México, tercer lugar mundial en producción y tráfico de heroína: director antidrogas de la FGR.


México alcanzó el tercer lugar mundial en la producción y tráfico de heroína, asegura en entrevista Óscar Santiago Quintos, actual director de la Oficina Nacional de Política de Drogas de la Agencia de Investigación Criminal, que depende de la Fiscalía General de la República (FGR).

Ello ha exigido a las organizaciones criminales el diseño de nuevas rutas. También han ido mutando y adhiriéndose a otras más fuertes que trafican con menos gente mayores cantidades de drogas con alta potencia. Este fenómeno, indica, ha generado mayores conflictos en zonas urbanas respecto al control de venta de las sustancias. Además, los aseguramientos han crecido en sustancias psicoactivas y opioides sintéticos.

Para el maestro en políticas públicas por el Instituto Tecnológico y de Estudios Superiores de Monterrey, es difícil actualmente hablar de cárteles; pero, dice, el que predomina es el de Sinaloa, cuyo centro de operaciones sigue siendo el Triángulo Dorado (ubicado en los límites de Chihuahua, Sinaloa y Durango).

El también licenciado en ciencias políticas por la Universidad Nacional Autónoma de México señala que “ahora la entrada de droga busca más la parte limítrofe de California con Arizona. Los productores y traficantes de heroína se concentran en Guerrero, Oaxaca y en el Triángulo Dorado. Éstos dejaron gran parte de la ruta tradicional del Pacífico y se internan por el corredor Arizona y Nuevo México”.

—¿Cuáles son las principales rutas del tráfico de drogas en el nuevo esquema criminal? –se le pregunta al coautor de libros Analista en el nuevo sistema de justicia penal (2017), Inteligencia en el nuevo sistema de justicia penal (Inacipe), y México: monitoreo de cultivos de amapola 2015-2016 y 2016-2017 (ONU, noviembre 2018).

—El comportamiento ha cambiado: en mariguana hay una disminución en el número de plantíos localizados y destruidos por el Ejército Mexicano. El mercado se contrajo desde hace varios años: uno, por la regulación en varios estados de la Unión Americana y Canadá. Y, dos, porque se abrió una nueva veta a los opioides sintéticos y esto demanda otra reconfiguración de tráfico. Respecto a la cocaína, Colombia y los países andinos han tenido producción récord, y además de utilizar las rutas clásica de Chiapas, Oaxaca, Guerrero y Quintana Roo, ahora explotan sub-rutas, a partir de la disponibilidad de combustible y alta tecnología de navegación.

Por la trasnacionalidad y el poder económico que se requiere, difícilmente más de dos organizaciones podrían hacerlo, y el mercado de las metanfetaminas tampoco tendría capacidad de traer insumos, precursores y químicos a México, producir metanfetamina y llevarla al mercado europeo, América del Norte u Oceanía, considera.

Santiago Quintos despacha en la sede de la Agencia de Investigación Criminal, en avenida Río San Joaquín, donde operó la fallida Agencia Federal de Investigación en los sexenios de Vicente Fox y Felipe Calderón, y donde el funcionario ha laborado durante los últimos 15 años.

—¿Cuál es la perspectiva con el gobierno de la “cuarta transformación” en el combate a las drogas después de 3 sexenios de fracasos, muertes, desapariciones y deterioro del tejido social?

—Como Fiscalía enfrentamos el fenómeno de las drogas muy en concordancia con lo que se señaló en la reunión plenaria de la Asamblea General de Naciones Unidas sobre Drogas 2016: ahí se revisó la política internacional y se hizo énfasis en las fallas. Se halló sólo políticas punitivas, exclusivas dedicadas a destrucción de cultivos, aseguramientos y detención de personas. Se imponía una política dictada por la comunidad internacional y se dejaron de lado los escenarios locales. Además, se desatendió la parte urbana, a los usuarios y consumidores. Ahora los retos todavía son mayores, por los daños asociados al consumo, a usuarios, y para las dependencias de seguridad y justicia que tienen que atender los daños que están ocasionando la producción de drogas ilegales.

Para el experto, el reto inmediato es muy grande: en breve estarán disponibles en el mercado cerca de 700 sustancias psicoactivas, de las cuales se desconocerse su composición química y sus efectos en la salud. Por tal, se tendrán que identificar las diferentes formas de transportación y fabricación, el uso de paquetería, mensajería, internet y la deep web.

—¿Parece no estar clara la política antidrogas de México, primero por la posición de López Obrador que ha sido entre la amnistía, el perdón, el amor y paz, el punto final y, por otro lado, la realidad donde está desatado el crimen organizado en el país?

—Desde la Fiscalía nos toca dar seguimiento a la evolución del fenómeno delictivo, guiarnos por el marco jurídico vigente; desde ese punto de vista, estamos aportando investigación orientada a [descubrir la] producción, tráfico y destino final de las drogas. Lo que hay alrededor del mercado de drogas es violencia asociada a esas etapas de asegurar la producción, el uso de mercados internacionales para la fabricación de metanfetamina o en estar atentos en evitar el tráfico terrestre, aéreo o marítimo para inhibir disponibilidad en las calles.

Es decir, a la FGR le toca el acompañamiento al gobierno en el cumplimiento de leyes y el valor agregado de la Fiscalía es hacerse de mayores elementos para que atienda el mercado criminal desde dos enfoques, considera.

El primero de ellos, observa Santiago Quintos, es el aprovechamiento de toda la información disponible de las unidades de investigación de la FGR: la coordinación de métodos de la Agencia de Investigación Criminal, de la Policía Federal Ministerial, los servicios periciales para que podamos romper la cadena delictiva y de valor que utilizan las organizaciones criminales.

Y en segundo lugar, a partir de la reforma a la Ley General de Salud que faculta a fiscalías estatales a atender el problema del narcomenudeo, que la FGR haga más eficiente los mecanismos para mejora en la calidad de la información, que permita aportar elementos de prueba para romper la cadena de producción hasta destino final. Así, evitar el tráfico a gran escala en el que se podría utilizar a México hacia mercado de Europa, Oceanía y América del Norte.

—¿La estructura de los principales cárteles con sus respectivos ejércitos, que tienen en vilo al país, sigue igual que como la describía el documento de la entonces PGR denominado Organizaciones Criminales, que señalaba cárteles existentes, nombres y ubicación por estados y municipios?

—El documento fue vigente en su momento, porque el fenómeno de las drogas implica varios conceptos que hay que ponderar. Tomando en cuenta este documento, te enfrentas a temas como la alta complejidad del fenómeno de drogas, producción, trasiego y consumo, lo cual va respondiendo a los mercados desde la oferta y demanda que no es la mejor aproximación hacia las drogas, pero a partir del cual podrían estar atendiendo que esta composición de grupos o células que corresponden a esos grupos que aparecen en esa ubicación van cambiando, porque responden a la demanda de sustancias.

“Por ejemplo, si actualmente ves un decremento en la producción ilícita de mariguana y el tráfico ha ido disminuyendo a partir de mercados regulados en Estados Unidos y Canadá, las organizaciones que estaban enfocadas en esa producción y asegurar las rutas hacia los mercados consumidores han ido mutando, han perdido esa capacidad, son absorbidos por grupos más fuertes; aquellos dedicados a la producción de drogas duras –cocaína, heroína metanfetaminas– son las que han mantenido esa presencia en los estados y la atomización respecto a los mercados locales, la disponibilidad en las calles.”

El titular del área especializada en el combate a las drogas indica que el reto para la FGR es mejorar el trabajo conjunto con las procuradurías estatales, que al final del día tienen la competencia de atender la disponibilidad del microtráfico en las calles del país (narcomenudeo). De ellas, dice, “observan otras cosas que no vemos a pesar de la coordinación que existe: ven grupos de menor tamaño que comercializan sustancias ilícitas; por eso hay mayores conflictos en zonas urbanas respecto al control de venta de las sustancias que se están requiriendo y de nuevo nos enfrentamos a la complejidad y dinamismo de una especie de ecosistema donde esta problemática está viva y cambiante, y tenemos más retos de mayor número de aseguramientos de metanfetaminas, y sobre la presencia que enfrentamos de nuevas sustancias psicoactivas y opioides sintéticos”.

El maestro Santiago Quintos refiere que hay una nueva recomposición de las organizaciones criminales: algunas pierden presencia o notoriedad en regiones del país porque pierden el grado de especialidad de drogas, pero mantienen el mercado y las rutas abiertas para el trasiego, y a eso se enfrenta el gobierno.

Por ello, señala, “en la FGR estamos orientados hacia una alta especialidad de estas organizaciones desde el punto de vista del análisis criminal en donde, por un lado, tienen de víctima a la sociedad y, por otro, en este triángulo de criminalidad tienen a los actores o victimarios, los grupos u organizaciones criminales que se dedican a ello y finalmente el espacio y tiempo en el que se desenvuelven. Es un diagnóstico que permite conocer la realidad de nuestro país”.

Pero tomando en consideración el grado de complejidad, los mercados criminales, el dinamismo de las organizaciones muchas de las cuales han ido cambiando de actividades ilícitas al cambiar el mercado en cuanto a la demanda de sustancias o por la acción del gobierno para su contención o prevención de sus actividades o del nuevo sistema de justicia penal, desde luego que han mutado hacia actividades paralelas que van desde secuestro, extorsión, robo de combustible, robo de mercancías, una infinidad de expresiones delictivas que abona a la complejidad del fenómeno delictivo.

Cooperación interna y externa

—¿Cómo funciona la coordinación en las Oficinas Binacionales para el intercambio de inteligencia?

—Agencias como la DEA, el FBI, el ICE y otras son entes con las que existe cooperación bilateral de información; eso no variará porque el intercambio sigue funcionando enmarcado en acuerdos bilaterales.

“Ahora, la FGR con la nueva Ley Orgánica está haciendo una ingeniería profunda respecto a lograr un acompañamiento acorde, primero, al fenómeno que enfrentamos con una alta especialidad temática, y en mi área, que concierne a la coordinación de métodos de investigación, de la mano con la coordinación de investigación y litigación. Es decir, a los fiscales especializados de delitos federales son a los que hay que atender con productos de investigación de unidades, que realiza la policía federal criminal, y la prueba científica de los servicios periciales. Esa es la nueva composición de la FGR, en concordancia con el fortalecimiento sistemático de las capacidades de investigación del Estado.”

Respecto a las labores de inteligencia, refiere que el Estado cuenta con la Unidad de Inteligencia Financiera (UIF) de la Secretaría de Hacienda, y que lo que le toca a la Fiscalía es lo de las áreas que se dedican desde la investigación ministerial hasta la judicialización de casos de lavado de dinero, de recursos de procedencia ilícita.

Acota que por ello no hay duplicidad de funciones: hay una unidad ministerial para judicializar y áreas especializadas de servicio para fortalecer investigaciones que pudieran generarse por la propia Fiscalía o por la Secretaría de Hacienda y Crédito Público, para casos de lavado de dinero.

Guardia Nacional

Para el director de la Oficina Nacional de Política de Drogas, México está viviendo una especie de recomposición orgánica en donde vemos la creación por ejemplo de la Guardia Nacional, con la suma de las policías militar, naval y federal que está en la etapa de transición y que va a generar una nueva fortaleza con las autoridades de gobierno. “De ahí que se reorienten los recursos, pero no se abandonen compromisos como la Convención de Palermo; la asistencia jurídica y técnica, vía Iniciativa Mérida; los tratados internacionales sobre extradición, y demás”.

El maestro considera que en la parte bilateral “necesitamos el acompañamiento y de mecanismos de la Organización de las Naciones Unidas y la Organización de Estados Americanos para temas como drogas, armas de fuego, terrorismo, etcétera, para que los fiscales especializados tengan el andamiaje que les permita vincular a proceso a los indiciados y sentencias acorde al nuevo sistema de justicia penal”.

Agrega que México participa en mecanismos: “Somos parte del intercambio para lograr que las organizaciones criminales trasnacionales no aprovechen las fronteras para sus actividades ilegales. En lo bilateral, tenemos instrumentos en la cancillería donde se enmarca desde asistencia jurídica, técnica, extradición. La FGR en esta nueva composición, desde su autonomía, aprovecha todas las herramientas jurídicas a su alcance para llevar a cabo su tarea, por eso hacemos uso de los instrumentos jurídicos internacionales para romper la cadena delictiva del mercado internacional y zonas de producción de drogas en Sudamérica o Asia”.

—¿Cómo engarza la FGR en la Guardia Nacional?

—Estamos en una etapa de recomposición orgánica de las instituciones en México y la Guardia Nacional detonará la autonomía de la FGR. En los delitos federales, la coordinación que tendremos con Sedena, Marina, Policía Federal, el Estado y autoridades administrativas; siempre será acompañamiento y posterior investigación. Ellos actuarán como primeros respondientes, porque están desplegados y tienen presencia territorial en las 266 regiones. Nosotros [nuestra respuesta], como Ministerio Público de la Federación, será de cooperación mayor, porque el nuevo sistema de justicia penal va trazando y subiendo el estándar de la investigación criminal y va a permitir a la FGR que sus áreas de investigación se enfoquen hacia la continuidad de las indagatorias de los primeros respondientes. Y se puedan entregar investigaciones con pruebas científicas.

—¿Cómo van a certificar las delegaciones de la FGR el control de confianza, la no corrupción y evitar la penetración de grupos delictivos?

—La Fiscalía vive un momento histórico y su Ley Orgánica prevé el combate a la corrupción hacia el exterior y al interior, además activa los órganos fiscalizadores: Visitaduría General y órganos internos de control. Respecto a la contratación de personal, estamos regidos por la Ley del Sistema Nacional de Seguridad Pública cuyas evaluaciones, aunado al Sistema Nacional Anticorrupción, la Secretaría de la Función Pública y la UIF se va armando la estructura que permite blindar para evitar o disminuir la posible participación de funcionarios en actividades ilícitas. La Ley señala esa etapa de transición para hacer los ajustes, por lo que en breve habrá una estabilización.

El funcionario agrega que el sistema de prevención en el que se insertará la Guardia Nacional observa temas de proximidad social, de mayor participación ciudadana a nivel federal y estatal; además están la Secretaría de Seguridad y Protección Ciudadana, las secretarías estatales y las policías municipales, que son la proximidad.

Extradiciones

—¿Se acaba el tema de los extraditables?

—Sin duda va a continuar, porque no tiene que ver con movimientos u organizaciones nacionales: si una persona delinquió en algún otro país, sin duda tendrá que salir a cumplir su proceso; esa parte de extradiciones continuará de acuerdo a cada una de las particularidades de cada caso. Visto desde el punto de vista de que formaba parte de una estrategia, la FGR plantea el uso eficiente de las herramientas jurídicas y si alguien debe ser extraditado así será. Lo mismo si un mexicano que es buscado por autoridad mexicana tendrá que actuar en consecuencia para juzgarlo aquí, eso no está en función a decisiones particulares, es parte de todo el andamiaje jurídico nacional e internacional. Eso va a continuar.

—¿No ha sido un error como política pública del Estado la entrega de los llamados extraditables [principalmente narcotraficantes] a otro país?

—Habrá que revisarlo, pero en realidad si nos remontamos al caso de Osiel Cárdenas, exlíder en jefe del Cártel del Golfo, o al de Joaquín el Chapo Guzmán, ellos llevaron un proceso vivo en México. Ambos no se suspenden, aquí continúan, lo mismo que se desahogan en cortes federales norteamericanas. Hay beneficios que prevé la ley no sólo para estos actores, sino para todos los posibles imputados: tiene todos los mecanismos de solución de controversias que señala el nuevo sistema de justicia penal, o los juicios abreviados o suspensión del juicio en función a lo que puedan aportar.

“Vivimos en un momento transicional dinámico en la FGR que no sólo es el cambio de una letra, sino que la ley prevé, al menos en 1 año, despejar los nuevos paradigmas; por ejemplo, con la publicación del plan de persecución penal, que es la estrategia de la Fiscalía. El uso de nuevas herramientas, las nuevas organizaciones en los estados: cómo ir apuntalando a los fiscales de los estados para que su función sea integral a partir de la descentralización operativa, pero de concentración de información que redunde en algunos casos, se está tocando vivir esa transición y de todo lo que representa el nuevo sistema de justicia penal en la que va la autonomía de la FGR.

Narco-Estado

—Analistas señalan que México se convirtió en un narcoEstado dado el poder de las organizaciones criminales, cuyo control de gobernadores, alcaldes, servidores públicos municipales, ha repercutido en la modificación de la estructura social, económica y política del país. ¿Cuál es su análisis?

—Es un tema relevante, en la esfera económica, política y social; en la parte preventiva se trabaja en dos frentes: uno, la prevención con apoyo social, y dos, si se comete el delito a Fiscalía le toca investigar y perseguir esa conducta antisocial y ponerla ante un juez quien determine la sanción. Si estos subsistemas operan de manera eficiente, sin duda estaríamos hablando de una disminución sistemática de los niveles de violencia, pero para eso se necesita la parte económica eficiente en sus sistemas de control para identificar conductas inusuales. Por ejemplo, el manejo de cuenta, la semaforización en inteligencia financiera para saber de conductas o comportamientos erráticos de una cuenta para sacar indicadores, aunado a labores de control para evitar disponibilidad.

“Desde el punto de vista de inteligencia criminal, la ocurrencia de robos en cierta colonia, a ciertas horas, si la autoridad tiene la capacidad de recabar información de calidad de manera sistemática, no a la ocurrencia de esa expresión delictiva, sino cuándo ocurre, por qué podríamos estar señalando inteligencia criminal, tenemos al agresor y a la víctima, el lugar y espacio, lo cual refuerza que la seguridad somos todos.”

El funcionario señala que encontrar patrones de ocurrencia de algún delito permite identificar por qué está ocurriendo ahí (falta de luminarias, jardín mal cortado, aunque parezca que eso no es tema policiaco). Y es que, detalla, si cualquier expresión delictiva se atiende con inteligencia criminal de manera sistemática, desde las autoridades locales y federales, México podría estar en una posición distinta.

“A eso es a lo que le estamos apostando en la FGR, sobre todo a métodos de investigación con alto nivel técnico para lograr la identificación de esos patrones y contribuir con el Estado a disminuir la incidencia delictiva. Traemos otras variables, como tráfico de armas, de por qué está ocurriendo, es decir, la desagregación de información que genere inteligencia táctica por medio de la coordinación de métodos de investigación que vaya directo a la carpeta de investigación para decirle a los fiscales que hay eventos similares y de otro tipo que están en archivo temporal que podrían estar haciendo un caso sólido.”

Santiago Quintos refiere que esa misma información con buen tratamiento permite generar estrategias para que la FGR perfeccione su canal de persecución y las otras autoridades conozcan algunas fallas en cuanto al perfil de los imputados, lugares de origen, formación, delitos causales que no fueron atendidos por la autoridad o delitos del fuero común. “Ése es el verdadero cambio en los métodos de investigación para la FGR en que vamos a estar contribuyendo”.

—¿Hay narcoguerrilla en México, en que estados están?

—Desconozco, no tengo datos precisos. Desde luego que han existido en Guerrero algunas expresiones que están más radicalizados en contra del Estado, esos delitos que llegan a cometer son sancionados. La relación entre drogas y grupos armados se ha identificado a lo largo de la historia en algunos casos, pero no es una constante, cuando se habla de narcoguerrilla se utilizó mucho en Suramérica, Perú, Colombia, donde si había grupos beligerantes en contra del Estado, relacionados con la producción de drogas.

En México, sí se ha llegado a dar, se ha documentado, pero las capacidades del Estado o de las Fuerzas Armadas han roto la unión entre grupos dedicados a la producción de drogas y otros de conducta antisocial antisistémica.

Precios de drogas y crisis de opioides

—¿Cuál es el comportamiento del precio de las drogas desde su origen hasta su destino?

—Es un tema que estamos trabajando en la oficina de la ONU contra la drogas porque cuando se trata de un producto lícito te basas en los costos de producción, la oferta y demanda, pero en el mercado ilegal no tiene una constante en los precios. Las valoraciones que estamos haciendo con la Organización de Estados Americanos (OEA), por ejemplo, traes precios de producción que son totalmente asimétricos en diferentes zonas o regiones.

En México u otros países donde son producidas las drogas, sin duda al cruzar fronteras va generando cadenas de corrupción para llevarla a lugares de consumo y sin duda los precios se ajustan en función de la disponibilidad, accesibilidad y sobre todo a la pureza.

“La FGR le está apostando, a partir de programas con el perfilamiento de conocer una sustancia, sus componentes y pureza, y ver cómo se está comportando el mercado ilegal de oferta y demanda. Lo que sí hemos observado en zonas de producción fuera o dentro del país, la heroína o metanfetamina en países de destino aumenta considerablemente dependiendo de la accesibilidad y la cadena de corrupción.”

—¿Qué comportamiento tienen los indicadores sobre decomisos de drogas, armas, moneda extranjera?

—El tema de armas, dinero y drogas no se puede analizar de manera aislada, los desafíos para México van enfocados a un diálogo más estrecho con Estados Unidos, no para que cambien sus leyes, sino para que establezcan mayores controles. Dígase, antecedentes registrales de quienes compran armas, hay estados donde no existe revisión de antecedentes penales, no hay supervisión cuando hay pérdida de armas y estas aparecen en manos de las organizaciones delictivas de México, es decir mayor acercamiento con EU para trabajo coordinado para evitar disponibilidad de armas que aparecen en manos criminales en México.

“Sin duda debe ser parte de la estrategia a la cual deberá poner mucha atención la Guardia Nacional, las aduanas y la cancillería. A la FGR le toca fortalecer la base de datos de criminalística, la base del iris para poder generan información respecto de la utilización del arma a partir de la huella balística que sirva para fortalecer la investigación y, aun cuando al imputado se le asegure esa arma, habrá muchos elementos para llevar algunos casos que fortalezca la investigación.

“Lo mismo con el dinero, entendiendo los mercados criminales sin duda hay un flujo importante del norte hacia el sur y habrá que apoyar a las autoridades aduaneras con mecanismos e información dónde la FGR ha llevado mayores decomisos, características y modelos de riesgo para que fortalezcan su labor en la frontera.”

El experto en estrategias antidrogas observa que en los 5 meses que lleva el gobierno de Andrés Manuel López Obrador, “el comportamiento de las sustancias hay que verlo de manera diferenciada por tipo de sustancia atendiendo un esquema del mercado, no sólo de México sino de la región, por ejemplo en lo que hace a armas, la vecindad con Estados Unidos cuyo nivel de producción de armas y una legislación que recae en autoridades estatales a lo largo de los 3 mil kilómetros de frontera es disparejo entre los cuatro estados fronterizos, pero además los controles que hay en ese país, para que los ciudadanos puedan comprar armas de asalto, permite que organizaciones delictivas que operan en ambos lados de la frontera su nivel de beligerancia en territorio nacional sea distinta, grupos del crimen organizado con otras características.”

—El informe US-Méx Segurity Cooperation 2018-2024 señala que hay una relación no muy firme entre los gobiernos del presidente Donald Trump y López Obrador, porque a Estados Unidos le interesa la crisis de adictos y muertos por sobredosis, y a México la inseguridad, muertos y desestabilización social por trasiego de drogas. ¿Cómo estaría la función de la Fiscalía con sus homólogos en la operación en este terreno?

—La crisis de los opiáceos en palabras de Estados Unidos tiene un origen muy reciente. En un principio había desconocimiento de las autoridades estadounidenses, se hablaba de una mezcla, de una inundación del mercado doméstico de consumo por parte de organizaciones mexicanas de heroína mezclada con fentanilo. Pero al revisar las bajas en el forense, se llegó a la conclusión de que los opioides sintéticos vienen desde la década de 1990 donde en Estados Unidos el sistema de prescripción de medicamentos controlados tuvo un boom de clínicas del dolor. Ahí, los médicos tenían una prescripción sin control y se convirtió en una fase embrionaria en donde un delito va teniendo un crecimiento.

“En el año 2000, el mismo sistema médico en Estados Unidos sigue manteniendo la alta producción de sustancias de control de dolor y entran al mercado diversos medicamentos como la oxicodona. Esto detona el consumo y para 2005 se excede la comercialización y adquisición. Para 2010-2012 el gobierno norteamericano [sic] empieza a tener mayores controles, porque además de que los opioides sintéticos son anestésicos y analgésicos, tienen ciertas particularidades que generan una enorme adicción como la heroína, pero potenciado hacia los usuarios, y cuando meten ese sistema de control en sus medicamentos controlados, se crea un mercado negro. Por ello se dio la explosión en el consumo del fentanilo ilegal, que se puede encontrar en tabletas y polvo, que asemejan en ese medicamento, cosa que no sucede en otras sustancias”.

En México, señala, la Cofepris establece recetarios electrónicos que han permitido que no cualquier médico general ni con cierta especialidad pueda recetar esa clasificación de medicamentos altamente adictivos. “Uno de los desafíos para el país es el consumo, estar atento a los nuevos patrones, porque son modas cíclicas, como ha sido el consumo de corte fentamínico, metanfetamina, cocaína, heroína, que han tenido sus ciclos”.

Otro desafío de la Fiscalía, asegura el maestro en políticas públicas, es evitar la entrada de sustancias y precursores químicos para la elaboración de fentanilo, pero sobre todo de metanfetamina y nuevas sustancias psicoactivas y poner atención al mercado de mariguana, dado caso de que se regule para uso lúdico como en Estados Unidos, Canadá y Uruguay.

“El desafío se da en cómo mejorar la investigación, prevención, esquemas de control, comunicación más dinámica con Estados Unidos. México en materia de fentanilo ha ido de la mano con Estados Unidos y Canadá y en 2017-2018 en la comisión de estupefacientes, a partir de conocimiento especializado y evidencia científica ha ido identificando nuevas sustancias químicas para la fabricación de fentanilo, y por la alerta temprana tripartita han logrado que en 2017 se regularan los precursores del fentanilo a nivel internacional, lo cual habla, en el ámbito político y científico, del desafío que tuvo México. Se requiere ampliar la comunicación con países asiáticos para evitar la proliferación de venta de sustancias químicas a organizaciones criminales.”

—En la Agenda Nacional de Riesgos, cinco de los 10 temas contenidos (narcotráfico, lavado de dinero, corrupción, guerrilla, anarquistas) son atendidos por la Fiscalía.

—La Agenda Nacional de Riesgos se hace a través de las dependencias que participan en el Consejo de Seguridad Nacional. A nosotros lo que nos corresponde es el punto de vista jurídico, pero también aportarle a esas autoridades y a los tomadores de decisión los elementos que les permitan focalizar y priorizar sus acciones en función a las labores que les corresponde en cuanto a la Fiscalía. El tema de seguridad nacional no es como lo han manejado nuestros académicos: no es el tema de protección, sino es el sentido de seguridad de una nación y finalmente creo que si todos los subsistemas trabajan de una manera coordinada la parte sectorial está inmersa, la sociedad civil, diferentes tácticas, el tema de seguridad no es de policías, no es de fiscales, es mucho más amplio y sobre todo cuando de seguridad nacional como señala la Agenda Nacional de Riesgos. Creo que la Fiscalía tendrá un papel fundamental, contribuir a un estado de derecho y que la prueba científica se imponga y que los casos exitosos sean ejemplo para un tema preventivo, no solo de disuasión si no de desalentar la convicción de actividades ilícitas, porque existe una autoridad capaz de investigar, perseguir y sobre todo poner a disposición de los jueces para que sean castigados, si todos los subsistemas están trabajando la Agenda Nacional de Riesgos seguramente va a sufrir cambios dramáticos.

—¿Hasta dónde pueden incidir para que el trabajo de inteligencia no se eche a perder en la política?

—Apenas se está en la parte del legislativo, valdría la pena dar un espacio para ver cómo se está organizando la administración pública federal. En este marco que le ha dado nuestro fiscal [Alejandro Gertz Manero] es justamente favorecer el dialogo, el intercambio de información, elevar sus estándares de calidad aprovechando el tema de la autonomía y esa autonomía le permite que áreas técnicas como la policía de investigación, científicos forenses e inteligencia criminal evolucionen y crezcan, que permita que la investigación del delito federal esté mucho más sólido.

“La FGR va a poder aportar, de manera subyacente, información para apoyar investigaciones y a los tomadores de decisiones, al fiscal y a la alta dirección de la FGR para que decidan mejor en cuanto a la distribución, diseño del plan de persecución penal, organizacional que permita aportar a otras autoridades de seguridad o sectoriales elementos para llevar a cabo su trabajo.

“Este momento histórico de transición de la FGR también necesita un tiempo para, primero el rediseño se establezca, se implemente y vaya permeando, porque la reforma del 2008 del nuevo sistema de justicia penal implica una comunicación diferenciada, porque ya no están los preceptos de muchos años y la labor de la PGR nos exige y nos sube a la FGR el nivel de la prueba de la aportación de datos de antecedentes de los actos. La FGR tiene un trabajo titánico, pero también muchas áreas técnicas que se mantienen justamente fuera de esta parte de vaivenes y se dedican a la parte técnica de investigación científica, aportación de datos de prueba y sobre todo la inteligencia criminal, es lo que nos tocará ver en el corto plazo.”

—¿En la cuestión de lavado de dinero, se pondrá más énfasis, como ha dicho el secretario de Seguridad Alfonso Durazo, para el combate al crimen organizado, ya que sólo cuatro casos de lavado llegaron a buen puerto durante el periodo de Enrique Peña Nieto?

—En función del enfoque de seguridad y prevención, lo que ha señalado el secretario de seguridad y el presidente estará orientado hacia ello, lo que nos ha señalado el fiscal, primero fortalecer en la Fiscalía el plan de persecución penal, cómo operarla y hacerla eficiente, cómo atender los delitos desde un punto de vista de mercados criminales para justamente romper esas cadenas, por la complejidad del fenómeno de las drogas y a veces es muy fácil verlo únicamente desde la oferta o demanda o de atención de tratamiento.

“Se conjugan datos de oferta, demanda, control de daños, especialización temática, por ejemplo en producción de drogas naturales, sintéticas, la parte regulatoria, habla de que a FGR está trabajando en entender, atender mercados tan complejos como el de las drogas, pero no solo de una variable, sino atendiendo el tema desde el punto de vista sistémico, donde dicho mercado se entiende a partir de las particularidades de disponibilidad de armas porque una organización criminal no sería lo mismo aquí que en otra latitud del mundo por la cercanía con Estados Unidos y nuestra vecindad con Guatemala. Su legislación sobre armas distinta a la nuestra favorece la disponibilidad, pero desde luego el lavado de dinero, aquellos delitos transversales que podemos entender desde el punto de vista de inteligencia criminal que hace la FGR.

“Así, para no perder de vista la inteligencia criminal en donde ves delitos transversales como el lavado de dinero, que es el incentivo perverso de las organizaciones criminales para delinquir, la adquisición de armas te lleva a la comisión de varios delitos, porque no solo se investiga el tráfico de armas sino secuestro, narcomenudeo, enfrentamiento entre organizaciones criminales o agresiones a las autoridades.

“Por tal, habrá que darle tiempo para que la Fiscalía pueda hacer este cambio que plantea el fiscal y esta nueva concepción que es el plan de persecución penal, la concepción de mercados criminales, producción, tráfico, trasiego y distribución de drogas y delitos conexos y así para todos los delitos federales.”

