181

•

SIN SIGLA

Krmen G

28/3/2024

¡Este material tiene más páginas!

Vista previa del material en texto

S E C R E T A R Í A D E H A C I E N D A
Y C R É D I T O P Ú B L I C O

RIESGO
CIBERNÉTICO Y
CIBERSEGURIDAD
Documento de Trabajo No. 181
2019
Fernando Pérez Márquez
* Las opiniones que aparecen en este artículo son de los
autores y no necesariamente coinciden con las de la CNSF.

C
O
N
TE
N
ID
O
Introducción ……………………………………………………………………….. 3

Capítulo 1. Concepto de Riesgo Cibernético y
Ciber- Seguridad………………………………………………………………..

Capítulo 2. Características e importancia del
Riesgo Cibernético…………………………………………………………….

Capítulo 3. Gestión del Riesgo Cibernético
(Panorama Internacional) ……………………………………………..

Capítulo 4. Gestión del Riesgo Cibernético
(Panorama Nacional) ……………………………………………………….

Conclusiones ………………………………………………………………………. 35

Referencias ………………………………………………………………………….. 37

Introducción

La tecnología evoluciona a una velocidad vertiginosa, las computadoras
que funcionaban hace 35 años lo hacían con procesadores que trabajaban
con capacidades muy inferiores a las que hoy tenemos en un teléfono
móvil sencillo y con mucha menos memoria, resultaría absurdo en
términos de capacidad, la comparación entre una computadora IBM de los
años ochenta con un teléfono inteligente de la actualidad.

Esta evolución tecnológica no sólo se ha dado en cuanto a las capacidades
físicas de los dispositivos, sino también en el uso o finalidad que tienen hoy
en día, así como la facilidad para adquirirlos.

El acceso cada vez más fácil al uso de nuevas y mejores tecnologías, así
como su masificación, ha propiciado un cambio cultural profundo en la
sociedad, no solo porque se hace más fácil la realización de actividades y
procesos, sino porque ha transformado radicalmente la forma en que el ser
humano interactúa con la sociedad y su entorno.

Si bien es cierto que esta nueva “revolución” tecnológica trae consigo
múltiples beneficios a la sociedad, también es cierto que representa una
fuente de riesgo por el uso indebido o mal intencionado.

De acuerdo con Willis Towers Watson (2018), se estimó que en el año 2018
el 83% de las empresas mexicanas fueron víctimas de ciberataques por lo
menos una vez al año, y sólo el 30% de las mismas tenía un plan para
protegerse. Asimismo, en promedio las pérdidas a consecuencia de
ciberataques se encontraban cerca de 1.5 millones de dólares y se estimó
que para este año 2019 el costo total anual por delito cibernético en la
economía mundial podría sobrepasar los 2 billones de dólares.

En este contexto, los mercados financieros y en particular los sectores
asegurador y afianzador, evolucionan a la par de la tecnología con nuevas
herramientas para su operación, así como con productos y servicios
novedosos, quedando potencialmente expuestos a estos riesgos que
pueden impactar directamente en la solvencia y estabilidad de las
instituciones y en consecuencia en menoscabo de los intereses de los
consumidores.

Es por esta razón que el presente estudio busca abordar de manera general
dos conceptos fundamentales: Riesgo Cibernético y Ciber Seguridad, con
el objeto de analizar el panorama que guardan dentro del entorno de los
mercados de seguros y fianzas en México, identificando las fuentes de
riesgo, así como las medidas necesarias para su atención y control.

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
In
tr
o
d
u
cc
ió
n

Capítulo 1
Concepto de Riesgo
Cibernético y Ciberseguridad

1.1. Concepto de Riesgo Cibernético

De acuerdo con el Instituto Nacional de Estándares y Tecnología de los
Estados Unidos de Norteamérica1 (NIST por sus siglas en inglés), se define
el riesgo cibernético como el riesgo de pérdida financiera, interrupción
operativa o daño, debido a la falla de las tecnologías digitales empleadas
para funciones informativas y/o operativas introducidas a un sistema por
medios electrónicos sin acceso autorizado, para el uso, divulgación,
interrupción, modificación o destrucción de los sistemas.

El término riesgo cibernético o ciber riesgo, se encuentra íntimamente
vinculado a los conceptos de ciber amenaza y ciber ataque.

De acuerdo con el Consejo de Investigación de Instituciones Financieras de
los Estados Unidos de Norteamérica2 (FFIEC por sus siglas en inglés), un
ciber ataque se refiere al intento de dañar, interrumpir u obtener acceso no
autorizado a una computadora, sistema informático o red de
comunicaciones electrónicas. Es un ataque a través del ciber espacio,
dirigido a una institución con el propósito de interrumpir, deshabilitar,
destruir o controlar maliciosamente un entorno/infraestructura de
computación, o bien destruir la integridad de los datos o robar la
información controlada.

Asimismo, el organismo refiere el término ciber amenaza como una
circunstancia, evento, acción, ocurrencia o persona con el potencial de
explotar vulnerabilidades basadas en la tecnología e impactar
adversamente en las operaciones, activos de la organización (incluyendo la
información y sistemas de información), individuos, otras organizaciones o
en la sociedad.

Derivado de lo anterior, podemos decir que un ciber ataque corresponde a
la materialización de una o varias ciber amenazas, de esta forma el ciber
riesgo o riesgo cibernético, constituye la probabilidad de ocurrencia de un
ciber ataque con la severidad o daño que dicho ciber ataque pueda
ocasionar; o bien, dicho de otra forma, la pérdida potencial por la
materialización de uno o varios ciber ataques.

Los ciber ataques pueden ocasionar una multiplicidad de daños, esto es,
podrían generar en su caso un efecto de contagio en cadena hacia distintas
entidades o eslabones de la cadena productiva.

1 National Institute of Standards and Technology (NIST), glosario de términos, disponible en
https://csrc.nist.gov/glossary/term/Cyber-Risk
2 Federal Financial Institutions Examination Council (FFIEC), glosario de términos, disponible en
https://ithandbook.ffiec.gov/glossary.aspx
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
I

1.2. Concepto de Ciber seguridad

Por otra parte, la Organización Internacional de Estandarización (ISO por
sus siglas en inglés), en la norma ISO/IEC 270323 define la ciber seguridad
como la preservación de la confidencialidad, integridad y disponibilidad de
la información en el ciber espacio, el que a su vez se define como el entorno
complejo que resulta de la interacción de personas, software y servicios en
internet mediante dispositivos tecnológicos y redes conectadas a él, que
no existen en cualquier forma física.

Asimismo, la Iniciativa Nacional para la profesionalización y estudios en
materia de Ciberseguridad 4 (NICCS por sus siglas en inglés) del
Departamento de Seguridad Nacional de los Estados Unidos de
Norteamérica, define la ciber seguridad como la actividad o proceso,
habilidad o capacidad, o estado por el cual los sistemas de información y
comunicación, así como la información contenida en ellos, se encuentran
protegidos y/o son defendidos contra daños, uso o modificación no
autorizados, o su explotación.

