SECRETARÍA DE HACIENDA Y CRÉDITO PÚBLICO Documento de Trabajo No. 181 RIESGO CIBERNÉTICO Y CIBERSEGURIDAD 2019 Fernando Pérez Márquez * Las opiniones que aparecen en este artículo son de los autores y no necesariamente coinciden con las de la CNSF. CONTENIDO Introducción ……………………………………………………………………….. 3 Capítulo 1. Concepto de Riesgo Cibernético y Ciber- Seguridad……………………………………………………………….. 5 Capítulo 2. Características e importancia del Riesgo Cibernético……………………………………………………………. 8 Capítulo 3. Gestión del Riesgo Cibernético (Panorama Internacional) …………………………………………….. 19 Capítulo 4. Gestión del Riesgo Cibernético (Panorama Nacional) ………………………………………………………. 28 Conclusiones ………………………………………………………………………. 35 Referencias ………………………………………………………………………….. 37 Introducción Comisión Nacional de Seguros y Fianzas || Introducción La tecnología evoluciona a una velocidad vertiginosa, las computadoras que funcionaban hace 35 años lo hacían con procesadores que trabajaban con capacidades muy inferiores a las que hoy tenemos en un teléfono móvil sencillo y con mucha menos memoria, resultaría absurdo en términos de capacidad, la comparación entre una computadora IBM de los años ochenta con un teléfono inteligente de la actualidad. Esta evolución tecnológica no sólo se ha dado en cuanto a las capacidades físicas de los dispositivos, sino también en el uso o finalidad que tienen hoy en día, así como la facilidad para adquirirlos. El acceso cada vez más fácil al uso de nuevas y mejores tecnologías, así como su masificación, ha propiciado un cambio cultural profundo en la sociedad, no solo porque se hace más fácil la realización de actividades y procesos, sino porque ha transformado radicalmente la forma en que el ser humano interactúa con la sociedad y su entorno. Si bien es cierto que esta nueva “revolución” tecnológica trae consigo múltiples beneficios a la sociedad, también es cierto que representa una fuente de riesgo por el uso indebido o mal intencionado. De acuerdo con Willis Towers Watson (2018), se estimó que en el año 2018 el 83% de las empresas mexicanas fueron víctimas de ciberataques por lo menos una vez al año, y sólo el 30% de las mismas tenía un plan para protegerse. Asimismo, en promedio las pérdidas a consecuencia de ciberataques se encontraban cerca de 1.5 millones de dólares y se estimó que para este año 2019 el costo total anual por delito cibernético en la economía mundial podría sobrepasar los 2 billones de dólares. En este contexto, los mercados financieros y en particular los sectores asegurador y afianzador, evolucionan a la par de la tecnología con nuevas herramientas para su operación, así como con productos y servicios novedosos, quedando potencialmente expuestos a estos riesgos que pueden impactar directamente en la solvencia y estabilidad de las instituciones y en consecuencia en menoscabo de los intereses de los consumidores. Es por esta razón que el presente estudio busca abordar de manera general dos conceptos fundamentales: Riesgo Cibernético y Ciber Seguridad, con el objeto de analizar el panorama que guardan dentro del entorno de los mercados de seguros y fianzas en México, identificando las fuentes de riesgo, así como las medidas necesarias para su atención y control. Capítulo 1 Concepto de Riesgo Cibernético y Ciberseguridad 1.1. Concepto de Riesgo Cibernético Comisión Nacional de Seguros y Fianzas || Capítulo I De acuerdo con el Instituto Nacional de Estándares y Tecnología de los Estados Unidos de Norteamérica1 (NIST por sus siglas en inglés), se define el riesgo cibernético como el riesgo de pérdida financiera, interrupción operativa o daño, debido a la falla de las tecnologías digitales empleadas para funciones informativas y/o operativas introducidas a un sistema por medios electrónicos sin acceso autorizado, para el uso, divulgación, interrupción, modificación o destrucción de los sistemas. El término riesgo cibernético o ciber riesgo, se encuentra íntimamente vinculado a los conceptos de ciber amenaza y ciber ataque. De acuerdo con el Consejo de Investigación de Instituciones Financieras de los Estados Unidos de Norteamérica 2 (FFIEC por sus siglas en inglés), un ciber ataque se refiere al intento de dañar, interrumpir u obtener acceso no autorizado a una computadora, sistema informático o red de comunicaciones electrónicas. Es un ataque a través del ciber espacio, dirigido a una institución con el propósito de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno/infraestructura de computación, o bien destruir la integridad de los datos o robar la información controlada. Asimismo, el organismo refiere el término ciber amenaza como una circunstancia, evento, acción, ocurrencia o persona con el potencial de explotar vulnerabilidades basadas en la tecnología e impactar adversamente en las operaciones, activos de la organización (incluyendo la información y sistemas de información), individuos, otras organizaciones o en la sociedad. Derivado de lo anterior, podemos decir que un ciber ataque corresponde a la materialización de una o varias ciber amenazas, de esta forma el ciber riesgo o riesgo cibernético, constituye la probabilidad de ocurrencia de un ciber ataque con la severidad o daño que dicho ciber ataque pueda ocasionar; o bien, dicho de otra forma, la pérdida potencial por la materialización de uno o varios ciber ataques. Los ciber ataques pueden ocasionar una multiplicidad de daños, esto es, podrían generar en su caso un efecto de contagio en cadena hacia distintas entidades o eslabones de la cadena productiva. 1 National Institute of Standards and Technology (NIST), glosario de términos, disponible en https://csrc.nist.gov/glossary/term/Cyber-Risk 2 Federal Financial Institutions Examination Council (FFIEC), glosario de términos, disponible en https://ithandbook.ffiec.gov/glossary.aspx Comisión Nacional de Seguros y Fianzas || Capítulo I 1.2. Concepto de Ciber seguridad Por otra parte, la Organización Internacional de Estandarización (ISO por sus siglas en inglés), en la norma ISO/IEC 270323 define la ciber seguridad como la preservación de la confidencialidad, integridad y disponibilidad de la información en el ciber espacio, el que a su vez se define como el entorno complejo que resulta de la interacción de personas, software y servicios en internet mediante dispositivos tecnológicos y redes conectadas a él, que no existen en cualquier forma física. Asimismo, la Iniciativa Nacional para la profesionalización y estudios en materia de Ciberseguridad 4 (NICCS por sus siglas en inglés) del Departamento de Seguridad Nacional de los Estados Unidos de Norteamérica, define la ciber seguridad como la actividad o proceso, habilidad o capacidad, o estado por el cual los sistemas