Este documento discute los desafíos que plantea la disrupción digital en la industria de seguros y su impacto en el negocio y la tecnología de la información (TI). Se analizan nuevos modelos de negocio digitales como seguros basados en el comportamiento del conductor y seguros entre pares, así como las oportunidades y amenazas de la Internet de las Cosas. También se discuten temas como la madurez digital, la transformación del rol de TI, la ciberseguridad y la necesidad de adoptar un enfoque á
13. Muchas de las ideas anteriores
no son 100% nuevas …
Pero la tecnología digital les permite alcanzar nuevos
volúmenes, mercados, velocidad …
14. “Your software is your brand. What does this mean for you?”
http://www.cynergy.com/Our-Insights/The-Software-Is-The-Brand
The Software is The Brand
15. * KPMG International Cooperative – Financial Services – Transforming Insurance
La evolución de la inversión en
Tecnología en Seguros …
16. El rol de IT está cambiando …
“CEO now prefers
IT projects that
make money
(63%) rather than
save money
(37%)”
Harvey Nash + KPMG CIO Survey, 2016
18. Pero también, ahora mismo …
Fuente: http://www.insurancetech.com/security/nationwide-security-breach-raises-priority-of-it-security/a/d-id/1314229?
20. * KPMG International Cooperative – Financial Services – Transforming Insurance
Entendiendo la amenaza …
Insurers maintain
large databases of
sensitive client
information (…)
Despite the risk (…)
insurers don’t yet
see themselves as
targets.
21. ¿Cómo podría utilizar un atacante
tales datos?
Cyber Bullying
Ingeniería Social
Suplantación de Identidad Cyber Extorsión
En muchos casos, a fin de obtener acceso a otro objetivo
(e.g. secretos comerciales, tecnológicos, etc).
Etc.
22. La IoT tiene el potencial para causar una
revolución igual a la causada por internet …
… así como de hacer obsoleto nuestro
concepto actual de privacidad!
¿Seguridad, Privacidad e
Internet de las Cosas?
24. Ante este escenario de
oportunidades y amenazas …
¿Cómo nos estamos preparando desde la
tecnología y la cyberseguridad?
25. ¿Qué tipo de jugador digital seremos?
Velocidad
de Adopción
Bajo
Alto
Limitada Amplia
Escéptico
Oportunista
Seguidor
Exploiter
Visión
Arquetipos de Negocios Digitales
26. Escéptico
Oportunista
Seguidor
Exploiter
Aspecto ¿Cómo es en este arquetipo?
Liderazgo Unidades de negocio aisladas.
Estrategia
Digital
Oportunista y “por silos”.
Presupuesto Limitado a presupuesto de unidades de negocio.
Ejecución Proyectos rápidos con recursos externos.
Rol del CIO Soporte
Aspecto ¿Cómo es en este arquetipo?
Liderazgo CEO y Board
Estrategia Digital Top Down, abarcando toda la empresa.
Presupuesto Presupuesto general (cross-área), multianual.
Ejecución Equipos cross – área.
Rol del CIO Visionario, consultor, colaborador.
Aspecto Cómo es en este arquetipo?
Liderazgo CEO y Board
Estrategia Digital Incremental, conservador, de bajo riesgo.
Presupuesto Presupuesto general para proyectos específicos.
Ejecución Centralizado, principalmente con recursos externos.
Rol del CIO Implementador.
Aspecto ¿Cómo es en este arquetipo?
Liderazgo Ninguno.
Estrategia Digital Ninguna.
Presupuesto Sin presupuesto.
Ejecución Ninguno o proyectos aislados.
Rol del CIO No involucrado.
¿Qué tipo de jugador digital seremos?
28. ¿Cuál es nuestra aptitud digital?
Ejemplo del Assessment de Aptitud Digital
(método desarrollado por KPMG)
Líder
En situaciones
diferentes, el CIO / IT
puede tomar roles
diferentes …
Consultor
Evangelizador
…
29. Planificar Construir Operar
¿Continuar con el mismo modelo es opción?
¡Los nuevos entrantes
nacen aquí!
… y, ¿qué modelo operativo
debemos adoptar en este nuevo rol?
30. IT a múltiples velocidades …
(1) El término “bimodal” fue utilizado por primera vez por Gartner. Otro término aproximadamente equivalentes es “Two Speed IT”, entre otros.
El Modo 1 es tradicional y típicamente
secuencial … enfatiza la Seguridad, la
Eficiencia, la Predictibilidad, etc.
El Modo 2 es exploratorio y no
lineal … enfatiza la Adaptabilidad, la
Velocidad, el Aprendizaje Continuo, etc.
31. Modo 1 Modo 2
ObjetivoCONFIABILIDAD AGILIDAD
Valor
FUNCIONALIDAD;
PERFORMANCE
EXPERIENCIA DE
USUARIO; REVENUE
EnfoqueCASCADA Y VARIANTES ÁGIL, BAJA CEREMONIA
Gobierno
ORIENTADO A
APROBACIONES
ORIENTADO A
DESCUBRIMIENTO
Outsourcing
GRANDES CONTRATOS;
VENDORS CLÁSICOS
NUEVOS VENDORS;
CONTRATOS MENORES
TiemposMESES DÍAS / SEMANAS
Talento
HÁBIL EN CUMPLIR
PLANES
HÁBIL EN CONTEXTOS
DE INCERTIDUMBRE
32. Las tecnologías disruptivas llevan
a las organizaciones a repensar el
rol de IT
Damos instrucciones
al Negocio
IT Lidera
Presentamos IT
al negocio
Nivel de
madurez desde
la perspectiva
del time-to-
market y
flexibilidad
Damos soporte al
Negocio
IT facilita al Negocio
aplicaciones y
Tecnología
Facilitamos el
Negocio
IT facilita al Negocio
aplicaciones y
Tecnología.