De lo anterior, podemos deducir que la ciber seguridad se refiere al proceso
de proteger la información o sistemas de información, mediante la
prevención, detección y respuesta a uno o varios ciber ataques.

Como se verá en los capítulos siguientes, la importancia que revisten los
conceptos de ciber riesgo y ciber seguridad dentro del entorno de las
organizaciones resulta cada vez mayor, en particular en lo que se refiere a
las entidades que conforman el sistema financiero por su importancia
sistémica.

3 InternationalOrganization for Standardization (ISO), norma ISO/IEC 27032, disponible en
https://www.iso27001security.com/html/27032.html

4 National Initiative for Cybersecurity Careers and Studies (NICCS), glosario de términos, disponible
en https://niccs.us-cert.gov/about-niccs/glossary#C

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
I

Capítulo 2
Características e importancia
del Riesgo Cibernético

2.1. Características del riesgo cibernético

De acuerdo con Frieiro (2017), las cuatro características principales de los
ataques cibernéticos son las siguientes:

• Bajo costo
• Ubicuidad y fácil ejecución
• Efectividad e impacto
• Reducido riesgo para el atacante

2.2. Principales tipos de agentes de riesgo

Por otra parte, de acuerdo con Frieiro (2017), se pueden identificar a los
principales agentes atacantes de acuerdo con la motivación y objetivos
que persiguen:

• Estados: buscan una posición estratégica y/o geopolítica.
• Organizaciones criminales: buscan un beneficio económico.
• Ciber terroristas y Ciber yihadistas: buscan atemorizar e influir en las
decisiones políticas.
• Ciber activistas: motivación ideológica.
• Ciber vándalos: buscan evidenciar vulnerabilidades, explotar la
piratería, diversión, reto.
• Organizaciones privadas: buscan información de valor o secretos
profesionales de la competencia.
• Agentes internos: buscan venganza o beneficio económico.

La siguiente tabla refleja los principales vectores de ataque durante 2016
efectuados por diversos agentes:

Tabla 1. Principales vectores de ciber ataque, Frieiro (2016)
Agente atacante Víctimas
Estados
Sector Público Empresas Ciudadanos
Ciber espionaje
político
Ciber espionaje
industrial

Organizaciones
criminales
Capacidades Ofensivas
Robo, publicación o venta de
información
Manipulación de Información
Disrupción de sistemas
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

Toma de control de sistemas
Propaganda y reclutamiento
Ciberactivistas
Robo y publicación de información
Disrupción de sistemas
Cibervándalos Disrupción de sistemas

2.3. Principales tipos de Ciber ataques.

De acuerdo con la clasificación internacional generalmente aceptada, los
tipos de ciber ataques se pueden catalogar en cinco tipos: Malware,
Phishing, Man-in-the-middle attack, Distributed denial-of-service attack,
SQL injection y Zero-day attack. En este estudio se respetarán los nombres
en inglés de los tipos anteriores, debido a que la terminología utilizada es
de uso común.

De acuerdo con el glosario de términos utilizado por NIST5, se tienen los
siguientes conceptos:
• Malware: es el término simplificado para denotar “malicious code” y
consiste en aquel software destinado a realizar un proceso no
autorizado que tendrá un impacto adverso en la confidencialidad,
integridad o disponibilidad de un sistema de información. Dentro de
esta categoría se encuentran principalmente los siguientes tipos:

o Virus: Sección oculta y auto replicante de software informático, que
se propaga al infectar (es decir, al insertar una copia de sí mismo en
otro programa y convertirse en parte de él). Un virus no puede correr
solo; requiere que su programa huésped se ejecute para activarlo.

o Spyware: Software que se instala de forma secreta o subrepticia en
un sistema de información para recopilar información sobre
individuos u organizaciones sin su conocimiento.

o Adware: Software que reproduce, muestra o descarga
automáticamente material publicitario a una computadora después
de instalar el software o mientras se utiliza la aplicación. El programa
malicioso está diseñado para mostrar publicidades no deseadas en
la computadora de la víctima sin su permiso, los pop-ups o anuncios
son incontrolables y tienden a comportarse de forma errática, por lo
general aparecen muchas veces en la pantalla y resulta tedioso
cerrarlos.

5 National Institute of Standards and Technology (NIST), glosario de términos, disponible en
https://www.nist.gov/itl/smallbusinesscyber/cybersecurity-basics/glossary

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

o Rootkit: Un conjunto de herramientas utilizadas por un atacante
después de obtener acceso al nivel de raíz en un host para ocultar las
actividades del atacante en el host y permitirle mantener el acceso
de nivel de raíz “root” al host a través de medios secretos. En otras
palabras, permite a un pirata informático acceder o controlar de
forma remota un dispositivo informático o una red sin estar
expuesto. Son difíciles de detectar debido a que se activan incluso
antes de que se inicie el sistema operativo del sistema.

o Trojan Horse: Programa de computadora que parece tener una
función útil, pero también tiene una función oculta y potencialmente
maliciosa que evade los mecanismos de seguridad, a veces
explotando autorizaciones legítimas de una entidad que invoca el
programa.

o Worm: Es el término simplificado para denotar “write once, read
many”, consiste en un programa informático que puede ejecutarse
de forma independiente, puede propagar una versión completa de
sí mimo en otros host o redes y puede consumir los recursos de una
computadora de manera destructiva. En otras palabras, es un código
malicioso que se copia asimismo y se esparce hacia otras
computadoras, un sistema o red.

o Ransomware: Es un virus que impide que el usuario acceda a los
archivos o programas y para su eliminación se exige pagar un
“rescate” a través de ciertos métodos de pago en línea. Una vez
pagada la cantidad, el usuario puede reanudar el uso de su sistema.

o Keylogger: Un programa diseñado para registrar qué teclas se
presionan en un teclado de computadora que se usa, para obtener
contraseñas o claves de cifrado.

o Botnet: Es una red de dispositivos que se ha infectado con software
malintencionado, como un virus. Los atacantes pueden controlar
una botnet como grupo sin el conocimiento del propietario con el
objetivo de aumentar la magnitud de sus ataques. A menudo, una
botnet se usa para abrumar a los sistemas en un ataque de
denegación de servicio distribuido (DDoS).

• Phishing: Una técnica para intentar adquirir datos confidenciales, como
números de cuentas bancarias, a través de una solicitud fraudulenta en
un correo electrónico o en un sitio web, en la que el perpetrador se hace
pasar por un negocio legítimo o una persona con reputación.