de información y comunicación, así como la información contenida en ellos, se encuentran protegidos y/o son defendidos contra daños, uso o modificación no autorizados, o su explotación. De lo anterior, podemos deducir que la ciber seguridad se refiere al proceso de proteger la información o sistemas de información, mediante la prevención, detección y respuesta a uno o varios ciber ataques. Como se verá en los capítulos siguientes, la importancia que revisten los conceptos de ciber riesgo y ciber seguridad dentro del entorno de las organizaciones resulta cada vez mayor, en particular en lo que se refiere a las entidades que conforman el sistema financiero por su importancia sistémica. International Organization for Standardization (ISO), norma ISO/IEC 27032, disponible en https://www.iso27001security.com/html/27032.html 3 National Initiative for Cybersecurity Careers and Studies (NICCS), glosario de términos, disponible en https://niccs.us-cert.gov/about-niccs/glossary#C 4 Capítulo 2 Características e importancia del Riesgo Cibernético 2.1. Características del riesgo cibernético De acuerdo con Frieiro (2017), las cuatro características principales de los ataques cibernéticos son las siguientes: Comisión Nacional de Seguros y Fianzas || Capítulo II • • • • 2.2. Bajo costo Ubicuidad y fácil ejecución Efectividad e impacto Reducido riesgo para el atacante Principales tipos de agentes de riesgo Por otra parte, de acuerdo con Frieiro (2017), se pueden identificar a los principales agentes atacantes de acuerdo con la motivación y objetivos que persiguen: • • • • • • • Estados: buscan una posición estratégica y/o geopolítica. Organizaciones criminales: buscan un beneficio económico. Ciber terroristas y Ciber yihadistas: buscan atemorizar e influir en las decisiones políticas. Ciber activistas: motivación ideológica. Ciber vándalos: buscan evidenciar vulnerabilidades, explotar la piratería, diversión, reto. Organizaciones privadas: buscan información de valor o secretos profesionales de la competencia. Agentes internos: buscan venganza o beneficio económico. La siguiente tabla refleja los principales vectores de ataque durante 2016 efectuados por diversos agentes: Tabla 1. Principales vectores de ciber ataque, Frieiro (2016) Agente atacante Estados Organizaciones criminales Víctimas Sector Público Empresas Ciudadanos Ciber espionaje Ciber espionaje político industrial Capacidades Ofensivas Robo, publicación o venta de información Manipulación de Información Disrupción de sistemas Comisión Nacional de Seguros y Fianzas || Capítulo II Ciberactivistas Cibervándalos 2.3. Toma de control de sistemas Propaganda y reclutamiento Robo y publicación de información Disrupción de sistemas Disrupción de sistemas Principales tipos de Ciber ataques. De acuerdo con la clasificación internacional generalmente aceptada, los tipos de ciber ataques se pueden catalogar en cinco tipos: Malware, Phishing, Man-in-the-middle attack, Distributed denial-of-service attack, SQL injection y Zero-day attack. En este estudio se respetarán los nombres en inglés de los tipos anteriores, debido a que la terminología utilizada es de uso común. De acuerdo con el glosario de términos utilizado por NIST5, se tienen los siguientes conceptos: • Malware: es el término simplificado para denotar “malicious code” y consiste en aquel software destinado a realizar un proceso no autorizado que tendrá un impacto adverso en la confidencialidad, integridad o disponibilidad de un sistema de información. Dentro de esta categoría se encuentran principalmente los siguientes tipos: o Virus: Sección oculta y auto replicante de software informático, que se propaga al infectar (es decir, al insertar una copia de sí mismo en otro programa y convertirse en parte de él). Un virus no puede correr solo; requiere que su programa huésped se ejecute para activarlo. o Spyware: Software que se instala de forma secreta o subrepticia en un sistema de información para recopilar información sobre individuos u organizaciones sin su conocimiento. o Adware: Software que reproduce, muestra o descarga automáticamente material publicitario a una computadora después de instalar el software o mientras se utiliza la aplicación. El programa malicioso está diseñado para mostrar publicidades no deseadas en la computadora de la víctima sin su permiso, los pop-ups o anuncios son incontrolables y tienden a comportarse de forma errática, por lo general aparecen muchas veces en la pantalla y resulta tedioso cerrarlos. National Institute of Standards and Technology (NIST), glosario de términos, disponible en https://www.nist.gov/itl/smallbusinesscyber/cybersecurity-basics/glossary 5 Comisión Nacional de Seguros y Fianzas || Capítulo II o Rootkit: Un conjunto de herramientas utilizadas por un atacante después de obtener acceso al nivel de raíz en un host para ocultar las actividades del atacante en el host y permitirle mantener el acceso de nivel de raíz “root” al host a través de medios secretos. En otras palabras, permite a un pirata informático acceder o controlar de forma remota un dispositivo informático o una red sin estar expuesto. Son difíciles de detectar debido a que se activan incluso antes de que se inicie el sistema operativo del sistema. o Trojan Horse: Programa de computadora que parece tener una función útil, pero también tiene una función oculta y potencialmente maliciosa que evade los mecanismos de seguridad, a veces explotando autorizaciones legítimas de una entidad que invoca el programa. o Worm: Es el término simplificado para denotar “write once, read many”, consiste en un programa informático que puede ejecutarse de forma independiente, puede propagar una versión completa de sí mimo en otros host o redes y puede consumir los recursos de una computadora de manera destructiva. En otras palabras, es un código malicioso que se copia asimismo y se esparce hacia otras computadoras, un sistema o red. o Ransomware: Es un virus que impide que el usuario acceda a los archivos o programas y para su eliminación se exige pagar un “rescate” a través de ciertos métodos de pago en línea. Una vez pagada la cantidad, el usuario puede reanudar el uso de su sistema. o Keylogger: Un programa diseñado para registrar qué teclas se presionan en un teclado de computadora que se usa, para obtener contraseñas o claves de cifrado. o Botnet: Es una red de dispositivos que se ha infectado con software malintencionado, como un virus. Los atacantes pueden controlar una botnet como grupo sin el conocimiento del propietario con el objetivo de aumentar la magnitud de sus ataques. A menudo, una botnet se usa para abrumar a los sistemas en un ataque de denegación de servicio distribuido (DDoS). • Phishing: Una