José Réyez

Fuente www.contralinea.com.mx

Protección de datos personales, tarea fundamental en el ámbito empresarial: Joel Gómez


En la actualidad, el resguardo de la información confidencial y las amenazas en los entornos digitales son algunos de los temas más preocupantes en materia de seguridad empresarial.
Basta citar el presunto hackeo a cartas dirigidas a mandatarios extranjeros, filtración de documentos en las secretarías de Estado, el constante robo de identidades a los ciudadanos, así como los recurrentes fraudes a cuentahabientes.
El Dr. Joel Gómez Treviño, coordinador del Diplomado en Ciberseguridad y Protección de datos personales, impartido por la UDLAP Jenkins Graduate School, comentó en entrevista la importancia de generar programas estratégicos para blindar la información confidencial de las empresas, además de hablar sobre los riesgos y amenazas que existen
actualmente en los entornos digitales.
En sus más de 30 años de trayectoria como profesor, abogado y conferencista, Gómez Treviño asegura que la falta de capacitación y actualización del personal, es uno de los puntos débiles para la seguridad cibernética de una empresa; y aunque sostiene que es fundamental para una compañía tener la capacidad de auditar a sus empleados, considera
que es igual de importante concientizarlos sobre la responsabilidad de manejar la información clasificada de la misma.
“Si estos no están conscientes de los riesgos implicados en la utilización de la información confidencial, es probable que lleguen a cometer actos por omisión que afecten gravemente la estabilidad de la empresas”.
Pueden estar equipadas con la mejor tecnología y los mejores firewalls (protección de redes y de accesos no autorizados), pero si hay empleados que no saben utilizar estas herramientas, o si las utilizan de manera indebida, agregó, pueden comprometer legal y económicamente a la compañía.
Proteger la información confidencial, los datos personales y combatir la
ciberdelincuencia son por tanto tareas preponderantes en el ámbito empresarial.
Con la finalidad de atender tales problemáticas, se han diseñado programas especializados, como el diplomado coordinado por Gómez Treviño, dirigidos a empresarios, gerentes administrativos, abogados, así como a oficiales de privacidad y tecnologías, para brindarles herramientas que les permitan generar tácticas y controles de seguridad, tanto fuera como al interior de las empresas.
Único en su tipo y pionero en Iberoamérica, el objetivo de implementar un programa académico como este, es precisamente el de vincular a las “áreas jurídicas” con las de “sistemas”. “La finalidad es delinear estrategias para prevenir y mitigar riesgos derivados de vulneraciones a las bases de datos, y así blindar legal y tecnológicamente los activos de información de una compañía”, agregó.
Señaló además la necesidad de que todos los empleados implicados en estas áreas, conozcan a profundidad las tendencias tecnológicas actuales en materia informática y tecnológica, como los macro datos, el cómputo en la nube, los blockchain y la inteligencia
artificial.
En referencia a esta última, asegura que no es necesario sentarnos a esperar escenarios futuros como los que vemos en la películas de ciencia ficción. Dispositivos como los “asistentes virtuales”, que son cada vez más comunes en las empresas y en el hogar, son tecnologías que ya han sido utilizadas como medios de espionaje potenciales.
Por consiguiente, no es exagerado afirmar que ya “tenemos al enemigo en casa”; lo que vuelve sumamente necesario conocer cuáles son las herramientas o procedimientos que deben implementarse para combatir este tipo de amenazas, concluyó.

Redacción El Heraldo de México

Fuente: heraldodemexico.com.mx

Mario Meneses

Saludos

¿Por qué es hora de repensar la seguridad cibernética a nivel organizacional?


En la era actual, donde todo se conecta, directamente desde sus teléfonos móviles a sus televisores inteligentes o un aire acondicionado, un sensor que controla su estado de salud y estado físico, un sistema doméstico inteligente que escucha y actúa según sus comandos de voz, un sistema de asistente personal como “Google Assistant”, “Siri” o “Alexa” que responde a sus instrucciones, etc., esto es posible gracias al uso de algunas de las innovaciones tecnológicas más importantes, como la computación en la nube, los teléfonos inteligentes, Internet de las cosas y varias plataformas de medios sociales que están ofreciendo muchas funciones para que las personas compartan cada vez más información personal. Según un estudio reciente, para 2020, habrá 20,4 mil millones de dispositivos conectados y el número puede aumentar aún más.

El nuevo mantra como se dice “Los datos son moneda”, lo que significa que los datos o la información están ganando importancia y ayudando a la humanidad a tomar decisiones más objetivas que están respaldadas por hechos y cifras. La adición a esta tecnología como Big Data, Machine Learning e Artificial Intelligence está ayudando a procesar rápidamente estos datos y obtener agregaciones e inferencias significativas de la misma, lo que se suma al rápido proceso de toma de decisiones.

Como dice un destacado profesional:

“Los datos personales son el nuevo aceite de Internet y la nueva moneda del mundo digital” Meglena Kuneva

“Es valioso, pero si no está refinado, realmente no se puede usar. Se debe cambiar a gas, plástico, productos químicos, etc. para crear una entidad valiosa que impulse la actividad rentable; por lo tanto, los datos se deben desglosar, analizar para que tengan valor “.  Clive Humby

Como dice el dicho, hay “dos caras de la misma moneda”. En un extremo, los datos / información se utilizan para tomar decisiones constructivas para el avance empresarial y la conveniencia personal y, al mismo tiempo, los piratas informáticos están viendo oportunidades para utilizar los mismos datos / información como un nuevo medio de rescate. En los últimos tiempos, hemos visto que se denuncian muchas violaciones y la mayor parte de esta información está disponible en Darknet a un precio razonable para que varias partes interesadas la utilicen indebidamente para obtener beneficios personales.

Además, con el aumento de la regulación de los actores estatales (como GDPR, la ley de protección de datos de California, HIPPA, la Ley de protección de información personal y documentos electrónicos, etc.), la protección de la información confidencial de identificación personal o la información de identificación personal (SPII / PII) se ha convertido en una prioridad. desafío para muchas organizaciones que buscan diversas facetas de amenazas disponibles en el mercado. Hay compañías en el pasado que han sido sometidas a procesos judiciales que terminan pagando enormes multas por no cumplir con estas normas.

En el contexto actual, donde se distribuye la misma versión de datos confidenciales / confidenciales en una organización y se ubica en varios lugares (bases de datos, plataformas en la nube, herramientas de colaboración, sistema de archivos, puntos finales, correos electrónicos, etc.), se está poniendo muy difícil para que los profesionales de la seguridad, los arquitectos de seguridad y los ingenieros de seguridad encuentren una solución única para abordar todas las brechas de seguridad en varios niveles. Cada vez más, la falta de algunos controles básicos como datos / información no clasificados adecuadamente, falta de conocimiento suficiente entre los empleados sobre cómo manejar diversos tipos de datos / información hace que sea aún más difícil para los profesionales de la seguridad proteger los datos / información.

Panorama

En esta era siempre cambiante, es un desafío para los profesionales de la seguridad mantener el ritmo de la oferta en los servicios de seguridad. Es un juego de carreras entre la comodidad frente a la ciberseguridad. Una cosa que es muy prominente y consistente para los profesionales de la seguridad es atenerse a lo básico. Como dice el dicho: “Solo puedes proteger si sabes lo que tienes que proteger”.

A nivel organizativo, como primer paso es importante para una organización identificar sus activos de información, tener una línea de base ayudará a conocer el ancho y la profundidad de lo que se debe proteger. Una vez determinado, trabaje junto con varias partes interesadas en el diseño de controles que ayudarán a lograr los objetivos comerciales de seguridad.

De manera similar, a nivel personal, una persona debe mantener un nivel de higiene en la medida en que quiera estar en el dominio público. Como todos sabemos, una vez que estás en el dominio público si es verdadero o falso es muy difícil cambiar el status quo. Deben educarse constantemente sobre las implicaciones de compartir dicha información y qué implicaciones puede aportarles.

Visweswara Rao
Visweswara Rao

Visweswara Rao Sreemanthula es gerente de seguridad empresarial en CDK Global (India) Pvt. Ltd., líder mundial en soluciones integradas de tecnología de la información y marketing digital para la industria minorista automotriz. Tiene 12 años de experiencia profesional en la experiencia global diversificada en la industria de TI. En CDK Global, Visweswara Rao es responsable de configurar varias funciones de operaciones de seguridad fuera de la India (Seguridad de productos, Gestión de incidentes cibernéticos, Ingeniería de seguridad, Riesgo operacional de TI, Cultura de seguridad y Seguridad corporativa). Es responsable de la construcción de un programa de resistencia basado en el riesgo dirigido a personas, procesos y tecnología. Implementación de capacitaciones para desarrolladores y concienciación globales seguros.  

Fuente: analyticsindiamag.com

Publicidad

Mario Meneses

mario@c2csmartcompliance.com

Deja tus comentarios o comparte tus necesidades para poderte ayudar en estos temas.

Saludos

López Obrador y Omar Fayad inauguraron el C5-I “el sistema más sofisticado de América Latina”



Buscan ser modelo contra la criminalidad, vigilancia y seguridad.

Omar Fayad, gobernador de Hidalgo, junto con el presidente Andrés Manuel López Obrador, presentó la creación del C5 para la seguridad pública, por toda la entidad. Buscan ser modelo de coordinación contra la criminalidad, vigilancia y seguridad.

Durante la inauguración del Centro de Control, Comando, Comunicaciones, Computo, Coordinación e Inteligencia (C5-I) el gobernador de Hidalgo, Omar Fayad, ratificó que ha habido una disminución importante en los delitos de homicidio, secuestro, extorsión, narcomenudeo, robo a negocio y feminicidio.

“Cuando existe coordinación, cuando hay compromiso, cuando no se echan la bolita unos a otros sino juntos se ponen a trabajar en lo que más importa, se logran los resultados que estamos logrando en Hidalgo”, mencionó Omar Fayad.

De igual forma destacó que el C5-I cuenta con un sistema de integración de información con el cual lo hace “el más sofisticado de América Latina para este tipo de procesamiento de la información”.

“Será el único estado donde estén integradas todas las bases de datos: registro de placas, registro público de la propiedad, registro civil, órdenes de aprehensión, permisos de portación de armas y más”, explicó el gobernador de Hidalgo.

Para la primera etapa del C5-I en la entidad se utilizarán 5 mil cámaras desplegadas en todo el estado, a las que después se sumarán cinco mil más que serán donadas a través del Consejo Coordinador Empresarial (CCE).

“Habrá 30 mil alarmas ciudadanas que se entregarán en las zonas de mayor incidencia delictiva, además de la entrega de 20 drones. Será el centro más sofisticado y moderno de México en procesamiento de información”, expuso Fayad.

Con respecto al robo de hidrocarburos subrayó que se conjuntarán tecnologías para vigilar y participar en la prevención de la delincuencia del estado, donde existe el robo del combustible.

Fuentes: infobae y Milenio

La computación cuántica, pieza clave de la ciberseguridad mundial


Carlos Abellán

Cofundador y director ejecutivo de QuSide

En plena Segunda Guerra Mundial, Alan Turing y su equipo, fueron reclutados por la inteligencia británica para tratar de vencer a la poderosa máquina Enigma. Con la estética de una máquina de escribir, el ejército de Hitler la utilizaba para encriptar sus mensajes y ataques durante la guerra. Enigma cambiaba su configuración diariamente y su mecanismo, formado por varios rotores modificables, ofrecía 159 trillones de combinaciones posibles cada 24 horas. Diez hombres trabajando durante todo el día hubiesen tardado 20 millones de años en dar con la clave. Turing, padre de la computación actual, tuvo claro que la única forma posible de vencer a una máquina era con otra. Por eso creó a Christopher; la primera máquina denominada Bombe, capaz de descifrar todos los códigos encriptados por Enigma.

Hoy, casi 70 años después de esta hazaña que cambió el curso de la historia, el mundo entero se encuentra inmerso en la carrera por liderar la siguiente fase de la computación: la cuántica. Una tecnología cuyo interés -más allá de intentar comprender en qué consiste- radica en sus poderosas aplicaciones. Las que más interesan a las distintas potencias mundiales van desde la encriptación de comunicaciones al diseño de nuevos fármacos personalizados, pasando por la posibilidad de crear una inteligencia artificial más intuitiva y precisa.

En esa carrera se encuentra Europa -algo rezagada por detrás de China y EE. UU.-, que en 2018 lanzó la Quantum Flagship; una iniciativa de la Unión Europea para la investigación en el campo cuántico dotada de 1.000 millones de euros durante 10 años. Carlos Abellán, cofundador de QuSide, empresa dedicada a la ciberseguridad y que participa en la Quantum Flagship europea, asegura que “el internet cuántico será la culminación de muchas tecnologías que se están desarrollando ahora”. Se dice de la red cuántica que será imposible de hackear y que viajará a la velocidad de luz, pero aún quedan algunos años para comprobarlo. “Hay mucha gente que dice 10 años como el tiempo en el que vamos a tener un ordenador cuántico, pero lo mismo decían hace 10 años. Lo que sí que estoy seguro es que dentro de mucho menos tiempo vamos a tener un ordenador cuántico, pero no tiene por qué ser universal”, dice Abellán. Universal o no, la primera generación de ordenadores cuánticos será capaz de realizar ciertas acciones incluso antes de alcanzar su desarrollo total; acciones como la encriptación de mensajes, algo que, si Turing levantase la cabeza supondría un reto aún mayor que el de descifrar Enigma.

Edición:  Azahara Mígel | Noelia Núñez | Mikel Agirrezabalaga 
Texto: Azahara Mígel

Fuente: elfuturoesapasionante.elpais.com

MarioMeneses

mario@c2csmartcompliance.com

Ciudad de Mexico

Saludos

Importancia de la seguridad de la información.


La información es el insumo principal del proceso de toma de decisiones, de los sistemas de inteligencia y de la construcción del conocimiento en todo el mundo

Publicidad

Irónicamente, en la “era de la información” la importancia y valor de las ideas, la identidad, la privacidad, la libertad y el conocimiento se ha visto minimizada/manipulada para poder recolectar información de todo y todos sin pago o reclamo alguno, utilizando medios de comunicación y redes sociales para engañar al usuario o tomar ventaja de las condiciones de uso de manera sutil.

Esta situación pone en entredicho el respeto de los derechos humanos, la gobernanza del internet,los acuerdos internacionales y el derecho a la verdad.

A pesar del cliché que afirma que “la información es poder”; las revelaciones de Julian Assange y Edward Snowden, así como la proliferación de las noticias falsas y la supuesta colusión entre el gobierno ruso y el presidente estadounidense Donald Trump, parecen indicar que la información no es resguardada debidamente ni por los Estados, ni las organizaciones ni los individuos.

La información es el insumo principal del proceso de toma de decisiones, de los sistemas de inteligencia y de la construcción del conocimiento en todo el mundo. Por ello y debido al impacto que su perdida, negación, revelación o manipulación representa para los Estados, instituciones o individuos la seguridad de la información se centra en el cuidado de los activos de información de valor estratégico.

Para cuidar la información se requiere de una estrategia, medidas preventivas y reactivas que permitan mantener su integridad, confidencialidad y disponibilidad. Esencialmente, la estrategia debe tener por objetivo la salvaguarda de la información contenida en todo el entorno material, intangible y virtual de la actividad humana. Además, debe considerar que las amenazas son múltiples y calcular los riesgos.

Por ejemplo, algunas de las principales amenazas que aquejan a la seguridad de la información son: robo, fraude, espionaje, sabotaje, vandalismo, fenómenos naturales, descuido, desconocimiento o mal uso de la información por parte del recurso humano. Por ello, y debido a la complejidad de la seguridad de la información una estrategia integral de seguridad de la información debe proteger instalaciones, tecnología, procesos, educación, normativas, programas y personas.

En breve, debido al valor de la información en las relaciones y el ejercicio de poder en todos los niveles y esferas, se requiere de una estrategia (internacional, nacional, organizacional o individual) para su protección, divulgación segura y explotación.

Si bien ninguna estrategia garantiza una completa seguridad de la información, tomar decisiones sin identificar y resguardar nuestro activo más preciado —información estratégica— es garantía de un fracaso total. ¿Estamos dispuestos a perder poder en el mundo digital?

POR ADOLFO ARREOLA GARCÍA 23 de Abril del 2019

Profesor de la Facultad de Estudios Globales Universidad Anáhuac México Norte

Mario Meneses

mario@c2csmartcompliance.com

Saludos

¿Cómo autenticar la evidencia digital?


Dada la proliferación de los medios digitales, la cuestión de qué tipos de pruebas son admisibles en los tribunales y cómo deben manejarse es cada vez más compleja. El videodel teléfono celular ha desempeñado un papel fundamental en decenas de casos de alto perfil en los EE. UU., Al igual que las grabaciones de llamadas al 911 y las imágenes tomadas de las cámaras de la policía. No hay duda de que esta evidencia es valiosa, pero garantizar su integridad y demostrar una cadena de custodia ininterrumpida (la documentación que registra la secuencia cronológica de la custodia, el control y la disposición de una pieza de evidencia) a menudo resulta difícil.

Para evitar controversias en torno a la evidencia digital, algunas autoridades de seguridad pública han comenzado a recurrir a una solución aparentemente improbable: la tecnología de cadena de bloques o blockchain.

En su núcleo, una cadena de bloques es una base de datos descentralizada compartida a través de una red. Sin embargo, a diferencia de las bases de datos centralizadas, los registros solo se aceptan después de alcanzar el consenso del grupo. Proporciona una forma de incorporar una variedad de datos de múltiples fuentes, anonimizarla, rastrearla y asegurar su autenticidad sin la necesidad de validación de terceros.

De hecho, blockchain tiene el potencial de ayudar a transformar la seguridad pública al mejorar la manera en que las agencias manejan su evidencia y datos más confidenciales, mejorando la cooperación entre agencias y promoviendo una mayor confianza pública en la integridad de las investigaciones.

Según gcn.com, Blockchain es especialmente adecuado para enfrentar este desafío. De hecho, las pautas federales existentes de EE. UU. Para el manejo de la evidencia digital son sorprendentemente similares a la forma en que funcionan las cadenas de bloques. Al tomar un disco duro, por ejemplo, personal especial escaneará el contenido y utilizará esos datos para generar un valor de hash.

De la misma manera en que las cadenas de bloques usan valores de hash para verificar los bloques vinculados, los investigadores forenses digitales usan hashes para rastrear la evidencia digital. Blockchain presenta múltiples ventajas sobre los procedimientos actuales. La principal ventaja es la redundancia que proporciona blockchain. En lugar de depender de un equipo de especialistas para extraer primero los datos, luego trashearlos, luego rastrearlos, una “cadena de bloques de custodia” permitiría el envío abierto de datos a la cadena de bloques, donde se verificará automáticamente por consenso, hash y Luego entró en un registro público inmutable, compartido.

La recopilación de datos por parte de varias agencias en los EE. UU. Ha crecido de manera exponencial, pero la capacidad de generar inteligencia y luego actuar sobre estos datos continúa siendo obstaculizada por ineficiencias burocráticas, divisiones interinstitucionales y datos en silos. Establecer un estándar de datos unificado plantea muchos desafíos porque requiere la aceptación de tantas agencias.

Blockchain evita este problema al permitir una colaboración sin confianza y eliminar la necesidad de una autoridad centralizada. La promesa de un registro público inmutable y abierto de todos los datos presentados podría superar un obstáculo importante para la colaboración entre agencias.

La característica de “contrato inteligente” de Blockchain podría asegurar que los protocolos entre agencias siempre se sigan porque serían ejecutados automáticamente por el sistema. Básicamente, un contrato inteligente es un protocolo de computadora que facilita, verifica o impone el cumplimiento de un contrato o cláusula de contrato. Además de formalizar las solicitudes de información y abrir investigaciones, los contratos inteligentes también pueden ayudar a equilibrar la privacidad de los datos y la seguridad pública.

Fuente: Secureweek

Saludos

Mario Meneses

Amenazas internas: ¿Cómo pueden las empresas protegerse mejor contra este peligro creciente?


por Louis Smith el 26 de abril de 2019

Según una investigación de CA Technologies , más de la mitad de los profesionales de la ciberseguridad, o el 53 por ciento, han confirmado un ataque interno contra su propia organización en los últimos 12 meses. Estas amenazas internas han tenido resultados desastrosos, a veces incluso trágicos, tanto para los gobiernos como para las empresas. Existe un deseo generalizado de protegerse mejor contra las amenazas internas, con la misma investigación que señala que el 90 por ciento de las organizaciones reconocen que es necesario monitorear y perfilar la forma en que los internos acceden a datos confidenciales.

Sin embargo, la mayoría de las empresas aún deben adoptar las mejores prácticas para combatir a los actores internos que pueden representar un riesgo, ya sea por accidente, negligencia o malicia. Es crucial para las organizaciones de seguridad cibernética contar con planes para identificar, acceder y abordar las amenazas internas. Esto significa implementar las políticas correctas, aumentar la concientización y la capacitación, cambiar la cultura y racionalizar la tecnología. No todas las amenazas internas son maliciosas. Muchos son errores honestos o comportamiento descuidado, pero eso no cambia lo que está en juego.

Estado de riesgo

Una amenaza interna es la posibilidad de que una persona que tiene / haya tenido acceso autorizado a los datos o activos confidenciales de una organización ponga en riesgo a la organización y tenga un impacto negativo en varios aspectos del negocio. Un ataque interno puede ser costoso o imposible de remediar, sin mencionar el costo de reconstruir la confianza y la imagen de la marca. Según investigaciones adicionales de CA Technologies, el 66 por ciento de las organizaciones consideran que los ataques maliciosos de información privilegiada son más probables que los ataques externos.

Hay varios rasgos de comportamiento que pueden ayudar a identificar el riesgo de una amenaza interna. Los más comunes incluyen renuncias, ser despedido, falta de capacitación y educación adecuadas, y descontento, como lo identifican las quejas expresadas sobre la insatisfacción con respecto a la compañía.

Las amenazas internas pueden tener acceso a todo, desde datos relacionados con IP, datos financieros de la compañía, información de cuentas privilegiadas, datos personales de los empleados y datos operativos y de infraestructura. A medida que las pilas de seguridad son cada vez más complejas y muchas empresas no están capacitando adecuadamente a los empleados en el uso seguro, las amenazas internas han crecido.

Combate interno

La mejor manera de mitigar las amenazas internas es tomar un enfoque de lista de verificación contra los diversos componentes de la preparación, protección y capacitación continua que las organizaciones necesitan para ayudar a mitigar el riesgo de amenazas internas o el impacto de las mismas.

Por ejemplo, la política y el proceso son cruciales. ¿Tiene su equipo procesos para reducir la probabilidad de amenazas internas? ¿Tiene el equipo adecuado para hacer esto, por ejemplo, un grupo de trabajo que incluye liderazgo, TI, recursos humanos y otras partes interesadas? ¿Se está monitoreando la efectividad de estos procesos y se actualizan cuando es necesario? ¿Cuenta con la tecnología adecuada para respaldar el cumplimiento de políticas de la misma manera que planea, implementa, monitorea y ajusta la tecnología utilizada en otras facetas de su negocio?

De la mayor importancia es la conciencia y la formación. Las compañías deben tener programas implementados y garantizar que las personas de nivel C-suite, así como los gerentes en todos los ámbitos, así como los equipos de comunicación interna, estén reforzando ese programa. Todas las organizaciones deben tener un programa de mejora de la cultura de seguridad, pero especialmente aquellos dentro de la industria de la ciberseguridad.

Las empresas gubernamentales pueden enfrentar desafíos adicionales, como el reciente cierre parcial del gobierno por 35 días, que puede exacerbar el riesgo de amenazas internas. Es muy difícil mostrarles a sus empleados que son valorados cuando se les suspende o les piden que trabajen sin paga. Pero en todas las industrias, los empleados necesitan sentirse importantes y formar parte de un equipo mayor que trabaja para alcanzar el mismo objetivo. Esto hace que sea menos probable que tenga empleados descontentos que intenten dañar a la compañía o que sean descuidados y causen daños accidentales.

Una inversión de amenaza interna y externa más equilibrada

Las organizaciones deben evaluar el riesgo actual y las medidas implementadas para mitigar las amenazas internas y externas. Si bien las amenazas pueden provenir de lugares y personas poco probables, existen disparadores conocidos y fáciles de rastrear para los ataques internos que permiten a los equipos de seguridad organizar una detección efectiva y barreras para hacer daño.

En última instancia, las empresas deben invertir el mismo nivel de tecnología que lo hacen externamente, dentro de sus propios muros. Las mejores prácticas requieren medidas de identificación, proactivas y reaccionarias. Si bien nunca tendremos el control final sobre el riesgo asociado con cualquier ataque, las organizaciones tienen una oportunidad mucho mayor de tomar medidas para comprender y combatir los riesgos internos. Es hora de actuar en esa oportunidad.

Fuente:
https://securityboulevard.com/2019/04/insider-threats-how-can-enterprises-better-protect-against-this-growing-danger/

Saludos

Mario Meneses

“El mayor activo de Grupo IPS México son sus empleados”


Armando Zuñiga


08/08/2017 – Por Victoria González (corresponsal de ‘Segurilatam’ en México).

En una entrevista concedida a ‘Segurilatam’, Armando Zúñiga Salinas explica qué tipo de servicios ofrece Grupo IPS México, compañía en la que, asegura, se reconoce y motiva a los trabajadores. “Lo más importante es ayudar y apoyar a nuestra gente y creo que vamos por el buen camino”, explica.

-Grupo IPS México cuenta con una trayectoria de más de 20 años. ¿Cómo fueron sus inicios en la compañía?

Me quedé sin empleo en 1994 y mi última opción era trabajar en una empresa de seguridad familiar. Agradezco haber llegado a una compañía que ahora amo y me da la oportunidad de conocer a gente tan noble que trabaja con nosotros y da lo mejor de sí aún en situaciones adversas y con horarios complicados. Eso me hace valorar verdaderamente la labor de los empleados del grupo.

IPS es una compañía donde hay muchas oportunidades. Ayudamos a los empleados a que crezcan, les reconocemos y motivamos. Y ello ha dado muchos resultados porque nuestra filosofía se ha convertido en cultura. Estamos convencidos y seguros de que lo más importante es ayudar y apoyar a nuestra gente y creo que vamos por el buen camino. Desde el principio, eso ha sido parte fundamental para forjar esta empresa.

-¿Qué diferencia a Grupo IPS México del resto de compañías de seguridad privada que operan en el país? ¿Cuál es su valor añadido?

En México, el sector de la seguridad privada tiene un gran problema: la rotación de personal. Y ello sucede por varios factores, sobre todo por los salarios bajos, la falta de reconocimiento a su trabajo y la ausencia de motivación. Eso no permite que los empleados contribuyan a generar una identidad empresarial. En este sentido, es muy fácil aumentar mínimamente el sueldo a un guardia de seguridad para que dé la espalda a su compañía y trabaje para quien le pague un poco más.

Al respecto, la ventaja competitiva de IPS es la lealtad que tienen sus trabajadores a partir de la cultura a la que me refería anteriormente. Siempre estamos persiguiendo beneficios para los empleados. Por ejemplo, les pagamos semanalmente, mientras en la mayoría de empresas se paga quincenalmente. Además, a modo de reconocimiento, tienen la oportunidad de obtener una casa o un automóvil. En total, contamos con más de 20 programas de beneficios para nuestros colaboradores. Esto es lo que nos diferencia de las demás compañías.

-¿Qué tipo de servicios ofrece Grupo IPS México?

Nuestros principales servicios son los de guardias de seguridad de intramuros, custodia de mercancías y escolta para la protección de personalidades, empresarios, políticos o artistas. Nuestra empresa ha crecido como grupo y es importante mencionar que hace dos años abrimos una filial que tiene permiso de portación y uso de armas en tres modalidades. En México era difícil, y lo sigue siendo, obtener esa autorización, pero, afortunadamente, la hemos logrado.

Además, tenemos otra empresa encargada de manejar tecnología electrónica como rastreo vehicular, integración de circuito cerrado y alarmas. Esta empresa es clave porque, a futuro, la tecnología va a sustituir el trabajo humano. Hemos visto que ya existen robots que se encargan del control de accesos. Por eso, trabajamos más de cerca con la tecnología con el objetivo de no quedarnos atrás y permanecer en el mercado.

Hoy en día, hay servicios que puedes prestar a distancia. Con una cámara y la huella digital es posible controlar un exceso a través de alguien que está vigilando. Por ejemplo, en un automóvil particular podemos instalar un dispositivo que te cuida en todo momento y en tiempo real.

Y, recientemente, nos hemos aliado con una empresa de blindaje. Consideramos que es una solución para las personas que requieren este tipo de seguridad. En la actualidad, es posible blindar prácticamente cualquier coche.

-El número 5 de Segurilatam incluye un bloque especial de información dedicado a la seguridad aeroportuaria. En el caso del Grupo IPS México, ¿qué servicios prestan en el ámbito aeroportuario?

Tenemos clientes como aerolíneas y contamos con especialistas en los aeropuertos para capacitar al personal. Este certificado en seguridad aeronáutica ha sido una de las principales novedades incorporadas a Grupo IPS México para fortalecer sus servicios.

-Bajo su punto de vista, ¿cómo se encuentra el sector de la seguridad privada en México? ¿Existe competencia desleal?

Efectivamente, existe una competencia desleal: el 70 por ciento de las empresas no cumple la ley. Esto causa problemas porque pagan salarios muy bajos y no cumplen con las prestaciones. Nosotros creemos que las leyes deben ser iguales para todos y adecuadas para que se puedan cumplir. Sin embargo, los lineamientos actuales no pueden cumplirse, algo que incluso llega a fomentar la corrupción. Además, sería necesario que la Ciudad de México y los estados del país se pusieran de acuerdo, ya que el hecho de que no compartan los mismos lineamientos complica las operaciones.

-¿Grupo IPS México ha valorado operar en más países de Latinoamérica?

Sí, es algo que tenemos en mente desde hace años. Pero, de momento, lo que deseamos es ser una compañía más sólida en México. Y después, a lo mejor dentro de una década, conseguimos estar bien posicionados en otros países de América Latina.

-Para finalizar, ¿cuál es el grado de colaboración existente entre las seguridades privada y pública en México para reducir la inseguridad?

Desde hace años, la seguridad pública ve como competencia a la seguridad privada y viceversa. Y no debe ser así, porque, en caso de ilícito, tenemos que tener una excelente comunicación. A través de la Confederación Patronal de la República Mexicana (Coparmex) estamos trabajando para encontrar la forma de vincular las dos líneas de seguridad mediante reuniones con responsables de la seguridad pública y creo que estamos logrando resultados.

Un ejemplo es el rastreo vehicular. En IPS somos los primeros en ver cuándo se roba un coche, un camión de carga, etc. Pero si no hay coordinación con la seguridad pública, muchas veces no se detiene a tiempo a los delincuentes y no se recupera lo perdido. Ahí es donde más se ven los resultados, que, como indicaba, dependen en buena medida de la relación existente entre las seguridades pública y privada.

Fuente: Segurilatam

Miami / Mexico City +52 1 7711871152

Contacto

Mario Meneses

Saludos

Encuesta que revela las contraseñas más vulnerables de Internet


Publicidad

Si “123456” es su contraseña, puede ser hora de un cambio.

Esa fue la conclusión sorprendente de una encuesta que revela las contraseñas más vulnerables de Internet, que también advirtió que los códigos que usan nombres, equipos deportivos y palabras de juramento son más populares de lo que podría pensar.

La encuesta, realizada por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, analizó las contraseñas que pertenecen a cuentas en todo el mundo que habían sido violadas.

Varias combinaciones de números formaron el top 10, mientras que “blink182” fue el artista musical más popular y “Superman” el personaje de ficción más común.

Pero “123456” fue el ganador fugitivo, con 23.2 millones de cuentas que utilizan el código fácil de descifrar. “123456789” fue usado por 7.7 millones, mientras que “qwerty” y “password” fueron usados ​​por más de 3 millones de cuentas.Ashley y Michael fueron los nombres más utilizados, seguidos por Daniel, Jessica y Charlie.

Liverpool encabezó la tabla de clubes de fútbol de la Premier League que se usaron como contraseñas, con Chelsea, Arsenal y Manchester United (“manutd”) que conforman el resto de los cuatro primeros. Manchester City (“mancity”), por el contrario, terminaría en el puesto 11 en la clasificación de contraseñas de la Premier League.Los Dallas Cowboys (“cowboys1”) fue el apodo más popular del equipo de la NFL, mientras que el domingo fue el día más usado de la semana y agosto el mes más común.

Las 10 contraseñas más comunes fueron:

  1. 123456
  2. 123456789
  3. QWERTY
  4. contraseña
  5. 111111
  6. 12345678
  7. abc123
  8. 1234567
  9. contraseña1
  10. 12345

“iloveyou” se perdió el top 10, mientras que “monkey” y “dragon” hicieron apariciones sorpresa en el top 20. Muchos usuarios también usaron contraseñas como una oportunidad para emplear una colorida gama de palabras de júbilo.

El NCSC recomendó el uso de tres términos “aleatorios pero memorables” en una contraseña, para reducir el riesgo de violación de una cuenta.”La reutilización de la contraseña es un riesgo importante que se puede evitar, nadie debe proteger los datos confidenciales con algo que pueda adivinarse, como su primer nombre, el equipo de fútbol local o la banda favorita”, dijo Ian Levy, Director Técnico de NCSC, en una entrevista. declaración.”Usar contraseñas difíciles de adivinar es un primer paso sólido y recomendamos combinar tres palabras aleatorias pero memorables. Sea creativo y use palabras memorables para usted, de modo que las personas no puedan adivinar su contraseña”, agregó.

Fuente: CNN

Publicidad

C2CSmartCompliance es un proveedor líder de soluciones integradas en gestión de riesgos y servicios para empresas globales.

Mario Meneses

mario@c2csmartcompliance.com

Saludos

Gartner: las 8 principales tendencias tecnológicas de la cadena de suministro para 2019


Publicidad

Según Gartner, si bien muchas de estas tendencias tecnológicas de la cadena de suministro aún no se han adoptado ampliamente, tendrán un amplio impacto en la industria este año.