Gestión de la
Demanda lidera
Innovamos el
Negocio
El negocio se mueve
por lo Digital. IT tiene
una fuerte orientación
al cliente y se
focaliza en atender
su demanda e
impulsar nuevas
iniciativas.
No hacemos
diferencia entre IT y
el Negocio
IT y el Negocio
trabajan en un
enfoque de auto-
soporte a través de
equipos
multidisciplinarios
Tiempo
La mayoría de la organizaciones hoy
33. La tendencia en IT se vuelca a la
agilidad …
Bron: KPMG international framework
El modo antiguo de trabajo:
Los procesos tradicionales permiten pocos releases
a partir de un “gran diseño”
Discovery Navegación Brand Desarrollo Creación de
contenido
Mantenimiento
El modo moderno:
Los procesos ágiles permiten multiples y pequeños
realeases a partir de las necesidades cambiantes de
clientes.
Discovery
NavegaciónBrand
Desarrollo Creación de
contenido
Mantenimiento y mejora contínua
35. La (¿molesta?) comparación con
otros negocios financieros …
Política de Seguridad de la
Información
Continuidad de Negocio
Penetration Test Anual
Clasificación de Activos de
Información
… demás Controles Generales de
Tecnología Informática.
36. Penetration Test Anual
Clasificación de Activos de
Información
Política de Seguridad de la
Información
… demás Controles Generales de
Tecnología Informática.
Continuidad de Negocio
Los atacantes sofisticados actuales, normalmente intencionados y con objetivos
específicos, parten de la existencia de las medidas de base anteriores.
¿ACTUALIZADA? ¿REPRESENTATIVA? ¿FIRMADA? ¿CUBRE NUEVAS TECNOLOGÍAS?
¿SE CONTROLA Y PREMIA SU CUMPLIMIENTO? ¿SE PENALIZA SU NO
CUMPLIMIENTO?
NORMALMENTE UNO DE LOS ELEMENTOS MÁS MADUROS Y SÓLIDOS … SIN
EMBARGO,ESTÁFOCALIZADOSÓLOENDISPONIBILIDAD.
MUCHAS VECES DE ALCANCE MUY LIMITADO A FIN DE REDUCIR SU IMPACTO
PRESUPUESTARIO. SIMULACIONES AVANZADAS CON EXCLUIDAS. REALIZADO
SÓLODOSVECESALAÑO..
FRECUENTEMENTE UN ELEMENTO CASI ESTÁTICO EN VEZ DE ESTAS
CONTINUAMENTE RETROALIMENTADO CON LAS MEDIDAS DE PROTECCIÓN DE
LOSACTIVOS.
RELEVANTES Y GENERALMENTE BIEN IMPLEMENTADOS, PERO TÍPICAMENTE
ELEMENTOSOPERATIVOSYDEBAJONIVEL.
… y aún así …
37. ¿Cuál es su madurez en
Cyberseguridad?
Nivel de Madurez:
Cumplimiento Parcial del Nivel X
Cumplimiento Total
Cumplimiento Avanzado
Cumplimiento Moderado
Cumplimiento Inicial
No Cumple
Recordar: la obtención de valores
iniciales de madurez no
necesariamente implican que
exista una amenaza para X
38. El doble rol de la regulación en IT …
En la industria de seguros … las realidades de IT pueden ser
muy diferentes de una empresa a la otra.
41. … y tres recomendaciones.
Evangelización
Adecuación
Explotación
• Actualización Tecnológica.
• Mix de Talento / Equipos.
• Cyberseguridad.
• Innovación Integrada.
• Agilidad y/o Multimodalidad.
• Analytics Avanzados.
Visión de largo plazo … no es un
proyecto … es un proceso
continuo.
43. Polaroid's bankruptcy is widely believed to be the result of the failure of its
senior management to anticipate the effect of digital cameras on its film
business. This type of managerial failure is also known as the success trap.
Fuente de la Cita: http://en.wikipedia.org/wiki/Polaroid_Corporation
¿La innovación es una opción?
For many companies, like it or not, software has become the primary point of interaction between the brand and its customers and employees. Companies are just now realizing that they need to make major investments into how this software is created, and who creates it. The biggest realization is that the people developing your IT accounting systems aren’t the same people you want to build your next killer mobile applications.
http://hbr.org/2013/03/for-mobile-devices-think-apps-not-ads/ar/pr
Aparentemente, el ataque habría sido esponsoreado por China y utilizado un método estándar. Se obtuvo acceso a una cuenta con gran cantisad de permisos (administrador de bd). Se sospecha que también pudo haber sido malware. El BD se dio cuenta de la fuga cuando vio que había un query masivo que él no había iniciado.
Anthem attack attribution and motive: The attacker was believed to be a state sponsored threat (specifically China), and not cybercrime. However, the data accessed was a type that is in high demand in the cybercrime community – PII (social security numbers, addresses, phone numbers, and email addresses – but not credit cards which are less valuable). The most logical motives are either training/recruitment or espionage. If espionage they may have been looking for a few specific records and grabbed all of them for ease, or less likely there may be something valuable to a government they could determine from a large cache of records.
Method: The method appears to be standard. The attackers gained access to an account with a high level of privileges (e.g. database administrator) in sensitive databases. They then used this access to exfiltrate a large amount of personal data. This was only detected when an admin noticed his account was running a query that wasn’t one he initiated. I have seen malware listed as a potential entry point.
Compañias que aun pelean por el presupuesto de IT y crear un área de IS.
Compañías que ya están llevando la delantera en esto.