técnica para intentar adquirir datos confidenciales, como números de cuentas bancarias, a través de una solicitud fraudulenta en un correo electrónico o en un sitio web, en la que el perpetrador se hace pasar por un negocio legítimo o una persona con reputación. Comisión Nacional de Seguros y Fianzas || Capítulo II • • Man-in-the-middle attack (MitM): Un ataque MitM es cuando un atacante altera la comunicación entre dos usuarios, haciéndose pasar por ambas víctimas para manipularlos y obtener acceso a sus datos. Los usuarios no son conscientes de que realmente se están comunicando con un atacante y no entre ellos. Distributed denial-of-service attack (DDoS): Un ataque de denegación de servicio inunda sistemas, servidores o redes con tráfico para agotar los recursos y el ancho de banda. Como resultado, el sistema no puede cumplir con solicitudes legítimas. Los atacantes también pueden usar múltiples dispositivos comprometidos para lanzar este ataque. Esto se conoce como un ataque de denegación de servicio distribuido. • SQL injection: Ocurre cuando un atacante inserta código malicioso en un servidor que utiliza SQL (Structured Query Language). Sólo tienen éxito cuando existe una vulnerabilidad de seguridad en el software de una aplicación. Los ataques de SQL exitosos obligan a un servidor a proporcionar acceso o modificar datos. • Zero-day attack: Un ataque que explota una vulnerabilidad de hardware, o software desconocida anteriormente. El uso de software obsoleto (no parcheado), abre oportunidades para que los piratas informáticos criminales aprovechen las vulnerabilidades. Una vulnerabilidad de día cero puede ocurrir cuando una vulnerabilidad se hace pública antes de que el desarrollador haya implementado un parche o una solución. 2.4. Importancia del Riesgo Cibernético La facilidad para realizar un ciber ataque, aunado al riesgo bajo para el que lo ejecuta, hace que cada vez se presenten de manera más frecuente este tipo de ataques y se intensifique la severidad del impacto. De acuerdo con el estudio sobre el costo del ciber crimen, desarrollado por Accenture (2019), el número de incidentes de ciber seguridad se incrementó 11% en 2018 respecto al año anterior y representó un incremento del 67% con respecto a hace 5 años. Asimismo, el costo anual derivado del ciber crimen se incrementó 12% respecto al año anterior y representó un incremento del 73% respecto a los últimos 5 años. Por otra parte, de acuerdo con la encuesta sobre la percepción de riesgos globales del Foro Económico Mundial 2017-2018 6 , tanto los ataques cibernéticos como el fraude masivo de datos aparecen en tercer y cuarto lugar, respectivamente, de la lista de principales riesgos globales según la 6 Ver World Economic Forum (2018). probabilidad percibida. En términos de impacto, el daño por ciberataques ocupa el sexto lugar, sólo detrás de los riesgos asociados al clima o la naturaleza y de armas de destrucción masiva. Comisión Nacional de Seguros y Fianzas || Capítulo II Figura #1. Principales riesgos en términos de probabilidad e impacto Fuente: Elaboración con propia con datos de World Economic Forum (2018) Como podemos apreciar, el riesgo cibernético ha ido ganando terreno y constituye uno de los principales ejes de atención en el panorama mundial de la administración de riesgos. En relación con los sectores de la economía, de acuerdo con la encuesta de Accenture (2019), se percibe que las empresas vinculadas al sector financiero se ubican entre las más expuestas al riesgo cibernético y son las que presentan los costos más elevados por la incidencia de ataques, tal y como se muestra en la gráfica 1. Gráfica 1. Costo promedio anual de Ciber crimen por industria 16.55 Banca 15.11 Servicios Públicos 14.46 Software 10.70 Automotriz 12.93 Alta Tecnología 12.90 10.56 2017 15.76 2018 14.69 13.92 13.21 13.77 Energía 10.41 Federal E.U.A. 13.74 8.09 Bienes de Consumo 11.91 Salud 11.82 9.04 Ventas al por menor 10.91 7.55 Medios de Comunicación 4.61 Viajes 6.58 4 9.21 8.15 Sector Público 2 12.86 11.43 5.87 Ciencias de la Vida $ 0 US$ millones 16.04 15.78 Seg uros Mercados de Capitales 18.37 17.84 6 7.91 8 10 12 Fuente: Elaboración con propia con datos de Accenture (2019). 14 16 18 20 Comisión Nacional de Seguros y Fianzas || Capítulo II Cabe resaltar que el sector bancario se constituye como el sector más afectado en términos monetarios por ataques cibernéticos, en tanto que la industria de seguros se ubica ya en quinto lugar mundial con un incremento del 22% en el costo promedio anual de pérdidas para el periodo 2017-2018. De igual manera la encuesta de Accenture (2019) sitúa el uso de malware como el vehículo de ataque más utilizado para perpetrar ataques cibernéticos y es el que genera el mayor número de pérdidas, tal como se muestra en la gráfica 2. El costo promedio anual de ciber crimen vía malware presentó un incremento de 11% en el período 2017-2018. Gráfica 2. Costo promedio anual de ciber crimen por tipo de ataque (Total 2018 = US$13.0 millones) $2,364,806 Malware (+11%) $2,613,952 $2,014,142 Ataque Basado en la Web (+ 13%) $2,275,024 $1,721,285 2018 $1,415,217 Informante Malicioso (+15%) $1,621,075 $1,298,978 Phishing e Ingeniería Social (+ 8%) $1,407,214 $1,282,324 Código Malicioso (+9%) $1,396,603 $865,985 Robo de dispositivos (12%) $973,767 $532,914 Ransomware (+21%) $645,920 $350,012 Botnets (+12%) $ 2017 $1,565,435 Negación de Servicio (+ 10%) $390,752 0 0.5 1 1.5 2 2.5 3 US $millones Fuente: Elaboración con propia con datos de Accenture (2019) Asimismo, la gráfica 3 muestra que los costos monetarios debido a pérdidas de información representan el mayor monto, presentándose en 2018 un incremento del 18% relación con el año anterior. Gráfica 3. Costo promedio anual de ciber crimen por tipo de daño (Total 2018 = US$13.0 millones) 5.9 $7.0 5.0 2.0 2.6 2015 2016 2017 2018 0.5 0.5 0.3 $1.0 0.3 1.5 $2.0 2.3 3.7 4.0 2.7 $3.0 3.8 $4.0 3.4 $5.0 3.0 Comisión Nacional de Seguros y Fianzas || Capítulo II $6.0 $0.0 Interrupción de Negocio Pérdida de Información Pérdida de Ing resos Daño del Equipo Fuente: Elaboración con propia con datos de Accenture (2019) Las cifras anteriores revelan la importancia creciente del riesgo cibernético en el mundo, sin embargo, México no es ajeno a este entorno. De acuerdo con un estudio elaborado en 2018 por el Centro de Estudios Estratégicos e Internacionales 7(CSIS por sus siglas en inglés), en asociación con McAfee, después de Brasil, México es el país que presenta el mayor número de ataques cibernéticos en América Latina. Asimismo, se estima que los delitos cibernéticos costaron al país alrededor de 3 billones de dólares. Por otra parte, según la Encuesta de Delitos Económicos de PWC (2018), el 