Gartner ha destacado las tendencias tecnológicas clave de la cadena de suministro que advirtieron que no deben ignorarse. Christian Titze, vicepresidente de investigación en Gartner , dijo: “En los próximos cinco años, si la mitad de las grandes compañías globales utilizan algunas de estas tecnologías en sus operaciones de cadena de suministro, es seguro decir que las tecnologías interrumpirán a las personas, los objetivos comerciales y Sistemas informáticos “.


Los líderes tecnológicos de la cadena de suministro que toman decisiones sobre innovación y transformación deben evaluar el impacto negativo que pueden tener en las personas, los objetivos y los sistemas de TI.

Las 8 principales tendencias tecnológicas de la cadena de suministro en 2019 son:

# 1 Inteligencia Artificial (AI)

Según Gartner, la tecnología de AI en las operaciones de la cadena de suministro se trata de aumentar los trabajadores. Gracias a los avances en el autoaprendizaje y el procesamiento del lenguaje natural , la IA ahora es lo suficientemente avanzada como para automatizar numerosos procesos de la cadena de suministro, como el mantenimiento predictivo y la previsión de la demanda.

“AI apoya el cambio a la automatización de la cadena de suministro más amplia que muchas organizaciones están buscando”, dijo Titze. “Por ejemplo, la IA puede mejorar la mitigación de riesgos mediante el análisis de grandes conjuntos de datos, la identificación continua de los patrones en evolución y la predicción de eventos perturbadores junto con posibles soluciones”.

Cómo las herramientas analíticas aumentadas impactarán a la empresa


Las herramientas analíticas aumentadas están llegando, pero ¿cómo impactarán a las empresas? ¿Podrían generar científicos de datos ciudadanos y cubrir la brecha de habilidades en datos?

# 2 analítica avanzada

Gracias al aumento en los datos de IoT y a las fuentes de datos externas extendidas, como el clima o las condiciones del tráfico, el análisis será mucho más avanzado. Gartner predijo que las organizaciones podrán anticipar escenarios futuros y hacer mejores recomendaciones en áreas como la planificación de la cadena de suministro, el abastecimiento y el transporte.

“La analítica avanzada no es nueva, pero su impacto en las cadenas de suministro de hoy en día es significativo”, dijo Titze. “Ayudarán a las organizaciones a ser más proactivas y accionables en la gestión de sus cadenas de suministro, tanto para aprovechar las oportunidades futuras como para evitar posibles interrupciones futuras”.

# 3 IoT

Gartner informó haber visto a más profesionales de la cadena de suministro que exploran el potencial de IoT. Sin embargo, según Gartner, las nuevas aplicaciones de IoT implican más que solo sensores pasivos.

“Las áreas en las que IoT podría tener un profundo impacto son la mejora de la gestión logística, el mejor servicio al cliente y la mejor disponibilidad de suministro”, dijo Titze.

# 4 automatización de procesos robóticos (RPA)

La emoción ha estado creciendo alrededor de la RPA desde hace algún tiempo, y su lugar en la empresa ha experimentado una gran maduración este año. Al igual que AI, RPA, según Gartner, se trata de aumentar los trabajadores.

La tecnología RPA funciona mediante la asignación de un proceso en el lenguaje de la herramienta para que el software “robot” lo siga. Está comprobado que reduce la intervención humana y mejora la coherencia en las fuentes de datos manuales.

Publicidad

Escalado RPA: antes de automatizar procesos, mejorarlos.


La mayoría de las empresas no están escalando RPA en toda su organización, en parte, porque no entienden sus procesos para empezar

Gartner está viendo una reducción significativa en los plazos de procesamiento del proceso. La tecnología RPA se utiliza para automatizar la creación de pedidos de compra y ventas o envíos.

# 5 cosas autónomas

Las cosas autónomas utilizan la inteligencia artificial para automatizar las funciones que antes realizaban los humanos, como los vehículos autónomos y los drones . Explotan la inteligencia artificial para ofrecer comportamientos avanzados que interactúan de forma más natural con su entorno y con las personas.

“La rápida explosión en el número de cosas conectadas e inteligentes ha dado a esta tendencia un gran impulso”, dijo Titze. “La idea, alguna vez lejana, de reducir el tiempo para las verificaciones de inventario utilizando cámaras de drones para tomar imágenes de inventario, por ejemplo, está aquí”.

# 6 cadena de suministro digital doble

Un gemelo digital es una réplica digital de un activo físico, ya sea un producto, una persona, un lugar o un sistema.

Están vinculados a sus contrapartes del mundo real y se utilizan para comprender el estado de la cosa o sistema para optimizar las operaciones y responder de manera eficiente a los cambios.

¿Por qué las ciudades inteligentes necesitarán gemelos digitales?


Amedida que el uso de Internet de las cosas (IoT) se ha vuelto más rentable y popular, también lo ha hecho la posibilidad de gemelos digitales.

” Los gemelos de la cadena de suministro digital son inevitables amedida que el mundo digital y el mundo físico continúan fusionándose”, dijo Titze.

# 7 experiencia inmersiva

Las tecnologías de realidad aumentada (AR) y realidad virtual (VR) se han promocionado durante mucho tiempo como la próxima gran novedad. A pesar de su promesa, la adopción masiva por parte de las empresas, en realidad, siempre parece estar en el horizonte.

Pero, esto puede ser sobre el cambio, según Gartner, debido a las posibilidades emergentes que estas tecnologías podrían tener en las operaciones de la cadena de suministro.

“En la cadena de suministro, las organizaciones podrían usar AR junto con códigos de respuesta rápida (QR) y tecnología móvil para acelerar los cambios de equipos en las fábricas”, dijo Titze. “Las experiencias inmersivas de los usuarios permitirán oportunidades de negocios digitales que aún no se han realizado plenamente dentro de las cadenas de suministro globales”.

# 8 Blockchain

A pesar de que las iniciativas de blockchain en las operaciones de la cadena de suministro son incipientes, Gartner aún tiene esperanza. Según sus analistas, blockchain tiene potencial para cumplir con los desafíos de larga data que se presentan en las complejas cadenas de suministro globales. Las capacidades actuales ofrecidas por las soluciones de blockchain para la cadena de suministro incluyen trazabilidad, automatización y seguridad.

“Las organizaciones podrían usar blockchain para rastrear envíos globales con etiquetas de inviolabilidad, lo que permite una reducción en el tiempo necesario para enviar documentos de ida y vuelta con las autoridades portuarias y mejorar la identificación de falsificaciones”, dijo Titze.

Cómo los CTO pueden introducir blockchain en la empresa


La guía de la Era de la Información sobre cómo introducir blockchain a su empresa frente a la crisis de habilidades digitales

El informe completo de Gartner, Las principales tendencias en tecnología de la cadena de suministro de 2019 que no puede ignorar, se puede encontrar aquí .

C2C

En C2CSmartCompliance podemos asesorarte en un Sistema de Gestión Integral del Riesgo para la cadena de suministro.

Mario Meneses

mario@c2csmartcompliance.com

WA +52 1 7711871152

Detectamos empresas de seguridad vinculadas con políticos: AMLO



En las afueras del Museo Rufino Tamayo, instructores de seguridad privada enseñan a sus elementos de guardias defensa personal para brindar mejor servicio en las empresas donde custodian. Foto Cuartoscuro / archivo

Alonso Urrutia y Alma Muñoz | martes, 23 abr 2019 08:56

El gobierno federal está por concluir un estudio sobre la contratación de 50 mil elementos de seguridad privada para dotar de vigilancia las instalaciones gubernamentales en la pasada administración y que quintuplicaba al personal que se tenía en operación de la Policía Federal para cuidar a la gente. El presidente Andrés Manuel dijo que se realiza la depuración de todo esto porque se trataba de una “aberración” esta desproporción.

Durante su conferencia de prensa, López Obrador aseveró que se ha detectado la creación de empresas de seguridad que estaban vinculadas con políticos. “Ahó se los dejo de tarea, estamos revisando todo eso”, dijo.

En relación a la secuela de los hechos ocurridos en Minatitlán la dilación de su parte en pronunciarse sobre el caso, López Obrador dijo que las críticas provienen del sector conservador de la sociedad, “de la prensa fifi”, pues, entiendo, “están desesperados” porque les olesta lo que hacemos “y ya no han podido saquear”.

Publicidad

-¿La exigencia de paz es exclusiva de los conservadores?

-Basicamente, sobre todo auspiciada por expertos.

Al abundar sobre su actuación respecto a Minatitlán dijo que su agenda no le va a ser dictada por los conservadores. Aseveró que en estas críticas se esta sugiriendo que no tiene ideales, ni compromiso, “quieren que me involucre en algo que no debo” sugiriendo que no me solidarizo en estos casos, “pero yo tengo un profundo amor al pueblo” y no tengo ningún problema de conciencia porque se trabaja diariamente por conseguir la paz y la tranquilidad, pero ésta es producto de la justicia.

Por otro lado, al abundar sobre la política de comunicación social aseveró que bajo ninguna circunstancia se incurrirá en actos de censura. “La censura se va por un tubo”, dijo al señalar que habrá libertad de prensa plena, es decir “prohibido prohibir” para que se pueda alentar el debate respetuoso en los medios por lo que unicamente el gobierno se reservará el derecho de réplica.

Asimismo, dijo que un criterio de asignación de la publicidad también será principalmente el apoyo a medios de comunicación donde haya periodistas -en relación a la asignación en otras administracion de usar otro tipo de medios de comunicación no asociados a periodismo- con el objetivo de alentar el apoyo a empresas.

Fuente: La Jornada

Ataques a la Cadena de Suministro.



Maria Kolorov

Un ataque a la cadena de suministro, también llamado ataque de cadena de valor o de terceros, ocurre cuando alguien se infiltra en su sistema a través de un socio o de un proveedor externo con acceso a sus sistemas y datos. Durante los últimos años, esto ha cambiado drásticamente la superficie de ataque empresarial típica, porque ahora hay más proveedores y proveedores de servicios que tienen acceso a datos confidenciales. Los riesgos asociados a un ataque a la cadena de suministro nunca habían sido tan altos, debido a los nuevos tipos de ataques, la creciente concienciación pública sobre las amenazas y la mayor supervisión de los reguladores. Además, los atacantes tienen más herramientas y recursos a su disposición, creando una tormenta perfecta.

Ejemplos de ataques a la cadena de suministro Las filtraciones de ciberseguridad provocadas por proveedores son infinitas. La filtración de Target de 2014 fue provocada por un proveedor de HVAC con una seguridad poco estricta. Este año, Equifax afirmó que su enorme filtración fue culpa de un defecto de un software externo. Luego culpó a otro proveedor a raíz de un enlace de descarga malicioso de su página web. Después aparecieron los papeles del paraíso, más de 13 millones de archivos que detallan la evasión de impuestos a paraísos fiscales por parte de grandes empresas, políticos y famosos. ¿La fuente? Como en el caso de los papeles de Panamá del año pasado, el eslabón débil fue un bufete de abogados. El alcance de los ataques a la cadena de suministro Estos no son casos aislados. Según un estudio realizado por el Ponemon Institute, el 56% de las empresas ha sufrido una filtración provocada por alguno de sus proveedores. Mientras, el promedio de terceros con acceso a información confidencial de una empresa ha aumentado de 378 a 471. Y es probable que esta cifra esté contada a la baja. Solo el 35% de las empresas tienen una lista de todos los terceros con los que comparten información confidencial. Solo el 18% de las empresas saben si esos proveedores comparten esa información con otros proveedores. Esto es problemático, porque a los clientes no les importa si los datos se perdieron por culpa de un proveedor o de la propia empresa. Por eso ahora las empresas prestan más atención a los riesgos provocados por terceros. En diciembre de 2018, el Cyber Risk Report de Ponemon Institute descubrió que el uso indebido y el intercambio no autorizado de datos confidenciales por parte de terceros era lo que más preocuparía a los profesionales de las TI en 2019, con un 64% del total. El 41% afirmó haber sufrido incidentes relacionados con terceros durante los últimos 24 meses.

El 56% de las empresas ha sufrido una filtración provocada por alguno de sus proveedores

El problema empeora si tiene en cuenta que los riesgos no terminan cuando se termina la relación con el proveedor. Este otoño, Domino’s Australia sufrió una filtración de seguridad y explicó que el sistema de un antiguo proveedor había filtrado los nombres y direcciones de correo electrónico de sus clientes. “La mayoría de los contratos que reviso no incluyen detalles adecuados para gestionar el difícil proceso de rescindir un contrato con un proveedor”, comenta Brad Keller, director senior de estrategia de terceros de Prevalent, Inc. Además, los reguladores están vigilando cada vez más los riesgos de terceros. El año pasado, los reguladores financieros del estado de Nueva York comenzaron a exigir a las empresas financieras con presencia en Nueva York que se aseguraran de que las protecciones de ciberseguridad de sus proveedores estuviesen a la altura.

Como Gestionar los Riesgos de Terceros: Primeros pasos

Supervisar adecuadamente los riesgos de ciberseguridad de terceros ofrece ventajas más allá de cumplir con la normativa. Según el informe de Ponemon, reduce la probabilidad de sufrir una filtración. “Puede reducir la posibilidad de sufrir una filtración en 20 puntos porcentuales”, explica Dov Goldman, vicepresidente de innovación y alianzas de Opus Global Inc., la empresa que patrocinó el estudio. Si una empresa evalúa las políticas de privacidad y seguridad de todos sus proveedores, la probabilidad de sufrir una filtración baja del 66% al 46%. Eso incluye a todos los proveedores, añade Goldman. “Las relaciones con grandes empresas no son siempre el mayor riesgo”, asegura Goldman. Los grandes proveedores suelen contar con defensas de ciberseguridad más complejas. “Si investiga a empresas más pequeñas, verá que no tienen el mismo nivel de control de ciberseguridad”, afirma. Cuando una empresa entiende quiénes son todos los proveedores y cuáles tienen acceso a datos confidenciales, existen muchas herramientas que ayudan a evaluar su nivel de seguridad. Por ejemplo, algunas empresas incluyen la seguridad en los acuerdos de nivel de servicio con sus proveedores, comenta Tim Prendergast, CEO de Evident.io, una empresa de seguridad en la nube. “Estamos siendo testigos de un cambio para exigir un acuerdo con el proveedor que demuestre su compromiso con la seguridad”, explica. “Se pide a los proveedores que impongan controles similares a sus socios. Estamos viendo muchos contratos de este tipo”. Puede exigir a los proveedores que realicen autoevaluaciones, que permitan visitas y auditorías a los clientes, o que compren un seguro que los proteja frente a incidentes cibernéticos. A veces, es necesaria una evaluación más completa. “Hemos visto a muchas empresas hacer auditorías a sus proveedores de servicios”, explica Ryan Spanier, director de investigación de Kudelski Security. “Una gran institución financiera con la que trabajamos exige auditorías, va al sitio en cuestión y realiza sus propias pruebas de penetración para ver dónde están los datos y cómo están protegidos”. Los clientes más pequeños, pueden no poder ejercer ese tipo de influencia. “Simplemente tienen pruebas de auditorías de terceros, ven los resultados y los revisan”, comenta. “Luego piden que solucionen algunos detalles antes de seguir haciendo negocios con la empresa. También puede limitarse a trabajar con empresas que sepa que tienen una buena seguridad, pero es complicado, porque por ahora no hay muchas”. Por otro lado, hay empresas que proporcionan puntajes de seguridad. Por ejemplo, BitSight Technologies y SecurityScorecard observan a los proveedores desde el exterior y califican a las empresas en base a lo seguras que son sus redes frente a un ataque. Para evaluaciones más profundas que tengan en cuenta las políticas y procesos internos de los proveedores, Deloitte y CyberGRX realizan revisiones en colaboración, así como evaluaciones continuas, lo que evita que los proveedores tengan que responder individualmente a cada uno de sus clientes. “Las empresas actuales deben entender los ciberriesgos de terceros como riesgos comerciales que deben ser administrados continuamente”, aconseja Jim Routh, CSO de Aetna. “CyberGRX Exchange permite que todas las empresas adopten este enfoque”. Un par de grupos de la industria financiera están haciendo algo similar. En noviembre, American Express, Bank of America, JPMorgan y Wells Fargo se unieron para crear un servicio de evaluación de proveedores llamado TruSight. En junio, Barclays, Goldman Sachs, HSBC y Morgan Stanley anunciaron que habían adquirido una participación de capital de la solución de gestión de riesgos Know Your Third Party de IHS Markit. Las empresas deben revisar cómo los terceros acceden a sus datos confidenciales, y asegurarse de que solo las personas adecuadas puedan acceder a los datos, y solo para fines aprobados. Según el Cyber Risk Report de Ponemon, el 42% de los encuestados afirmó estar mejorando los controles del acceso de terceros a datos confidenciales. Routh afirma que ahora mismo la gestión de riesgos de terceros requiere un nuevo enfoque. “Un enfoque que permita a las empresas entender dónde están los riesgos de su ecosistema digital, adaptar sus controles en base a esos riesgos, y colaborar con los terceros con quienes tengan relación para mitigar y solucionar esos riesgos”.

Después, Europa hizo lo mismo con su Reglamento General de Protección de Datos (GDPR), que se aplica a todas las empresas que recopilan información personal de personas europeas. Las multas de la GDRP son cuantiosas, hasta el 4% de los ingresos globales totales. Las regulaciones de riesgo de terceros están aún en sus inicios. Muchas empresas no gestionan bien esos riesgos, comenta Peter Galvin, vicepresidente de estrategia y marketing de Thales e-Security. “Las firmas financieras están acostumbradas y están mucho más preparadas”, añade. “Hay otras muchas empresas que no entienden los riesgos. Vamos a ser testigos de un aumento de filtraciones, y vamos a ver más acciones legales”. Los expertos esperan que más reguladores comiencen a exigir a las empresas que se preocupen más por el riesgo de terceros. “Es una tendencia en alza”, explica Eric Dieterich, líder de práctica de privacidad de datos de Focal Point Data Risk, LLC. Riesgos ocultos de la cadena de suministro de software y hardware Casi todas las empresas usan hardware y software externos. Nadie construye toda su tecnología a partir de cero, sobre todo debido al auge de la economía de código abierto. El problema es que esa mentalidad conlleva un riesgo importante. Cada dispositivo comprado y cada aplicación descargada deben ser validados y monitorizados para descubrir posibles riesgos de seguridad, y todos los parches tienen que estar actualizados. En abril, los investigadores de Flashpoint Intelligence explicaron que los delicuentes están intensificando los ataques contra la popular plataforma de comercio electrónico de código abierto Magento, forzando contraseñas con la intención de recoger registros de tarjetas de crédito e instalar malware de criptominería. Los investigadores descubrieron más de 1.000 paneles de administración de Magento comprometidos, y añadieron que el interés por esta plataforma en la Internet profunda y la Internet oscura está creciendo desde 2016.

Solo el 35% de las compañías tiene una lista de todos los terceros con los que comparte información confidencial

Además, también hay un interés notable en Powerfront CMS y OpenCart. El año pasado, una vulnerabilidad CSRF de Magento Community Edition dejó expuestos a 200.000 minoristas online. Si este fallo se hubiese explotado, hubiera comprometido todo el sistema, exponiendo las bases de datos con la información confidencial de los clientes. Como la versión comercial de Magento comparte el mismo código subyacente, existía la preocupación real de que también afectase a las operaciones empresariales. El riesgo no es solo para los datos de la propia empresa, si el componente defectuoso del hardware o del software está incrustado en un producto, puede provocar más problemas de seguridad en el futuro. Un chip de un ordenador infectado con una puerta trasera de seguridad, una cámara sin una autenticación fuerte o un componente de software con un fallo pueden provocar daños generalizados. El fallo de seguridad Heartbleed, por ejemplo, afectó a millones de páginas web y dispositivos móviles, así como a softwares de los principales proveedores, incluidos Oracle, VMware y Cisco. “Nos preocupa la manipulación y el espionaje, tanto a nivel nacional como industrial, y nos preocupan las interrupciones”, comenta Edna Conway, jefa de seguridad de cadena de valor global de Cisco Systems, Inc. Por ejemplo, los productos de hardware y software pueden haber sido manipulados deliberadamente en algún lugar de la cadena de suministro o reemplazados por falsificaciones. A Cisco también le preocupa perder información confidencial o propiedad intelectual (IP) confidencial por culpa de filtraciones de terceros, añade Conway. “Nos comprometemos a ofrecer soluciones que funcionen de la manera de la que deberían funcionar”, explica. “Si sus clientes no están satisfechos, si su reputación se ve perjudicada, eso afectará al resultado. La confianza es fundamental, y en el mundo empresarial la confianza se manifiesta a través de la reputación”. Muchas empresas tienen estándares de calidad para los proveedores. Cisco usa ese mismo enfoque para la seguridad. “El método que he implementado nos permite establecer niveles de tolerancia para que los terceros cumplan con nuestros valores y objetivos, personalizados para la naturaleza única de los productos y de los servicios que nos ofrecen”, afirma Conway. “Una vez establecidos los niveles de tolerancia, podrá empezar a medir si los está cumpliendo, superando o quedándose corto. Si el tercero no está a la altura, nosotros nos sentamos con él y le preguntamos: ‘¿Cómo podemos colaborar para solucionar esto?'”. Los riesgos de seguridad de los proveedores de nube La organización única y directa ha sido reemplazada por un ecosistema digital donde todo, desde las aplicaciones hasta los centros de datos, se ha trasladado a proveedores de servicios en la nube. “Lo que tiene que proteger está fuera de su ámbito”, explica Fred Kneip, CEO de CyberGRX. “Y los hackers son inteligentes. Buscan lo que ofrezca menos resistencia”. Kneip añade que ahora mismo hasta el hardware está en la nube. “La configuración predeterminada para una herramienta de soldadura IoT de una línea automotriz envía diagnósticos al fabricante para que pueda realizar un mantenimiento predictivo”, comenta. “Eso suena muy bien, pero también puede ser un canal de entrada que comprometa todo su entorno“. CSO

Fuente: cso.computerworld.es

Mario Meneses

Ciudad de Mexico WA 52 1 7711871152

Saludos

Mercado de Gestión de la Información de Seguridad Física Global (PSIM) 2019


C2CSmartCompliance

“ Último resumen del mercado de gestión de información de seguridad física (PSIM)

Un nuevo informe de inteligencia de negocios publicado por Garner Insights con el título “Informe de investigación de mercado 2019 de Gestión de la información de seguridad física global (PSIM) que se enfoca y proporciona un análisis de mercado integral con perspectivas para el 2024. Los analistas del estudio han obtenido una extensa metodología de investigación y fuentes de datos (es decir, fuentes secundarias y primarias) para generar información colectiva y útil que ofrezca las últimas tendencias en el mercado y las tendencias de la industria.

PSIM es un software que es responsable de garantizar la seguridad y protección de los datos, el hardware, la red y los programas de propiedad de una organización, que pueden ser manipulados por una agencia externa.

Obtenga un ejemplo de informe en PDF: https://www.garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Countries-Type-and-Application-Forecast-to-2023# muestra de solicitud

Algunos de los principales competidores o fabricantes incluidos en el estudio son: CNL Software, Qognify, Johnson Controls, Vidsys, AxxonSoft, Bosch Security Systems, Genetec, Kentima, C.MER INDUSTRIES, Milestone systems

Si está involucrado en la industria de la Gestión de la Información de Seguridad Física Global (PSIM) o pretende serlo, este estudio le proporcionará una perspectiva integral. Es vital que mantenga sus conocimientos del mercado actualizados segmentados por los principales actores. Si tiene un grupo diferente de jugadores / fabricantes de acuerdo con la geografía o necesita informes regionales o por país, podemos proporcionarle personalización según sus necesidades.

La cobertura de tipo importante en el mercado son los   servicios, el software

Segmento de mercado por aplicaciones, cubre infraestructura crítica, empresas corporativas, seguridad pública,

Segmento de mercado por regiones / países, este informe cubre
AmericaAmérica del Norte 
Europa 
China 
estResto de Asia Pacífico 
 Centro y Sudamérica 
 Medio Oriente y África

¿Cuáles son los elementos que afectan a los que se hace referencia en el informe?

Escenario del mercado:
el informe destaca aún más las tendencias de desarrollo en el mercado global de Gestión de la Información de Seguridad Física (PSIM). Los factores que están impulsando el crecimiento del mercado y alimentando sus segmentos también se analizan en el informe. El informe también destaca sus aplicaciones, tipos, implementaciones, componentes y desarrollos de este mercado.

Aspectos destacados del mercado clave: 
El informe de Gestión de la información de seguridad física (PSIM) ofrece un examen de principio a fin en una parte de los elementos clave, que incluyen el ingreso, costo, límite, tasa de uso límite, creación, tasa de generación, utilización, importación / envío. Suministro / solicitud, red, trozo de la tarta, CAGR y borde bruto. Además, el informe muestra una investigación de gran alcance sobre los factores de desarrollo del mercado y sus patrones más recientes, junto con importantes fragmentos y sub-porciones del mercado.

Herramientas analíticas: el
informe de Mercado de Gestión de Información de Seguridad Física Global (PSIM, por sus siglas en inglés) incorpora la información decididamente examinada y evaluada de los miembros importantes del mercado y su alcance de mercado utilizando diversos dispositivos de investigación. Los aparatos de diagnóstico incorporan el examen de cinco poderes de Porter, la investigación FODA, el estudio de posibilidad de logro y la investigación de retorno de la empresa, que se han utilizado para considerar el desarrollo de los actores clave que trabajan en el mercado.

Obtenga un descuento en este informe: https://www.garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Countries-Type-and-Application-Forecast-to-2023# descuento

Algunos de los puntos que se tratan en el Informe de investigación de mercado de la Gestión de información de seguridad física global (PSIM) son:

Capítulo 1: Descripción general del mercado de Gestión de la información de seguridad física (PSIM) (2019-2024)
• Definición 
• Especificaciones 
• Clasificación 
• Aplicaciones 
• Regiones

Capítulo 2: Competencia de mercado por jugadores / proveedores 2019 y 2024
• Estructura de costos de fabricación 
• Materias primas y proveedores 
• Proceso de fabricación 
• Estructura de la cadena de la industria. Continuado…

Los principales puntos que se responden y cubren en este Informe son:

¿Cuál será el mercado total de Gestión de Información de Seguridad Física (PSIM) en los próximos años hasta 2024? 
¿Cuáles serán los factores clave que afectarán en general a la industria? 
¿Cuáles son los diversos desafíos abordados? 
¿Cuáles son las principales empresas incluidas?

Gracias por visitar nuestro informe

Ver el Informe completo en https://garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Cypeies-Type-and-Application-Forecast-to-2023#description

Fuente: marketresearchupdates.com

INTIQ

Mario Meneses

Saludos

Nueva norma internacional ofrecerá un marco de gestión de riesgos para la IA.


Publicidad

A medida que aumenta el uso y la aplicación de los sistemas de inteligencia artificial (IA), abordar el aspecto de confianza de estos sistemas es clave para una adopción generalizada.

Los ejemplos incluyen los efectos de los datos o el sesgo algorítmico, lo que garantiza la privacidad de los datos y también la falta de transparencia y responsabilidad.

IEC e ISO están desarrollando una nueva norma internacional que proporcionará directrices sobre la gestión del riesgo que enfrentan las organizaciones durante el desarrollo y la aplicación de técnicas y sistemas de IA. Ayudará a las organizaciones a integrar la gestión de riesgos para la IA en actividades y funciones importantes, así como a describir los procesos para la implementación e integración efectiva de la gestión de riesgos de la IA.

La aplicación de estas directrices podrá personalizarse a cualquier organización y su contexto.

Gestión de riesgos en el contexto de la IA.

Las nuevas tecnologías traen nuevos desafíos, donde lo desconocido es mayor que lo conocido. La gestión de riesgos puede ayudar a lidiar con la incertidumbre en áreas donde no se han establecido medidas de calidad reconocidas.

“Para un producto específico de AI o un servicio de AI, un proceso de administración de riesgos asegura que ‘por diseño’ a lo largo del ciclo de vida del producto o servicio, se identifiquen los interesados ​​con sus activos y valores vulnerables, se comprendan las amenazas potenciales y los riesgos, riesgos asociados con sus consecuencias o impacto), y se toman decisiones conscientes sobre el tratamiento de riesgos en función de los objetivos de la organización y su tolerancia al riesgo “, dijo Wael William Diab, Presidente de ISO / IEC JTC 1 / SC 42 , el comité técnico conjunto de IEC e ISO para inteligencia artificial .

En el caso de los sistemas de IA, la gestión de riesgos abordaría:

  • Diseñe las fallas y evalúe las amenazas y riesgos típicos asociados a los sistemas de IA con sus técnicas y métodos de mitigación, permitiendo la identificación, clasificación y tratamiento de los riesgos para (y por el uso de) los sistemas de AI.
  • Establecimiento de confianza en los sistemas de inteligencia artificial a través de la transparencia, verificabilidad, explicabilidad, controlabilidad, mediante el uso de un proceso de gestión de riesgos bien comprendido y documentado.
  • Robustez, resistencia, fiabilidad, precisión, seguridad, privacidad, etc. del sistema de AI al proporcionar transparencia al tratamiento de los riesgos para las partes interesadas identificadas.

¿Quién se beneficia?

BeneficiarioBeneficiosEjemplo de organizaciones / empresas
Industria y comercio (grande)Aumentar la confianza en el uso de soluciones basadas en la inteligencia artificial en general. Los 

proveedores pueden aumentar la aceptación en el mercado de tales soluciones al documentar la gestión adecuada de riesgos durante el diseño, desarrollo y despliegue de sus productos. 

Los clientes pueden usar el estándar para implementar procesos apropiados para lidiar con los riesgos del uso de tecnologías basadas en AI.
Proveedor que ofrece modelos de aprendizaje automático capacitados 

Proveedor que ofrece servicios basados ​​en AI 

Cualquier industria que utilice Tecnologías de AI: tecnología, automoción, salud, industria aeroespacial, etc.  
Industria y comercio (PYMES)  Además de los beneficios mencionados anteriormente, se presentan nuevas oportunidades de mercado para las PYME al proporcionar herramientas y servicios relacionados con la gestión de riesgos.  Proveedores de servicios de evaluación para sistemas de inteligencia artificial (calidad, resistencia, robustez, etc.) 

Proveedores de herramientas de evaluación de componentes de inteligencia artificial
GobiernoLa gestión eficaz de riesgos permite el empleo de soluciones basadas en inteligencia artificial para servicios ciudadanos más eficientemente  Administraciones encargadas de: Mejor control del tráfico urbano con perfil ambiental optimizadoPlanificación urbana Monitorización / análisis del clima rural Control de la enfermedad
Los consumidoresAumentar la confianza en soluciones basadas en AI a través de una mayor responsabilidad, la prohibición de fugas de PII  Asistentes controlados por vozRecomendadores y asistencia para compras Hogares inteligentes
Órganos académicos y de investigación.La aplicación incrementada de soluciones basadas en IA depende de la disponibilidad de controles de riesgo efectivos. Esto crea incentivos de investigación para temas de relación de gestión de riesgos y AI en general.  
ONGsAumentar la confianza en la confiabilidad y la ausencia de sesgos aumenta la aplicabilidad de la IA para una variedad de ONG  ONG encargadas de: Análisis de rutas de migraciónMonitoreo ambientalControl de la enfermedad

Más sobre el estándar

La nueva norma se basa en los principios y directrices descritos en ISO 31000 (Gestión de riesgos – Directrices), que ayudan a las organizaciones con sus análisis y evaluaciones de riesgos. También proporciona una guía que surge cuando la IA se aplica a los procesos existentes en cualquier organización o cuando una organización proporciona un sistema de AI para que otros la utilicen. Este proyecto está previsto para proporcionar una plataforma y un marco para la estandarización de la confiabilidad.

ISO / CEI JTC 1 / SC 42 está desarrollando la propuesta de artículo de trabajo recientemente aprobada para la norma, como parte de su programa de trabajo integral que busca la estandarización de todo el ecosistema de AI.


Imagen de Adam Radosavljevic de Pixabay.

Fuente: blog.iec.ch

Publicidad

Ciberdelitos contra empresas en México se duplicaron en dos años: PwC


Publicidad

Rodrigo Riquelme11 de abril de 2019, 09:15

Los delitos cibernéticos superaron, respecto de su crecimiento, a otros delitos económicos, como el soborno y la corrupción y a la apropiación indebida de activos.

Durante 2018, las empresas sufrieron el doble de delitos cibernéticosque durante el 2016. Mientras que hace tres años la incidencia de crímenes cibernéticos era de 11% entre las empresas que operan en México, el año pasado este porcentaje alcanzó 22%, de acuerdo con la Encuesta de Delitos Económicos 2018 de la consultora PwC.

Los delitos cibernéticos superaron, respecto de su crecimiento, a otros delitos económicos, como el soborno y la corrupción y a la apropiación indebida de activos. El informe añade que 15% de las empresas en México considera que será víctima de un ataque cibernético en los próximos 24 meses.