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

• Man-in-the-middle attack (MitM): Un ataque MitM es cuando un
atacante altera la comunicación entre dos usuarios, haciéndose pasar
por ambas víctimas para manipularlos y obtener acceso a sus datos. Los
usuarios no son conscientes de que realmente se están comunicando
con un atacante y no entre ellos.
• Distributed denial-of-service attack (DDoS): Un ataque de denegación
de servicio inunda sistemas, servidores o redes con tráfico para agotar
los recursos y el ancho de banda. Como resultado, el sistema no puede
cumplir con solicitudes legítimas. Los atacantes también pueden usar
múltiples dispositivos comprometidos para lanzar este ataque. Esto se
conoce como un ataque de denegación de servicio distribuido.

• SQL injection: Ocurre cuando un atacante inserta código malicioso en
un servidor que utiliza SQL (Structured Query Language). Sólo tienen
éxito cuando existe una vulnerabilidad de seguridad en el software de
una aplicación. Los ataques de SQL exitosos obligan a un servidor a
proporcionar acceso o modificar datos.

• Zero-day attack: Un ataque que explotauna vulnerabilidad de
hardware, o software desconocida anteriormente. El uso de software
obsoleto (no parcheado), abre oportunidades para que los piratas
informáticos criminales aprovechen las vulnerabilidades. Una
vulnerabilidad de día cero puede ocurrir cuando una vulnerabilidad se
hace pública antes de que el desarrollador haya implementado un
parche o una solución.

2.4. Importancia del Riesgo Cibernético
La facilidad para realizar un ciber ataque, aunado al riesgo bajo para el que
lo ejecuta, hace que cada vez se presenten de manera más frecuente este
tipo de ataques y se intensifique la severidad del impacto.

De acuerdo con el estudio sobre el costo del ciber crimen, desarrollado por
Accenture (2019), el número de incidentes de ciber seguridad se
incrementó 11% en 2018 respecto al año anterior y representó un
incremento del 67% con respecto a hace 5 años. Asimismo, el costo anual
derivado del ciber crimen se incrementó 12% respecto al año anterior y
representó un incremento del 73% respecto a los últimos 5 años.

Por otra parte, de acuerdo con la encuesta sobre la percepción de riesgos
globales del Foro Económico Mundial 2017-2018 6 , tanto los ataques
cibernéticos como el fraude masivo de datos aparecen en tercer y cuarto
lugar, respectivamente, de la lista de principales riesgos globales según la

6 Ver World Economic Forum (2018).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

probabilidad percibida. En términos de impacto, el daño por ciberataques
ocupa el sexto lugar, sólo detrás de los riesgos asociados al clima o la
naturaleza y de armas de destrucción masiva.

Figura #1. Principales riesgos en términos de probabilidad e impacto
Fuente: Elaboración con propia con datos de World Economic Forum (2018)

Como podemos apreciar, el riesgo cibernético ha ido ganando terreno y
constituye uno de los principales ejes de atención en el panorama mundial
de la administración de riesgos.

En relación con los sectores de la economía, de acuerdo con la encuesta de
Accenture (2019), se percibe que las empresas vinculadas al sector
financiero se ubican entre las más expuestas al riesgo cibernético y son las
que presentan los costos más elevados por la incidencia de ataques, tal y
como se muestra en la gráfica 1.

Gráfica 1. Costo promedio anual de Ciber crimen por industria

Fuente: Elaboración con propia con datos de Accenture (2019).
7.91
8.15
9.21
10.91
11.43
11.82
11.91
13.74
13.77
13.92
14.69
15.76
15.78
16.04
17.84
18.37
6.58
4.61
7.55
5.87
9.04
12.86
8.09
10.41
13.21
10.56
12.90
12.93
10.70
14.46
15.11
16.55
0 2 4 6 8 10 12 14 16 18 20
Sector Público
Viajes
Medios de Comunicación
Ciencias de la Vida
Ventas al por menor
Salud
Bienes de Consumo
Federal E.U.A.
Energía
Mercados de Capitales
Alta Tecnología
Seguros
Automotriz
Software
Servicios Públicos
Banca
2017
2018
US$ millones
$
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

Cabe resaltar que el sector bancario se constituye como el sector más
afectado en términos monetarios por ataques cibernéticos, en tanto que la
industria de seguros se ubica ya en quinto lugar mundial con un
incremento del 22% en el costo promedio anual de pérdidas para el
periodo 2017-2018.

De igual manera la encuesta de Accenture (2019) sitúa el uso de malware
como el vehículo de ataque más utilizado para perpetrar ataques
cibernéticos y es el que genera el mayor número de pérdidas, tal como se
muestra en la gráfica 2. El costo promedio anual de ciber crimen vía
malware presentó un incremento de 11% en el período 2017-2018.

Gráfica 2. Costo promedio anual de ciber crimen por tipo de ataque
(Total 2018 = US$13.0 millones)

Fuente: Elaboración con propia con datos de Accenture (2019)
Asimismo, la gráfica 3 muestra que los costos monetarios debido a
pérdidas de información representan el mayor monto, presentándose en
2018 un incremento del 18% relación con el año anterior.

Gráfica 3. Costo promedio anual de ciber crimen por tipo de daño
(Total 2018 = US$13.0 millones)
$390,752
$645,920
$973,767
$1,396,603
$1,407,214
$1,621,075
$1,721,285
$2,275,024
$2,613,952
$350,012
$532,914
$865,985
$1,282,324
$1,298,978
$1,415,217
$1,565,435
$2,014,142
$2,364,806
0 0.5 1 1.5 2 2.5 3
Botnets (+12%)
Ransomware (+21%)
Robo de dispositivos (12%)
Código Malicioso (+9%)
Phishing e Ingeniería Social (+ 8%)
Informante Malicioso (+15%)
Negación de Servicio (+ 10%)
Ataque Basado en la Web (+ 13%)
Malware (+11%)
2017
2018
US $millones
$
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

Fuente: Elaboración con propia con datos de Accenture (2019)

Las cifras anteriores revelan la importancia creciente del riesgo cibernético
en el mundo, sin embargo, México no es ajeno a este entorno. De acuerdo
con un estudio elaborado en 2018 por el Centro de Estudios Estratégicos e
Internacionales 7(CSIS por sus siglas en inglés), en asociación con McAfee,
después de Brasil, México es el país que presenta el mayor número de
ataques cibernéticos en América Latina. Asimismo, se estima que los
delitos cibernéticos costaron al país alrededor de 3 billones de dólares.

Por otra parte, según la Encuesta de Delitos Económicos de PWC (2018), el
15% de las empresas en México considera que experimentará un ataque
cibernético en los próximos 24 meses. Asimismo, el 56% de las empresas
mexicanas encuestadas indicó haber sido víctima de ciberataques por
malware y phishing.