15% de las empresas en México considera que experimentará un ataque cibernético en los próximos 24 meses. Asimismo, el 56% de las empresas mexicanas encuestadas indicó haber sido víctima de ciberataques por malware y phishing. En este contexto, resulta necesario ubicar a las empresas pertenecientes al sector financiero, las cuales evolucionan a un ritmo acelerado hacia la utilización y creación de nuevos productos y servicios vinculados con la tecnología, por lo que su exposición al riesgo cibernético se hace cada vez más creciente. Las entidades del sector financiero, por su naturaleza, representan en conjunto un conglomerado de empresas con importancia sistémica, en el 7 Ver Center for Strategic & International Studies (2018). Comisión Nacional de Seguros y Fianzas || Capítulo II sentido de que la materialización de los riesgos a que se encuentran expuestas puede llevar consigo un efecto de contagio hacia los distintos sectores de la economía, cuando dichos riesgos no se encuentran debidamente identificados, cuantificados y/o mitigados. En capítulos posteriores se abordará el tema de la ciber seguridad y se presentará el panorama que guarda la misma dentro de la regulación mexicana. 2.5. Casos de incidentes de Ciber seguridad en instituciones de seguros Como se ha mencionado a lo largo del presente estudio, existe un volumen creciente en el número de incidentes de ciber seguridad y resulta especialmente importante el impacto que tienen dentro del sector financiero por las razones anteriormente citadas. En particular, el sector asegurador como parte del sistema financiero, constituye un segmento potencialmente expuesto a ataques cibernéticos. Dado que para efectos del presente estudio el sector asegurador representa especial interés, en esta sección se presentan, a manera de ejemplo, algunos casos recientes de ataques cibernéticos vinculados a dicho sector, tanto en México como en el mundo. • Caso Anthem Blue Cross Health Insurance8 En agosto de 2014, la aseguradora de salud Anthem Blue Cross fue víctima de un ciber ataque en el cual la información de 4.5 millones de usuarios había estado expuesta a una violación en la seguridad de los datos. Se señaló como posibles culpables de estos ataques a hackers chinos que usaron el phishing como herramienta de ataque. Como consecuencia, la aseguradora tuvo que pagar 16 millones de dólares al departamento de salud de los estados unidos por violaciones en la seguridad de la información. • Caso Premera Blue Cross Health Insurance9 El 14 de marzo de 2017, se informó que la aseguradora estadounidense de salud Premera Blue Cross fue víctima de un ataque cibernético que pudo 8 Ver Bank info security. Anthem Hit by Massive Data Breach. Disponible ttps://www.bankinfosecurity.com/anthem-health-hit-by-massive-data-breach-a-7876 9 Ver https://www.reuters.com/article/us-cyberattack-premera/premera-blue-cross-breachedmedical-information-exposed-idUSKBN0MD2FF20150318 en: Comisión Nacional de Seguros y Fianzas || Capítulo II haber expuesto datos médicos e información financiera de 11 millones de clientes. Los atacantes obtuvieron acceso a información de siniestros, incluyendo la información clínica, junto con los números de cuentas bancarias, números de seguridad social, fechas de nacimiento y otros datos en un ataque que comenzó en mayo de 2014. Este hecho constituye una de las violaciones más grande que se haya reportado en relación con la información médica de pacientes. Aproximadamente 6 millones de las personas afectadas residían en el estado de Washington, e incluían empleados de Amazon.com, Microsoft Corp. y Starbucks Corp. El resto se encontraban dispersos en todos los estados de la unión americana. • Caso CareFirst Blue Cross Blue Shield Health Insurance10 En mayo de 2015, la aseguradora de salud, CareFirst Blue Cross Blue Shield, anunció que fue objeto de un sofisticado ciberataque en el cual la información de 1.1 millones de asegurados fueron robados. Si bien no hubo registros de salud ni números de seguridad social en la violación, los atacantes accedieron a una base de datos que contenía nombres, fechas de nacimiento, direcciones de correo electrónico y números de identificación de suscriptores de los clientes de CareFirst. Afortunadamente, las contraseñas necesarias para acceder a las cuentas de los miembros se cifraron y almacenaron por separado. • Caso AXA Seguros, México11 El 23 de octubre de 2018 AXA Seguros, reportó inconsistencias en la conciliación de sus cuentas de tesorería en relación con el sistema de pagos. El área operativa que gestiona los pagos automáticos a través del Sistema de Pagos Electrónicos Interbancarios (SPEI) al realizar una validación de las transacciones, identificó operaciones que no fueron generadas por el flujo normal del aplicativo. AXA, por su parte, confirmó que el ataque fue a sus sistemas de conexión con el SPEI. En enero de 2019 se reportó a la Comisión Nacional de Seguros y Fianzas (CNSF) que el impacto que tuvo el Incidente con AXA ocasionó 140 operaciones no reconocidas y una pérdida económica por alrededor de 57 millones de pesos. Ver http://carefirstanswers.com/ Ver https://www.eleconomista.com.mx/sectorfinanciero/Aseguradora-AXA-sufre-ciberataque20181024-0022.html 10 11 Comisión Nacional de Seguros y Fianzas || Capítulo II Capítulo 3 Gestión del Riesgo Cibernético (Panorama Internacional) En las siguientes secciones se analizará el panorama de la administración de riesgos cibernéticos desde el contexto internacional. 3.1. Organización Internacional de Comisiones de Valores (IOSCO) Comisión Nacional de Seguros y Fianzas || Capítulo III La Organización Internacional de Comisiones de Valores (IOSCO por sus siglas en inglés), en conjunto con el Banco Internacional de Pagos (BIS por sus siglas en inglés), publicaron en noviembre de 2015 el documento denominado “Guidance on cyber resilience for financial market infrastructures”12. Este documento constituye una guía dirigida a los mercados financieros para mejorar su resiliencia cibernética, en reconocimiento a que la operación eficiente de dichos mercados es esencial para mantener y promover la estabilidad financiera y el crecimiento económico. De esta forma, la IOSCO señala ocho elementos clave para la ciber resiliencia de dichos mercados. 1. Gobierno Corporativo efectivo, estableciendo un marco de ciber seguridad que otorgue una alta prioridad a la seguridad y eficiencia de las operaciones. 2. Identificación, comprender la situación interna y los riesgos cibernéticos asociados. 3. Protección, controles de seguridad efectivos en materia de confidencialidad, integridad y disponibilidad de activos y servicios, controles adecuados y efectivos para prevenir, limitar y contener incidentes cibernéticos. 