“No obstante su impacto, las empresas siguen viendo a los delitos cibernéticos con cierta despreocupación. Según nuestro estudio, sólo el 15% de los encuestados considera que experimentará un ataque cibernético en los próximos 24 meses, además, cree también que será el delito más disruptivo e impactante que hayan afrontado”, refiere el informe de PwC.

Pese a esta percepción, más de la mitad de las organizaciones encuestadas por la consultoría dijo haber sido víctima de ataques mediante malware o por phishing en 2018. La principal consecuencia de estos ataques fue la disrupción del proceso de negocio, seguida de la extorsión, el uso indebido de información privilegiada, la malversación de activos y el robo de propiedad intelectual.

Fernando Román, socio líder de Ciberseguridad y Privacidad en México de PwC, la transformación digital está transformando la manera de hacer negocios no sólo en México sino en todo el mundo, lo que ha generado nuevos riesgos que deben ser atendidos. “Tecnologías como la Inteligencia Artificial y los robots para ejecutar los procesos de negocio abren nuevas puertas a ataques cibernéticos”, dijo Román en conversación con medios de comunicación.

Publicidad

Servicios financieros, a la delantera en protección

El informe Digital Trust de PwC, que recién fue presentado, advierte que los servicios financieros son quienes principalmente han incluido por diseño una gestión proactiva de los riesgos cibernéticos y de privacidad desde su concepción. A estos le siguen el sector salud, las industrias tecnológicas, de medios y de telecomunicaciones, el sector manufacturero y el de mercado de consumo.

“Un enfoque proactivo se trata de establecer controles que puedas ir monitoreando todo el tiempo para ir modificando tu estrategia de seguridad, con el fin de que esta esté alineada completamente a tus objetivos de negocio”, dijo Román y añadió que esto incide en que el hacer llegar productos y servicios de los consumidores se haga de forma segura desde su diseño.   

Pese a que estos sectores son los más avanzados al adoptar este enfoque proactivo, menos de la mitad de las empresas mexicanas (47%) cree que el cibercrimen en una de sus mayores preocupaciones. De este porcentaje, 96% ha incluido personal de seguridad y privacidad y 44% ha incluido una gestión proactiva de riesgos cibernéticos y privacidad, por diseño, en el plan de proyecto y el presupuesto desde su concepción.

La mayoría de las empresas entrevistadas por PwC dijeron haber provisto al consejo de la compañía de una estrategia para la gestión de ciberriesgos y privacidad. Sin embargo, de acuerdo con Fernando Román, menos de la mitad de las empresas en México cuentan con un director de Seguridad de la Información (CISO) que tenga un nivel ejecutivo.

“Si bien hay muchos profesionales preparados para ocupar esos roles, también es cierto que la capacitación y adquirir habilidades específicas es necesario, por ejemplo, para alinear iniciativas de seguridad con programas empresariales y los objetivos de negocio, asegurando la protección de sus activos y las tecnologías de la información”, refiere el informe.               

Las buenas intenciones de las compañías no se reflejan en incrementos en las inversiones en ciberseguridad, pues la mayoría de las empresas que operan en México mantendrá en el próximo año el presupuesto que, como parte de las Tecnologías de la Información, destina a la seguridad. Sólo 21% de los encuestados dijo que incrementaría este presupuesto entre 7.6 y 10% y sólo 5% cree que será de 25% o más.

“No hay una cifra de cuánto deba yo invertir, pero normalmente en las áreas de seguridad los presupuestos están compartidos con las áreas de tecnología. Se habla de que 5 a 7% se destina en este momento a seguridad en el área de tecnología”, remató Román.   

Fuente: www.eleconomista.com.mx 

Contamos con consultores de seguridad cibernetica, que te pueden orientar en la implementación de sistemas de gestión para la seguridad de la información.

Mario Meneses

Saludos

Las cinco funciones incluidas en el Framework de NIST.


NIST

Visión general

Este módulo de aprendizaje profundiza en las cinco funciones del marco de seguridad cibernética: identificar, proteger, detectar, responder y recuperar. La información presentada aquí se basa en el material introducido en el módulo Componentes del Marco . Este módulo explora el valor de las funciones dentro del marco y lo que se incluye en cada función.

Una introducción a las funciones

Las cinco funciones incluidas en el Framework Core son:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar
Publicidad

Las Funciones son el nivel más alto de abstracción incluido en el Marco. Actúan como la columna vertebral del Framework Core en el que se organizan todos los demás elementos.

Estas cinco funciones fueron seleccionadas porque representan los cinco pilares principales para un programa de ciberseguridad exitoso y holístico. Ayudan a las organizaciones a expresar fácilmente su gestión del riesgo de ciberseguridad a un alto nivel y posibilitan decisiones de gestión de riesgos.

Identificar

La función de identificación ayuda a desarrollar un entendimiento organizacional para administrar el riesgo de ciberseguridad para sistemas, personas, activos, datos y capacidades. La comprensión del contexto empresarial, los recursos que respaldan las funciones críticas y los riesgos relacionados con la seguridad cibernética permiten que una organización se centre y priorice sus esfuerzos, de acuerdo con su estrategia de administración de riesgos y sus necesidades comerciales.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Identificar los activos físicos y de software dentro de la organización para establecer las bases de un programa de gestión de activos
  • Identificar el entorno empresarial que la organización apoya, incluido el papel de la organización en la cadena de suministro y las organizaciones que se ubican en el sector de infraestructura crítica
  • Identificar las políticas de ciberseguridad establecidas dentro de la organización para definir el programa de Gobernanza, así como identificar los requisitos legales y reglamentarios con respecto a las capacidades de ciberseguridad de la organización.
  • Identificar las vulnerabilidades de los activos, las amenazas a los recursos organizativos internos y externos y las actividades de respuesta ante riesgos como base para la evaluación de riesgos de las organizaciones.
  • Identificación de una estrategia de gestión de riesgos para la organización, incluido el establecimiento de tolerancias de riesgo
  • Identificación de una estrategia de gestión de riesgos de la cadena de suministro, incluidas las prioridades, restricciones, tolerancias de riesgo y supuestos utilizados para respaldar las decisiones de riesgo asociadas con la gestión de los riesgos de la cadena de suministro

Proteger

La función de protección describe las medidas de seguridad adecuadas para garantizar la entrega de servicios de infraestructura crítica. La función de protección admite la capacidad de limitar o contener el impacto de un evento de ciberseguridad potencial.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Protecciones para la administración de identidades y el control de acceso dentro de la organización, incluido el acceso físico y remoto
  • Capacitar al personal dentro de la organización a través de Concientización y Capacitación, incluida la capacitación de usuarios privilegiada y basada en roles
  • Establecer una protección de seguridad de datos coherente con la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
  • Implementación de procesos y procedimientos de protección de la información para mantener y administrar las protecciones de los sistemas de información y los activos.
  • Proteger los recursos de la organización a través del mantenimiento, incluido el mantenimiento remoto, las actividades
  • El manejo de la tecnología de protección para garantizar la seguridad y la resistencia de los sistemas y las asistencias es coherente con las políticas, los procedimientos y los acuerdos de la organización.

Detectar

La función de detección define las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La función de detección permite el descubrimiento oportuno de eventos de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurarse de que se detectan anomalías y eventos, y se entiende su impacto potencial
  • Implementación de capacidades de monitoreo continuo de seguridad para monitorear eventos de ciberseguridad y verificar la efectividad de las medidas de protección, incluidas la red y las actividades físicas
  • Mantener procesos de detección para dar a conocer eventos anómalos.
Publicidad

Responder

La función de respuesta incluye actividades apropiadas para tomar medidas con respecto a un incidente de ciberseguridad detectado. La función de respuesta admite la capacidad de contener el impacto de un posible incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurarse de que el proceso de planificación de la respuesta se ejecute durante y después de un incidente
  • Gestionar las comunicaciones durante y después de un evento con las partes interesadas, la aplicación de la ley, las partes interesadas externas, según corresponda
  • El análisis se realiza para garantizar una respuesta eficaz y respaldar las actividades de recuperación, incluido el análisis forense y la determinación del impacto de los incidentes
  • Las actividades de mitigación se realizan para evitar la expansión de un evento y para resolver el incidente.
  • La organización implementa mejoras al incorporar las lecciones aprendidas de las actividades de detección / respuesta actuales y anteriores

Recuperar

 La función de recuperación identifica las actividades apropiadas para mantener los planes de resiliencia y para restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad. La función de recuperación es compatible con la recuperación oportuna de las operaciones normales para reducir el impacto de un incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurar que la organización implemente procesos y procedimientos de recuperación para restaurar sistemas y / o activos afectados por incidentes de ciberseguridad
  • Implementación de mejoras basadas en lecciones aprendidas y revisiones de estrategias existentes
  • Las comunicaciones internas y externas se coordinan durante y después de la recuperación de un incidente de ciberseguridad.

RECURSOS ADICIONALES

The_Five_Functions.pptx

Fuente: www.nist.gov

Publicidad

El mando y rumbo de la Guardia Nacional / Luis Raúl González Pérez


El arduo proceso que concluyó con la aprobación de las reformas constitucionales, que replantearon y redimensionaron el carácter y funciones de la Guardia Nacional, puso en evidencia la convicción compartida entre autoridades, partidos políticos, organizaciones de la sociedad civil, academia, y organismos nacionales e internacionales de protección y defensa de los derechos humanos de que es urgente implementar medidas eficaces y pertinentes que reviertan la situación de violencia e inseguridad que se enfrenta en diversas regiones del país, en un marco de fomento a la legalidad y respeto de los derechos fundamentales. En este sentido, si bien la Guardia Nacional no podría implicar la solución total de los problemas antes mencionados, la reforma constitucional abrió la expectativa de que la presencia de personal militar en tareas vinculadas a la seguridad pública se redujera y acotara, mientras las policías de carácter civil se fortalecían y desarrollaban.

El consenso alcanzado fue por más y mejor seguridad, así como por consolidar el papel de las instituciones civiles, como garantes de la seguridad pública. Si bien se consignó expresamente en la Constitución que la Guardia Nacional sería un cuerpo policiaco de carácter civil, la potestad que se le concedió al Presidente de la República para designar a sus mandos no excluyó el que pudiera nombrar a personal militar en activo, siendo con base en ello que en días pasados se anunció que sería un miembro de las fuerzas armadas quien estaría al frente de dicho cuerpo. Esta decisión puede justificarse jurídicamente, pero no es algo que abone a que la Guardia Nacional cumpla con los objetivos que persigue, ni a que efectivamente tenga la naturaleza que le corresponde.

El personal de la Guardia Nacional, si bien debe contar con un entrenamiento táctico y operativo altamente especializado, también debe tener un perfil y capacidades de carácter policial que permitieran otras dinámicas de interacción con la sociedad distintas a las propias del personal militar. Para ello, se enfatizó la necesidad de crear un perfil específico para el personal de la Guardia Nacional y, con base en el mismo, proceder a un intenso y verificable programa de formación y capacitación. Este perfil diferenciado que se exigiría y requeriría al personal en general, necesariamente tendría también que aplicarse a los mandos y máximas instancias de la Guardia Nacional, a efecto de que permeara en sus esquemas y modelos de operación.

En razón de lo anterior, en el ánimo de lograr una construcción e implementación sólida, respetuosa de los derechos humanos y en el marco de la ley, de los programas, acciones y medidas que se adopten en materia de seguridad pública, fue que la CNDH y otras organizaciones e instancias planteamos la conveniencia de que se ponderara privilegiar perfiles de carácter civil, con especialización en áreas policiales, para la elección de la persona que eventualmente estaría al mando de la Guardia Nacional, la cual, conforme a su misión constitucional, debe ser una fuerza policial especialmente capacitada, de carácter civil, que además de contribuir a la seguridad de las y los mexicanos, debe propiciar el retorno gradual y verificable de las fuerzas armadas a las tareas que les son propias.

El perfil de quien asuma el mando de la Guardia Nacional puede ser determinante para fijar el carácter y naturaleza que en la práctica asuma dicho cuerpo, con lo cual adquieren especial relevancia las disposiciones secundarias que se emitan para regular su funcionamiento. La CNDH, en el ámbito de sus atribuciones constitucionales, estará al tanto y dará seguimiento a los correspondientes procesos legislativos, a efecto de garantizar que se preserven los derechos humanos de las y los mexicanos, al respetarse el sentido y alcance de la reforma constitucional que fue aprobada.

*Presidente de la Comisión Nacional de los Derechos Humanos (CNDH)

Fuente: www.jornada.com.mx

Publicidad

No cree una línea de seguridad de datos maginot porque sin la seguridad cibernética usted sigue siendo vulnerable



Scott Nicholson

La seguridad de los datos y la seguridad cibernética se superponen, pero son diferentes, y existe el riesgo de que si se enfoca demasiado en la seguridad de los datos, podría quedar expuesto.

Protección de datos y ciberseguridad: la línea maginot.

Durante la década de 1930, los franceses construyeron un muro de defensa casi indestructible a lo largo de su frontera con Alemania. Estaba destinado a ser impermeable a casi cualquier forma de ataque, incluidos los bombardeos aéreos y los disparos de tanques. Teniendo en cuenta que este muro protegía a Francia de una posible invasión de Alemania, la nación se dejó vulnerable. El ejército alemán superó esta barrera invadiendo los países bajos: Holanda y Bélgica y atacando a Francia al pasar por alto la línea. Tal vez haya una analogía aquí con la protección de datos y la seguridad cibernética.

Recientemente, Information Age habló con Scott Nicholson, de Bridewell Consulting , y advirtió que “no importa qué tan fuerte sea la protección de la protección de datos, si las organizaciones no emplean también los controles de seguridad cibernética apropiados, entonces los controles de seguridad de datos pueden circunnavegarse fácilmente. … en determinadas situaciones.”

Parafraseando a él, el riesgo radica en que se deje llevar por una falsa sensación de seguridad.

Scott se ocupa de los servicios de entrega en Bridewell, y es un gurú en seguridad cibernética, pruebas de penetración, seguridad en la nube y privacidad de datos. “Están intrínsecamente vinculados, pero también se extienden en direcciones opuestas, mundos separados unos de otros”, dice. Él compara la relación entre la seguridad cibernética y la seguridad de datos con un círculo, se reúnen, se separan, se vuelven a encontrar.

“Necesitas los dos” dice Scott. El riesgo reside en un enfoque demasiado estrecho en la seguridad de los datos. Los atacantes pueden usar la seguridad cibernética deficiente para omitir cualquier control de seguridad de datos, sin importar lo bueno que sea ”.

La diferencia

“Seguridad de datos”, dice Scott, “se trata de tener medidas de seguridad adecuadas para los datos que está procesando”. Pero para lograrlo, existen varios requisitos previos, que son:

  • gestión de la información,
  • entender la importancia de los datos para usar un esquema de clasificación,
  • y cómo manejar esos datos en consecuencia.

Por el contrario, la seguridad cibernética es en parte sobre la protección de datos, pero “también se trata de proteger sus sistemas de varias amenazas cibernéticas. Hay un gran enfoque y un movimiento hacia la resistencia del negocio cibernético, y aceptar que ya no se trata de si te atacan, sino cuando te atacan “.

Luego se refiere al marco de seguridad cibernética del NIST , que describe cinco áreas en las que la seguridad cibernética debe centrarse en:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Lo sutilmente

La historia de la línea francesa de maginot no es tan simple como suele representarse. Los franceses y los británicos eran conscientes del riesgo de un ataque más allá de los límites de la línea y, hasta cierto punto, habían dispuesto sus fuerzas para cubrir este riesgo. Dejaron un punto débil en el bosque de las Ardenas, supuestamente difícil de atravesar para las tropas alemanas. Pero lo hicieron atravesar y Francia fue derrotada.

También hay una sutil interacción entre la seguridad de datos y la seguridad cibernética. Tome encriptación “una organización podría haber encriptado sus datos en una base de datos, pero si no están empleando controles de seguridad cibernética más amplios, como la autenticación de múltiples factores, o la capacidad de identificar enlaces de phishing, aplicando análisis antimalware, por ejemplo, de tal manera que la identificación del usuario y las contraseñas podrían verse comprometidas, luego los atacantes pueden pasar por alto todos los controles de seguridad de datos “.

Publicidad

GDPR

El Reglamento general de protección de datos ha marcado una gran diferencia, sugiere Scott. En virtud del artículo 30 de las organizaciones GDPR que requieren el procesamiento de datos personales, deben llevar un registro de sus actividades de procesamiento. “Creo que los profesionales de la seguridad han podido aprovechar GDPR para obtener presupuestos”, dice.

La realidad

¿Pero qué tan importante es este problema? La seguridad de los datos y la seguridad cibernética están claramente relacionadas, pero en el mundo real, ¿las organizaciones realmente ponen demasiado énfasis en una a expensas de la otra?

“Depende del tamaño de la organización”, dice Scott, “pero o son tratados como dos disciplinas diferentes o tiende a centrarse más en una a expensas de la otra”.

Tal vez el problema radique en las diferencias inherentes entre las dos, tal vez diferencias que requieren una mentalidad diferente.

Como explicó Scott: “La seguridad cibernética a menudo es más técnica y está enfocada en la resiliencia, mientras que la seguridad de los datos se refiere a cuestiones como el manejo de la información, el transporte y el cifrado.

Por lo tanto, la seguridad cibernética, por ejemplo, se centra en tener mitigación de DDOS en el sitio web de una organización. La seguridad de los datos se aplica, entre otras cosas, a los datos almacenados en papel.

“He trabajado en organizaciones del sector público que han sufrido una violación y he tenido que mejorar esas prácticas manuales, pero creo que hay un caso para la capacitación de concienciación, asegurándome de que hagan lo correcto con la información y cosas como no irse”. En su coche durante la noche. Si observa el registro de incumplimiento de ICO, la mayoría de los incumplimientos de las organizaciones del sector público a menudo se deben a la pérdida de papeleo o medios de comunicación “.

Así que eso es, por un lado, las pruebas de penetración y las medidas de mitigación de DDoS, el entrenamiento del personal para no dejar su maletín en el automóvil por otro lado: una mentalidad bastante diferente, una psicología bastante diferente, habilidades muy diferentes. Pero luego, la línea maginot con sus búnkeres de hormigón y los ferrocarriles subterráneos que unen la comunicación, fue bastante diferente del despliegue de tropas en la frontera de la Bélgica francesa. En el caso de la línea maginot, la lección de la historia es clara. En el caso de la seguridad de los datos y la seguridad cibernética, la lección se vuelve más clara, se necesitan ambas.

Bridewell Consulting proporciona consultoría de seguridad cibernética, una función de privacidad de datos, pruebas de penetración y servicios de seguridad administrados.

Fuente: www.information-age.com

Publicidad

La desaparición del CISEN representa un reacomodo y no un cambio sustantivo.


  • 12 MARZO, 2019

David Ramírez-de-Garay @DavidRdeG | Animal Político

Con el inicio de la administración de Andrés Manuel López Obrador se han dado cambios importantes en el diseño institucional del gobierno federal. Se han modificado atribuciones, se han recortado áreas enteras a nivel Secretaría de Estado y se han creado nuevos ministerios.

De acuerdo con los problemas que está atravesando el país, uno de los cambios más importantes –y, en su momento, más discutidos– fue la desaparición de la Comisión Nacional de Seguridad, para dar paso a la nueva Secretaría de Seguridad y Protección Ciudadana (SSPC). Este movimiento se hizo con la clara intención de separar las funciones relativas a la seguridad pública de la Secretaría de Gobernación. Un modelo en sentido contrario a lo que habían implementado los gobiernos panistas y que, a la vista del crecimiento la inseguridad en el sexenio priista, fue un rotundo fracaso.

La creación de la nueva Secretaría de Estado estuvo acompañada de una modificación de gran importancia, pero que llamó la atención de muy pocos. Como parte de sus promesas de campaña, AMLO aseguró que en sus primeros días de gobierno cerraría el Centro de Investigación y Seguridad Nacional, el CISEN. La desaparición del organismo formalmente encargado de la generación de inteligencia para la seguridad nacional y, en la práctica, de gran parte del espionaje político, es más una acción con gran peso simbólico que un cambio en la manera en que la nueva administración concibe la generación de inteligencia para la seguridad nacional.

En efecto, la desaparición del CISEN representa un reacomodo y no un cambio sustantivo. Las funciones realizadas por éste pasaron íntegramente al Centro Nacional de Inteligencia (CNI), una “nueva” instancia integrada a la estructura de la SSPC y bajo la dirección de un militar en retiro.

¿Qué implican estos movimientos para la seguridad nacional? En realidad, muy poco. Además del otrora CISEN, la comunidad de inteligencia está conformada por otras instituciones con capacidad de generación de información estratégica, como la Secretaría de la Defensa Nacional, la Secretaría de Marina y la Procuraduría/Fiscalía General de la República. El cambio no afecta la forma en que estas instituciones han estado trabajando desde hace al menos 10 años. Empero, este movimiento sí puede generar dos problemas, uno por acción y otro por omisión.

publicidad

Dos inteligencias incompatibles

La incorporación del CNI a la institución federal encargada de la seguridad pública deja entrever un problema en la forma en que el actual gobierno concibe la generación de inteligencia tanto para la seguridad nacional como para la seguridad pública, dos objetivos de suyo distintos que requieren de información de naturaleza también distinta.

La información de inteligencia que se genera para la seguridad nacional tiene el objetivo básico de proveer al Estado con información verídica sobre posibles amenazas contra él o contra la población. Las agencias que recaban esta información tienen la tarea de organizar y poner en perspectiva problemáticas complejas, identificar emergencias, amenazas a intereses nacionales, detección de riesgos e identificación de oportunidades estratégicas.

Así, los análisis que las instancias de inteligencia generan son útiles para definir intereses nacionales; desarrollar y modificar estrategias militares y de seguridad nacional; determinar misión y doctrina de las Fuerzas Armadas y de otras instituciones de seguridad; y para prevenir y atender crisis nacionales.

Por su parte, la información de inteligencia que se requiere para las labores de seguridad pública tiene otro talante. Su objetivo es identificar los patrones a los cuales responden las conductas y los fenómenos criminales; detectar cambios en estos fenómenos; señalar nuevas prácticas o comportamientos; mostrar los contextos donde se reproduce la criminalidad; crear perfiles de víctimas y victimarios; así como revelar y monitorear la formación de redes criminales.

El examen detallado de esta información genera productos muy específicos y, dicho sea de paso, distintos a los que se necesitan para la seguridad nacional. Los análisis sirven para orientar y diseñar la política criminal del Estado; definir estrategias de desarrollo policial y uso de recursos policiales; aportar elementos para diseñar una estrategia de persecución criminal; y ofrecer información relevante para la investigación criminal.

Como se puede ver, tanto en sus objetivos como en sus usos hay diferencias importantes en la información para seguridad nacional y para seguridad pública. ¿Qué pasaría si no damos cuenta de estas diferencias? Se puede pensar en muchos problemas que pueden surgir si no se evita la confusión; uno de los más importantes es el intentar usar información generada para la seguridad nacional en la investigación criminal y en el proceso penal.

Imagine usted que en un proceso penal federal contra la trata de personas la Fiscalía arma una parte importante del caso con información proveniente del CNI. Cuando el juez a cargo del caso revise la legalidad de la información usada, no tendría otra opción más que descartar las pruebas. La generación de información para la seguridad nacional no tiene que estar apegada a los criterios legales que, por el contrario, sí requiere la información que se emplea en un proceso penal. Es por ello que, en casi todo el mundo, el uso de la información generada por los servicios de inteligencia sólo se usa para alimentar procesos internos de toma de decisiones.

publicidad

Controles y contrapesos

La forma en que la nueva administración está manejando la elaboración de información de inteligencia genera un problema importante por vía de la omisión. El cambio del grupo en el poder marcó la oportunidad de modificar un conjunto de estructuras que, siendo muy funcionales para el diseño institucional instaurado por el régimen priista y mantenido por los gobiernos panistas, sería oportuno comenzar a modificar para materializar diseños más democráticos, transparentes y abiertos.

La comunidad de inteligencia es uno de esos ámbitos que requieren de un proceso de cambio. Sin embargo, como hemos visto en otros ámbitos institucionales, la actual administración no considera esta transformación como algo prioritario. Esto es evidente en el tema que nos ocupa, donde todo parece indicar que se cometerá una grave omisión al no reformar la estructura de la comunidad de inteligencia en el país.

Los primeros límites legales que deben respetar los servicios de inteligencia son las leyes internacionales y de Derechos Humanos (DD HH). No obstante, por la naturaleza de su trabajo pueden entrar en tensión, es decir, pueden verse en la necesidad (o en la tentación) de restringir ciertos DD HH y civiles en algunas áreas, como el derecho a la privacidad, el uso de datos personales, la libertad de movimiento o en la ejecución de operaciones encubiertas.

Los servicios de inteligencia y su ámbito de acción incluyen el riesgo potencial de ser usados en contra de la población. En virtud de esto, los países que han adoptado diseños democráticos sus servicios de inteligencia han establecido una serie de importantes controles y contrapesos al trabajo de las agencias. Uno de ellos establece que cualquier acción que trastoque los DD HH tiene que estar completamente apegada al marco legal que regula estos servicios, y la pertinencia de dichas acciones tiene que ser previamente evaluada por criterios de propósito, necesidad, proporcionalidad y consistencia.

Otro de los límites establecidos desde los principios de gobernanza democrática es la estricta prohibición de recolectar información sobre individuos que no representan una amenaza, sobre actividades políticas y sociales legales o motivada por el interés particular de algún miembro del Estado.

Lo anterior implica que, por la importancia estratégica de la inteligencia y el alto potencial que tienen sus servicios de vulnerar derechos, se trata de una actividad que debe estar sujeta a estrictos principios de gobernanza. Éstos tendrían que incluir: la rendición de cuentas; la transparencia; el respeto a la ley y a los DD HH; políticas de inclusión y de no discriminación en operaciones y procedimientos; efectividad en su mandato de seguridad humana y del Estado y criterios de eficiencia en el cumplimiento de sus objetivos de política pública, en relación con los recursos disponibles.

Sin una reforma democrática para la gobernanza de los servicios de inteligencia, corremos el riesgo de perpetuar un esquema que no ha dado los resultados esperados. La crisis de seguridad, la debilidad del Estado, la falta de preparación ante emergencias y la falta contrapesos capaces de contener la proclividad de usar estas herramientas para fines políticos son claros ejemplos de los rezagos que se tendrían que superar desde una perspectiva de gobernanza.

Hasta ahora, el gobierno de AMLO ha dejado pasar la oportunidad de detonar y guiar este proceso, y se ha conformado con medidas simbólicas. Sus únicas acciones han sido el relanzamiento del CISEN bajo la etiqueta del CNI, su vinculación con la seguridad pública y la apertura de los archivos históricos de la Dirección Federal de Seguridad y del CISEN hasta 1985. Estas decisiones están destinadas a satisfacer las demandas de algunos grupos de izquierda, agraviados históricamente por el Estado.

No obstante, esto se encuentra a años luz de un proceso de reforma que dote al país de una nueva gobernanza para los servicios de inteligencia, un paso indispensable en un contexto político aparentemente favorable para la reforma. No obstante, todo parece indicar que tendremos una omisión con consecuencias importantes para el desarrollo del país. Ojalá no se tire por la borda una oportunidad histórica.

Fuente: mexicoevalua.org

Publicidad

Mario Meneses

Saludos

Los malos hábitos de seguridad de la información ponen a los contribuyentes en riesgo


Cuatro de cada 10 contribuyentes en un nuevo estudio dijeron que estaban preocupados por ser víctimas de fraude fiscal o robo de identidad fiscal durante la temporada de impuestos, pero el 45% admitió que almacenaron los documentos de impuestos en una caja, un cajón del escritorio o un gabinete abierto en su casa o en el trabajo.

No solo eso, uno de cada cinco dijo que no destruyó el papeleo impositivo ni los documentos físicos que contienen información confidencial antes de tirarlos.

Shred-it , un servicio de seguridad de la información provisto por Stericycle, encargó la encuesta móvil, que Pollfish realizó el 5 de febrero entre 1,200 personas mayores de 18 años.

Cuarenta y ocho por ciento de los encuestados dijeron que presentarían sus propios impuestos en línea a través del software de preparación de impuestos, mientras que el 37% dijo que presentarían una solicitud a un preparador de impuestos certificado.

Cuarenta y cuatro por ciento en el último grupo dijeron que no sabían cómo la persona que preparaba sus declaraciones de impuestos almacenaría o eliminaría los documentos que contenían su información personal. Este hallazgo subraya la necesidad de conversaciones sobre la protección de datos durante la temporada de impuestos, según Shred-it.

“La Temporada de Impuestos y el Informe de Prevención de Fraude revelan qué tan comunes son estos hábitos riesgosos de declaración de impuestos y cómo ponen a los contribuyentes en peligro por fraude o robo de identidad”, dijo Monu Kalsi , vicepresidente de marketing de Stericycle, en un comunicado.

“A medida que nos acercamos a la fecha límite de presentación de impuestos del 15 de abril, alentamos a todos a reevaluar cómo manejan sus propios documentos fiscales que contienen información confidencial y también cuestionamos cómo los que preparan los impuestos hacen lo mismo”.

Según el informe, los hábitos de seguridad riesgosos podrían contribuir al robo de identidad fiscal y al fraude fiscal, que encontraron que el 26% de los encuestados conocían a alguien que había sido víctima de fraude fiscal.

Los temores de fraude fiscal golpearon con más fuerza a los millennials, con un 43% diciendo que estaban preocupados por ser víctimas de fraude fiscal o robo de identidad fiscal, en comparación con el 34% de los baby boomers y el 33% de los contribuyentes de Gen Z.

Fuentes de susceptibilidad de fraude

Según la encuesta, el 54% de los contribuyentes pensaron que los documentos fiscales, como los formularios W-2 y 1099, eran la fuente más susceptible de fraude de información o robo de identidad. Esto se compara con el 15% que estaba preocupado por los documentos de préstamos para automóviles y el 6% que estaba preocupado por los documentos de hipoteca.

El 57% de las mujeres expresaron su preocupación por el fraude de información o el robo de identidad de los documentos fiscales, en comparación con el 49% de los hombres.

Y dos tercios de los millennials y más de la mitad de Gen Zers consideran los documentos fiscales más susceptibles de fraude de información o robo de identidad, en comparación con menos de cuatro de cada 10 boomers.

El treinta y cinco por ciento de los contribuyentes pensaron que el mayor riesgo de ser víctima de fraude fiscal o robo de identidad fiscal se debía a la presentación de impuestos en línea con el software de preparación de impuestos.

Esto se compara con uno de cada cuatro que pensaron que declarar los impuestos con un amigo o un miembro de la familia los puso en mayor riesgo, y uno de cada 10 se preocupó de hacerlo con un preparador de impuestos certificado.

A pesar de las preocupaciones sobre la presentación de impuestos en línea, el 54% de los millennials dijo que presentaría sus impuestos en línea con el software de preparación de impuestos, seguido por el 45% de los boomers y el 43% de Gen Zers.

Cuarenta y dos por ciento de los contribuyentes en la encuesta dijeron que conservaron los documentos fiscales durante más de siete años antes de deshacerse de ellos, el 26% los guardaron durante cuatro a siete años, el 22% lo hicieron durante uno a tres años y el 5% guardaron los documentos por menos de un año.

Los hombres eran ligeramente más propensos que las mujeres a guardar documentos fiscales (por ejemplo, formularios W-2 y 1099) por menos de un año antes de deshacerse de ellos. Aproximadamente cuatro de cada 10 Gen Zers y millennials dijeron que se aferraron a los documentos fiscales durante uno a tres años.

– Eche un vistazo a las 12 principales estafas fiscales que debe evitar el IRS : 2019 en ThinkAdvisor.COMPARTIR EN FACEBOOK COMPARTIR EN TWITTER

Katie Rass

Katie Rass

Katie Rass es la editora gerente de ThinkAdvisor y la editora adjunta del canal ALM Media Finance. Anteriormente, fue editora en Dow Jones Newswires, en el New York Times News Service y en el International New York Times.

Publicidad

Mario Meneses

Saludos

IMPARTIRÁ CIIASA CURSO “SISTEMA DE GESTIÓN DE LA SEGURIDAD OPERACIONAL”


By Redaccion1 / 1 abril, 2019F

Rossi A. G. 

Aeropuertos y Servicios Auxiliares (ASA), a través de su Centro Internacional de Instrucción (CIIASA), llevará a cabo, a partir del 8 de abril de 2019, el curso “Sistema de Gestión de la Seguridad Operacional”, el cual tiene como objetivo proporcionar los conocimientos y fundamentos metodológicos implicados en el aseguramiento de la seguridad operacional, derivado de la implantación del SMS en su organización.