En este contexto, resulta necesario ubicar a las empresas pertenecientes al
sector financiero, las cuales evolucionan a un ritmo acelerado hacia la
utilización y creación de nuevos productos y servicios vinculados con la
tecnología, por lo que su exposición al riesgo cibernético se hace cada vez
más creciente.

Las entidades del sector financiero, por su naturaleza, representan en
conjunto un conglomerado de empresas con importancia sistémica, en el

7 Ver Center for Strategic & International Studies (2018).
3.
0
2.
7
1.
5
0
.3
3.
4 3
.7
2.
0
0
.3
3.
8
5.
0
2.
3
0
.5
4
.0
5.
9
2.
6
0
.5
$0.0
$1.0
$2.0
$3.0
$4.0
$5.0
$6.0
$7.0
Interrupción de
Negocio
Pérdida de
Información
Pérdida de
Ingresos
Daño del Equipo
2015 2016
2017 2018
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

sentido de que la materialización de los riesgos a que se encuentran
expuestas puede llevar consigo un efecto de contagio hacia los distintos
sectores de la economía, cuando dichos riesgos no se encuentran
debidamente identificados, cuantificados y/o mitigados.

En capítulos posteriores se abordará el tema de la ciber seguridad y se
presentará el panorama que guarda la misma dentro de la regulación
mexicana.

2.5. Casos de incidentes de Ciber seguridad en instituciones de seguros

Como se ha mencionado a lo largo del presente estudio, existe un volumen
creciente en el número de incidentes de ciber seguridad y resulta
especialmente importante el impacto que tienen dentro del sector
financiero por las razones anteriormente citadas. En particular, el sector
asegurador como parte del sistema financiero, constituye un segmento
potencialmente expuesto a ataques cibernéticos.

Dado que para efectos del presente estudio el sector asegurador
representa especial interés, en esta sección se presentan, a manera de
ejemplo, algunos casos recientes de ataques cibernéticos vinculados a
dicho sector, tanto en México como en el mundo.

• Caso Anthem Blue Cross Health Insurance8

En agosto de 2014, la aseguradora de salud Anthem Blue Cross fue víctima
de un ciber ataque en el cual la información de 4.5 millonesde usuarios
había estado expuesta a una violación en la seguridad de los datos. Se
señaló como posibles culpables de estos ataques a hackers chinos que
usaron el phishing como herramienta de ataque. Como consecuencia, la
aseguradora tuvo que pagar 16 millones de dólares al departamento de
salud de los estados unidos por violaciones en la seguridad de la
información.

• Caso Premera Blue Cross Health Insurance9

El 14 de marzo de 2017, se informó que la aseguradora estadounidense de
salud Premera Blue Cross fue víctima de un ataque cibernético que pudo

8 Ver Bank info security. Anthem Hit by Massive Data Breach. Disponible en:
ttps://www.bankinfosecurity.com/anthem-health-hit-by-massive-data-breach-a-7876
9Ver https://www.reuters.com/article/us-cyberattack-premera/premera-blue-cross-breached-
medical-information-exposed-idUSKBN0MD2FF20150318
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

haber expuesto datos médicos e información financiera de 11 millones de
clientes.

Los atacantes obtuvieron acceso a información de siniestros, incluyendo la
información clínica, junto con los números de cuentas bancarias, números
de seguridad social, fechas de nacimiento y otros datos en un ataque que
comenzó en mayo de 2014. Este hecho constituye una de las violaciones
más grande que se haya reportado en relación con la información médica
de pacientes.

Aproximadamente 6 millones de las personas afectadas residían en el
estado de Washington, e incluían empleados de Amazon.com, Microsoft
Corp. y Starbucks Corp. El resto se encontraban dispersos en todos los
estados de la unión americana.

• Caso CareFirst Blue Cross Blue Shield Health Insurance10

En mayo de 2015, la aseguradora de salud, CareFirst Blue Cross Blue Shield,
anunció que fue objeto de un sofisticado ciberataque en el cual la
información de 1.1 millones de asegurados fueron robados. Si bien no hubo
registros de salud ni números de seguridad social en la violación, los
atacantes accedieron a una base de datos que contenía nombres, fechas
de nacimiento, direcciones de correo electrónico y números de
identificación de suscriptores de los clientes de CareFirst.
Afortunadamente, las contraseñas necesarias para acceder a las cuentas
de los miembros se cifraron y almacenaron por separado.

• Caso AXA Seguros, México11
El 23 de octubre de 2018 AXA Seguros, reportó inconsistencias en la
conciliación de sus cuentas de tesorería en relación con el sistema de
pagos. El área operativa que gestiona los pagos automáticos a través del
Sistema de Pagos Electrónicos Interbancarios (SPEI) al realizar una
validación de las transacciones, identificó operaciones que no fueron
generadas por el flujo normal del aplicativo. AXA, por su parte, confirmó
que el ataque fue a sus sistemas de conexión con el SPEI. En enero de 2019
se reportó a la Comisión Nacional de Seguros y Fianzas (CNSF) que el
impacto que tuvo el Incidente con AXA ocasionó 140 operaciones no
reconocidas y una pérdida económica por alrededor de 57 millones de
pesos.

10 Ver http://carefirstanswers.com/
11 Ver https://www.eleconomista.com.mx/sectorfinanciero/Aseguradora-AXA-sufre-ciberataque-
20181024-0022.html
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II

Gestión del Riesgo Cibernético
(Panorama Internacional)
Capítulo 3

En las siguientes secciones se analizará el panorama de la administración
de riesgos cibernéticos desde el contexto internacional.

3.1. Organización Internacional de Comisiones de Valores (IOSCO)

La Organización Internacional de Comisiones de Valores (IOSCO por sus
siglas en inglés), en conjunto con el Banco Internacional de Pagos (BIS por
sus siglas en inglés), publicaron en noviembre de 2015 el documento
denominado “Guidance on cyber resilience for financial market
infrastructures”12.

Este documento constituye una guía dirigida a los mercados financieros
para mejorar su resiliencia cibernética, en reconocimiento a que la
operación eficiente de dichos mercados es esencial para mantener y
promover la estabilidad financiera y el crecimiento económico. De esta
forma, la IOSCO señala ocho elementos clave para la ciber resiliencia de
dichos mercados.

1. Gobierno Corporativo efectivo, estableciendo un marco de ciber
seguridad que otorgue una alta prioridad a la seguridad y eficiencia
de las operaciones.

2. Identificación, comprender la situación interna y los riesgos
cibernéticos asociados.

3. Protección, controles de seguridad efectivos en materia de
confidencialidad, integridad y disponibilidad de activos y servicios,
controles adecuados y efectivos para prevenir, limitar y contener
incidentes cibernéticos.

4. Detección, herramientas adecuadas de monitoreo para la detección
de ataques cibernéticos.

5. Respuesta y recuperación, contener, reanudar y recuperarse de
ataques cibernéticos exitosos.

6. Pruebas, todos los elementos del marco de resiliencia deben
probarse rigurosamente para determinar su efectividad general.