4. Detección, herramientas adecuadas de monitoreo para la detección de ataques cibernéticos. 5. Respuesta y recuperación, contener, reanudar y recuperarse de ataques cibernéticos exitosos. 6. Pruebas, todos los elementos del marco de resiliencia deben probarse rigurosamente para determinar su efectividad general. 7. Conciencia situacional, monitorear proactivamente el panorama de las amenazas cibernéticas, comprender y evitar posibles riesgos cibernéticos. 12 Ver IOSCO-BIS (2015). 8. Aprender y evolucionar, marco adaptativo de resiliencia cibernética que evolucione con la naturaleza dinámica de los riesgos. Comisión Nacional de Seguros y Fianzas || Capítulo III 3.2. Grupo de los 7 (G-7) Reconociendo la persistencia de los riesgos cibernéticos y la necesidad de unir esfuerzos para mejorar la ciberseguridad en el sector financiero, el grupo de países pertenecientes al G-7 desarrolló un conjunto de elementos clave para la evaluación efectiva de la ciberseguridad. Es así como en octubre de 2016, el G-7 publicó el documento “G-7 Fundamental Elements of Cybersecurity for the Financial Sector”13, en el cual se plasman de igual manera los siguientes ocho elementos: Estrategia y Marco de Seguridad, Gobierno Corporativo, Evaluación del riesgo y control, Monitoreo, Respuesta, Recuperación, Intercambio de información y Aprendizaje continuo. En términos generales, aborda los mismos elementos señalados en el marco de resiliencia cibernética de la IOSCO, sólo que hace énfasis en la importancia que tiene el intercambio de información entre entidades externas e internas. 3.3. Organización Internacional de Supervisores de Seguros (IAIS) La Organización Internacional de Supervisores de Seguros (IAIS por sus siglas en inglés), reconoce desde luego la importancia sistémica de los ciber riesgos; en agosto de 2016 emitió el documento denominado “Issues Paper on Cyber Risk to the Insurance Sector”14, en el cual presenta un panorama de los riesgos cibernéticos en el contexto de la problemática particular del sector asegurador. La IAIS señala en el citado documento que el sector asegurador enfrenta riesgos cibernéticos tanto de fuentes internas como externas, incluso a través de terceros, ya que las aseguradoras recopilan, procesan y almacenan volúmenes sustanciales de información, incluida la identificación personal y se encuentran conectadas con otras instituciones financieras a través de múltiples canales, incluidas las actividades de inversión, obtención de capital y emisión de deuda. Asimismo, las aseguradoras llevan a cabo fusiones, adquisiciones y otros cambios en su estructura corporativa que pueden afectar la ciber seguridad, aunado a que subcontratan una variedad de servicios, que 13 14 Ver G-7 (2016). Ver IAIS (2016). pueden aumentar, o en algunos casos disminuir, la exposición al riesgo cibernético. Comisión Nacional de Seguros y Fianzas || Capítulo III La IAIS reconoce que las potenciales pérdidas resultantes de incidentes de ciber seguridad pueden incluir: 1. Pérdida o corrupción de datos confidenciales tanto de la aseguradora como de los asegurados o bien de terceros. 2. Interrupción del negocio. 3. Pérdida física (daños al hardware). 4. Pérdidas financieras. 5. Daños a la reputación. Por otra para una adecuada gestión del ciber riesgo, la IAIS reconoce que es necesario el debido involucramiento de la alta gerencia, con una estructura de gobierno corporativo efectiva y capaz de comprender, prevenir, detectar, responder y abordar incidentes de ciberseguridad. Además, resulta indispensable contar con programa de administración de riesgos que funcione bien y que sea compatible con las mejores prácticas de resiliencia cibernética y deberá implementarse y verificarse a través de una revisión de supervisión continua. La IAIS reconoce como mejores prácticas de ciber resiliencia el marco de ciber seguridad establecido por el NIST, que comprende ocho aspectos fundamentales: 1. Gobierno Corporativo adecuado. 2. Identificación vulnerables. (procesos y funciones del negocio) que son 3. Protección (proteger las interconexiones y otros medios de acceso a amenazas internas y externas a la institución). 4. Detección (monitoreo continuo y completo). 5. Respuesta y Recuperación (planificación de la continuidad del negocio, reanudación de servicios en un plazo razonable y adecuada política de divulgación en caso de crisis) 6. Testing (evaluaciones de vulnerabilidades, pruebas de escenarios, pruebas de penetración) Comisión Nacional de Seguros y Fianzas || Capítulo III 7. Consciencia situacional (la conciencia del entorno contribuye a la identificación de amenazas) 8. Aprendizaje y evolución (evaluar continuamente la efectividad de la gestión del riesgo cibernético, aprender de los eventos e incidentes presentados y monitorear los nuevos desarrollos tecnológicos) En términos generales, estos ocho elementos se encuentran alineados a las mejores prácticas en materia de ciber seguridad señaladas por el G7 y la IOSCO. Por otra parte, cabe mencionar los Principios Básicos de Seguros (PBS) que la IAIS considera que deben tomarse en cuenta para la supervisión del riesgo cibernético: • • • • • PBS 7 (Gobierno Corporativo). PBS 8 (Administración de riesgos y Control Interno). PBS 9 (Revisión del supervisor y presentación de informes). PBS 19 (Conducta de negocio). PBS 21 (Contrarresto del fraude en seguros) Adicionalmente, en relación con el intercambio de información y cooperación entre supervisores, se deberá tomar en cuenta: • • • PBS 3 (Intercambio de información y confidencialidad). PBS 25 (Cooperación y Coordinación entre supervisores). PBS 2 (Cooperación transfronteriza y coordinación en el manejo de crisis). Por último, la IAIS publicó en noviembre de 2018, el documento denominado “Application Paper on Supervision of Insurer Cybersecurity”15, en donde se presentan los lineamientos básicos para supervisores interesados en desarrollar o fortalecer sus marcos de supervisión de riesgo cibernético. 3.4. Directiva Europea Por su parte, la Unión Europea reconoce también que la magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento 15 Ver IAIS (2018). Comisión Nacional de Seguros y Fianzas || Capítulo III de las redes y sistemas de información, así como que este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión. Con fecha 6 de julio de 2016, se publicó en el Diario Oficial las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión16. Con base en esta Directiva se elaboraron leyes específicas en toda Europa en materia de ciber seguridad. 3.5. 