Este curso, que forma parte del Programa de Instrucción 2019, favorece de manera primordial la formación de los nuevos profesionales en la seguridad operacional en México y la región, que ayuden a la prevención de situaciones de riesgo.

La instrucción está enfocada a todo el personal que realice actividades dentro de la junta de control/grupo de acción del SMS y que participa en la notificación del reporte de accidentes e incidentes en su organización, así como auditores internos del SMS y tendrá una duración de 40 horas en modalidad presencial.

El contenido del curso está dividido en ocho módulos de temas especializados: Reglamentación y conceptos básicos del SMS; Identificación de peligros de seguridad operacional; Análisis, evaluación y mitigación de riesgos de seguridad operacional; Supervisión y medición del desempeño de la seguridad operacional; Gestión del cambio del SMS; Mejora continua del SMS; Planificación del SMS, además de la instrucción en Manual del SMS.

Aeropuertos y Servicios Auxiliares, a través de su Centro Internacional de Instrucción, reafirma el compromiso de elevar la profesionalización y mantener estándares mundiales de seguridad en el personal dedicado a la aviación civil nacional e internacional.

Fuente: desdepuebla.com

Publicidad
Te ayudamos a la implementacion de un Sistema de Gestión de Seguridad de la Información. mario@c2csmartcompliance.com

El cumplimiento de PCI DSS podría ser la disposición de seguridad cibernética


Publicidad

Por Tech Wire Asia | 29 de marzo de 2019

Uno de los mayores desafíos que enfrentan las empresas en la era digital es administrar su riesgo de ciberseguridad. Esto es especialmente cierto para las empresas que manejan datos confidenciales de clientes, como tarjetas de crédito y otra información de pago, ya que esas organizaciones tienen mucho más en juego.

Por ejemplo, cuando los piratas informáticos violaron los sistemas de Marriott International, lograron escapar con más de 8,6 millones de números de tarjetas de crédito, dañando gravemente la reputación del grupo hotelero más grande del mundo. El incidente podría costar a la compañía alrededor de US $ 577 millones, según una estimación.

Es por eso que las empresas de todas las industrias deben hacer todo lo posible para proteger sus sistemas de pago. Pero la realidad es que los modernos sistemas de punto de venta o POS, aunque se vuelven cada vez más sofisticados a lo largo de los años, siguen siendo un atractivo vector de ataque para los malos actores.

Numerosas infracciones de alto perfil iniciadas en los terminales POS han sido titulares en los últimos años. Target, el minorista con sede en EE. UU., Tuvo un ataque a su sistema POS en 2013 y posteriormente perdió 40 millones de datos de clientes. Hace dos años, otra famosa marca estadounidense, Chipotle Mexican Grill, sufrió la misma suerte , afectando a 2,250 de sus restaurantes.

Todos estos ataques fueron dirigidos a puntos finales con el objetivo de adquirir información de tarjetas de crédito. Los piratas informáticos a menudo consideran los dispositivos POS como el enlace más débil en la red de una organización y despliegan malware específicamente para extraer datos de ellos.

Cumpliendo los estándares

Además de centrar sus esfuerzos para defenderse de las amenazas de la ciberseguridad, las empresas tanto en línea como fuera de línea también deben cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Inicialmente creado para controlar los datos del titular de la tarjeta y frenar el fraude de la tarjeta de crédito, el estándar ahora requiere una validación anual o trimestral realizada por un Asesor de seguridad calificado (QSA) externo para garantizar el cumplimiento de las compañías.

PCI DSS establece 12 requisitos principales para las organizaciones que crean y administran redes seguras de procesamiento de pagos que protegen los datos del titular de la tarjeta, desde el procesamiento hasta la transmisión y el almacenamiento, e implementan estrictas medidas de control de acceso.

Administrar el cumplimiento de PCI DSS mientras se mantiene al día con las amenazas de ciberseguridad más recientes y sofisticadas puede ser difícil para las empresas y, por lo tanto, es crucial que encuentren un socio de soluciones capaz de ayudar a aliviar la carga.

Cómo Foregenix garantiza el cumplimiento y la seguridad.

Recientemente, Foregenix, una de las empresas con una larga historia de éxito en el cumplimiento de PCI, ha estado haciendo grandes progresos en el espacio de la ciberseguridad, ayudando a los clientes a liberar el valor total de su inversión en medidas de defensa que protegen sus redes y puntos finales.

Habiendo estado muy involucrado con el PCI DSS desde su inicio, Foregenix entiende los desafíos que la mayoría de las organizaciones enfrentan al lograr y mantener el cumplimiento de esos estándares.

Con un fuerte enfoque en la protección de activos comerciales que incluyen datos de clientes, la compañía ofrece un conjunto de soluciones integrales que incluyen, entre otras, las siguientes:

  • Pre-cumplimiento / análisis de brechas para identificar y abordar áreas de incumplimiento mientras se establece un nivel de referencia de seguridad.
  • Pruebas de penetración que proporcionan un análisis en profundidad de la seguridad de la red y las aplicaciones.
  • Exploraciones de vulnerabilidades de red que aseguran la protección contra las amenazas más recientes para ayudar a continuar con el cumplimiento de PCI DSS.

Más allá de eso, Foregenix fue el primer asesor del mundo acreditado por el PCI Security Standards Council para poder guiar y evaluar la solicitud de pago contra los estándares del Consejo de Punto a Punto de Cifrado (P2PE). Cuenta con el mayor número de QSA con su gran experiencia y experiencia en ayudar a los proveedores de soluciones de P2PE a asegurar sus soluciones, y la compañía dominó el espacio de mercado de evaluación de P2PE en 2018.

Detección y respuesta gestionadas.

Más allá del cumplimiento, los servicios de Detección y Respuesta Administrada ( MDR) de Foregenix permiten a las empresas detectar y neutralizar incluso algunas de las amenazas cibernéticas más sofisticadas. Si bien muchas organizaciones de seguridad dependen de varias herramientas y soluciones, sin la administración adecuada de múltiples actualizaciones, por ejemplo, numerosos falsos positivos pueden provocar retrasos en los tiempos de respuesta a problemas reales.

Pero el equipo de Foregenix responde a los incidentes cibernéticos antes de que se conviertan en noticias. Su solución Serengeti proporciona telemetría forense clave que transmite información detallada, casi en tiempo real, del estado de la salud de la ciberseguridad de una empresa. La experiencia y las habilidades del Foregenix Threat Intelligence Team aumentan la capacidad de detectar ataques en varias etapas que podrían impedir la detección de incluso la solución de ciberseguridad líder en la industria.

La acción rápida es posible gracias a la capacidad de análisis y visibilidad de “Panel Único de Vidrio” de Serengeti que permite a las empresas explorar y barrer rápidamente conjuntos de datos masivos para detectar amenazas. La preocupación de la ciberseguridad a menudo pesa mucho en la mente de los líderes empresariales, aunque no es así. Es mejor cambiar la atención al crecimiento de las empresas y al servicio al cliente, y dejar que Foregenix se preocupe por el entorno de amenazas.

Obtenga más información sobre los métodos de ciberseguridad de Foregenix y las ofertas de cumplimiento de PCI DSS aquí , y póngase en contacto hoy mismo.

Fuente: techwireasia.com

Publicidad

Mario Meneses

Saludos

Aprobó el CU la creación de dos carreras. Ciencia de Datos y Química e Ingeniería en Materiales


Epleno del Consejo Universitario aprobó crear dos nuevas licenciaturas: Ciencia de Datos y Química e Ingeniería en Materiales. Son las número 126 y 127 que ofrecerá esta casa de estudios.

El Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) es el responsable de la primera, y las facultades de Ciencias (FC), de Estudios Superiores (FES) Aragón y Acatlán, así como el Instituto de Matemáticas, serán participantes; la segunda licenciatura se impartirá en la Facultad de Química (FQ), y el Instituto de Investigaciones en Materiales será entidad participante.

Ciencia de Datos

Los profesionales de la licenciatura en Ciencia de Datos serán capaces de seleccionar, preparar, analizar, evaluar y comunicar cantidades masivas de datos de cualquier tipo, de manera ética y responsable para la toma de decisiones inteligentes y la resolución de problemas complejos en los sectores científicos, tecnológicos, empresariales y sociales.

La UNAM será la única institución pública en tener esta oferta a nivel centro y norte del país. En el extranjero hay más de 30 licenciaturas similares, pero son propuestas en ciencias de la computación, estadística y un área de aplicación a elegir.

Estos profesionales podrán ocupar uno de los 2.72 millones de puestos de trabajo que se abrirán en esta área para 2020, de acuerdo con Business Higher Education Forum & PwC Professional. En México, el portal de empleo Bumeran afirma que las vacantes para ellos crecerán 20 por ciento en la próxima década, y los sitúa en el primer sitio de las cinco carreras que serán más requeridas en ese mismo periodo.

“Los datos registrados actualmente corresponden a los 100 ZB (1023 bytes), muchos cientos de veces lo producido en la imprenta desde su aparición. Y las tasas estimadas de crecimiento anual van de 50 a 300 por ciento. Las supercomputadoras rebasan el Pflop (1015 operaciones de punto flotante por segundo)”, señala el proyecto de creación.

YouTube, por ejemplo, crece a razón de 100 horas de video por minuto; Walmart realiza un millón de transacciones comerciales por hora y Google procesa al día 24 PB; Instagram y Flickr incluyen 55 y 20 millones de fotografías, respectivamente, y se envían 340 millones de tuits.

“Este explosivo avance de las TIC hace posible procesos de convertir datos en inferencia, información a partir de la cual se genere conocimiento, de maneras impensables hace poco más de una década. Tal posibilidad involucra a todos los sectores, desde la ciencia y los negocios hasta los medios de comunicación, el entretenimiento, el turismo. La naturaleza de algunos ámbitos (como ciudades inteligentes, energía, medio ambiente y sostenibilidad, participación ciudadana, salud) evidencia la implementación irreversible de dichos procesos”, agrega el documento.

La licenciatura en Ciencia de Datos será de acceso indirecto. Podrán cursarla alumnos que acrediten los primeros cuatro semestres en carreras afines en la Universidad como Actuaría, Ciencias de la Computación, Ingeniería en Computación, Matemáticas Aplicadas y Computación.

El acceso al plan de estudios será a partir del quinto semestre para cubrir un total de ocho semestres que abarcarán 24 asignaturas –20 obligatorias y cuatro optativas–, constituyendo un total de 186 créditos.

Para ser aceptados, los aspirantes también deberán ser alumnos regulares, tener promedio mínimo de ocho, aprobar el examen diagnóstico correspondiente y realizar un par de entrevistas con un comité académico y con el coordinador de la carrera. Además, contar con el nivel A2 del idioma inglés en el Marco Común Europeo de Referencia para las Lenguas, o su equivalente.

Química e Ingeniería en Materiales

La licenciatura de Química e Ingeniería en Materiales tiene la misión de formar profesionales de excelencia con amplias capacidades en ciencia y tecnología químicas, comprometidos con
aportar valor a la sociedad, en el contexto del desarrollo sustentable del país.

En México no hay actualmente una carrera que proporcione la formación integral en ciencias de los materiales con conocimientos en química orgánica e inorgánica para la obtención de materiales metálicos, la síntesis de materiales polímeros y cerámicos, así como de materiales compuestos.

“Muchos de los avances tecnológicos que han transformado nuestra vida diaria se basan en el desarrollo de nuevos materiales y sus aplicaciones. Por ejemplo, cada día es más evidente que deben encontrarse materiales plásticos biodegradables en el corto plazo, baterías recargables con mayor capacidad de periodos de carga y de bajo costo, o dada la explosiva comercialización de dispositivos con pantallas táctiles, lograr que para su fabricación no se consuman grandes cantidades de elementos de poca disponibilidad como son las tierras raras”, señala el proyecto de creación de la licenciatura.

Se trata de un plan de estudios multidisciplinario, que busca formar profesionales que generen la tecnología e infraestructura requeridas en la nación. Deberá cursarse en nueve semestres para cubrir 53 asignaturas y un total de 410 créditos.

El egresado podrá incursionar en la producción, investigación y desarrollo de los materiales convencionales, además de facilitar su participación en proyectos de innovación y desarrollo de nuevos materiales con aplicaciones estructurales y funcionales.

El documento indica que de acuerdo a resultados del Instituto Mexicano para la Competitividad (IMCO), en 2018 la carrera de Química fue una de las de mejores opciones laborales y se mantendrá así en los próximos años, con una tasa de empleo de cien por ciento. Sus egresados pueden desarrollarse en diferentes ramos de la industria.

Fuente: gaceta.unam.mx

 

Publicidad

Mario Meneses

Saludos

Seguridad de la información: hackear, o no ser hackeado


Publicidad

Cuando pensamos en la seguridad de TI, por lo general piensa en las grandes cortes que fueron reportados en la prensa. Cuando se ve como un todo, podemos entender la magnitud de los datos perdidos. No es de extrañar que estos trucos sean lo que nos viene a la mente cuando pensamos en la seguridad de la información.

La siguiente tabla muestra algunos de los hacks más grandes que ocurrieron en este siglo. El número de cuentas afectadas varía en millones.

Las más grandes infracciones de seguridad, 2003–2018, clasificadas


Empresa
Cuentas hackeadasFecha de hackeo
Yahoo3 mil millonesAgosto de 2013
Marriott500 millones2014-2018
Yahoo500 millonesFinales de 2014
Adult FriendFinder412 millonesOctubre 2016
Mi espacio360 millonesMayo 2016
Debajo de la armadura150 millonesFebrero 2018
Equifax145.5 millonesJulio 2017
EBay145 millonesMayo 2014
Objetivo110 millonesNoviembre de 2013
Sistemas de pago Heartland100+ millonesMayo 2008
LinkedIn100 millonesjunio 2012
Rambler.ru98 millonesFebrero de 2012
TJX94 millones2003–2004
Sony PlayStation Network77 millonesAbril 2011
JPMorgan Chase83 millonesJulio de 2014
Tumblr65 millonesFebrero de 2013
Uber57 millonesFinales de 2016
Deposito de casa53 millonesAbril 2014
Facebook50 millonesJulio 2017
Oficina de Administración de Personal de los Estados Unidos (OPM)22 millones2012-2014
Himno78.8 millonesFebrero 2015
Seguridad RSA40 millonesMarzo 2011
Adobe38 millones2014-2015

Fuente: 
“Las 18 violaciones de datos más grandes del siglo XXI”, por Taylor Armerding , CSO 
“ Las violaciones de datos más grandes de todos los tiempos, clasificadas  , por Nicolas Rivero, Quartz

El hack más grande le sucedió a Yahoo en 2013; ¿Te imaginas los efectos de 3 billones de cuentas hackeadas? Eso es aproximadamente 10 veces la población actual de los Estados Unidos. El segundo ataque más grande es el ataque contra Marriot, que afectó a 500 millones de cuentas. El hackeo de Marriott me golpea especialmente cerca de casa porque uso el hotel a menudo y soy un viajero de primer nivel. Los hackers no solo tienen la información personal de 500 millones de cuentas, sino también varios números de tarjetas de crédito. Marriott aún tiene que reconocer el problema o advertir a los clientes que cambien sus números de tarjeta de crédito.

Si revisa esta lista de hacks, es probable que esté de acuerdo en que el problema es algo que todos debemos preocuparnos. Tomemos Yahoo, por ejemplo. La compañía primero tuvo 3 mil millones de cuentas pirateadas y luego otros 500 millones un año después. Parece que el equipo de seguridad de TI de Yahoo no pudo estar a la altura de los piratas informáticos, o que la alta dirección no proporcionó el ímpetu y el enfoque dentro de la organización. Creemos que hay muchos otros trucos que no están siendo noticia porque han pasado a las organizaciones de fabricación y diseño y no están afectando al público en general.

Estos hacks externos son problemas de ciberseguridad, definidos como ataques desde Internet, o como lo llaman las normas ISO, el ciberespacio. Vale la pena considerar el término tal como se define en la norma de orientación ISO 27032 “Tecnología de la información: técnicas de seguridad — Directrices para la ciberseguridad”. La ISO 27032 define la ciberseguridad como “Seguridad del ciberespacio: preservación de la confidencialidad, integridad y disponibilidad de información en el ciberespacio. . ”

El ciberespacio se define como el “entorno complejo que resulta de la interacción de personas, software y servicios en Internet mediante dispositivos de tecnología y redes conectadas a él, que no existen en ninguna forma física”.

La ciberseguridad es importante, pero las organizaciones también necesitan implementar la seguridad de la información. La seguridad de la información es el problema más amplio que contiene la ciberseguridad como uno de sus elementos. Consulte el diagrama a continuación, que muestra la seguridad de la información y su relación con la ciberseguridad.

Los estándares de seguridad de la información son los estándares más importantes de nuestro tiempo. Muchos CEOs han dejado el tema de la ciberseguridad a los CIO y no se han involucrado. La Comisión de Valores e Intercambio de los Estados Unidos emitió una guía interpretativa.El año pasado a empresas que cotizan en bolsa. Según la guía, “los riesgos de ciberseguridad representan amenazas graves para los inversores, nuestros mercados de capital y nuestro país. Ya sea en las empresas en las que invierten los inversores, sus cuentas en empresas de servicios financieros, los mercados a través de los cuales operan, o la infraestructura con la que cuentan diariamente, el público inversor y la economía de los Estados Unidos dependen de la seguridad y confiabilidad de la tecnología de la información y las comunicaciones. , sistemas y redes … Hoy en día, la importancia de la administración de datos y la tecnología para las empresas es análoga a la importancia de la electricidad y otras formas de energía en el siglo pasado … Primero, esta versión hace hincapié en la importancia de mantener un servicio integral. Políticas y procedimientos relacionados con los riesgos e incidentes de ciberseguridad. Se requiere que las empresas establezcan y mantengan controles y procedimientos de divulgación adecuados y efectivos que les permitan realizar revelaciones precisas y oportunas de eventos importantes, incluidos los relacionados con la ciberseguridad. Tales controles y procedimientos robustos de divulgación ayudan a las compañías a cumplir con sus obligaciones de divulgación según las leyes federales de valores “.

Esta guía deja claro que la implementación de un estándar de guía de TI como ISO 27001 no es realmente una opción sino un requisito para las empresas que cotizan en bolsa.

Cómo funciona ISO 27001

Para aquellos familiarizados con los estándares ISO, es bueno saber que ISO 27001 sigue la estructura de alto nivelde las normas ISO. Además, presenta el ciclo planear-hacer-verificar-actuar, también conocido como el ciclo Deming. Hay diferencias clave en los controles de esta norma frente a otras normas ISO, como cabría esperar. La ISO 27001 presenta dos requisitos: la cláusula 6.1.2, que requiere que se realice una evaluación de riesgos de seguridad de la información; y la cláusula 6.1.3, que requiere un tratamiento de riesgos de seguridad de la información. Por lo tanto, la cláusula 6.1 en Riesgo y planificación identificará los objetivos de seguridad de la información y ciberseguridad y también el riesgo asociado con las amenazas de seguridad de la información, tanto externas como internas. La sección de tratamiento de riesgos requiere que las organizaciones consideren 132 controles de riesgo en el Anexo A de la norma. (Más sobre esto más adelante.)

En la cláusula 6.2, ISO 27001 requiere que las organizaciones identifiquen los objetivos de seguridad de la información y desarrollen planes para alcanzarlos. Bajo la cláusula 8.0 — Operaciones, la norma requiere que la organización implemente los planes desarrollados en las cláusulas 6.1 y 6.2, realice evaluaciones periódicas de seguridad de la información (cláusula 8.2) e implemente el plan de tratamiento de riesgos de seguridad de la información creado, según lo requiere la cláusula 6.1.3.

Anexo A: Controles de seguridad de la información

El anexo A de ISO 27001 se divide en 14 áreas de categorías de control, que en conjunto presentan 132 controles individuales. La expectativa es que cada una de las áreas sea considerada y cubierta. Si no es así, el motivo por el que debe justificarse. La evaluación, el plan de tratamiento de riesgos y, luego, la implementación deben cubrir cada una de estas áreas. Aquí también es donde los programas del Instituto Nacional de Estándares y Tecnología (NIST) pueden integrarse con la norma ISO 27001.

El NIST es una agencia no reguladora del Departamento de Comercio de los Estados Unidos.

La Publicación especial 800-53 de NIST  proporciona un catálogo de controles de seguridad para todos los sistemas de información federales de los EE. UU., Excepto aquellos relacionados con la seguridad nacional. Las normas NIST se están convirtiendo rápidamente en requisitos obligatorios para que los fabricantes puedan suministrar al gobierno federal. La ley de los Estados Unidos especifica un mínimo para los requisitos de seguridad de la información para los sistemas de información utilizados por el gobierno federal. A su vez, esto se refiere a la Publicación Especial 800-53 como los  controles mínimos obligatorios que deben implementar las agencias federales.

Papel de la alta dirección

La cláusula 5.0 de ISO 27001 explica que la alta gerencia es responsable de la seguridad de la información y que los procesos de seguridad de la información deben integrarse en los procesos de negocios de la organización; en otras palabras, el “enfoque del proceso o el mapa del proceso”. Como se esperaba, los objetivos, El progreso hacia los objetivos, la efectividad de los controles y otras métricas se revisan durante las revisiones de gestión o de negocios que son dirigidas por la alta gerencia. Es crucial que la alta dirección entienda su importante papel en la gestión de la seguridad de la información y la ciberseguridad.

¿A dónde vamos desde aquí?

La comprensión de una organización de los riesgos relacionados con la seguridad de la información y la ciberseguridad debe comenzar con el liderazgo de la empresa. La Comisión de Bolsa y Valores de EE. UU. Ha dejado muy claro que si usted es una empresa que cotiza en bolsa, deberá desarrollar políticas y procedimientos que aborden el riesgo de ciberseguridad. Un buen lugar para comenzar es ISO 27001 con sus requisitos bien definidos y su metodología de proceso. Además, ISO 27001 se integra bien con el sistema de gestión de calidad de la organización.

El consejo de la empresa debe involucrarse y proporcionar supervisión y responsabilidades a este esfuerzo. La guía de la Comisión de Valores e Intercambio de EE. UU. Solicitó una descripción de cómo la junta administra la supervisión del riesgo. ISO 27001 requiere auditorías internas y externas. Al igual que la Ley Sarbanes-Oxley, el sistema debe ser probado regularmente por los evaluadores que prueban el proceso. Además, las pruebas de vulnerabilidad y penetración con partes externas contratadas deben convertirse en prácticas habituales para las organizaciones. Las organizaciones no solo deben centrarse en las partes externas, sino también en los ataques internos y la disponibilidad general de información. Ahí es donde los sistemas de gestión ISO 27001 pueden desempeñar un papel fundamental.

Implementar ISO 27001 y obtener un certificado de terceros no es suficiente. La seguridad cibernética y la seguridad de la información requieren un monitoreo continuo y actualizaciones de la defensa de la organización. La tecnología cambia constantemente y requiere que los equipos de seguridad de TI actualicen constantemente los procesos y las tecnologías.

Como punto de partida, Omnex recomienda que la alta gerencia, junto con la junta directiva de la compañía, reciba un resumen ejecutivo de este problema. Únase a Quality Digest y Chad Kymal, fundador de Omnex y CTO, en el seminario web, “¿Ciberinseguridad ? Cómo proteger su sistema contra un ataque de piratería: ISO / IEC 27001 ” para obtener información sobre cómo implementar un programa sólido de ciberseguridad y seguridad de la Información. Registrate aqui

SOBRE EL AUTOR

Imagen de Chad Kymal

Chad Kymal

Chad Kymal es el CTO y fundador de Omnex Inc. , una organización internacional de consultoría y capacitación con sede en los Estados Unidos. También es presidente de Omnex Systems, un proveedor de software de los sistemas de gestión ISO 9001, ISO 14001 e ISO 27001. Desarrolló y enseña la capacitación de auditores para ISO 9001, IATF 16949, ISO 14001 e ISO 45001, así como un curso de capacitación de Auditor Líder de Sistemas de Gestión Integrada en el que las tres normas se combinan en una sola auditoría.

Kymal también participa en los comités ISO / TC 176, ISO / TC 207 y PC283 para el desarrollo del sistema de gestión ISO 9001: 2015 (calidad), ISO 14001: 2015 (ambiental) e ISO 45001 (salud y seguridad).

Fuente: qualitydigest.com

Falta acercar la tecnología a la seguridad de la construcción.


Nelly Toche26 de marzo de 2019, 22:02

Especialistas señalan que el reto en México es todavía grande, aunque ya existe tecnología de anclaje antisísmico.

Hace unos días se llevó a cabo el simposio Tecnología de Anclajes para Zonas Sísmicas, un tema sin duda de relevancia en México, pues a un año y medio de vivir el más fuerte recordatorio de que nos encontramos en una zona de peligro, seguimos observando edificios y construcciones que aún no han podido superar aquel fatídico 19 de septiembre de 2017.

Después de una serie de encuentros afortunados, pues se dieron cita ingenieros, calculistas, empresas constructoras y estudiantes en el simposio, platicamos sobre los resultados y retos con Borman Rojas y Thilo Pregartner, representantes de Fischer, empresa de tecnología en construcción y organizadores de este evento, junto con la Sociedad Mexicana de Ingeniería Estructural.

“En México sí hay interés por recibir nuevas tecnologías, este evento fue exitoso, ya que fue nuestra primera actividad de tal magnitud, pero también a la luz del futuro, se presentan grandes oportunidades”, asegura Rojas.

Dijo que a través de los años la normativa ha mejorado y el interés, estructuralmente hablando, aumenta; la figura del Director Responsable de Obra (DRO) es una figura de autoridad en los proyectos que cada vez se hace más presente y eso ha ayudado a que la normativa se cumpla un poco más.

“Con ellos el trabajo va muy avanzado”; sin embargo, ante la generalidad de la normativa una cosa es lo que se dice y otra lo que se hace en campo; Rojas aseguró que falta hacer más específicas esas reglas y adaptar elementos de índole estructural. “Por ejemplo, las normas dicen que los edificios necesitan barreras anti-incendio, pero hasta ahí; el qué, cómo, dónde, no está establecido”.

Seguridad en la construcción

Rojas, quien es director de Fischer en México, asegura que también hay otro aspecto sobre seguridad que se ha dejado pasar, se trata de los elementos no estructurales (portacables, cielos, paneles, ventanas, puertas), los cuales también deben soportar los movimientos de la estructura.

“La normativa es muy laxa en este sentido, ya que en un sismo la mayoría de las cosas que pasan y que provocan daños, son en elementos no estructurales…Por supuesto que es muy importante que el edificio no colapse, pero también es muy importante la seguridad física de todos los elementos que están en una construcción…Los altos costos después de sismos, aún van sobre el tema de seguridad”.

Además, hablar de tecnología en estructuras no se limita a los grandes edificios, “simplemente para hacer un segundo piso en una casa, hacer fijaciones ligeras de ductos o portacables se tendrían que aplicar soluciones, sin embargo, volviendo al tema de seguridad, en construcciones pequeñas es todavía más incipiente. Normalmente el usuario ve más hacia el lado del costo que de la seguridad”.

Hoy la tecnología aplicada a la seguridad de edificios, tiene una vida útil de aproximadamente 50 años, “pero en México normalmente nadie se preocupa por 50 años, incluso aquí los desarrolladores sólo están obligados a dar garantías de un año, por ello muchas veces los productos no estructurales no duran y son ineficientes”.

Publicidad

Uso de la tecnología

Pregartner por su parte, quien es director en tecnología y aprobaciones de Fischer, platica que el tema de seguridad en anclajes ya tiene bastante historia, “hablamos de 20 años, pero siempre hay cosas por mejorar”, hoy el tema de sismos y homologaciones, tiene apenas 4 o 5 años para Europa.

Hemos trabajado en las homologaciones, especialmente para territorios sísmicos, en Europa hay dos categorías de homologaciones sísmicas, C1 para bajo nivel y C2 para sismos más intensos, esta última categoría es la más útil para México. Fischer trabaja con productos desde fijación ligera, hasta anclajes metálicos, productos químicos y de protección.

El especialista asegura que algo que también ha hecho la diferencia es trabajar la relación con las instituciones educativas y de investigación, “hoy junto con la Universidad de Sttutgard hemos hecho una comparación para lograr hacer casas más fuertes para sismos, en combinación con anclajes que provee Fischer.”

En esta oportunidad de visitar México igualmente se pudo hacer un intercambio de ideas con instituciones de investigación: “Hemos podido escuchar a las universidades durante el simposio, vimos que aquí las soluciones son diferentes, se usan menos los anclajes y más las estructuras de acero, que son muy invasivas”. La buena noticia es que a raíz de este encuentro se logró el contacto para seguir con la colaboración.

En México la tecnología ya tiene presencia desde hace algunos años y se puede constatar con construcciones icónicas como el Museo Jumex, que cuenta con un sistema de fijación para piedra natural y que es a prueba de sismos; la planta de BMW, la Torre Sequoia, el Tren Ligero  de Guadalajara, entre otras obras. Pero el reto sigue siendo grande: “trabajar con las normas en el cálculo de anclaje a través de asociaciones, pero también sería una invitación al gobierno a participar de estos temas”.

Rojas concluyó que están convencidos de que a través de la tecnología se pueden salvar vidas e infraestructuras, “la idea del simposio fue colaborar con eso, a través de la difusión de conocimiento, por ello se hizo una mezcla de temas teóricos con temas prácticos y con invitados mexicanos reconocidos en el tema estructural… A raíz de este ejercicio de colaboración vendrá una etapa de análisis y diagnóstico para poder generar acciones concretas, pero comenzar por responder las dudas que habíamos recogido del mercado, sin duda fue un gran acierto”.

Fuente: eleconomista.com.mx

Publicidad.

¿Qué es un sistema de gestión de seguridad de la información (SGSI)?


Un SGSI es un conjunto de directrices y procesos creados para ayudar a las organizaciones en un escenario de violación de datos. Al tener un conjunto formal de pautas, las empresas pueden minimizar el riesgo y asegurar la continuidad del trabajo en caso de un cambio de personal. ISO 27001 es una especificación bien conocida para un SGSI de una empresa.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.

Solicita información.

Mario Meneses

mario@c2csmartcompliance.com

WA / +52 1 7711871152

Guardia Nacional deberá diseñar un plan de ciberseguridad eficaz


Publicidad

Instituciones como la Guardia Nacional deben considerar dentro de sus estrategias y presupuesto un plan de ciberseguridad que proteja la información y los bienes informáticos bajo su propiedad, además de contar con recursos suficientes para contar con tecnología de punta y personal altamente capacitado, así lo destacó Jorge Osorio, co-fundador de la empresa CSI Consultores en Seguridad de la Información.

“El problema es que los distintos cuerpos u organismos de seguridad que existen en el país tienen sus propias políticas y estrategias de ciberseguridad, pero al unirse, van a tener que unificar sus protocolos, ¿y cuándo lo van a hacer? No se sabe, porque la ciberseguridad es uno más de los elementos entre todos lo que tienen que unificar o crear como algo nuevo, y eso incluye uniformes, procesos, planes de trabajo, entre otros. Sabemos que cada organismo tiene sus propias políticas de ciberseguridad e incluso el ejército cuenta hasta con un banco, que requiere un tratamiento aparte”, explicó el experto.


Bajo ese panorama, la creación de la Guardia Nacional implica una fusión que, a decir de Osorio, no va a ser sencilla e incluso pudiera presentar cierto caos de inicio.

“El problema es que el nuevo organismo podrá tardar para definir y ejecutar procesos, y en cuestión de sistemas la fusión de procedimientos relacionados con las TI y sistemas operativos puede llevarse hasta un sexenio. En este sentido, no hemos visto que los involucrados en este proyecto no abordan este tema: la ciberseguridad interna, y eso puede afectar a corto plazo debido a los ataques potenciales que pueden llegar a recibir”, resaltó.

Otra situación que ha detectado el director de CSI, se relaciona con la austeridad con la que se está manejando la actual administración federal. Al respecto comentó: “Detectamos que hay una disminución de presupuesto para los temas de TI, lo que incluye a la ciberseguridad. Es cierto que al inicio de cada sexenio cuesta trabajo iniciar proyectos relacionados con las TI porque recién se terminaron los contratos del período anterior y de algunos de ellos se pide una extensión al inicio del siguiente, pero no por mucho tiempo. Esto sucede en tanto los nuevos encargados definen necesidades y presupuestos, pero en este sexenio, después de cuatro meses no sabemos de gestiones para renovar o iniciar nuevos contratos. Por ello,  las instituciones gubernamentales corren el riesgo de dejar de recibir soporte técnico y actualizaciones, por la falta de contrato. La consecuencia es el incremento de los ciberataques”.