7. Conciencia situacional, monitorear proactivamente el panorama de
las amenazas cibernéticas, comprender y evitar posibles riesgos
cibernéticos.

12 Ver IOSCO-BIS (2015).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

8. Aprender y evolucionar, marco adaptativo de resiliencia cibernética
que evolucione con la naturaleza dinámica de los riesgos.

3.2. Grupo de los 7 (G-7)

Reconociendo la persistencia de los riesgos cibernéticos y la necesidad de
unir esfuerzos para mejorar la ciberseguridad en el sector financiero, el
grupo de países pertenecientes al G-7 desarrolló un conjunto de elementos
clave para la evaluación efectiva de la ciberseguridad. Es así como en
octubre de 2016, el G-7 publicó el documento “G-7 Fundamental Elements
of Cybersecurity for the Financial Sector”13, en el cual se plasman de igual
manera los siguientes ocho elementos: Estrategia y Marco de Seguridad,
Gobierno Corporativo, Evaluación del riesgo y control, Monitoreo,
Respuesta, Recuperación, Intercambio de información y Aprendizaje
continuo.

En términos generales, aborda los mismos elementos señalados en el
marco de resiliencia cibernética de la IOSCO, sólo que hace énfasis en la
importancia que tiene el intercambio de información entre entidades
externas e internas.

3.3. Organización Internacional de Supervisores de Seguros (IAIS)

La Organización Internacional de Supervisores de Seguros (IAIS por sus
siglas en inglés), reconoce desde luego la importancia sistémica de los
ciber riesgos; en agosto de 2016 emitió el documento denominado
“Issues Paper on Cyber Risk to the Insurance Sector”14, en el cual presenta
un panorama de los riesgos cibernéticos en el contexto de la
problemática particular del sector asegurador.

La IAIS señala en el citado documento que el sector asegurador enfrenta
riesgos cibernéticos tanto de fuentes internas como externas, incluso a
través de terceros, ya que las aseguradoras recopilan, procesan y
almacenan volúmenes sustanciales de información, incluida la
identificación personal y se encuentran conectadas con otras
instituciones financieras a través de múltiples canales, incluidas las
actividades de inversión, obtención de capital y emisión de deuda.
Asimismo, las aseguradoras llevan a cabo fusiones, adquisiciones y otros
cambios en su estructura corporativa que pueden afectar la ciber
seguridad, aunado a que subcontratan una variedad de servicios,que

13 Ver G-7 (2016).
14 Ver IAIS (2016).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

pueden aumentar, o en algunos casos disminuir, la exposición al riesgo
cibernético.

La IAIS reconoce que las potenciales pérdidas resultantes de incidentes
de ciber seguridad pueden incluir:

1. Pérdida o corrupción de datos confidenciales tanto de la
aseguradora como de los asegurados o bien de terceros.

2. Interrupción del negocio.

3. Pérdida física (daños al hardware).

4. Pérdidas financieras.

5. Daños a la reputación.

Por otra para una adecuada gestión del ciber riesgo, la IAIS reconoce
que es necesario el debido involucramiento de la alta gerencia, con una
estructura de gobierno corporativo efectiva y capaz de comprender,
prevenir, detectar, responder y abordar incidentes de ciberseguridad.
Además, resulta indispensable contar con programa de administración
de riesgos que funcione bien y que sea compatible con las mejores
prácticas de resiliencia cibernética y deberá implementarse y verificarse
a través de una revisión de supervisión continua.

La IAIS reconoce como mejores prácticas de ciber resiliencia el marco
de ciber seguridad establecido por el NIST, que comprende ocho
aspectos fundamentales:

1. Gobierno Corporativo adecuado.

2. Identificación (procesos y funciones del negocio) que son
vulnerables.

3. Protección (proteger las interconexiones y otros medios de acceso a
amenazas internas y externas a la institución).

4. Detección (monitoreo continuo y completo).

5. Respuesta y Recuperación (planificación de la continuidad del
negocio, reanudación de servicios en un plazo razonable y adecuada
política de divulgación en caso de crisis)

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

6. Testing (evaluaciones de vulnerabilidades, pruebas de escenarios,
pruebas de penetración)

7. Consciencia situacional (la conciencia del entorno contribuye a la
identificación de amenazas)

8. Aprendizaje y evolución (evaluar continuamente la efectividad de la
gestión del riesgo cibernético, aprender de los eventos e incidentes
presentados y monitorear los nuevos desarrollos tecnológicos)

En términos generales, estos ocho elementos se encuentran alineados a las
mejores prácticas en materia de ciber seguridad señaladas por el G7 y la
IOSCO.

Por otra parte, cabe mencionar los Principios Básicos de Seguros (PBS) que
la IAIS considera que deben tomarse en cuenta para la supervisión del
riesgo cibernético:

• PBS 7 (Gobierno Corporativo).
• PBS 8 (Administración de riesgos y Control Interno).
• PBS 9 (Revisión del supervisor y presentación de informes).
• PBS 19 (Conducta de negocio).
• PBS 21 (Contrarresto del fraude en seguros)

Adicionalmente, en relación con el intercambio de información y
cooperación entre supervisores, se deberá tomar en cuenta:

• PBS 3 (Intercambio de información y confidencialidad).
• PBS 25 (Cooperación y Coordinación entre supervisores).
• PBS 2 (Cooperación transfronteriza y coordinación en el manejo de
crisis).

Por último, la IAIS publicó en noviembre de 2018, el documento
denominado “Application Paper on Supervision of Insurer Cybersecurity”15,
en donde se presentan los lineamientos básicos para supervisores
interesados en desarrollar o fortalecer sus marcos de supervisión de riesgo
cibernético.

3.4. Directiva Europea

Por su parte, la Unión Europea reconoce también que la magnitud, la
frecuencia y los efectos de los incidentes de seguridad se están
incrementando y representan una grave amenaza para el funcionamiento

15 Ver IAIS (2018).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

de las redes y sistemas de información, así como que este tipo de
incidentes puede interrumpir las actividades económicas, generar
considerables pérdidas financieras, menoscabar la confianza del usuario y
causar grandes daños a la economía de la Unión.

Con fecha 6 de julio de 2016, se publicó en el Diario Oficial las medidas
destinadas a garantizar un elevado nivel común de seguridad de las redes
y sistemas de información dentro de la Unión16.

Con base en esta Directiva se elaboraron leyes específicas en toda Europa
en materia de ciber seguridad.

3.5. 3.1.4.1 Reglamento general de protección de datos de la Unión
Europea (GDPR)

Entró en vigor en mayo de 2018 luego de un período de gracia de dos años;
es actualmente el mecanismo más difundido a nivel mundial para
proteger los derechos de privacidad del consumidor.