3.1.4.1 Reglamento general de protección de datos de la Unión Europea (GDPR) Entró en vigor en mayo de 2018 luego de un período de gracia de dos años; es actualmente el mecanismo más difundido a nivel mundial para proteger los derechos de privacidad del consumidor. Entre otras cosas, este reglamento señala la figura de un oficial de protección de datos, cuya presencia en las empresas e instituciones financieras será obligatoria y cobra vital relevancia ya que entro otras funciones será el encargado de comunicar a la autoridad en un plazo máximo de 72 horas cualquier fallo de seguridad que se presente. 3.6. 31.1.5. Departamento de Servicios Financieros de Nueva York (NYDFS) El Departamento de Servicios Financieros del Estado de Nueva York, como medida de atención a la creciente amenaza que representan las organizaciones terroristas y criminales independientes para los sistemas de información y financieros, emitió en febrero de 2017 la regulación denominada “Cybersecurity Requirements for Financial Services Companies”17, que consiste en una serie de normas mínimas para promover la protección de la información de los clientes, así como los sistemas de información de las entidades reguladas. Es el primero en su tipo, afecta directamente a casi 2,000 aseguradores que se registraron en el estado para establecer y mantener un programa de 16 Ver Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, 6 de julio de 2016. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=EN 17 Ver Requerimientos en Ciber seguridad para Instituciones Financieras del Estado de Nueva York. Disponible en https://www.dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf ciberseguridad. Entró en vigor el 1 de marzo de 2017, con un período de incorporación gradual que finalizó el 1 de marzo de 2019. Comisión Nacional de Seguros y Fianzas || Capítulo III Las empresas sujetas a esta regulación deben considerar: • • • • Creación de una política por escrito de seguridad informática. Designación de un Director de Seguridad de la Información. Realización de pruebas periódicas de penetración y evaluación de vulnerabilidad. Preservación de datos que permitan una reconstrucción precisa de todas las transacciones financieras. Para su cumplimiento, la junta directiva debe participar en la creación de estándares y debe recibir informes periódicos sobre la ciberseguridad. Además, las empresas deben presentar una evaluación de riesgos y salvaguardas en su informe anual a los reguladores. 3.7. Asociación Nacional de Comisionados de Seguros (NAIC) La Asociación Nacional de Comisionados de Seguros de los Estados Unidos (NAIC por sus siglas en inglés), ha implementado varias acciones en materia de ciber seguridad, entre ellas la emisión del documento “Principles for Effective Cybersecurity: Insurance Regulatory Guidance” 18 , que consiste en 12 principios rectores, dirigidos a los reguladores estatales de seguros, como guía regulatoria de seguros para una seguridad cibernética efectiva, en protección de los consumidores. Estos principios están basados en los “Principles for Effective Cybersecurity Regulatory Guidance” emitidos por la Asociación de la Industria de Valores y Mercados Financieros (SIFMA por sus siglas en inglés). • Principios 1 y 2. Los reguladores tienen la responsabilidad de garantizar que la información personal o datos confidenciales de los asegurados en poder de las aseguradoras esté protegida contra los riesgos de ciber seguridad. Asimismo, las entidades deben poder alertar a los asegurados de manera oportuna en caso de una violación a la ciber seguridad. • Principio 3. Los reguladores tienen la obligación de proteger la información que se recopila, almacena y/o transfiere dentro o fuera del supervisor de seguros. 18 Ver NAIC (2015). Comisión Nacional de Seguros y Fianzas || Capítulo III • Principio 4. La regulación en materia de ciber seguridad, debe ser congruente con lo establecido por el NIST. • Principio 5. La regulación debe basarse en el riesgo y considerar los recursos del asegurador y debe existir un mínimo de estándares de seguridad cibernética para ellos, independientemente del tamaño y alcance de sus operaciones. • Principio 6. Los reguladores deben proporcionar una supervisión regulatoria adecuada basada en revisiones basadas en riesgo y financieras y de conducta de mercado en relación con la ciber seguridad. • Principio 7. La planificación de la respuesta a incidentes de ciber seguridad por parte de las aseguradoras es un componente clave para una ciber seguridad eficaz. • Principio 8. Las aseguradoras deben tomar las medidas adecuadas para garantizar que los terceros o proveedores de servicios tengan controles para proteger la información personal. • Principio 9. Los riesgos de ciberseguridad deben incorporarse y abordarse como parte del proceso de administración de riesgos de la entidad. La ciberseguridad trasciende el departamento de tecnologías de la información. • Principio 10. Los hallazgos de la auditoría interna de tecnología de la información que presentan un riesgo importante para una aseguradora deben revisarse con la junta directiva de la aseguradora o con el comité correspondiente. • Principio 11: Es esencial que las aseguradoras estén organizadas para generar una red para compartir información y mantenerse informados sobre las amenazas o vulnerabilidades emergentes, así como el análisis y el intercambio de inteligencia de amenazas físicas. • Principio 12: Es esencial la capacitación periódica y oportuna, junto con una evaluación para los empleados de las aseguradoras y otros terceros, con respecto a los temas de ciberseguridad Capítulo 4 Gestión del Riesgo Cibernético (Panorama Nacional) 4.1. Estudio de hábitos de los usuarios en ciber seguridad De acuerdo con el “Estudio de hábitos de los usuarios en ciberseguridad en México 2019”, llevado a cabo por la Secretaría de Comunicaciones y Transportes (SCT), el 34% de los participantes ha sufrido algún tipo de acoso (bullying), de los cuales dos terceras partes son menores; el 27% de los participantes han sufrido robo de identidad en medios digitales, de los cuales sólo una tercera parte son adultos; asimismo, el 21% de los adultos encuestados ha sufrido fraudes financieros por medios digitales. Comisión Nacional de Seguros y Fianzas || Capítulo IV Este estudio confirma la alta vulnerabilidad de la población mexicana ha sufrir algún tipo de ataque cibernético. Resulta de esta forma imprescindible contar con una política clara en materia de ciber seguridad que conjunte los esfuerzos de todos los actores para tomar las medidas adecuadas para su correcta gestión. A continuación, se abordarán los principales ejes que México ha abordado en materia de ciber seguridad, enfocados en el sistema financiero. 4.2. Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad del Sistema Financiero19 En el marco del primer foro sobre ciber seguridad en el sistema financiero mexicano, denominado “Fortaleciendo la ciberseguridad para la estabilidad del Sistema Financiero Mexicano”, celebrado el 23 de octubre de 2017 por la Secretaría de Hacienda y Crédito Público (SHCP), a través de la Comisión Nacional Bancaria y de Valores (CNBV), se firmó el documento “Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad del Sistema Financiero Mexicano” en el cual los sectores público y privado se comprometieron a colaborar para fortalecer la ciberseguridad del sistema financiero en México, a través de los siguientes cinco principios: 1. Adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciber seguridad, que se autoricen por los órganos de gobierno de mayor decisión y permeen a todos los niveles de la organización. 2. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades, sobre ataques ocurridos en tiempo real y su modo de operación, estrategias de respuesta, nuevas amenazas, así como del resultado de investigaciones y estudios, que permitan a las entidades anticipar 19 Ver Secretaría de Hacienda y Crédito Público (2017). acciones para mitigar los riesgos de ciber ataques; lo anterior, protegiendo la confidencialidad de la información. Comisión Nacional de Seguros y Fianzas || Capítulo IV 3. Impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger las acciones y esfuerzos de las partes, considerando las mejores prácticas y acuerdos internacionales. 4. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país, promoviendo el aprovechamiento de las tecnologías de información para prevenir, identificar, reaccionar, comunicar, tipificar y hacer un frente común ante las amenazas presentes y futuras. 5. Fomentar la educación y cultura de la ciber seguridad entre los usuarios finales y el personal de las propias instituciones que, a través de una capacitación continua, redunde en una participación activa para mitigar los riesgos actuales de ciberataques. Estos principios guardan relación con los principios desarrollados por el G7 y fueron firmados por la CNBV, Asociación de Banqueros de México (ABM), Asociación Mexicana de Intermediarios Bursátiles (AMIB), Asociación Mexicana de Sociedades Financieras Populares (AMSOFIPO), Confederación de Cooperativas de Ahorro y Préstamo de México (CONCAMEX) y la Asociación FinTech México, con la intervención como testigos de honor de Banco de México (BANXICO) y la SHCP. 4.3 Estrategia Nacional de Ciber seguridad20 Publicada en noviembre de 2017, es el documento que establece la visión del Estado mexicano en materia de ciber seguridad a partir del reconocimiento de la importancia de las tecnologías de la información y la comunicación como factor de desarrollo político, social y económico; los riesgos asociados al uso de las tecnologías, el creciente número de ciberdelitos y la necesidad de una cultura general de ciberseguridad. Define objetivos y ejes transversales, plasma los principios rectores, identifica a los diferentes actores involucrados y da claridad sobre la articulación de esfuerzos entre individuos, sociedad civil, organizaciones privadas. 20 Ver Gobierno de México (2017). Comisión Nacional de Seguros y Fianzas || Capítulo IV 4.3 Bases de Coordinación en Materia de Seguridad de la Información21 El 24 de mayo de 2018 se emitieron las Bases de Coordinación en Materia de Seguridad de la Información, como instrumento de colaboración entre las instancias públicas, las asociaciones gremiales y las entidades pertenecientes al sistema financiero mexicano. En este documento se acordó entre otras cosas lo siguiente: 21 Ver Secretaría de Hacienda y Crédito Público (2018). Comisión Nacional de Seguros y Fianzas || Capítulo IV • Las autoridades financieras mantendrán una coordinación efectiva entre ellas, así como implementar mediante la regulación correspondiente los principios básicos en materia de seguridad de la información, tomando en cuenta las mejores prácticas internacionales. • Asimismo, las autoridades financieras acordaron la creación del Grupo de Respuesta a Incidentes Sensibles de Seguridad de la Información (GRI), el cual tiene por objeto coordinar las acciones para dar respuesta a incidentes sensibles de seguridad, así como el intercambio de información entre las partes. • Por su parte las entidades acordaron la creación de un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de la información, estableciendo una estrategia de comunicación para proveer información clara, oportuna y relevante a los clientes. Las Bases de Coordinación fueron firmadas por parte de las autoridades financieras por la SHCP, BANXICO, CNBV, Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR), CNSF y Procuraduría General de la República (PGR). Por parte de las asociaciones gremiales, la ABM, AMIB, Asociación Mexicana de Instituciones de Seguros (AMIS), Asociación Mexicana de Instituciones de Garantías (AMIG), Asociación Mexicana de Afores (AMFORE), AMSOFIPO, Asociación de Almacenes Generales de Depósito (AAGEDE), Asociación de Sociedades Financieras de Objeto Múltiple (ASOFOM), Asociación FinTech México, Asociación de Plataformas de Fondeo Colectivo (AFICO) y CONCAMEX. 4.4. Modificación a la Circular Única de Bancos22 La CNBV mediante resolución publicada en el Diario Oficial de la Federación de fecha 27 de noviembre de 2018, modificó las disposiciones de carácter general aplicables a las instituciones de crédito (Circular Única de Bancos), para incorporar diversas disposiciones en materia de seguridad de la información, con objeto de fortalecer el marco normativo para hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica, así como la confidencialidad, integridad y disponibilidad de la información, a fin de que las instituciones cuenten con medidas específicas tendientes a 22 Ver Comisión Nacional Bancaria y de Valores (2018). Comisión Nacional de Seguros y Fianzas || Capítulo IV proteger su información, dar cereza a la operación y continuidad de los servicios. De manera general, la modificación a la Circular fortalece el marco de gobierno corporativo y control interno en materia de ciber seguridad, estableciendo la figura del oficial en jefe de seguridad de la información. 