Como señaló Osorio, cada vez un mayor número de ciberataques de diferente tipo, y por ello es recomendable que las instituciones oficiales desarrollen estrategias de ciber protección de forma más expedita, porque en tanto no sucede así, se abre una “ventana” de tiempo que los hackers pueden aprovechar.


“Al parecer, muchas empresas e instituciones prefieren invertir recursos en su operación, en los recursos humanos o en sus deudas por pagar, y si les resta algún presupuesto, entonces lo destinan a la ciberseguridad, y a veces solo invierten en un antivirus, cuando deberían dedicar más recursos para proteger sus bienes informáticos y contar con personal especializado en ese tema”, indicó el directivo.

Jorge Osorio participará en Infosecurity México 2019, evento que mostrará lo último en conocimiento, tendencias y soluciones para proteger datos informáticos.

Fuente: cio.com.mx

Publicidad

La seguridad privada creció más que las fuerzas policiales de México durante la última década


Eliana Gilet

No existe un registro fiable de la cantidad de empresas de seguridad privadas en México, ni de los guardias que estas contratan, pero sí hay indicios de su colusión y participación en crímenes. Sputnik te presenta el caso de una mujer que denunció extorsión y secuestro de parte de guardias privados de la zona metropolitana a la capital.

Nancy Saavedra salía de hacer sus compras en la Central de Abastos de la ciudad de México, cuando seis oficiales del Cuerpo de Seguridad Auxiliar del Estado de México, una empresa conocida por sus siglas, Cusaem, la abordaron diciéndole que había ella sido acusada del robo de 2.000 pesos (106 dólares).

Cusaem es una empresa que puede verse comúnmente en las oficinas de Gobierno, haciendo tareas de seguridad pública. Tiene un nutrido historial de denuncias por gatillo fácilsecuestro, y extorsión. También ha sido denunciada por atacar migrantes en tránsito por México.

El caso que Nancy Saavedra denunció en diálogo con Sputnik ocurrió el 8 de julio de 2018. Sin orden judicial y con una supuesta querella de dos personas anónimas, Saavedra fue arrestada por los oficiales de Cusaem en un módulo policial del que prefirió no brindarse mayor referencia.

La mujer denunció que allí fue torturada por los guardias privados hasta que accedió a firmar una declaración en la que se asumía culpable del robo que nunca existió.  

Elemento de la Cusaem asesinó a un hombre, actuando como guardia en un supermercado en la calle José Peón del Valle, en la colonia Santa Marta Acatitla, Iztapalapa.

© SPUTNIK / ELIANA GILET Elemento de la Cusaem asesinó a un hombre, actuando como guardia en un supermercado en la calle José Peón del Valle, en la colonia Santa Marta Acatitla, Iztapalapa.

Una nota médica que forma parte del expediente indica que tres días después —el 11 de julio- Saavedra presentaba lesiones que demostraban que había sido sometida a tratos crueles: tenía un esguince en las vértebras cervicales, dolor en el abdomen, heridas en la cara, pubis, espalda y tibias.

Después de dos días sufriendo patadas, descargas eléctricas y humillaciones, y una vez que los 2.000 pesos llegaron a manos de los policías privados, Saavedra fue dejada en libertad. Para obtener este dinero, una persona que gana el salario mínimo en México debe trabajar unas 20 jornadas.

Mucha tropa

Según un informe encargado por la Comisión Nacional de Seguridad (CNS) de México al Centro Robert Strauss Center para la Seguridad y el Derecho Internacional, de la Universidad de Austin (Texas), el mundo de la seguridad privada ha crecido más en México que las policías regulares.

En 2006, cuando este proceso comenzaba, México sancionó la Ley de Seguridad Privada que estableció un registro nacional de las compañías que ofrecían estos servicios. La normativa lo encomendaba a la Dirección General de Seguridad Privada, en el ámbito de la CNS, para recabar y resguardar la información que cada mes debían enviar las autoridades de cada Estado de la República.

Nancy Saavedra, sobreviviente de un secuestro a manos de elementos de Cusaem

© SPUTNIK / ELIANA GILET Nancy Saavedra, sobreviviente de un secuestro a manos de elementos de Cusaem

Para octubre de 2017, las autoridades llevaban un registro de 4.587 empresas de seguridad privada en los distintos Estados de la República, de los que sobresalían la ciudad de México, Nuevo León, el Estado de México y Jalisco. Las empresas de seguridad privada crecieron más en zonas muy activas económicamente, en el norte y centro del país.

El informe oficial señala que esa cifra está inflada, porque el listado incluye empresas que se cuentan dobles o triples, ya que cada rama de una misma firma se agrega como un dato independiente. El número depurado estaría más cerca de las 3.000 empresas regulares.

Según el Instituto de Estadística (Inegi) las empresas privadas del rubro eran 5.193 en 2017. Sin embargo, el informe de la CNS alerta de algo importante y que es un secreto a voces en México: el registro de empresas está muy lejos de reflejar la totalidad del panorama.

La cifra oficial tiene una cara oscura que va del 40 al 75% del total de los proveedores que están en la informalidad, por lo que las cifras serían mucho más altas.

Lo mismo ocurre con el total de guardias privados actuantes en México, que según distintas fuentes citadas en el informe oficial, oscilarían entre los 450.000 y 600.000 efectivos.

El informe, publicado en abril de 2018, indica que los guardias de seguridad privados superarían al número de policías existentes en 2017, que de acuerdo con el Inegi son unos 330.000 efectivos.

Otro detalle que se señala de esta dinámica de crecimiento exponencial de las empresas privadas de seguridad es que son el destino natural de muchos policías y militares, una vez que dejan de servir en las filas públicas.

Sin justicia ni garantías

Estas empresas y sus guardias han sido acusadas de múltiples delitos mientras cumplían sus funciones de seguridad pública, algo que está en el centro del debate. El caso de Saavedra demuestra cómo la impunidad reina también para los delitos que cometen los guardias privados. Que, en la situación descrita, estaban al servicio del Estado..

El hostigamiento comenzó en cuanto se atrevió a denunciar lo sucedido, indicó la víctima de este abuso de Cusaem. De hecho, dijo, fue amenazada al salir de las instalaciones policiales.

“Me dijeron que si denunciaba me iban a desaparecer, tomaron mis datos personales, fotos, todo. Ellos saben donde vivo. Pusieron medidas cautelares, pero los policías sólo llegan a que les firme una hoja y se van. ¿Cómo sé que ellos mismos no me van a entregar a sus compañeros? No tengo seguridad real”, alertó

Nancy Saavedra y su abogada, Verónica Berber, en conferencia de prensa para denunciar el secuestro y tortura infringidos por elementos de la Cusaem.

© SPUTNIK / ELIANA GILET Nancy Saavedra y su abogada, Verónica Berber, en conferencia de prensa para denunciar el secuestro y tortura infringidos por elementos de la Cusaem.

Verónica Berber, la abogada que la defiende frente a los abusos recibidos, dijo a Sputnik que en este caso puede identificarse un secuestro extorsivo, en que se fabrica un delito inexistente para lograr el beneficio económico de quienes la detuvieron y torturaron.

“Vemos que el Gobierno tiene la responsabilidad de vigilar a esta corporación y si no, hay consentimiento en estas prácticas de privación de libertad, abuso de autoridad y tortura”, dijo la abogada, insistiendo en la responsabilidad de los funcionarios del Estado de México, que han contratado a esta empresa y la han mantenido, incluso, cuando rompen la ley.

Fuente: mundo.sputniknews.com

Mario Meneses

Saludos

¿Por qué no se debe escatimar en seguridad “endpoint”?


PC, impresoras, escáneres e impresoras de red se están volviendo los puntos de entrada más frecuentes para los ataques informáticos

Por Juan Manuel Campos, Gerente General, HP Inc. Argentina21.03.2019 • 09.08hs •TECNOLOGÍA

Dicen que “un centavo ahorrado es tan bueno como un centavo ganado”. A pesar de que eso puede ser cierto cuando se compran servilletas, el seguimiento ciego a esa regla puede crear un riesgo imprevisto en otras áreas, especialmente cuando se trata de adquirir tecnología.

Pensá en un equipo de compras de una empresa grande mientras considera una compra al por mayor de dispositivos endpoint como laptops e impresoras, con el precio más bajo posible por unidad.

Lograr un 20 por ciento de descuento en la operación es una gran ganancia para la compañía –hasta que deja de serlo. Cuando uno de esos dispositivos no está protegido de manera adecuada, rápidamente se convierte en la puerta de entrada para que los hackers tomen el control de una red y sustraigan la información privada de los clientes… o el dinero; entonces, ¿cuál es el costo real?

Como lo confirman los titulares de las noticias, el crimen cibernético es feroz en toda Latinoamérica, con un costo para la región de por lo menos 90 mil millones de dólares cada año con base en la estadísticas más recientes del Banco Interamericano de Desarrollo (IDB). Brasil es el más atacado en este sentido y es el lugar con el mayor número de sedes activas de los criminales cibernéticos en la región.

México se encuentra en un cercano segundo lugar, después de haber sufrido pérdidas por 3 mil millones de dólares en daños causados por los crímenes cibernéticos en 2016.

Los dispositivos endpoint –PCs, impresoras, escáneres e impresoras de red– se están volviendo los puntos de entrada más frecuentes para dichos ataques. De hecho, más del 70 por ciento de las violaciones a los datos tienen que ver con los equipos endpoint.

Publicidad


Estas son las tres mejores prácticas para proteger adecuadamente estos dispositivos y mantener segura tu empresa.

Integrá a los profesionales de TI, no únicamente al equipo de compras.

Debido a que cada dispositivo conlleva una vulnerabilidad potencial, la compra de tecnología de información (TI) debe incluir conversaciones que vayan más allá del precio. La seguridad debe ser un criterio bien pensado y deliberado.

Esto significa que los profesionales, tanto del equipo de TI como del equipo de seguridad, deben ser participantes activos en los criterios de evaluación y selección de la nueva tecnología que cumpla con las políticas de seguridad de la empresa. Estos empleados también son capaces de identificar la forma de aprovechar al máximo las inversiones en TI existentes, y planear las necesidades de crecimiento a futuro con puntos de integración de servicios o aplicaciones.

Por último, los profesionales de TI pueden evaluar las características de seguridad para mejorar la productividad con beneficios para el usuario final, sin comprometer los requerimientos de seguridad de la empresa.

Invertí en seguridad “endpoint” de primera clase

La mayoría de las empresas simplemente no invierte lo suficiente en seguridad cibernética. Rob Owens, analista de investigación senior para Security and Infrastructure Software en Pacific Crest Securities, comenta: “pienso que la seguridad ha sido un área en la que no se ha gastado lo suficiente en décadas. Estás gastando alrededor del 3 por ciento de tu de capital que está destinado para TI en seguridad. Eso es relativamente bajo.”

Sin embargo, no se trata solamente de los dólares que se invierten, sino de asegurar que esos dólares estén bien gastados. Buscá las mejores características de su clase tales como la detección de malware con base en la conducta (en vez de la firma que solo identifica malware conocido), la autenticación multifactor y la detección automática de intrusiones en tiempos de ejecución.

Además, soluciones para la administración de la seguridad de una flota, que verifiquen y corrijan las configuraciones de seguridad de los dispositivos cuando se reinician, lo cual es otra consideración importante para la protección de los endpoints. Recordá incorporar también medidas de seguridad física como pantallas de privacidad para impedir el hackeo visual.

Llamá a los expertos

La seguridad endpoint es fundamental para la salud de todas las empresas; de ahí que, subcontratar la responsabilidad, tiene sentido para muchas de las compañías. Un estudio reciente revela que solo el 16 por ciento de los encargados de tomar las decisiones de TI de las empresas considera que las impresoras son un objetivo de alto riesgo para una violación de la seguridad –lo cual crea una gran vulnerabilidad que los criminales cibernéticos están ansiosos por explotar.

Asociarse con un experto en seguridad puede brindar a las empresas la tranquilidad que necesitan, ya que les proporciona las herramientas de seguridad especializada, así como los recursos necesarios para hacer el trabajo de la manera correcta.

De hecho, según el EY Global Information Security Survey 2018–19, la mayoría de las empresas delegan las funciones tales como el monitoreo de seguridad, la evaluación de vulnerabilidad, la administración de riesgo, y la gestión de identidad y acceso a terceras partes.

Las empresas se han enfocado generalmente en la reducción de costos cuando compran computadoras, impresoras u otra tecnología. Pero un centavo ahorrado en seguridad hoy podría dañar tu cartera el día de mañana cuando se consideran los riesgos y las implicaciones potenciales para tu empresa. Ahora, preguntate a vos mismo: ¿Qué tan protegido estás realmente?

Fuente: www.iprofesional.com

Publicidad

Mario Meneses

Saludos

La nueva norma ISO 27501 pone a los seres humanos en el centro de los negocios


Por Elizabeth Gasiorowski-Denis en 15 de marzo de 2019

Se acabaron los días en que el lugar de trabajo se construyó en torno a una estructura bastante sencilla, compuesta por el empleador, el empleado y el cliente. Los vientos del cambio tecnológico pueden estar arrasando los modelos tradicionales, pero ISO 27501 está ayudando a los gerentes a construir uno más sostenible para el futuro.

Desde el advenimiento de Internet hasta lo que hoy se conoce como la Cuarta Revolución Industrial, las últimas tecnologías de vanguardia, entre ellas la robótica, la inteligencia artificial (AI), el Internet de las cosas, están cambiando fundamentalmente la forma en que vivimos, trabajamos y nos relacionamos. El uno al otro. El problema para los negocios en esta nueva era no se trata tanto de los resultados finales, ni solo de la responsabilidad social corporativa, sino también de adoptar un enfoque centrado en el ser humano para el futuro del trabajo y encontrar las herramientas adecuadas para garantizar que las organizaciones tengan éxito sostenible.

Personas como AI están presentando una gran oportunidad para ayudar a todos, líderes, responsables políticos y personas de todos los grupos de ingresos y países, a llevar vidas más enriquecedoras y gratificantes, pero también plantean desafíos sobre cómo aprovechar estas tecnologías para crear un entorno inclusivo. , futuro centrado en el ser humano.

ISO 27501: 2019 , La organización centrada en el ser humano: Guía para gerentes , puede ayudar a las organizaciones a enfrentar estos desafíos. En este nuevo mundo, las organizaciones no solo tendrán un impacto en sus clientes, sino también en otras partes interesadas, incluidos los empleados, sus familias y la comunidad en general.

El estándar se basa en ISO 27500, que explica a los miembros de la junta ejecutiva los valores y creencias que hacen que una organización se centre en el ser humano. Los requisitos y recomendaciones de la norma pretenden ser aplicables a organizaciones grandes o pequeñas, y en el sector público o privado.

Esboza las responsabilidades de los gerentes que van desde la estrategia de la organización hasta el desarrollo de procedimientos y procesos que permiten el enfoque humano, hasta la implementación de dichos procedimientos y procesos.

Peter Frener, presidente del subcomité que desarrolló la nueva norma, dice: “Si bien no todas las partes de esta Norma Internacional serán de igual uso para todos los tipos de organizaciones, todas las materias fundamentales son relevantes para todas las organizaciones”. que es responsabilidad de la organización identificar qué partes son “relevantes y significativas para que la organización las aborde, a través de sus propias consideraciones y mediante el diálogo con las partes interesadas”.

La norma ISO 27501: 2019 fue desarrollada por el comité técnico ISO / TC 159, Ergonomía , subcomité SC 1 , Principios de ergonomía general . Está disponible a través de su miembro nacional de ISO o a través de la Tienda ISO .

Fuente: www.iso.org

Mario Meneses mario@c2csmartcompliance.com

Saludos

¿Es hora de que levantemos las expectativas de los políticos sobre la seguridad cibernética?


Dada la percepción pública de que los políticos no tienen mucho conocimiento sobre temas de tecnología / seguridad, la firma de piratería ética y seguridad cibernética Redscan decidió encuestar a los 650 diputados del Reino Unido para comprender sus opiniones sobre las amenazas a la seguridad cibernética que enfrentan las empresas del Reino Unido.

Cuando se trata del tema de la seguridad cibernética, la historia reciente no se refleja con amabilidad en los políticos. En noviembre pasado, el ministro japonés de seguridad cibernética llegó a los titulares por admitir que nunca había usado una computadora, mientras que en 2017, Donald Trump afirma haber discutido “formar una unidad de seguridad cibernética impenetrable” con Vladimir Putin de todas las personas. Más cerca de casa, Diane Abbott, Secretaria de Shadow Home, admitió haber sido víctima de una campaña de phishing en la que los piratas informáticos podrían haber tomado el control de su PC y acceder a todos sus contenidos.

La verdad es que los políticos no tienen la reputación de ser particularmente expertos en seguridad. Esto es algo que hemos aceptado en gran medida hoy, pero ¿deberíamos hacerlo? Después de todo, sería indignante que un ministro de transporte dijera que no entendió el código de la carretera, o si la secretaria de asuntos exteriores no pudo ubicar a Canadá en el mapa mundial.

Si bien no debemos esperar que los políticos sean expertos cibernéticos, sus decisiones influyen en nuestra seguridad digital, privacidad y libertades en línea. Como tal, deberíamos esperar que los parlamentarios tengan al menos una comprensión básica de los problemas de seguridad cibernética, al igual que deberían conocer cualquier asunto que afecte a sus electores, ya sea en salud, educación o cumplimiento de la ley. A medida que digitalicemos más de los servicios críticos que sustentan nuestra sociedad, como el transporte, la energía y, posiblemente, incluso nuestro proceso de elección, la seguridad cibernética se integrará aún más en la política.

Con ese fin, Redscan , una compañía británica de seguridad cibernética, encuestó recientemente a los 650 miembros del parlamento del Reino Unido para comprender dónde creen que la seguridad cibernética debería estar entre las preocupaciones de las empresas.

Chi Onwurah, diputada de Newcastle Central, es una de las voces mejor informadas en el Parlamento cuando habla de temas de tecnología, y dice que anteriormente en su carrera, sus colegas eran extremadamente ingenuos con respecto a la escala de la amenaza de la seguridad cibernética.

“Cuando era jefe de tecnología de telecomunicaciones en Ofcom, dijo Onwurah. “Me pidieron que mirara la seguridad en internet. Cuando regresé con historias de ataques de bots y trampas de miel, DDoS y magos de sombrero blanco, troyanos y gusanos, phishing y pharming, fui recibido con un escepticismo comprensible. Era como si estuviera describiendo una guerra en una galaxia muy, muy lejos. Pero sabía que era solo una cuestión de tiempo antes de que la ciberdelincuencia pasara a la corriente dominante. Desafortunadamente, tenía razón ”.

Afortunadamente, no todos los diputados de hoy son tan desdeñosos a la amenaza de la seguridad cibernética como pueden haberlo sido en el pasado. Sir David Amess proporcionó un ejemplo de su circunscripción en Southend West, donde describió que “el delito cibernético tiene un impacto devastador en individuos y empresas”. Amess habló de una organización sin fines de lucro que se encuentra en bancarrota como resultado de una violación de datos: todo – Ocurrencia demasiado familiar en los últimos años.

Los propios parlamentarios no son inmunes a sufrir violaciones de datos. Onwurah explicó que su oficina fue víctima de un ciberataque, pero afortunadamente no causó ningún daño real. “Como oficina de un diputado, teníamos un gran departamento que nos apoyaba y no había ningún compromiso con los datos de los constituyentes”, comentó Onwurah. “Si hubiéramos sido una pequeña empresa, no habríamos tenido acceso a ese tipo de soporte, y podría habernos dejado fuera de servicio por mucho más tiempo”. Esto es innegablemente cierto, ya que las violaciones de datos se han convertido en eventos de extinción para muchas empresas

Madeleine Moon, diputada de Bridgend, sugirió rápidamente una razón clave por la que las violaciones de datos son ahora tan frecuentes. “La mayoría del personal no ve la seguridad cibernética como la razón por la que vienen a trabajar, o su responsabilidad”, dijo.

“Como ciudadanos, no dejamos nuestras puertas y ventanas abiertas, confiando en que la policía nos protegerá de los ladrones. En nuestro mundo en línea, todos deben comprender y seguir las reglas básicas para proteger nuestros datos, contraseñas y redes. Necesitamos aprender a cerrar esas puertas y ventanas en línea en nuestros sistemas ”. Esta es una analogía adecuada. Desafortunadamente, las personas que establecen contraseñas seguras y únicas y activan medidas de seguridad adicionales, como la autenticación de dos factores, son una minoría.

Meg Hillier, diputado por Hackney South y Shoreditch, hizo eco de los sentimientos de Moon y dijo: “El Reino Unido tiene el enorme desafío de pasar al nivel de seguridad cibernética necesario para protegerse contra las amenazas actuales. Hay una grave escasez actual y futura de habilidades esenciales en esta área “.

Esto puede, de hecho, ser el punto crucial del desafío de la seguridad cibernética. Los expertos de la industria reportan un déficit de casi 3 millones de trabajadores de seguridad cibernética en todo el mundo , ya que las amenazas de seguridad cibernética continúan superando la cantidad de nuevos solicitantes en la industria. Hillier tiene razón, debemos encontrar una forma de revertir esta tendencia antes de que sea demasiado tarde.

De cara al futuro, Steve McCabe, diputado por Birmingham Selly Oak, quiso plantear el problema de la vigilancia de la ciberdelincuencia. “Creo firmemente que debería haber un requisito para la notificación obligatoria de delitos cibernéticos por parte de los bancos y otras empresas a la policía. También es necesario realizar un chequeo de salud cibernético, tal vez de forma anual, para garantizar que el personal y las empresas traten el problema con seriedad ”. Asimismo, Peter Dowd, diputado por Bootle, dijo:“ El tema crucial de los recursos policiales y la concientización para abordar el delito cibernético es uno de los que requiere un debate más abierto “. A medida que el cibercrimen sigue aumentando en escala y complejidad, la cuestión de cómo protegemos nuestros espacios digitales, al tiempo que protegemos la privacidad y las libertades en línea no es algo que hayamos resuelto todavía. Ni siquiera cerca.

Las respuestas completas de MP están disponibles para leer aquí . Lo que está claro es que la amenaza cibernética para las empresas ya no se puede descartar como trivial, como hicieron algunos líderes de la industria y políticos. Ante un panorama digital en rápida evolución, con amenazas cada vez más avanzadas, necesitamos que nuestros políticos entiendan los problemas y riesgos en juego. Necesitamos que utilicen su influencia para aumentar la concienciación entre las comunidades empresariales y definir la política nacional de seguridad cibernética que sea adecuada para el futuro.

Escrito por Andy Kays, CTO, Redscan

Fuente: www.information-age.com

Jive es más que un conmutador: es la nueva manera de comunicarse.


Jive es un sistema telefónico empresarial en la nube con más de 100 características que le ayudará a unificar las comunicaciones de su empresa por un precio increíble. Con Jive, usted puede realizar/recibir llamadas desde/en su computadora, teléfono y celular.

¿Qué es un conmutador en la nube?

El Conmutador Virtual es un conmutador hospedado en la Nube, es decir que funciona a través de Internet, sustituyendo al conmutador físico y con las mismas funcionalidades, para brindar los servicios de voz y comunicaciones unificadas básicas para profesionalizar sus Negocios y hacerlos más productivos.

Beneficios

1. Su instalación es casi inmediata.

2. No requiere de inversiones, sólo en los teléfonos IP.

3. Incluye líneas telefónicas con tus mismos números de siempre, hacemos la portabilidad numérica de cualquier línea y compañía del país.

4. Soporte remoto y alta flexibilidad para incorporar más líneas o extensiones en su sucursal u otros sitios.

5. No requiere de un administrador ni de mantenimiento, ni gasto en aire acondicionado para mantener el equipo operando.

6. Mayores ahorros en larga distancia entre sucursales de varias ciudades a través de una renta fija .

7. Servicios de telefonía para llamadas locales, celulares y de larga distancia internacional en 52 países (LDI).

8. Otorga nuevas herramientas a los empleados que les permiten agilizar la atención, estar siempre en su celular, oficina foránea o desde su casa.

9. Control del gasto y eliminar llamadas que no son del negocio a través del bloqueo de extensiones.

10. Eliminación de Inventario (Hardware y Software).

11. Posibilidad de brindarle extensiones en localidades distintas integrando todo su negocio.

12. Hable con sus clientes en conferencia, Jive provee salas de audio conferencia ilimitadas con posibilidad de tener control visual de quien se conecta.

13. Vea a sus clientes, Jive en cada usuario contratado se lo entregamos con una cuenta de GoToMeeting Pro del mismo fabricante, que le permite hacer video conferencias, presentaciones remotas y puede brindar soporte remoto si así lo desea con un límite de 150 usuarios conectados a la vez por ejemplo, a su ponencia.

Le ayudamos en su proyecto de equipamiento de su Call y Contact Center y Comunicaciones unificadas UC&C con equipo Jabra, somos distribuidores CERTIFICADOS de las mejores diademas y soluciones alámbricas e inalámbricas de mejor calidad, ROI (retorno de inversión) y con las mejores alianzas con las marcas líderes del mercado de comunicaciones unificadas y telefonía tradicional..

Contactanos al WA +52 1 7711871152 Mario Meneses

La UNAM hará un atlas de riesgo de CDMX con ayuda de los capitalinos


OMAR LOZANO10 DE MARZO 2019

A través del hashtag #Vulneralópolis, el Instituto de Geografía de la UNAM hará una consulta digital pública para que los ciudadanos ayuden a mapear y alimentar un Atlas de Riesgos de la Ciudad de México accesible y entendible para todos.

El anuncio lo dio Naxhelli Ruiz, investigadora de dicho instituto, durante la mesa “#AtlasDeRiesgoYA y su apropiación ciudadana” en la primera jornada del Festival Ciudadanía 2019, organizado por el colectivo #CIUDADanía19S

En palabras de la investigadora, esta propuesta inició porque los Atlas de Riesgo de la Ciudad son, en gran medida, incomprensibles para la ciudadanía y deficientes para las autoridades a la hora de tomar decisiones en materia de prevención de desastres.

“Mientras un atlas de riesgo necesite un traductor para ser entendible, no está cumpliendo su función de ayudar en la prevención”, dijo la etnóloga. Y “representa una vulneración a los derechos humanos, específicamente al derecho a la información”.

A la investigadora la secundó Rafael Marín Cambranis, director general de Análisis de Riesgo de la Secretaría de Gestión Integral de Riesgos y Protección Civil de la Ciudad de México, quien dijo que el atlas de riesgo de la pasada administración “no era más que un repositorio de información cartográfica que no le permitía al ciudadano tomar decisiones”.

Por ello, dijo, las autoridades ya trabajan para hacer más funcional y accesible los datos disponibles en esa plataforma, aunque aseguró que dicho proceso será gradual.

Por su parte, el Instituto de Geografía de la UNAM tiene previsto iniciar su consulta en la segunda quincena de abril a través de redes sociales con los hashtags #Vulneralópolis, #CuéntameTuRiesgo y #GestionaTuRiesgo y de un micrositio en su página de internet.

Quienes participen en la consulta podrán exponer los riesgos geológicos que existen en sus comunidades y, en una segunda etapa, los investigadores mapearán dicha información en lo que ya denominan un “Atlas participativo” a nivel de calle, que deberá ser amigable y entendible para todos.

Se espera que los resultados sean publicados el 19 de septiembre, en el segundo aniversario del 19-S, o el 13 de octubre, día internacional para la reducción de desastres.

El Festival Ciudadanía se lleva a cabo desde este 9 de marzo y continuará los días 10 y 11 en las instalaciones de la Universidad de la Comunicación, en la colonia Roma.

El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma
El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma

En su segunda jornada tendrá actividades como la presentación de la nueva plataforma de #Verificado19S y una mesa de análisis de la reconstrucción, en donde participará César Cravioto, comisionado de la Ciudad de México en esa materia.

Fuente: www.mexico.com

Saludos

Mario Meneses

Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados


Principales preocupaciones de CISOs para 2019 abarcan una amplia gama de problemas

Desde manejar los datos y la escasez de personal hasta la adaptación a un conjunto cada vez mayor de responsabilidades laborales, los CISO se enfrentan a una serie de problemas serios en 2019.

Mary K. Pratt

Cuando se le preguntó acerca de las principales preocupaciones de CISO que ve ahora, el líder de ciberseguridad Robert LaMagna-Reiter dijo que su propia participación implica dar un giro hacia el lado de negocios. Como CISO en FNTS, una compañía de servicios administrados y de estrategia de TI, LaMagna-Reiter desea que su lista de prioridades se alinee más con los principales objetivos declarados de los ejecutivos de negocios de su compañía. Es un trabajo en progreso y una tarea en la que se centrará en los próximos meses, dijo.

“Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados, hacer que nuestros KPI [indicadores clave de rendimiento] sean más significativos y hacer que nuestras relaciones sean más significativas para que, a medida que los planes estratégicos de la organización evolucionan, podamos comunicar nuestro valor y los recursos que necesitamos para hacer lo que necesitamos”, dijo.

LaMagna-Reiter marcó sus prioridades que están ayudando a mejorar la alineación: garantizar la seguridad de los servicios en la nube para el holding de FNTS, First National of Nebraska Inc. y sus otros clientes; implementar nuevas tecnologías, como la automatización, en sus procesos de seguridad; y alentar a sus empleados a establecer relaciones con colegas del lado de los negocios, como lo está haciendo a nivel ejecutivo.

Robert LaMagna-Reiter.

Dijo que ese trabajo le permite avanzar en el valor estratégico del rol de CISO y la función de seguridad dentro de la organización.

Es un proceso iterativo que los CISO continúan refinando“, dijo LaMagna-Reiter. “En gran parte, nos hemos centrado en los aspectos técnicos desde el inicio de nuestro rol definido dentro de una organización, pero el enfoque estratégico se ha vuelto más importante y una mayor parte del rol como seguridad se ha elevado al nivel de la junta directiva y la gerencia”.

A medida que las organizaciones finalizan sus presupuestos de seguridad cibernética para el próximo año, planifiquen sus estrategias para 2019 y modifiquen sus planes de trabajo para los próximos meses, LaMagna-Reiter y otros CISO dijeron que varios temas clave estarán a la vanguardia. Las preocupaciones de los CISOs al encabezar sus listas de prioridades incluyen, primero, la necesidad de evolucionar el rol del CISO a una posición más estratégica y centrada en el negocio, y luego usar tecnologías emergentes, abordar las regulaciones crecientes y las prácticas maduras para extender la seguridad más allá de los límites de la propia empresa.

“Más CISOs están pasando de ser expertos en tecnología a tener que entender realmente el negocio, los riesgos del negocio y cómo la tecnología respalda los procesos del negocio”, dijo Ash Ahuja, CISO en residencia y vicepresidente de liderazgo para la ciberseguridad de los socios y la gestión de riesgos en Gartner. Luego, desde la perspectiva de la seguridad y los riesgos, los CISOs deben entender si tienen suficientes monitoreos y controles para que sepan qué hacer cuando algo sale mal, agregó Ahuja.

A medida que avanzan en 2019, 10 preocupaciones de los CISOs están dominando la agenda:

1. Alineación estratégica

Ahuja y otros dijeron que una preocupación de los CISOs es que solo una minoría de CISOs se ha convertido en socios ejecutivos estratégicamente enfocados que alinean la función de ciberseguridad con la estrategia organizacional, pero observaron que muchos CISOs se están moviendo en esa dirección. Para hacer eso, están construyendo cada vez más relaciones con sus colegas ejecutivos, informando a los CEOs y comprometiendo a los miembros de la junta.

Mansur Hasib.

Los CISOs deberían estar desarrollando planes estratégicos alineados con la misión de una organización, algo que deberían desarrollar en función de lo que la empresa articula según sus necesidades y su apetito por el riesgo, dijo Mansur Hasib, autor de Cybersecurity Leadership, ex CIO y presidente del programa de tecnología de ciberseguridad en la Escuela de Graduados de la Universidad de Maryland University College. Los CISOs deben usar estos planes para articular el valor que su equipo aporta a la organización.

Hasib dijo que todo esto ayuda a los CISOs a obtener el apoyo y los recursos que necesitan, lo que les permite ofrecer los programas de seguridad que necesitan sus empresas. “Una vez que tienes ese marco, donde todo lo que haces se enlaza con este marco”, agregó, “entonces no estarás jugando a busca y dale con todas las nuevas amenazas”.

2. Regulaciones

Cumplir con las regulaciones existentes y las nuevas leyes que los legisladores están a punto de aprobar también encabeza la lista de preocupaciones de los CISOs a medida que las organizaciones y sus líderes de seguridad se dirigen hacia 2019. Muchos anticipan que las crecientes preocupaciones del público sobre la privacidad y las violaciones de datos estimularán una mayor aplicación de las leyes, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR).

