confidencial (datos personales o información corporativa Recopilación indebida de datos personales (*) Investigaciones autoridades regulatorias (privacidad/seguridad) Cometidas por un proveedor de datos / IT Infracción en contenido multimedia (propiedad intelectual) / contenido difamatorio Daños propios Pérdida económica del asegurado Gastos en servicios Gastos pagados a expertos Pérdida de beneficios derivada de interrupción de la red por fallo de seguridad Gastos de gestión de crisis / publicidad Extracostes Gastos de investigación forense Pérdida de beneficios derivada de fallo de sistemas (*) Pérdida de beneficios contingente (*) Daños a activos intangibles Amenazas a sistemas y datos (extorsión) Gastos de asesoramiento legal Gastos de notificación a afectados Gastos de respuesta a afectados (líneas calientes, monitorización de crédito, control de identidad, seguros de robo de identidad) (*) En función del asegurador / negociación Normativa de Protección de Datos La nueva Directiva Europea de Protección de Datos de carácter personal conllevará unos cambios muy relevantes: obligaciones más estrictas para las empresas en cuanto a los controles mínimos técnicos y organizativos de los ficheros y de la información de carácter personal que recopilen, almacenen o traten, nuevas obligaciones de notificación a reguladores e individuos afectados por una violación de la privacidad de sus datos y nuevos poderes a reguladores para imponer sanciones o acometer auditorías e inspecciones. Las empresas deben prepararse frente a las implicaciones de esta nueva regulación, no solo en cuanto a cambios organizativos y de infraestructura de redes, sino en cuanto a procedimientos y gestión de riesgos. Aon Risk Solutions | Líneas Financieras ¿Cómo pueden las empresas transferir los ciber riesgos? Algunos de estos riesgos pueden transferirse contractualmente a proveedores de servicios, pero no es garantía absoluta de inexistencia de responsabilidad o que dichos proveedores puedan atender las pérdidas ocasionadas a la empresa. El Mercado asegurador ha desarrollado productos aseguradores que pueden además proporcionar servicios adicionales como paneles de consultores pre-aprobados en gestión de crisis, publicidad, asesoramiento legal o informática forense, Cómo el enfoque de Aon frente a los ciber riesgos puede ayudar a su empresa Nuestras capacidades: Equipo único en el mercado formado por consultores especializados en riesgos y sistemas, y especialistas en seguros de Ciber Riesgos, tanto en España como a nivel internacional, para aportar soluciones globales en los países donde operan nuestros clientes. Para más información: Nos centramos en la gestión del ciclo completo del Ciber Riesgo con un enfoque de consultoría de riesgos, aportando soluciones a medida en cada una de sus fases: Una vez materializado, se procede a valorar su impacto en la organización y llevar a cabo acciones para la vuelta a la normalidad Claudia B. Gómez claudiabeatriz.gomez@aon.es 91 340 56 45 Salvador Martín Salvador.martin@aon.es 91 340 53 42 www.aon.es Identificación de los Ciber Riesgos, evaluación, valoración y focalización Directrices a seguir con los Ciber Riesgos identificados Análisis: Entender y analizar el marco de los ciber riesgos a los que se enfrenta específicamente su empresa mediante herramientas propias de diagnóstico, matrices y mapas de riesgo y valoración y cuantificación. Tratamiento: – Establecimiento o revisión de medidas seguridad y prevención, planes de continuidad y compliance – Análisis de programas de seguro existentes frente a los diferentes escenarios de ciberriesgos – Asesoramiento y diseño del programa de transferencia de riesgos a través del seguro de ciberriesgos – Asesoramiento continuo en materia de riesgos asegurables Gestión de la Crisis – Asesoramiento en la gestión del siniestro – Peritación a favor del asegurado Aon Risk Solutions | Líneas Financieras