4.5 Regulación en materia de seguros sobre ciber riesgo y ciber seguridad Dentro del marco regulatorio en materia de seguros en México, la Ley de Instituciones de Seguros y Fianzas (LISF) establece como parte de la gestión del riesgo operativo al riesgo tecnológico, el cual reflejará la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia de sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la realización de las operaciones de las Instituciones. De manera general la LISF aborda el tema de la gestión de riesgo cibernético dentro del riesgo tecnológico, sin embargo, resulta necesario establecer disposiciones específicas en el tema, para estar acorde a los principios y prácticas internacionales. Es por esto, que la CNSF trabaja en el desarrollo de regulación secundaria en materia de seguros enfocada, a la seguridad de la información de las Instituciones, a fin de que estas cuenten con los elementos necesarios para hacer frente a riesgos y ataques informáticos que pudieran afectar sus operaciones y poner en peligro la estabilidad del sistema financiero, en beneficio de los asegurados y afianzados. Conclusiones El riesgo cibernético representa una amenaza creciente a nivel mundial, no sólo en cuanto a la frecuencia de los ataques sino en relación con la cuantía o severidad del impacto monetario que ocasiona en las entidades. Comisión Nacional de Seguros y Fianzas || Conclusiones El sector financiero se constituye como el principal segmento de la economía que es objeto de ataques cibernéticos, y debido a su importancia sistémica, resulta necesario que las instituciones financieras cuenten con un marco regulatorio acorde con los principios y mejores prácticas internacionales en materia de ciber seguridad. El grupo del G-7, así como diversas asociaciones internacionales como la IAIS, IOSCO, BIS, ente otros, han sumado esfuerzos para incorporar en su agenda el tema de la ciber seguridad, adoptando el marco establecido por NIST e ISO. En México, a partir del año 2017, se impulsaron diversas acciones encaminadas al establecimiento de un marco regulatorio en materia de ciber seguridad, comenzando con la emisión de los “Principios para el fortalecimiento de la ciber seguridad para la estabilidad de sistema financiero” teniendo como eje la Estrategia Nacional de Ciber seguridad y utilizando como elemento de vínculo entre las autoridades y entes regulados lo establecido en las bases de coordinación en materia de seguridad de la información. La CNSF se encuentra desarrollando un proyecto de modificación a la Circular Única de Seguros y Fianzas, para incorporar en regulación secundaria disposiciones específicas en materia de seguridad de la información, tomando como base los principios y mejores prácticas internacionales. Por último, la CNSF continuará trabajando para promover el intercambio de información entre autoridades del sector financiero, tanto a nivel nacional como internacional, así como para incorporar al riesgo cibernético dentro de los procesos de supervisión, considerando prácticas específicas que permitan identificar y calcular un requerimiento de capital específico para estos riesgos, así como incluir el reporte de incidentes cibernéticos como parte de los reportes regulatorios actuales. Referencias Accenture (2019). The Cost of Cybercrime. Disponible en: https://www.accenture.com/_acnmedia/PDF-96/Accenture-2019Cost-of-Cybercrime-Study-Final.pdf Comisión Nacional de Seguros y Fianzas || Referencias Center for Strategic & International Studies (2018). Economic Impact of Cybercrime – No Slowing Down. Disponible en: https://www.csis.org/analysis/economic-impact-cybercrime Comisión Nacional Bancaria y de Valores (2018). Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de crédito, DOF 27/11/2018. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5544804&fecha= 27/11/2018 Frieiro, Rubén (2017). Observatorio sobre la reforma de los mercados financieros europeos (2017), Ciberseguridad y Mercados Financieros. Instituto Español de Analistas Financieros. Disponible en: https://www.fef.es/publicaciones/papeles-de-la-fundacion/item/43557-observatorio-sobre-la-reforma-de-los-mercados-financieroseuropeos-2017.html G-7 (2016). G-7 Fundamental Elements of Cybersecurity for the Financial Sector. Disponible en: https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_ Elements_Oct_2016.pdf Gobierno de México (2017). Estrategia Nacional de Ciberseguridad. Disponible en: https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategi a_Nacional_Ciberseguridad.pdf IAIS, (2016). Issues paper on cyber risk to the insurance sector. Disponible en: https://www.iaisweb.org/page/supervisory-material/issuespapers//file/61857/issues-paper-on-cyber-risk-to-the-insurancesector Comisión Nacional de Seguros y Fianzas || Referencias IAIS, (2018). Application Paper on Supervision of Insurer Cybersecurity. Disponible en: https://www.iaisweb.org/page/supervisory-material/applicationpapers//file/77763/application-paper-on-supervision-of-insurercybersecurity IOSCO-BIS (2015). Guidance on cyber resilience for financial market infraestructures. Disponible en: https://www.bis.org/cpmi/publ/d138.pdf NAIC (2015). Principles for Effective Cybersecurity: Insurance Regulatory Guidance. Disponible en: https://www.naic.org/documents/committees_ex_cybersecurity_tf_ final_principles_for_cybersecurity_guidance.pdf Organization of American States (2016). Cybersecurity, Are we Ready in Latin America and the Caribbean. Disponible en: https://www.sbs.ox.ac.uk/cybersecuritycapacity/system/files/Cybersecurity-Are-We-Prepared-in-LatinAmerica-and-the-Caribbean.pdf Parraguez, Luisa (2017). The State of Cybersecurity in Mexico. Disponible en: https://www.wilsoncenter.org/sites/default/files/cybersecurity_in_m exico_an_overview.pdf Promexico (2018). Ciberseguridad, Análisis de Mercado. Disponible en: http://mim.promexico.gob.mx/work/models/mim/templatesnew/Publicaciones/Estudios/Ciberseguridad-Analisis-Mercado.pdf PWC (2018). Encuesta de Delitos Económicos. Disponible en: https://www.pwc.com/mx/es/publicaciones/c2g/2018-04-13encuesta-delitos-economicos-2018-mexicov4.pdf SIFMA (2014). Principles for Effective Cybersecurity Regulatory Guidance. Disponible en: https://www.sifma.org/wpcontent/uploads/2018/01/SIFMA_CyberPrinciples.pdf SCT (2019). Estudio de hábitos de los usuarios en ciberseguridad en México 2019. Disponible en: https://www.gob.mx/cms/uploads/attachment/file/444447/Estudio_ Ciberseguridad.pdf Secretaría de Hacienda y Crédito Público (2017). Fortaleciendo la ciberseguridad para la estabilidad del Sistema Financiero Mexicano. Disponible en: https://www.gob.mx/cms/uploads/attachment/file/274782/Resume n-Ciberseguridad.pdf Secretaría de Hacienda y Crédito Público (2018). Bases de Coordinación en Materia de Seguridad de la Información. Disponible en: https://www.gob.mx/cms/uploads/attachment/file/332603/Ciberseg uridad-Bases_Coordinacion-vCNBV-_24-may18__130_pm_LIMPIA.pdf Willis Towers Watson, (2018). Riesgo Cibernético. Disponible en: https://www.willistowerswatson.com//media/WTW/Insights/2018/12/riesgo-cibernetico-2018-wtw.pdf World Economic Forum (2018). The Global Risks Report 2018 13th Edition. Disponible en: http://www3.weforum.org/docs/WEF_GRR18_Report.pdf