“Si bien no es un desafío completamente nuevo para 2019, espero ver una creciente demanda y desafíos para cumplir con las normas internacionales de seguridad y privacidad. A raíz de GDPR, otros lo están utilizando como modelo para promulgar estándares de cumplimiento más estrictos”, dijo Tom. Conklin, CISO en Druva, una empresa de gestión de datos como servicio. La Ley de Privacidad del Consumidor de California entrará en vigencia en enero de 2020, y deberíamos esperar ver más de lo mismo en los próximos años”, agregó.

“Tales regulaciones significan que las obligaciones de la compañía serán más complicadas y deberán cumplir con nuevos estándares”, dijo Conklin. Esto obligaría a las compañías a mejorar la seguridad “en todos los ámbitos”, continuó. “Los equipos de seguridad y de TI deberán demostrar que han capturado completamente los riesgos para la organización y saber dónde se procesan los datos de la empresa, cómo se utilizan y cómo se protegen”.

3. Seguridad en la nube

Ashiwini Ahuja.

A medida que más partes de la pila de TI se mueven a la nube, la seguridad continuará dominando la agenda en el próximo año, dijo Ahuja, de Gartner. “Ese panorama cambiante mantiene esos elementos básicos de seguridad como una tarea continua. El trabajo nunca se realiza; eso es algo que los CISOs están realizando“.

Los líderes de seguridad dijeron que el trabajo incluye mejorar la seguridad de la red y mejorar las prácticas de administración de identidad y acceso, las cuales se vuelven cada vez más importantes a medida que aumenta el acceso y los puntos de conexión fuera de las paredes de la TI empresarial. Sin embargo, los líderes de seguridad de TI dicen que ese trabajo debe realizarse además del trabajo, no en lugar del mismo, para garantizar la seguridad de los sistemas heredados.

“Estamos en un estado de transición donde se están consumiendo más servicios, pero aún existen sistemas de procesamiento de datos locales heredados. Así que ahora los equipos de seguridad deben ser expertos en ambos frentes”, dijo Conklin.

4. Dotación de personal

Omar F. Khawaja, CISO de Highmark Health, dijo que su equipo de 125 miembros es su prioridad número uno. “Si cuido de mi gente, ellos harán lo correcto, y si hacen lo correcto, entonces el negocio y mis clientes estarán felices”, dijo Khawaja.

Omar Khawaja.

Khawaja reconoció que los problemas de personal deberían ocupar un lugar destacado en la lista de preocupaciones del CISO; la necesidad de atención de alto nivel al personal es algo que aprendió durante sus cinco años en la organización de atención médica. La tasa de deserción del personal hace tres años estaba en el rango del 33% al 50%, aproximadamente el promedio para un campo donde la permanencia habitual de los profesionales de la seguridad es de dos a tres años. Ahora, dijo que su tasa de deserción entre los empleados que busca retener es inferior al 5%. Khawaja acreditó las políticas que diseñó para involucrar mejor a los empleados e identificar los riesgos relacionados con el personal.

Dijo que también está trabajando para empoderar a sus gerentes y empleados para que puedan manejar todos los elementos tácticos de la función de seguridad, lo que le permite centrarse en los elementos estratégicos que se han convertido en el componente principal del rol de CISO. “Se trata de tener a la persona adecuada en el rol correcto haciendo el mejor trabajo de sus vidas”, agregó Khawaja.

5. Tecnologías emergentes

Los CISOs están recurriendo a más tecnologías emergentes para ayudarlos a alcanzar sus objetivos de seguridad, dijo el CISO Ahuja. Ellos están utilizando inteligencia artificial, aprendizaje automático, automatización y orquestación. También están utilizando ofertas de seguridad basadas en la nube que pueden recopilar información sobre amenazas en múltiples organizaciones para sortear el aluvión de amenazas potenciales e identificar las que realmente necesitan atención.

Implementar más tecnologías en el proceso de seguridad es una de las prioridades de Gary Hayslip, CISO en la empresa de seguridad de Internet Webroot. “Vamos a poner en marcha un motor de orquestación para ordenar todos los datos y revisar las reglas para identificar lo ‘malo’ para que podamos ver eso. Luego, uniremos las diferentes tecnologías y crearemos tableros para obtener visibilidad de cosas como el flujo de datos, y si el flujo de datos cumple con un cierto nivel de riesgo que activará un ticket de servicio y un mensaje SMS para alertar al líder de la investigación”, dijo, y señaló que esta tecnología automatizaría lo que hoy es un proceso manual en su empresa.

6. Respuesta y remediación

Sam Olyaei.

Los analistas de Gartner recomiendan que los presupuestos de seguridad se dividan en tres partes: protección; seguimiento y detección; y respuesta y remediación. Entre otros, Sam Olyaei, director principal de seguridad y gestión de riesgos en Gartner, dijo que esto refleja la realidad a la que se enfrentan los CISO: Que tendrán brechas y, en lugar de centrarse solo en mantener alejados a los actores malos, necesitan gastar más en la detección y remediación para que puedan reaccionar adecuadamente cuando suceda lo inevitable.

7. Expandiendo responsabilidades

Los CISOs también deben darse cuenta de que el alcance de sus responsabilidades se está expandiendo en algunos frentes, dijo Olyaei. “Tienen que manejar otros riesgos, como los riesgos de proveedores o terceros”, dijo, señalando que varias infracciones de alto perfil ocurrieron no solo debido a una debilidad dentro de la organización violada, sino también debido a un lapso en el perfil de seguridad de un socio.

Dadas estas realidades, dijo, los principales CISOs están expandiendo su trabajo para incluir evaluaciones de seguridad de terceros. También son responsables de compartir sus propios perfiles de seguridad con terceros. “Se les está pidiendo a las empresas que exhiban certificaciones o requisitos específicos de otras empresas antes de que trabajen juntas”, explicó Olyaei.

8. Ataques más grandes

Otra de las principales preocupaciones es el creciente alcance de los ataques. “Una de las cosas más importantes que me preocupan es la escala de los ataques. Creo que es solo cuestión de tiempo antes de que veamos un ataque que cause una gran cantidad de muertes”, dijo Hayslip de Webroot. Él cree que el uso creciente de la automatización y la orquestación puede ayudar a contrarrestar esa amenaza, ya que esas tecnologías pueden ayudar a los equipos de seguridad a concentrarse solo en las amenazas reales y no perder el tiempo persiguiendo falsas alarmas. Espera que el impulso en los negocios, y en la sociedad en general, para hablar no solo sobre la conciencia cibernética, sino sobre la ciberseguridad como un problema de seguridad, aumentará la preocupación por las amenazas potenciales y dará energía a las personas para prepararse mejor para frustrar un ataque importante, o al menos disminuir su impacto.

9. Tratar con los datos

Khawaja observa que algunos informes estiman que casi el 50% de los datos que las organizaciones almacenan no tienen uso o valor. La eliminación de datos innecesarios que su organización almacenó es una de sus prioridades “porque eso significaría un 50% menos de lo que tenemos que proteger”.

Otros expertos en seguridad dijeron que una administración de datos más sólida es una prioridad para los principales CISOs y sus organizaciones. Como ejemplo de ello, Ahuja, de Gartner, dijo que algunas organizaciones están creando un rol de director de protección de datos que informa sobre la legalidad, pero que trabaja con la oficina del CISO sobre la mejor manera de proteger los datos en consonancia con las crecientes regulaciones.

10. Fortalecer las bases

Muchos CISOs aún luchan con la creación de políticas y prácticas sólidas en torno a medidas de seguridad fundamentales, dijo Olyaei de Gartner. Como resultado, la higiene básica de seguridad sigue siendo una prioridad para los CISOs, tanto los que luchan con esto como los que tienen prácticas más maduras.

El CISO de LinkedIn, Cory Scott, dijo que su función de seguridad “abarca las operaciones tradicionales de seguridad de la información, seguridad de productos, y confianza y seguridad”, y señaló que su equipo ha crecido significativamente en los últimos cinco años.

Pero Scott aún se enfoca en la base como parte de su estrategia de seguridad general cuando se dirige a 2019. “No estoy tachando nada de la lista, pero en general estoy satisfecho con la conciencia de que la higiene de seguridad básica –administración de activos, parches y gestión de la configuración, recopilación de la telemetría de seguridad, autenticación multifactor– es lo más importante que se debe hacer bien. Creo que comenzaremos a ver un enfoque básico en 2019, basado en estos aprendizajes”.

Fuente: searchdatacenter.techtarget.com

Riesgo continuo, seguridad y cumplimiento para la gestión de la postura de ciberseguridad: un enfoque unificado.


Las soluciones actuales de riesgo, seguridad y cumplimiento están fragmentadas, lo que requiere diferentes enfoques o incluso implementaciones totalmente diferentes para las instalaciones locales, la nube, los contenedores y las aplicaciones críticas para la empresa, como las bases de datos. Con múltiples herramientas, configuraciones, operaciones y diferentes algoritmos para priorizar activos críticos, es difícil para cualquier equipo de operaciones de seguridad evaluar y mantener la postura de ciberseguridad de su organización.

Como industria, debemos evolucionar para crear un enfoque más unificado que abarque múltiples entornos y ofrezca a los clientes un panel único para seleccionar marcos, lanzar evaluaciones basadas en el tiempo e informar sobre los resultados. Y necesitamos introducir la inteligencia de la máquina para facilitar las evaluaciones predictivas y un tiempo más rápido para remediar.

Esta evolución tiene un impacto tanto financiero como práctico, ya que los días de un presupuesto de seguridad en constante crecimiento han terminado, como recientemente capturó IDC. Este año, el 50% de las empresas espera un aumento del presupuesto, en comparación con el 79% del año pasado, lo que refleja una desviación de la tendencia de incorporar un nuevo producto de seguridad de puntos para cada requisito. Las organizaciones deben encontrar más valor y, a medida que sus entornos se vuelven más complejos, los productos deben adaptarse en consecuencia. En particular, esto es un buen augurio para las plataformas que protegen la nube pública y la infraestructura local de manera unificada.

Abrazando la nube híbrida

Para manejar de manera efectiva los diferentes activos en la nube híbrida, las soluciones ganadoras deben tener la flexibilidad para asegurar los servicios en la nube pública, manejar múltiples sistemas operativos y admitir arquitecturas de VM, contenedores y servidores sin facilidad.

Considere una carga de trabajo HIPAA en VMware, local dentro de un perímetro. Cuando se migran a Amazon Web Services (AWS), esta misma carga de trabajo podría tener VPC de acceso abierto y grupos de seguridad, depósitos de S3 abiertos y máquinas virtuales vulnerables, todo lo cual necesita una evaluación continua para la seguridad. Luego, dado un mecanismo de descubrimiento sofisticado y flexible, la solución no debe limitarse a solo evaluar sistemas operativos. Debería manejar efectivamente los hipervisores y contenedores como VMware, Docker y Kubernetes. Además, debe evaluar de manera efectiva los servicios de nube críticos que están estrechamente relacionados con la carga de trabajo, como las bases de datos, ofreciendo así una visión más completa de la postura de seguridad de una organización. Este requisito de flexibilidad se presta a la personalización.

Personalización

La cita de Henry Ford  : “Cualquier cliente puede pintar un auto del color que quiera, siempre y cuando sea negro”, simplemente no lo corta en las implementaciones de seguridad de hoy. Cada empresa tiene sus propios requisitos, su propia forma de evaluar el riesgo. Para evaluaciones exhaustivas de seguridad y cumplimiento, esto requiere una forma intuitiva de crear scripts de políticas personalizadas tanto para el SO como para los servicios locales / en la nube.

Por ejemplo, la solución de un proveedor puede ofrecer monitoreo y remediación para un conjunto pre-empaquetado de servicios de AWS, pero la empresa puede haber adoptado uno de los más oscuros, aunque crítico para su entorno. Aquí, la personalización puede ofrecer a las empresas una visión completa de su postura de seguridad. De la misma manera, los puntos de referencia preempaquetados de la CIS u otras asignaciones de control técnico como HIPAA o HITECHpuede integrar un conjunto de controles, pero una institución de atención médica puede necesitar algo más en profundidad o una variación de un control existente. O bien, puede necesitar desarrollar su propio marco que consiste en controles de diferentes familias, así como políticas personalizadas. Las opciones aquí incluyen aprovechar el contenido del Protocolo de automatización del contenido de seguridad (SCAP) ya disponible o crear políticas personalizadas desde cero a través de secuencias de comandos.

Aprendizaje automático

En la mayoría de los casos, los equipos de cumplimiento adoptan un estándar como HIPAA que contiene un conjunto de medidas administrativas, físicas y técnicas. Asignan cada protección técnica a una política de control técnico correspondiente, como la que se encuentra en CIS, que luego se asigna a un sistema operativo de destino. Como se podría imaginar, este es un proceso que requiere mucho tiempo y, en casi todos los casos, no tienen forma de priorizar los controles técnicos para guiar los planes de gestión de cambios. Una vez que las asignaciones están en su lugar, la plataforma de cumplimiento automatiza las comprobaciones, con el resultado una lista de las acciones de remediación recomendadas.

Pero, a medida que surgen nuevas regulaciones y estándares, especialmente para la privacidad de los datos, debemos evolucionar, tanto en la forma en que mapeamos los diferentes estándares, regulaciones y puntos de referencia, como en cómo manejamos el resultado. Aquí es donde entra en juego una aplicación práctica de aprendizaje automático, ya que puede ayudar a racionalizar y automatizar el mapeo y la priorización de varios controles técnicos. En la cola, el sistema debe priorizar efectivamente las acciones de remediación y, si el operador lo desea, automáticamente lleve a cabo esta guía.

Cómo empezar

Si usted es un líder en seguridad cibernética que busca implementar este enfoque unificado, aquí le indicamos cómo comenzar. Como referencia, el Marco de Ciberseguridad (CSF) del NIST proporciona una estructura para implementar un programa de seguridad, que incluye la realización de una evaluación de riesgos inicial, la creación de un perfil de seguridad objetivo, el análisis y la priorización de brechas y la realización de un plan de acción. No es una regulación en sí misma, pero hace referencia a una serie de otras normas que se pueden aplicar a una función específica y vertical. Por ejemplo, los que están en el cuidado de la salud pueden centrarse en HIPAA e ISO. Extendiéndose a la nube pública, el CSF se puede utilizar junto con la nueva Guía complementaria de la nube de controles CIS que mapea los controles CIS 20 a IaaS, PaaS, SaaS y FaaS.

En última instancia, un enfoque unificado de la automatización de riesgos, seguridad y cumplimiento ofrece a las organizaciones una forma más extensible, precisa y rentable de proteger sus datos y aplicaciones híbridas. La implementación en múltiples nubes, las secuencias de comandos personalizadas y el aprendizaje automático son todas las capacidades críticas que permiten esta evolución.El Consejo de Tecnología de Forbes es una comunidad de invitación únicamente para CIO, CTO y ejecutivos de tecnología de clase mundial.¿Califico?

Fuente: www.forbes.com

Praveen Jain

Consejos Praveen Jain Forbes

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

Riesgos de no contar con un Data Privacy Officer en una empresa.


Por Mtro. Luis Mario Lemus Rivero 1 Agosto, 2018  

Tras la publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares(LFPDPPP) se han generado diversas dudas respecto a las medidas que tiene que implementar una empresa para cumplir con esta norma.

En general, se creía que el Aviso de Privacidad era el elemento fundamental para cumplir con la LFPDPPP, lo cual trae un riesgo para quienes así lo consideren, pues el Aviso de Privacidad no resuelve todos los problemas, ya que el Aviso únicamente presupone una obligación de muchas otras, como, por ejemplo, contar con un Data Privacy Officer (DPO) o departamento encargado de la protección de datos personales al interior de una empresa.

Esta obligación deriva del artículo 30 de la LFPDPPP, el cual a la letra refiere lo siguiente:

“Artículo 30. Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.”

En razón de lo anterior, las empresas deberán consagrar formalmente un departamento o designar un DPO que se encargue del cabal cumplimiento a la LFPDPPP, su reglamento, y demás normativa aplicable.

¿Qué riesgos existen si no tengo un DPO?

De conformidad con el artículo 63 de la LFPDPPP, no contar con un DPO constituye una de las causales de incumplimiento de la LFPDPPP; por lo que en caso de una revisión y/o auditoría de cumplimiento por parte de la autoridad correspondiente, la empresa (en su calidad de responsable o encargado) podría ser sujeta a una sanción económica, así como a un desgaste reputacional considerable, sin dejar de lado la responsabilidad penal en la que pudiera incurrir.

¿Cuáles son las funciones de un DPO?

El DPO tiene diversas funciones, dentro de las cuales destacan las siguientes:

  1. Tramitar las solicitudes que los titulares hagan respecto al ejercicio de sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO).
  2. Supervisar el cumplimiento de las obligaciones que se dispongan en materia de Protección de Datos Personales.
  3. La concientización y formación del personal que trate los datos.
  4. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales.
  5. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales para el uso de los documentos como Avisos de PrivacidadPolíticasManuales.
  6. Elaborar y difundir la política de privacidad y protección de datos personales implementada al interior de la empresa.
  7. Análisis de riesgo y política de prevención.
  8. Conservación de evidencias de cumplimiento.
  9. Implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de Datos Personales (SGSDP).
  10. Estudiar los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en el SGSDP que ha implementado la organización.
  11. Ser el representante de la organización en materia de protección de datos.
  12. Actuar como punto de contacto con la autoridad.
  13. Instrumentar y administrar procedimientos para la atención de dudas y quejas formuladas por los titulares, relacionadas con las políticas y prácticas de privacidad y protección de datos personales de la organización.
  14. Instrumentar y administrar procedimientos para la revocación del consentimiento de los titulares, así como para la solicitud de limitación del uso y divulgación de datos personales.

¿El DPO puede ser agente externo?

La ley no prohíbe o limita que un DPO pueda ser externo, esta responsabilidad puede recaer en un profesional de la propia plantilla de la compañía o empresa, especializado naturalmente en estas responsabilidades; o bien, puede ser un experto o empresa externa cuya figura y funciones deben quedar claramente determinadas mediante contrato.

Se recomienda que si el DPO es externo, haya una persona al interior de la empresa del responsable que funcione como canal o puente de comunicación para que, de manera conjunta, supervisen el flujo de la información, realicen las auditorías correspondientes, actualicen los programas y políticas de privacidad, capaciten al personal, hagan el análisis de brecha y riesgo, actualicen avisos de privacidad y atiendan cualquier ejercicio de derecho o cualquier procedimiento en materia de  protección de datos personales, entre otras actividades.

Contactanos para mas información

Mario Meneses

mario@c2csmartcompliance.com

+52 1 771 187 1152

Siniestro aéreo en Puebla: ¿asunto de seguridad nacional?


POR GERARDO RODRÍGUEZ  FEBRERO 28, 2019

El gobierno de México, a través de la Secretaría de Comunicaciones y Transportes (SCT) determinó reservar por cinco años los audios de las últimas comunicaciones, entre el piloto y torre de control, del fatal siniestro en el que fallecieron la gobernadora de PueblaMartha Erika Alonso, y su esposo, el senador Rafael Moreno Valle.

La guerra de declaraciones ya inició. El presidente del PAN, Marko Cortés, está claramente politizando el tema por las próximas elecciones en el estado al sugerir que pudo haber sido “un hecho provocado” ante la falta de información. El presidente de México Andrés Manuel López Obrador comentó que su recomendación es que exista “transparencia completa”. Cortés cae en la irresponsabilidad de sus declaraciones hasta que no concluya la investigación y el presidente no está debidamente informado porque no puede haber “transparencia completa” por el momento. Aquí les comparto mi análisis.

Investigaciones ante el MP. Una reserva clara de información contenida en el artículo 113 de la Ley General de Transparencia (LGTAIP) es que “se encuentre contenida dentro de las investigaciones de hechos que la ley señale como delitos y se tramiten ante el MP”. Hay una investigación en curso, por supuesto que se puede reservar la información. Este es la más importante de los argumentos de la SCT.

Información de agencias de inteligencia extranjeras y seguridad nacional. La cooperación internacional entre agencias de inteligencia de los países tarda años en construirse y puede terminar en un momento cuando un gobierno decide utilizarla con fines políticos. En el caso de Puebla se solicitó la cooperación de agencias aeronáuticas de EU y Canadá, sin embargo no es necesariamente un tema de seguridad nacional, a menos que se tenga información que vincule el hecho con delincuencia organizada. Este argumento es endeble.

Interés público. El PAN, medios de comunicación y cualquier persona puede argumentar que es mayor el interés público que la reserva de la información por cualquier escenario planteado en el artículo 113 de la LGTAIP. No será fácil la argumentación y seguramente el pleno del INAI estudiará el caso. Sin embargo, la Presidencia de la República a través de su Consejero Jurídico puede interponer un recurso ante la Suprema Corte en caso de que el INAI resuelva a favor de abrir dicha información.

Al clasificarse por cinco años se le da un periodo de gracia a las investigaciones para no afectar el debido proceso, se cuidan las relaciones con agencias extranjeras, no se trasciende la reserva a otra administración, es decir, se desclasificará en este sexenio si no se pide una extensión que puede ser por un plazo de otros cinco años. Lo mejor es no especular, dejar que corran las investigaciones y se presenten los resultados de este terrible acontecimiento.

Agenda estratégica: Recomiendo el libro de Santiago Nieto, titular de la UIF, sin filias ni fobias: memorias de un fiscal incómodo. Contiene un índice onomástico que puede identificar a personas políticamente expuestas en casos de corrupción.

gerardo_rsl@yahoo.com

@gerodriguezsl

Fuente: heraldodemexico.com.mx

Mario Meneses

mario@c2csmartcompliance.com

Saludos

Ciberabogados, nueva necesidad para el mundo jurídico


Sara Milena Cruz Abril

Redactora Ámbito Jurídico

Internet ha generado una revolución que brinda nuevas y amplias oportunidades en casi todos los aspectos de la vida, pero a la vez deja más vulnerables a las personas, empresas y organizaciones que interactúan en el ciberespacio.

Este panorama, en el que millones de datos viajan todo el tiempo por el mundo a la velocidad de la luz hace que surja la demanda de nuevos roles que enfoquen su atención en los novedosos intercambios sociales y comerciales.

Para nuestro caso, podemos hablar del ciberabogado como ejemplo de un profesional que afronta esta nueva realidad y los retos de la tecnología.

ÁMBITO JURÍDICO contactó a Álvaro Écija, managing partner del Exix Group, firma especializada en la prestación de servicios de compliance y ciberseguridad, y director académico del máster en ciberderecho ofrecido en España por la Universidad Católica de Murcia (UCAM), quien nos contó de que trata esta oportunidad de aprendizaje y su importancia.

¿Qué es el ciberderecho?

Esta disciplina busca detectar y actuar frente a los nuevos problemas que afectan a las personas y empresas desde el ciberespacio, los cuales se traducen en retos para los profesionales del Derecho.

La falta de regulación global de internet, qué derechos y responsabilidades surgen de un ciberataque, ante quién se puede reclamar el secuestro de información por ransomware, qué hacer si se suben contenidos a una plataforma cuyos servidores están en un tercer país, cómo configurar jurídicamente un sistema de connected car y la lucha contra la ciberdelincuencia son algunas de las problemáticas actuales a las que el abogado debe dar solución.

Por esta razón, surge la necesidad de obtener una formación académica y especializada que, además de actualizar de manera sólida al jurista, lo prepare para enfrentar de manera eficaz las actuales problemáticas del manejo de la información.

¿Por qué estudiar un máster en ciberderecho?

El abogado debe conocer y comprender cómo se regula internet y las tecnologías que convergen a su alrededor, para poder enfrentarse a esta nueva realidad con las competencias profesionales necesarias.

Por otro lado, debe despertar su espíritu crítico ante los retos jurídicos que traen los nuevos ciberproblemas, las cambiantes ciberamenazas y las nuevas tecnologías.

Así, dentro de los objetivos que se buscan alcanzar al iniciar esta nueva dinámica están conocer la organización de las relaciones en el ciberespacio; entender la estructura técnica de internet y la problemática jurídica; identificar desde el punto de vista práctico algunas de las amenazas que existen en internet; conocer las estrategias y mecanismos supranacionales, nacionales e individuales para combatir la ciberdelincuencia; detectar los problemas de identificación en el ciberespacio y, así mismo, las ventajas y desventajas de los sistemas utilizados.

Así mismo, busca conocer blockchain y sus principales usos; entender los principales aspectos del crowdfunding; desarrollar un conocimiento crítico que permita discernir la evolución del mercado, valorar la viabilidad de proyectos y nuevos modelos de negocio y conocer los principales sujetos que intervienen en el desarrollo de eSport.

¿Qué aprende un ciberabogado?

El abogado que decide capacitarse en esta disciplina ve durante algo más de un año asignaturas relacionadas con la introducción y el entendimiento del ciberderecho (filosofía del derecho); regulación del ciberespacio; ciberseguridad, ciberdelincuencia y ciberproblemas; identificación no presencial y contratación electrónica; blockchain; internet de las cosas (loT) e inteligencia artificial (AI); eSport (sector del juego online); modelos de negocio y financiación del emprendimiento digital y tributación en el ciberespacio.

¿Cuál es la importancia del máster para los abogados?

Internet es un espacio virtual donde las normas del juego han cambiado y donde han aparecido nuevos problemas que van más allá de la seguridad de la información como los bulos, las noticias falsas, el cyberbullying o la ciberextorsión, entre otros. Además, nuevas tecnologías como blockchain o la inteligencia artificial (AI) requieren de una reflexión jurídica.

Los abogados necesitan tomar conciencia del ciberespacio, formarse y adquirir técnicas orientadas a entender las nuevas reglas del juego y las implicaciones legales que traen las nuevas tecnologías. Solo de esta manera pueden ofrecer a sus clientes, personas físicas o empresas soluciones jurídicas adaptadas al ciberespacio.

Fuente: http://www.ambitojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Espacio Compliance en la CNMC: El Delegado de Protección de Datos en el Sector Público (DPD)


La AEPD va a ser “muy garantista” en relación a la propaganda electoral

“Los partidos políticos saben que es ilegal elaborar perfiles ideológicos de los ciudadanos”

Yolanda del Valle

“La situación actual no faculta a los partidos políticos a elaborar perfiles ideológicos individuales de los ciudadanos y, si un ciudadano recibe propaganda electoral por un medio digital y ‘sospecha’ que un partido político puede tener su perfil ideológico, debe denunciarlo ante la Agencia Española de Protección de Datos porque los partidos saben que eso es ilegal y vamos a ser muy garantistas”, afirmó ayer Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en respuesta a la preocupación manifestada por uno de los asistentes a la cuarta sesión de ‘Espacio Compliance’, dedicada en esta ocasión a hablar sobre ‘El Delegado de Protección de Datos en el Sector Público’.

Durante la ponencia de inauguración del evento celebrado en la Comisión Nacional de los Mercados y la Competencia (CNMC), Mar España destacó la importancia que tiene que organismos reguladores como la AEPD y la CNMC trabajen de manera conjunta dado el nuevo marco normativo que ha creado en nuestro país la nueva Ley Orgánica de Protección de Datos, aprobada el pasado 5 de diciembre, y el nuevo Reglamento Europeo de Protección de Datos (REPD), de plena aplicación en España desde finales de mayo de 2018.

La directora de la AEPD aseguró que “todos los organismos públicos, sin excepción, deben de tener un Delegado de Protección de Datos (DPD)”, y añadió que “la AEPD está haciendo una labor importante de formación de esta nueva figura en el sector público”.  Asimismo, destacó que la actividad desarrollada por los organismos públicos en materia de protección de datos “es clave, porque una ‘brecha’ de seguridad puede suponer la pérdida de la reputación para las administraciones públicas, además de las posibles sanciones administrativas o las responsabilidades penales que se pudieran derivar”, y aconsejó que los futuros DPD utilicen el servicio INFORMA, accesible desde la página web de la AEPD, para trasladar sus dudas o consultas en materia de protección de datos.

En relación a las sanciones económicas que pueda poner la AEPD por no respetar la privacidad en materia de protección de datos, Mar España afirmó que “cuando tengamos que ser serios lo vamos a ser, como lo hemos sido con Facebook imponiéndole una multa de 1,2 millones de euros antes del escándalo de Cambridge Analytica; pero también queremos ser comprensivos y acompañar en la adaptación a la nueva normativa a las organizaciones españolas, públicas o privadas, que lo necesiten”. En este sentido, animó a empresas privadas y organismos públicos a usar la herramienta FACILITA, que “es gratuita y ayuda a los DPD en el ejercicio diario de sus funciones”.  

Finalmente, destacó que “hay muchas reclamaciones que llegan a la AEPD que podrían resolverse mediante la conciliación fuera del ámbito administrativo o penal”, y que esta posibilidad “supone muchas ventajas para todos los implicados, aunque no impida que la AEPD pueda ejercitar su potestad sancionadora”.  

Por su parte, los invitados que participaron en la mesa redonda que se celebró tras la intervención de Mar España, todos DPD de importantes organismos públicos, debatieron sobre el papel de esta nueva figura en el sector público español, su independencia dentro de la organización y los canales de denuncia como mecanismos de control que pueden utilizarse en materia de protección de datos para denunciar ‘brechas’ de seguridad.  

“HAY MUCHAS RECLAMACIONES QUE LLEGAN A LA AEPD QUE PODRÍAN RESOLVERSE MEDIANTE LA CONCILIACIÓN FUERA DEL ÁMBITO ADMINISTRATIVO O PENAL”, AFIRMA MAR ESPAÑA, DIRECTORA DE LA AEPD.

DPD: ¿interno o externo?

Juan José Pérez Rodríguez, DPD de la CNMC, afirmó que “para la Administración Pública contratar a un DPD externo debería de ser la última opción” y abogó “por que sea interno por el valor que aporta el que sea alguien de la ‘casa’ que conoce bien los procedimientos y el funcionamiento de ese organismo público concreto”.

Mar Rubio Conteras, DPD de la Comisión Nacional del Mercado de Valores (CNMV), apoyó sus palabras afirmando que “el DPD es un mecanismo de resolución de conflictos amistoso que, si bien se puede externalizar en algunos casos, en el sector público es mejor que sea alguien de dentro por su cercanía y conocimiento de la organización”.

En relación a la independencia de esta figura clave en materia de privacidad y a la posibilidad de que esta responsabilidad recaiga en un cargo directivo o intermedio,  Juan José Pérez Rodríguez afirmó que “no es lo más adecuado ni favorece su independencia, puesto que ocupar un cargo directivo le fuerza a alinearse con la doctrina y estrategia de la organización”, y concluyó su intervención asegurando que “lo importante es que se trate de un perfil que genere confianza y que tenga comunicación directa con la alta dirección”.

Mar Rubio añadió que, como asesor, “su independencia se basa en el conocimiento que tenga de la organización para saber dónde poner los controles y dónde están los posibles riesgos”, y que es fundamental que el DPD “conozca el negocio o la actividad de su empresa ‘desde abajo’ y que esté convenientemente acreditado para ejercer su función con estándares de calidad”.

Canal de denuncias y Protección de Datos

En lo que respecta a la implementación de mecanismos de control como son los canales de denuncia en materia de protección de datos, Lluís Sanz Marco, DPD del Ayuntamiento de Barcelona, aseguró que “nuestro canal de denuncias no es interno, es externo, y está abierto a la ciudadanía para denunciar conductas que no sean éticas garantizando el anonimato y la confidencialidad de los datos que se aporten en la denuncia”, y concluyó asegurando que su funcionamiento en el Ayuntamiento de la Ciudad Condal está siendo “todo un éxito”.

José López Calvo, vocal de la Asesoría Jurídica y DPD del Consejo Superior de Investigaciones Científicas (CSIC), puntualizó que “las denuncias tienen que ser siempre investigadas, sean anónimas o no, por la propia seguridad de los responsables de la organización, en este caso de la Administración Pública”.

Juan José Pérez Rodríguez cerró su intervención añadiendo que es importante que la nueva Ley Orgánica de Protección de Datos haya incorporado el anonimato del denunciante, “aunque nuestro canal en la CNMC es confidencial, no anónimo”, puntualizó,  y avivó el debate en el último momento añadiendo que “lo que no tengo tan claro es que sea conveniente que exista un canal de denuncias interno que reciba únicamente denuncias relacionadas con protección de datos, con lo cual se entiende que en ese canal de denuncias genérico debe de haber siempre un ‘filtrado’ que involucre necesariamente al DPD”.   

“LO QUE NO TENGO TAN CLARO ES QUE SEA CONVENIENTE QUE EXISTA UN CANAL DE DENUNCIAS INTERNO QUE RECIBA ÚNICAMENTE DENUNCIAS RELACIONADAS CON PROTECCIÓN DE DATOS”, AFIRMÓ JUAN JOSÉ PÉREZ RODRÍGUEZ, DPD DE LA CNMC.