Entre otras cosas, este reglamento señala la figura de un oficial de
protección de datos, cuya presencia en las empresas e instituciones
financieras será obligatoria y cobra vital relevancia ya que entro otras
funciones será el encargado de comunicar a la autoridad en un plazo
máximo de 72 horas cualquier fallo de seguridad que se presente.

3.6. 31.1.5. Departamento de Servicios Financieros de Nueva York
(NYDFS)

El Departamento de Servicios Financieros del Estado de Nueva York, como
medida de atención a la creciente amenaza que representan las
organizaciones terroristas y criminales independientes para los sistemas
de información y financieros, emitió en febrero de 2017 la regulación
denominada “Cybersecurity Requirements for Financial Services
Companies”17, que consiste en una serie de normas mínimas para promover
la protección de la información de los clientes, así como los sistemas de
información de las entidades reguladas.

Es el primero en su tipo, afecta directamente a casi 2,000 aseguradores que
se registraron en el estado para establecer y mantener un programa de

16 Ver Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, 6 de julio de 2016. Disponible
en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=EN
17 Ver Requerimientos en Ciber seguridad para Instituciones Financieras del Estado de Nueva York.
Disponible en https://www.dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

ciberseguridad. Entró en vigor el 1 de marzo de 2017, con un período de
incorporación gradual que finalizó el 1 de marzo de 2019.

Las empresas sujetas a esta regulación deben considerar:
• Creación de una política por escrito de seguridad informática.
• Designación de un Director de Seguridad de la Información.
• Realización de pruebas periódicas de penetración y evaluación de
vulnerabilidad.
• Preservación de datos que permitan una reconstrucción precisa de
todas las transacciones financieras.
Para su cumplimiento, la junta directiva debe participar en la creación de
estándares y debe recibir informes periódicos sobre la ciberseguridad.
Además, las empresas deben presentar una evaluación de riesgos y
salvaguardas en su informe anual a los reguladores.

3.7. Asociación Nacional de Comisionados de Seguros (NAIC)

La Asociación Nacional de Comisionados de Seguros de los Estados Unidos
(NAIC por sus siglas en inglés), ha implementado varias acciones en
materia de ciber seguridad, entre ellas la emisión del documento
“Principles for Effective Cybersecurity: Insurance Regulatory Guidance”18,
que consiste en 12 principios rectores, dirigidos a los reguladores estatales
de seguros, como guía regulatoria de seguros para una seguridad
cibernética efectiva, en protección de los consumidores. Estos principios
están basados en los “Principles for Effective Cybersecurity Regulatory
Guidance” emitidos por la Asociación de la Industria de Valores y Mercados
Financieros (SIFMA por sus siglas en inglés).

• Principios 1y 2. Los reguladores tienen la responsabilidad de garantizar
que la información personal o datos confidenciales de los asegurados
en poder de las aseguradoras esté protegida contra los riesgos de ciber
seguridad. Asimismo, las entidades deben poder alertar a los
asegurados de manera oportuna en caso de una violación a la ciber
seguridad.

• Principio 3. Los reguladores tienen la obligación de proteger la
información que se recopila, almacena y/o transfiere dentro o fuera del
supervisor de seguros.

18 Ver NAIC (2015).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

• Principio 4. La regulación en materia de ciber seguridad, debe ser
congruente con lo establecido por el NIST.

• Principio 5. La regulación debe basarse en el riesgo y considerar los
recursos del asegurador y debe existir un mínimo de estándares de
seguridad cibernética para ellos, independientemente del tamaño y
alcance de sus operaciones.

• Principio 6. Los reguladores deben proporcionar una supervisión
regulatoria adecuada basada en revisiones basadas en riesgo y
financieras y de conducta de mercado en relación con la ciber
seguridad.

• Principio 7. La planificación de la respuesta a incidentes de ciber
seguridad por parte de las aseguradoras es un componente clave para
una ciber seguridad eficaz.

• Principio 8. Las aseguradoras deben tomar las medidas adecuadas para
garantizar que los terceros o proveedores de servicios tengan controles
para proteger la información personal.

• Principio 9. Los riesgos de ciberseguridad deben incorporarse y
abordarse como parte del proceso de administración de riesgos de la
entidad. La ciberseguridad trasciende el departamento de tecnologías
de la información.

• Principio 10. Los hallazgos de la auditoría interna de tecnología de la
información que presentan un riesgo importante para una aseguradora
deben revisarse con la junta directiva de la aseguradora o con el comité
correspondiente.

• Principio 11: Es esencial que las aseguradoras estén organizadas para
generar una red para compartir información y mantenerse informados
sobre las amenazas o vulnerabilidades emergentes, así como el análisis
y el intercambio de inteligencia de amenazas físicas.

• Principio 12: Es esencial la capacitación periódica y oportuna, junto con
una evaluación para los empleados de las aseguradoras y otros terceros,
con respecto a los temas de ciberseguridad

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
II
I

Capítulo 4
Gestión del Riesgo Cibernético
(Panorama Nacional)

4.1. Estudio de hábitos de los usuarios en ciber seguridad

De acuerdo con el “Estudio de hábitos de los usuarios en ciberseguridad en
México 2019”, llevado a cabo por la Secretaría de Comunicaciones y
Transportes (SCT), el 34% de los participantes ha sufrido algún tipo de
acoso (bullying), de los cuales dos terceras partes son menores; el 27% de
los participantes han sufrido robo de identidad en medios digitales, de los
cuales sólo una tercera parte son adultos; asimismo, el 21% de los adultos
encuestados ha sufrido fraudes financieros por medios digitales.

Este estudio confirma la alta vulnerabilidad de la población mexicana ha
sufrir algún tipo de ataque cibernético.

Resulta de esta forma imprescindible contar con una política clara en
materia de ciber seguridad que conjunte los esfuerzos de todos los actores
para tomar las medidas adecuadas para su correcta gestión. A
continuación, se abordarán los principales ejes que México ha abordado en
materia de ciber seguridad, enfocados en el sistema financiero.

4.2. Principios para el Fortalecimiento de la Ciberseguridad para la
Estabilidad del Sistema Financiero19

En el marco del primer foro sobre ciber seguridad en el sistema financiero
mexicano, denominado “Fortaleciendo la ciberseguridad para la
estabilidad del Sistema Financiero Mexicano”, celebrado el 23 de octubre
de 2017 por la Secretaría de Hacienda y Crédito Público (SHCP), a través de
la Comisión Nacional Bancaria y de Valores (CNBV), se firmó el documento
“Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad
del Sistema Financiero Mexicano” en el cual los sectores público y privado
se comprometieron a colaborar para fortalecer la ciberseguridad del
sistema financiero en México, a través de los siguientes cinco principios:

1. Adoptar y mantener actualizadas políticas, métodos y controles para
identificar, evaluar, prevenir y mitigar los riesgos de ciber seguridad, que
se autoricen por los órganos de gobierno de mayor decisión y permeen
a todos los niveles de la organización.

2. Establecer mecanismos seguros para el intercambio de información
entre los integrantes del sistema financiero y las autoridades, sobre
ataques ocurridos en tiempo real y su modo de operación, estrategias
de respuesta, nuevas amenazas, así como del resultado de
investigaciones y estudios, que permitan a las entidades anticipar

19 Ver Secretaría de Hacienda y Crédito Público (2017).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
IV

acciones para mitigar los riesgos de ciber ataques; lo anterior,
protegiendo la confidencialidad de la información.

3. Impulsar iniciativas para actualizar los marcos regulatorios y legales que
den soporte y hagan converger las acciones y esfuerzos de las partes,
considerando las mejores prácticas y acuerdos internacionales.

4. Colaborar en proyectos para fortalecer los controles de seguridad de los
distintos componentes de las infraestructuras y plataformas operativas
que soportan los servicios financieros del país, promoviendo el
aprovechamiento de las tecnologías de información para prevenir,
identificar, reaccionar, comunicar, tipificar y hacer un frente común
ante las amenazas presentes y futuras.

5. Fomentar la educación y cultura de la ciber seguridad entre los usuarios
finales y el personal de las propias instituciones que, a través de una
capacitación continua, redunde en una participación activa para
mitigar los riesgos actuales de ciberataques.

Estos principios guardan relación con los principios desarrollados por el G-
7 y fueron firmados por la CNBV, Asociación de Banqueros de México
(ABM), Asociación Mexicana de Intermediarios Bursátiles (AMIB),
Asociación Mexicana de Sociedades Financieras Populares (AMSOFIPO),
Confederación de Cooperativas de Ahorro y Préstamo de México
(CONCAMEX) y la Asociación FinTech México, con la intervención como
testigos de honor de Banco de México (BANXICO) y la SHCP.

4.3 Estrategia Nacional de Ciber seguridad20

Publicada en noviembre de 2017, es el documento que establece la visión
del Estado mexicano en materia de ciber seguridad a partir del
reconocimiento de la importancia de las tecnologías de la información y la
comunicación como factor de desarrollo político, social y económico; los
riesgos asociados al uso de las tecnologías, el creciente número de
ciberdelitos y la necesidad de una cultura general de ciberseguridad.

Define objetivos y ejes transversales, plasma los principios rectores,
identifica a los diferentes actores involucrados y da claridad sobre la
articulación de esfuerzos entre individuos, sociedad civil, organizaciones
privadas.

20 Ver Gobierno de México (2017).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
IV

4.3 Bases de Coordinación en Materia de Seguridad de la Información21

El 24 de mayo de 2018 se emitieron las Bases de Coordinaciónen Materia
de Seguridad de la Información, como instrumento de colaboración entre
las instancias públicas, las asociaciones gremiales y las entidades
pertenecientes al sistema financiero mexicano.

En este documento se acordó entre otras cosas lo siguiente:

21 Ver Secretaría de Hacienda y Crédito Público (2018).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
IV

• Las autoridades financieras mantendrán una coordinación efectiva
entre ellas, así como implementar mediante la regulación
correspondiente los principios básicos en materia de seguridad de la
información, tomando en cuenta las mejores prácticas
internacionales.

• Asimismo, las autoridades financieras acordaron la creación del
Grupo de Respuesta a Incidentes Sensibles de Seguridad de la
Información (GRI), el cual tiene por objeto coordinar las acciones
para dar respuesta a incidentes sensibles de seguridad, así como el
intercambio de información entre las partes.

• Por su parte las entidades acordaron la creación de un equipo
interno de identificación y respuesta a incidentes sensibles de
seguridad de la información, estableciendo una estrategia de
comunicación para proveer información clara, oportuna y relevante
a los clientes.

Las Bases de Coordinación fueron firmadas por parte de las autoridades
financieras por la SHCP, BANXICO, CNBV, Comisión Nacional para la
Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF),
Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR), CNSF y
Procuraduría General de la República (PGR). Por parte de las asociaciones
gremiales, la ABM, AMIB, Asociación Mexicana de Instituciones de Seguros
(AMIS), Asociación Mexicana de Instituciones de Garantías (AMIG),
Asociación Mexicana de Afores (AMFORE), AMSOFIPO, Asociación de
Almacenes Generales de Depósito (AAGEDE), Asociación de Sociedades
Financieras de Objeto Múltiple (ASOFOM), Asociación FinTech México,
Asociación de Plataformas de Fondeo Colectivo (AFICO) y CONCAMEX.

4.4. Modificación a la Circular Única de Bancos22

La CNBV mediante resolución publicada en el Diario Oficial de la
Federación de fecha 27 de noviembre de 2018, modificó las disposiciones
de carácter general aplicables a las instituciones de crédito (Circular Única
de Bancos), para incorporar diversas disposiciones en materia de seguridad
de la información, con objeto de fortalecer el marco normativo para hacer
frente a riesgos y ataques informáticos que pudieran ocasionar
afectaciones a las instituciones de crédito, estableciendo un régimen que
procure garantizar la seguridad de la infraestructura tecnológica, así como
la confidencialidad, integridad y disponibilidad de la información, a fin de
que las instituciones cuenten con medidas específicas tendientes a

22 Ver Comisión Nacional Bancaria y de Valores (2018).
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
IV

proteger su información, dar cereza a la operación y continuidad de los
servicios.

De manera general, la modificación a la Circular fortalece el marco de
gobierno corporativo y control interno en materia de ciber seguridad,
estableciendo la figura del oficial en jefe de seguridad de la información.

4.5 Regulación en materia de seguros sobre ciber riesgo y ciber seguridad

Dentro del marco regulatorio en materia de seguros en México, la Ley de
Instituciones de Seguros y Fianzas (LISF) establece como parte de la gestión
del riesgo operativo al riesgo tecnológico, el cual reflejará la pérdida
potencial por daños, interrupción, alteración o fallas derivadas del uso o
dependencia de sistemas, aplicaciones, redes y cualquier otro canal de
distribución de información en la realización de las operaciones de las
Instituciones.

De manera general la LISF aborda el tema de la gestión de riesgo
cibernético dentro del riesgo tecnológico, sin embargo, resulta necesario
establecer disposiciones específicas en el tema, para estar acorde a los
principios y prácticas internacionales.

Es por esto, que la CNSF trabaja en el desarrollo de regulación secundaria
en materia de seguros enfocada, a la seguridad de la información de las
Instituciones, a fin de que estas cuenten con los elementos necesarios para
hacer frente a riesgos y ataques informáticos que pudieran afectar sus
operaciones y poner en peligro la estabilidad del sistema financiero, en
beneficio de los asegurados y afianzados.

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
ap
ít
u
lo
IV

Conclusiones

El riesgo cibernético representa una amenaza creciente a nivel mundial, no
sólo en cuanto a la frecuencia de los ataques sino en relación con la cuantía
o severidad del impacto monetario que ocasiona en las entidades.

El sector financiero se constituye como el principal segmento de la
economía que es objeto de ataques cibernéticos, y debido a su importancia
sistémica, resulta necesario que las instituciones financieras cuenten con
un marco regulatorio acorde con los principios y mejores prácticas
internacionales en materia de ciber seguridad.

El grupo del G-7, así como diversas asociaciones internacionales como la
IAIS, IOSCO, BIS, ente otros, han sumado esfuerzos para incorporar en su
agenda el tema de la ciber seguridad, adoptando el marco establecido por
NIST e ISO.

En México, a partir del año 2017, se impulsaron diversas acciones
encaminadas al establecimiento de un marco regulatorio en materia de
ciber seguridad, comenzando con la emisión de los “Principios para el
fortalecimiento de la ciber seguridad para la estabilidad de sistema
financiero” teniendo como eje la Estrategia Nacional de Ciber seguridad y
utilizando como elemento de vínculo entre las autoridades y entes
regulados lo establecido en las bases de coordinación en materia de
seguridad de la información.

La CNSF se encuentra desarrollando un proyecto de modificación a la
Circular Única de Seguros y Fianzas, para incorporar en regulación
secundaria disposiciones específicas en materia de seguridad de la
información, tomando como base los principios y mejores prácticas
internacionales.

Por último, la CNSF continuará trabajando para promover el intercambio
de información entre autoridades del sector financiero, tanto a nivel
nacional como internacional, así como para incorporar al riesgo
cibernético dentro de los procesos de supervisión, considerando prácticas
específicas que permitan identificar y calcular un requerimiento de capital
específico para estos riesgos, así como incluir el reporte de incidentes
cibernéticos como parte de los reportes regulatorios actuales.

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
C
o
n
cl
u
si
o
n
es

Referencias

Accenture (2019). The Cost of Cybercrime. Disponible en:
https://www.accenture.com/_acnmedia/PDF-96/Accenture-2019-
Cost-of-Cybercrime-Study-Final.pdf

Center for Strategic & International Studies (2018). Economic Impact of
Cybercrime – No Slowing Down. Disponible en:
https://www.csis.org/analysis/economic-impact-cybercrime

Comisión Nacional Bancaria y de Valores (2018). Resolución que modifica
las disposiciones de carácter general aplicables a las instituciones de
crédito, DOF 27/11/2018. Disponible en:
https://www.dof.gob.mx/nota_detalle.php?codigo=5544804&fecha=
27/11/2018

Frieiro, Rubén (2017). Observatorio sobre la reforma de los mercados
financieros europeos (2017), Ciberseguridad y Mercados Financieros.
Instituto Españolde Analistas Financieros. Disponible en:
https://www.fef.es/publicaciones/papeles-de-la-fundacion/item/435-
57-observatorio-sobre-la-reforma-de-los-mercados-financieros-
europeos-2017.html

G-7 (2016). G-7 Fundamental Elements of Cybersecurity for the Financial
Sector. Disponible en:
https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_
Elements_Oct_2016.pdf

Gobierno de México (2017). Estrategia Nacional de Ciberseguridad.
Disponible en:
https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategi
a_Nacional_Ciberseguridad.pdf

IAIS, (2016). Issues paper on cyber risk to the insurance sector. Disponible
en:
https://www.iaisweb.org/page/supervisory-material/issues-
papers//file/61857/issues-paper-on-cyber-risk-to-the-insurance-
sector

C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
R
ef
er
en
ci
as

IAIS, (2018). Application Paper on Supervision of Insurer Cybersecurity.
Disponible en:
https://www.iaisweb.org/page/supervisory-material/application-
papers//file/77763/application-paper-on-supervision-of-insurer-
cybersecurity

IOSCO-BIS (2015). Guidance on cyber resilience for financial market
infraestructures. Disponible en:
https://www.bis.org/cpmi/publ/d138.pdf

NAIC (2015). Principles for Effective Cybersecurity: Insurance Regulatory
Guidance. Disponible en:
https://www.naic.org/documents/committees_ex_cybersecurity_tf_
final_principles_for_cybersecurity_guidance.pdf

Organization of American States (2016). Cybersecurity, Are we Ready in
Latin America and the Caribbean. Disponible en:
https://www.sbs.ox.ac.uk/cybersecurity-
capacity/system/files/Cybersecurity-Are-We-Prepared-in-Latin-
America-and-the-Caribbean.pdf

Parraguez, Luisa (2017). The State of Cybersecurity in Mexico. Disponible en:
https://www.wilsoncenter.org/sites/default/files/cybersecurity_in_m
exico_an_overview.pdf

Promexico (2018). Ciberseguridad, Análisis de Mercado. Disponible en:
http://mim.promexico.gob.mx/work/models/mim/templates-
new/Publicaciones/Estudios/Ciberseguridad-Analisis-Mercado.pdf

PWC (2018). Encuesta de Delitos Económicos. Disponible en:
https://www.pwc.com/mx/es/publicaciones/c2g/2018-04-13-
encuesta-delitos-economicos-2018-mexicov4.pdf

SIFMA (2014). Principles for Effective Cybersecurity Regulatory Guidance.
Disponible en:
https://www.sifma.org/wp-
content/uploads/2018/01/SIFMA_CyberPrinciples.pdf
C
o
m
is
ió
n
N
ac
io
n
al
d
e
S
eg
u
ro
s
y
Fi
an
za
s
||
R
ef
er
en
ci
as

SCT (2019). Estudio de hábitos de los usuarios en ciberseguridad en México
2019. Disponible en:
https://www.gob.mx/cms/uploads/attachment/file/444447/Estudio_
Ciberseguridad.pdf

Secretaría de Hacienda y Crédito Público (2017). Fortaleciendo la
ciberseguridad para la estabilidad del Sistema Financiero Mexicano.
Disponible en:
https://www.gob.mx/cms/uploads/attachment/file/274782/Resume
n-Ciberseguridad.pdf

Secretaría de Hacienda y Crédito Público (2018). Bases de Coordinación en
Materia de Seguridad de la Información. Disponible en:
https://www.gob.mx/cms/uploads/attachment/file/332603/Ciberseg
uridad-Bases_Coordinacion-vCNBV-_24-may-
18__130_pm_LIMPIA.pdf

Willis Towers Watson, (2018). Riesgo Cibernético. Disponible en:
https://www.willistowerswatson.com/-
/media/WTW/Insights/2018/12/riesgo-cibernetico-2018-wtw.pdf

World Economic Forum (2018). The Global Risks Report 2018 13th Edition.
Disponible en:
http://www3.weforum.org/docs/WEF_GRR18_Report.pdf