A modo de broche para clausurar el evento, todos coincidieron en que las partidas presupuestarias con las que cuentan en estos momentos los organismos públicos de los que son DPD se están dedicando, fundamentalmente, a capacitar y formar a funcionarios públicos en materia de privacidad y protección de datos, especialmente a los que trabajan en atención al público, y destacaron la importancia de contar con una herramienta de gestión que facilite el trabajo del DPD en la Administración Pública.

Autora: Yolanda del Valle

certificacion - diario juridico

Responsable de Comunicación & Marketing en Legal Compliance

Fuente: http://www.diariojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Mi Asesor del Riesgo/herramienta. Directores, Gerentes, Consultores, Asesores y Analistas del Riesgo, que se unen a la Tecnología de MyRA.


My Risk Assessor (MyRA) aborda los desafíos de proteger los activos con una solución rentable que realiza evaluaciones de riesgos y proporciona visibilidad del proceso de gestión.

MyRA estima la probabilidad de exposición a numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar las exposiciones de riesgo. Identificar el riesgo de los activos es cada vez más complejo y costoso. La mayor responsabilidad de las partes interesadas, las industrias y el gobierno se está exigiendo más que nunca. MRA ofrece una solución automatizada y asequible que es fácil de entender y de usar para los gerentes y el personal.

My Risk Assessor (MyRA) es una solución de SaaS alojada y desarrollada por Compliance MapperTM que ayuda a la administración a entender las responsabilidades y proporciona los medios para monitorear, medir y administrar el proceso de administración de riesgos.

MyRATM. es fácil de usar e integrado con la plataforma de Compliance Mapper de C2C. Las bibliotecas de tratamiento contienen y vinculan vulnerabilidades y controles, y pueden personalizarse con información de hoja de cálculo importada. Existe un componente de Análisis de impacto empresarial (BIA) para ayudar a crear continuidad e identificar y evaluar los costos relacionados con el impacto de pérdida / riesgo.

Beneficios: Modelo SaaS protegido – rentable y seguro
 · Extremadamente fácil de usar
 · Proporciona portabilidad de evaluaciones.
 · Capacidad de importación y exportación.
 · Bibliotecas de amenazas de activos estandarizadas
 · Calcula la expectativa de pérdida única y la expectativa de pérdida anual
 · Enlaces a controles y se alinea con los requisitos de ISO 27001 y NIST 800-53
 · Agiliza la implementación de ISO
 · Asigna riesgos a procesos internos: ahorro de tiempo y costos.
 · Asigna riesgos a las políticas, procedimientos y regulaciones con una simple actualización
 · Capacidades de análisis con propiedades de activos mejoradas (SLE y ALE) SOA para NIST e ISO 27001

My Risk Assessor (MyRA) tiene informes completos. Los informes incluyen: informes de riesgos de activos, declaración de aplicabilidad, planes de remediación de riesgos, análisis comparativo.

Contactanos para que te podamos dar una demostración gratis de los beneficios que tienen nuestra herramienta MyRA.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Ciudad de Mexico – Miami

¿Cómo fortalecer la seguridad informática en los negocios?


La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

Cuando se trata de seguridad cibernética, solía haber dos tipos de personas: aquellas enfocadas en crear un sistema cerrado que nunca pudiera ser violado, y quienes reconocieron que las tecnologías convergentes requieren un enfoque más centrado en el ecosistema. Muchos de los que pasamos por el mundo de los sistemas de seguridad física, habríamos estado firmemente en el primer campamento. Pero a medida que la industria ha pasado de ser analógica a la tecnología basada en IP y al nuevo ecosistema de IoT, todas las medidas de ciberseguridad puestas en juego (o la falta de ellas) pueden afectar todo lo demás en la red. 

Ahora hay prácticamente un solo tipo de persona: quienes creen que es imperativo que nuestros sistemas y dispositivos no solo converjan en un nivel operativo, sino también en un nivel de ciberseguridad.

De acuerdo con cifras oficiales, 9 de cada 10 empresas serán blancos de ataques o eventos cibernéticos en el mundo.1 Esto ha generado que una las prioridades de las empresas de todas las industrias y sectores tomen a la ciberseguridad como parte importante de sus preferencias, una tendencia que seguirá creciendo tomando en cuenta que estamos caminando hacia un mundo cada vez más conectado.

La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

México no ha sido una excepción a estos ataques, ya que el pasado 17 de abril un participante del Servicio de Pagos Electrónicos Interbancarios (SPEI) registró un ataque cibernético, de acuerdo con el Banco de México, que agregó que a partir de esa fecha se identificaron cuatro eventos más: dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo.

Ante esta situación, cualquier negocio puede sufrir amenazas de ciberseguridad. Y es que el sector del entretenimiento, como restaurantes y hoteles, también ha sido víctima de esto, un ejemplo es el caso del Hotel Marriot, que el año pasado dio a conocer sobre el robo de una lista de datos personales de sus huéspedes, donde se incluía nombres completos, direcciones, número de pasaporte, información de cuenta de Starwood Preferred Guest, y en algunos casos información de tarjetas de crédito y sus fechas de vencimiento, entre otros más.

En el caso de la atención médica, la seguridad de los pacientes y los empleados es de suma importancia, especialmente porque casi el 90% de las organizaciones de atención médica, experimentaron algún tipo de violación de datos dentro de los dos años de la publicación de esa investigación. Los pacientes y el personal confían en los centros de salud al proporcionarles su información privada, por lo que es responsabilidad de esos centros proteger los datos. 2

Desde el año pasado, se han visto mejoras en las modalidades que están utilizando los hackers para modificar el estilo de ataques, volviéndolos cada día más agresivos. En este momento las conexiones IP y tecnología IoT son objetivo de estas amenazas informáticas, incluso, el robo de información tiene diferentes modalidades: desde un celular, una computadora, hasta una cámara de vigilancia.

Existen virus que pueden infectar estos equipos para obtener información de las personas hasta el secuestro virtual de la información digital o ransomware, lo cual hace más vulnerable la privacidad de todos. Entonces, una de las preguntas que se deben hacer todos los negocios es, ¿cómo mantener una confianza digital ante el crecimiento de las tendencias de conectividad?, ¿qué factores se deben tomar en cuenta para brindar la seguridad y privacidad, tanto del mismo personal, así como de los usuarios de un negocio?

Ante esto, empresas de vigilancia y seguridad están trabajando e innovando en los sistemas de vigilancia inteligente, integrando cámaras de red para mejorar la protección de información de todas las personas. Axis Communications, empresa que trabaja para hacer un mundo más inteligente y seguro, sabe de la importancia que tiene el papel de la ciberseguridad hoy en día, es por esto que nos comparte algunos consejos para fortalecer la seguridad informática en los negocios.

  • Asegure una red de sistemas interconectados 

En un ecosistema convergente, como un escenario de seguridad física basado en IP, las amenazas y vulnerabilidades cibernéticas se vuelven mucho más complejas. No solo aumenta la cantidad de componentes, también aumenta la cantidad de proveedores que suministran esa tecnología y la cantidad de usuarios que acceden a ellos. Para mitigar los riesgos en este tipo de ecosistema abierto, es necesario que todos los proveedores operen con el mismo libro de jugadas de ciberseguridad.

  • Las políticas de seguridad son claves 

¿Podría existir una solución de aplicación universal? La respuesta es NO, ya que cada organización tiene necesidades de ciberseguridad específicas y únicas, no existe tal configuración de ciberseguridad. En su lugar, es importante contar con un conjunto de políticas de seguridad de la información para definir el alcance de la seguridad requerida.

Sin embargo, no se trata sólo de tener una política vigente. Como señaló IDC en su informe “Smart City: Secure by design” del año pasado, “también se trata de garantizar que todas las partes involucradas en la gestión del ecosistema de la ciudad sigan los estándares de la política de seguridad”.

La cantidad de dispositivos conectados en las ciudades seguirá creciendo rápidamente y las ciudades se verán afectadas por incidentes de ciberseguridad más o menos graves. Por lo tanto, es necesario estar bien preparado, y esto solo se puede lograr de la siguiente manera: Tener una política clara de seguridad cibernética que sea compartida y conocida por partes internas y externas.

  • Encontrar un terreno común para mitigar los riesgos cibernéticos 

Los fabricantes de TI, seguridad física y tecnología deberían estar trabajando como una unidad cohesiva para alcanzar un consenso sobre los estándares actuales y las tecnologías actuales de mitigación cibernética que realmente reflejen las técnicas de mitigación del riesgo cibernético del “Denominador más alto”.

En la mayoría de los casos, las cámaras de videovigilancia y el sistema de gestión de video (VMS) se seleccionan según dos criterios principales: 1) su uso específico previsto: protección del perímetro, vigilancia en áreas públicas abarrotadas, entradas y salidas de los negocios, etc., y 2) la fuerza del proveedor para satisfacer ese uso específico. Pero hay un tercer criterio que también debe considerarse: ¿el fabricante de la cámara A es compatible con los mismos protocolos de seguridad que el fabricante de VMS B, y estos protocolos se integran perfectamente con el conjunto actual de hardware, software y protocolos de protección cibernética de TI?

  • ¿Quién posee la conectividad?

Dado que el ecosistema se ejecuta en la infraestructura de TI, plantea otra pregunta importante: ¿Quién es responsable de la conectividad? ¿Las estrategias de ciberseguridad para los sistemas y dispositivos conectados a la red de seguridad física ahora pertenecen a TI? ¿O el departamento de seguridad física exige que las TI apoyen las tecnologías de seguridad informática incorporadas en las soluciones de seguridad física? La respuesta más simple es que la administración de la seguridad física necesita trabajar con integradores y fabricantes para diseñar soluciones que sean inherentemente compatibles con las metodologías actuales de TI para la mitigación del riesgo cibernético.

  • La ciberseguridad es un esfuerzo de equipo 

Las similitudes en las tecnologías de protección cibernética entre IoT y seguridad física pueden ser evidentes, pero hay algunas preocupaciones clave que deben permanecer a la vanguardia de cualquier creador de sistemas. No importa que tan sofisticados se vuelvan los dispositivos y sistemas de IoT, todavía funcionan en un mundo de TI. Y como tales, deben adoptar una estrategia de protección cibernética cooperativa. Las tecnologías maduras de IoT, como la seguridad física, deberán evolucionar para beneficiarse de algunas de las nuevas técnicas de protección cibernética de IoT.

  • Gestión de dispositivos escalable y eficiente 

Cuando tiene cientos, o incluso miles de dispositivos conectados, ya sean farolas, cubos de basura o cámaras, es fundamental que pueda realizar actualizaciones y configuraciones de forma automática en grandes cantidades, en lugar de hacerlo manualmente.

El trabajar juntos puede asegurar que las ciudades estén mejor preparadas para enfrentar la amenaza de la ciberseguridad en constante evolución y seguir siendo capaces de reaccionar rápidamente si la amenaza se materializa.

Fuente: www.addictware.com.mx

Mario Meneses

mario@c2csmartcompliance.com

+521 77871152

Saludos

Gestión de la seguridad integral e integrada en ciudades inteligentes: un proyecto de convergencia e integración física y lógica


Se trata de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y local (“glocal”) de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

18/02/2019
MANUEL SANCHEZ GÓMEZ-MERELO

Comunicación presentada al IV Congreso de Ciudades Inteligentes

Autor


Introducción

Este es un proyecto multidisciplinar planteado hacia los retos y demandas de cada entorno, diferenciando las necesidades de la Administración, de la industria y de los usuarios, desde la transversalidad de la “Gestión de la Seguridad Integral e Integrada” y como un proyecto de “Convergencia de la Seguridad Física y la Seguridad Lógica”.

Está basado, principalmente en:

  • Las necesidades del gobierno para poder: crear conciencia sobre la importancia de la seguridad; confianza de que se tiene suficientes recursos y prácticas para proteger las redes públicas, así como suficiente información para permitir la respuesta en situaciones de emergencia.
  • Las necesidades de la industria para poder: ofrecer seguridad para los sistemas y los servicios; brindar garantías y satisfacción al cliente, y ofrecer confianza y rentabilidad.
  • Las necesidades del usuario para poder: tener confianza en los medios de información y comunicación; prevención y protección ciudadana; seguridad y privacidad de su información.

Todo ello, con un carácter y objetivo multidisciplinar, generando acciones para: Incrementar la sinergia entre todas las partes interesadas como entes de vigilancia y control, entes de políticas y regulación, empresas y usuarios. Impulsar el desarrollo de normas compatibles a nivel global. Concienciar sobre las vulnerabilidades para proveer protección en forma independiente sobre las amenazas que están constantemente cambiando y pueden ser desconocidas.

El nuevo rol de las ciudades inteligentes, verdadero reto del siglo XXI. De manera general, el éxito futuro de las ciudades inteligentes radica en una especial planificación global y estratégica, con una visión de conjunto que incluya y coordine todas las áreas.

Esto ha de ser entendido como un verdadero proceso de gestión del cambio, hacia la transformación de la ciudad, planteado con una visión a medio-largo plazo y en el que formen parte todos los grupos de interés que confluyen en ella y en el que tampoco hay que olvidar la relación con el territorio y con el entorno próximo.

Una ciudad no será inteligente si no integra la triple vertiente del desarrollo sostenible aprovechando la oportunidad que los avances tecnológicos nos proporcionan.

Una sostenibilidad de las tres vertientes de forma coordinada: sostenibilidad económica, sostenibilidad ambiental y sostenibilidad social. De modo que todas las actuaciones proporcionen beneficios o mejoras en cada una de ellas.

En este sentido, las nuevas tecnologías y herramientas tecnológicas, las TIC, han de ser los instrumentos que han de posibilitar y facilitar ese salto cuantitativo y cualitativo hacia una mayor eficiencia y sostenibilidad.

Una ciudad Inteligente se consigue no meramente por acciones puntuales, sino por aplicación de una visión global a largo plazo. Hoy día estamos siendo testigos de cómo muchas ciudades se suben a la “moda” de las ciudades inteligentes o Smart City a través de la adopción o puesta en marcha de pequeños proyectos o iniciativas que incluyen algún proceso o simplemente una app tecnológica para incorporar el sello “inteligente” a sus denominaciones.

Pero tiene que haber algo más, una voluntad y un esfuerzo conjunto por acometer y gestionar ese proceso de cambio de forma real, rigurosa y con una amplia visión global de los objetivos.

A nivel internacional y nacional, las ciudades que así lo hacen logran un mayor nivel de implementación y obtienen mejores resultados de gestión, optimización de recursos y eficacia. Generan a su vez una ventaja competitiva frente a otras, siendo capaces de atraer más inversión y financiación (pública y privada) lo que redunda en mayores beneficios para las ciudades y sus ciudadanos, convirtiéndose en referencias a seguir.

Lo cierto es que alrededor de las llamadas ciudades inteligentes se está creando todo un ecosistema de trabajo conjunto entre ciudades, empresas, centros del conocimiento e investigación, nichos de emprendimiento, etc. y de importante transferencia de conocimiento y experiencia en muchos ámbitos y que está dando sus frutos.

Además, existe una fuerte inversión privada, principalmente por empresas del ámbito tecnológico, que llevan apostando por ello tiempo atrás con nuevas y específicas líneas y divisiones de negocio que están proporcionando soluciones en las ciudades, así como la aparición de nuevos nichos de mercado, en los que por ejemplo el Big Data, Open Data y el Data Mining, etc. se perfilan, como algunos expertos mencionan, como un nuevo sector económico: la economía de los datos.

Proyecto

El esquema de contenido del proyecto es el siguiente: Control y Gestión, Seguridad y Emergencia, Vigilancia y Seguridad Ciudadana, Sanidad y Salud, Transporte Urbano y Metropolitano y Servicios al ciudadano.

Control y gestión

Como primer objetivo del proyecto se trata de establecer una plataforma integral e integrada de control y gestión de las infraestructuras objeto de convergencia partiendo de la incorporación igualmente de los sistemas de análisis y evaluación de los riesgos, amenazas y vulnerabilidades identificadas y clasificadas en cada infraestructura, plataforma igualmente integrada para su evaluación permanente.

Seguridad y emergencia

Dado que el crecimiento de nuestras ciudades provoca que la gestión de la seguridad pública sea más compleja, para asegurarla es necesaria la coordinación de una gran cantidad de recursos disponibles que obligan al establecimiento de sistemas y metodologías de gestión en tiempo real y la optimización de los recursos.

Cualquier aplicación que integremos en la plataforma de gestión ayudará a optimizar la capacidad, y el tiempo de respuesta de los servicios de seguridad y emergencia será de gran utilidad en el ámbito de las ciudades.

Los servicios de seguridad y emergencias, como en ESPAÑA el 112, están diseñados bajo un criterio de servicios múltiples que permite integrar operativamente todos los medios y recursos implicados en este tipo de situaciones.

Los procedimientos determinan también los intercambios de información necesarios para conocer, en todo momento, el desarrollo de la gestión de la incidencia en un modelo del servicio que se desarrolla en dos niveles: RECEPCIÓN, ATENCIÓN Y GESTIÓN de las llamadas y MOVILIZACIÓN Y GESTIÓN de los recursos para atender adecuadamente las emergencias.

Vigilancia y seguridad ciudadana

En este punto, las aplicaciones pueden abarcar desde los servicios básicos de videovigilancia centrados en controlar determinadas zonas, a aplicaciones inteligentes que aseguran el control de los eventos masivos, a través de sensores que localizan y pueden identificar personas, objetos y vehículos como ayuda para la previsión de situaciones de aglomeración o incidentes. Para el caso de incendios se combinarían redes de sensores que ayudan a detectar de manera temprana este tipo de incidentes, así como redes de comunicación que permiten contactar con los centros de emergencia e intervención de manera inmediata, y así resolver la extinción del incendio en su desarrollo inicial.

Sanidad y salud

En planteamientos territoriales descentralizados, diversas entidades de sanidad y salud pueden participar en la GESTIÓN DE LA ATENCIÓN PRIMARIA y, por lo tanto, encuentran en la tecnología un aliado para ofrecer este tipo de servicios en el ámbito de las ciudades inteligentes.

Destacan las soluciones para el seguimiento del estado de salud a través de MEDICIONES DE SIGNOS VITALES usando biosensores y biometría mediante la monitorización de los pacientes y puede servir como puente entre el hospital y el hogar, permitiendo a los enfermos estar en sus casas y ser atendidos a distancia, tanto para diagnóstico como para tratamiento y seguimiento de la enfermedad.

En este planteamiento hemos de tener en cuenta igualmente la integración de la historia clínica electrónica para poder COMPARTIR INFORMACIÓN, y colaborar entre los hospitales y las consultas de atención primaria.

En FRIEDRICHSHAFEN (Alemania) se están desarrollando SISTEMAS DE TELEMEDICINA DISEÑADOS PARA MEJORAR LA ATENCIÓN MÉDICA. Por ejemplo, los diabéticos que utilizan el sistema de control de la diabetes GLUCOTEL ya no tienen que realizar visitas frecuentes a su médico pues este puede recuperar sus datos a través de un sistema remoto centralizado.

Igualmente importantes son los sistemas de teleasistencia social que contribuyen a FACILITAR LA VIDA INDEPENDIENTE DE PERSONAS CON NECESIDADES ESPECIALES, como son ancianos y enfermos. A estos se les suman los sistemas de localización que permiten ofrecer asistencia a domicilio a personas mayores en un tiempo más corto.

Es muy útil combinar el uso de datos y servicios de localización para plantear SERVICIOS QUE ALERTEN DE POSIBLES RIESGOS PARA LA SALUD. Un caso puede ser la aplicación “DON´T EAT AT” implantada en NUEVA YORK y que avisa con una notificación cuando el usuario entra en un restaurante que no cumple las normas de sanidad pública.

Transporte urbano y metropolitano

Sin lugar a dudas, una de las claves del proyecto de gestión integral e integrada para ciudades inteligentes, son las plataformas de control y seguimiento de los transportes urbanos y metropolitanos.

En este sentido, la integración de todas sus redes, la geolocalización de todos los elementos, la vigilancia y control en tiempo real de su funcionamiento y la gestión del desarrollo de incidencias, hace imprescindible e irreversible la gestión integral e integrada de todos sus recursos y convergencia en el entorno de todo el resto de infraestructuras.

Servicios al ciudadano

Si bien la ADMINISTRACIÓN ELECTRÓNICa es uno de los servicios en Internet que más se han desarrollado en los últimos años, es importante también la incorporación de los servicios de e-participación y aquellas iniciativas que, en general, FAVORECEN LA TRANSPARENCIA Y QUE CONTRIBUYEN A LA GOBERNANZA DE LOS MUNICIPIOS.

Ejemplo de uno de estos servicios es el del Ayuntamiento de la ciudad de Edimburgo, el cual ha adoptado una aplicación novedosa introduciendo a los ciudadanos en el diseño de los servicios ofrecidos.

En esta línea, LONDRES ha creado la “London Database”, que pone todos sus datos disponibles de manera abierta (LOCALIZACIONES DE ALQUILER DE BICICLETAS, PRECIOS DE VIVIENDAS, LOCALIZACIONES DE CAMPOS DE JUEGOS, ETC.) y está interesando a los negocios que quieren combinar los datos de clientes con datos de la ciudad y datos de ventas con el objetivo, por ejemplo, de ofrecer precios más ajustados a sus productos y servicios.

La analítica y la misión de servicio son piezas importantes de las ciudades inteligentes, sobre todo en lo referente a la generación de valor.

Material y método

La inteligencia y el conocimiento transversal son elementos clave, ya que habrá que coordinar y agrupar muchas áreas del conocimiento, con profesionales que cuenten con habilidades y capacidades multidisciplinares adecuadas, que sean capaces de acometer esa gestión integral e integrada de la seguridad en las ciudades inteligentes.

Alrededor del planteamiento de ciudades inteligentes se está generando todo un ecosistema de trabajo y transferencia de conocimiento entre Administraciones, empresas y universidades.

No obstante, a pesar del incremento de iniciativas, acciones, proyectos y propuestas que se están poniendo en marcha, en muchos casos ya implementadas y con resultados tangibles, es habitual encontrar una situación que se percibe como dispersa y heterogénea, generando mucho ruido alrededor de las ciudades inteligentes, y que están siendo cuestionada en muchos ámbitos precisamente por esa confusión, dispersión y falta de concreción generada, con el riesgo real de que se convierta más en moda pasajera que en solución necesaria a nuestro planteamiento de ciudades inteligentes.

Resultados

El esquema de contenido del proyecto en cuanto al resultado buscado y obtenido, es el siguiente: Integración y Convergencia, Continuidad de Funcionamiento, Sostenibilidad y Gobernanza, Accesibilidad y Movilidad, Resiliencia.

Integración y convergencia

La apuesta por plataformas de integración para la gestión global de la seguridad permite ubicar los puntos de control para monitorizar en vivo la información que nos aportan las soluciones tecnológicas de esta manera tener un control absoluto de todas las cámaras, sensores y dispositivos de control colocados en los diferentes entornos e infraestructuras.

Además, los sistemas de videovigilancia sirven como elementos disuasorios frente a hechos vandálicos o incidentes no deseables.

Por otro lado, la integración del complicado escenario las Tecnologías de la Información y las Comunicaciones (TIC) pueden ser un importante valor añadido.

Un ejemplo es el proyecto “WikiCity” desarrollado por el “SENSEABLE CITY LAB DEL MIT” que ha implantado experiencias en la ciudad de Roma usando los teléfonos móviles de los habitantes para obtener información en tiempo real y presentarla de manera gráfica mediante mapas.

Partiendo de la necesidad de comunicaciones en común, una característica que define a las ciudades inteligentes es la capacidad de los sistemas de componentes para interoperar.

Continuidad y funcionamiento

De manera transversal, todas las plataformas y sistemas de integración y convergencia de las seguridades han de mantener un denominador común como objetivo y es garantizar la continuidad y funcionamiento de los sistemas e infraestructuras de las ciudades inteligentes.

Continuidad y funcionamiento que se hace más imprescindible en aquellas infraestructuras denominadas y clasificadas como críticas, imprescindibles para la prestación de los servicios vitales.

Sostenibilidad y gobernanza

En la actualidad las ciudades cuentan con mucha información sobre su funcionamiento, pero casi toda está distribuida en paquetes de información independientes. Información no conectada y que no permite realizar un análisis completo y complejo del funcionamiento o incidencias.

Por otra parte, con relación a aspectos ambientales de la sostenibilidad, cabe mencionar como otra muestra de la aplicación de las normas el MANDATO DE NORMALIZACIÓN DE LA COMISIÓN EUROPEA en apoyo de la implementación de la COMUNICACIÓN RELATIVA A LA ESTRATEGIA DE LA UE EN MATERIA DE ADAPTACIÓN AL CAMBIO CLIMÁTICO. Dentro de los objetivos del MANDATO, destaca el asegurar infraestructuras que resistan el cambio climático, destacando tres prioritarias: transporte, energía y construcción.

Accesibilidad y movilidad

Para gestión y control del tráfico de vehículos en los entornos urbanos existen soluciones innovadoras e inteligentes basadas en la lectura de matrículas y análisis de comportamientos. Estos servicios ofrecen multitud de ventajas en cuanto a la gestión y optimización para el beneficio del ciudadano, disminuyendo problemas, accidentes, atascos, consumos energéticos y reduciendo la contaminación.

Todo ello integrado en una plataforma global que complementa la gestión inteligente de las ciudades, a través de cartografía 3D o fotografía aérea de gran detalle, que permite la interactuación de todos los elementos integrados como cámaras de seguridad, semáforos, luminarias, control y gestión del mobiliario urbano, etc.

El valor de toda esta información se incrementa de manera exponencial cuando se mezcla con datos de carácter público, privado y comercial. El ejemplo del proyecto “Live Singapore” pone de manifiesto como la combinación de datos básicos de móviles con previsiones meteorológicas puede mejorar los flujos y la localización de los taxis y servicios públicos.

Resiliencia

Después de analizar cómo se puede captar, integrar y compartir la información entre las infraestructuras y servicios en las ciudades inteligentes, es importante conocer qué RIESGOS HAY EN DIRIGIRSE HACIA ESTE TIPO DE SERVICIOS Y CÓMO PUEDEN GESTIONARSE Y MINIMIZARSE.

Al compartir datos entre servicios surge un nuevo reto sobre la seguridad de la información, LA PROTECCIÓN DE LOS DATOS Y LA PRIVACIDAD. Por ejemplo, compartir datos en la nube puede suscitar dudas sobre el uso de los datos para un fin distinto al original, y sobre si se está accediendo a los datos personales, almacenándolos y procesándolos.

A medida que los sistemas van descendiendo en aplicación hacia edificios, viviendas, empresas y personas, el riesgo, la amenaza de perder la privacidad crece, así como la necesidad garantizar la confianza y seguridad.

Con respecto a la resiliencia de los canales de prestación de servicios en una CIUDAD INTELIGENTE, el éxito dependerá seriamente de que tenga una infraestructura digital que sea robusta y segura. Si los servicios críticos se vuelven dependientes de infraestructuras y sistemas inteligentes no especialmente protegidos, las interrupciones del servicio y los fallos en los equipos pueden llegar a tener un impacto o consecuencias importantes.

También es probable que surjan las cuestiones relativas a la RESILIENCIA y la planificación del fallo de los sistemas críticos. Todo sistema de ciudad inteligente debe tener redundancia, y debido a la enorme cantidad de puntos de información y de datos que se prevén en la ciudad inteligente, habrá elementos de ésta inherentes a cualquier otra ciudad.

Las normas existentes también se pueden aplicar a la mejora de la RESILIENCIA DE LAS CIUDADES INTELIGENTES, considerando la protección y seguridad de los ciudadanos.

Conclusiones

A modo de conclusiones cabe subrayar que se trata del planteamiento de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y glocal de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

Como se ha descrito, el esquema básico de contenido y objetivos del proyecto es la integración global del Control y la Gestión, la Seguridad y Emergencia, la Vigilancia y Seguridad Ciudadana, la Sanidad y Salud, el Transporte Urbano y Metropolitano y los Servicios de valor al ciudadano.

Finalmente, la búsqueda de resultados de este proyecto multidisciplinar de integración de las seguridades se realiza a través: de la Integración y Convergencia, la Continuidad de Funcionamiento, la Sostenibilidad y Gobernanza, la Accesibilidad y Movilidad, y la Resiliencia.

Fuente: www.tendencias21.net

La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores.


La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores. Tener un paquete actualizado de Microsoft, no será suficiente, pues a medida que avanza la tecnología, crecen los ataques cibernéticos.
Pensando en las empresas, Microsoft ha desarrollado un paquete completo que incluye Office 365, Windows 10 y Enterprise Mobility + Segurity.
El ideal de un conjunto completo de programación es aumentar la productividad a la vez que aumenta la seguridad de los dispositivos electrónicos de trabajo.

¿Cómo se adapta la propuesta de Microsoft a las empresas?

La solución de seguridad creada por Microsoft funciona simplificando los procesosadministrativos y proporcionando herramientas de gestión de dispositivos.
Para ello, presenta versiones de Enterprise para grandes empresas y Business para PYMES y empresas con un volumen no mayor a 300 empleados. Esto demuestra que Microsoft ha pensado en soluciones que realmente correspondan a las necesidades de cada tipo de empresa.

¿En qué consiste la solución desarrollada por Microsoft para empresas?

Esta, es la solución con mayor crecimiento que ha desarrollado Microsoft. Fue presentada en la conferencia mundial de partners, Microsotf Inspire, en 2017. En ella, se dieron a conocer importantes ofertas para Microsoft 365, especialmente aquellas dedicadas a la seguridad y el cumplimiento.
Dos de las ofertas añadidas a la suite son:

  • Identify & Threat Protection: Este nuevo paquete, se ha creado para la protección de identidad y seguridad para Office 365, Windows 10 y EMS. Creada para proteger aplicaciones en la nube de Microsoft y Active Directory de Azure.
  • Information Protection & Compliance: dirigido a la protección de información y cumplimiento, en un paquete de Office 365 Advance Compliance y Azure Information Protection. Busca realizar evaluaciones preventivas de riesgo a los servicios de Microsoft Cloud.

¿Qué beneficios ofrece la nueva oferta de Microsoft?

Es un beneficio muy alto a las empresas, por ser soluciones ajustadas a las necesidades de las empresas. Además, el precio por usuario es asequible, aproximadamente 54€ al mes. El precio, además está configurado para no afectar el valor de los planes ya existentes. No se pretende aumentar precios, sino por el contrario, ampliar y mejorar la cartera de servicios.

¿Cómo desarrolla Microsoft la oferta de seguridad para empresas?

Los ataques cibernéticos son la amenaza del siglo XXI, dónde la información y comunicación se ha compactado en dispositivos electrónicos que almacenan su información en nubes.

Microsoft dispone de al menos 3500 profesionales de ciberseguridad, que trabajan en pro proteger, defender y responder a las amenazas cibernéticas por medio de actuaciones seguras y la prevención de ataques.
Además, sabiendo el crecimiento exponencial del mundo tecnológico en la cotidianidad y el ámbito laboral, Microsoft se ha convertido en el mayor impulsor de asociaciones tecnológicas que trabajan en normativas en el sector por la lucha de condiciones iguales de protección para todos los usuarios.
Microsoft, además, busca que la información sea extendida a todo el mundo, por eso ha desarrollado blogs de Microsoft Security, informes publicados sobre inteligencia de seguridad y reuniones públicas que tratan temas sobre Gestión de Acceso e Identidad de Gartner, llevada a cabo en diciembre de 2018.

Si estas buscando proteger tu información, nosotros te ayudamos a implementar un Sistema de Gestión de Seguridad de la Información para que logres una Certificación en Normas ISO.

Fuente: www.lukor.com

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos cordiales

Sistemas de Gestión de Seguridad de la Información SGSI.


Los sistemas de gestión están basados en normas internacionales que permiten controlar distintas facetas en una empresa, como la calidad de su producto o servicio, los impactos ambientales que pueda ocasionar, la seguridad y salud de los trabajadores, la responsabilidad social o la innovación.

La Organización Internacional de Normalización (originalmente en inglés: International Organization for Standardization, conocida por la abreviación ISO) es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de estandarización.

Fundada el 23 de febrero de 1947, la organización promueve el uso de estándares propietarios, industriales y comerciales a nivel mundial. Su sede está en Ginebra (Suiza)

ISO es una organización voluntaria cuyos miembros son autoridades reconocidas en estandarización, cada uno representando a un país. Los miembros se reúnen anualmente en la Asamblea General para discutir los objetivos estratégicos de ISO. La organización está coordinada por un Secretariado Central con sede en Ginebra.

El Comité Conjunto Técnico ISO/IEC 1 (JTC 1) fue creado en 1987 para “desarrollar, mantener, promover y facilitar los estándares relacionados con la Tecnología de la Información“.

Un sistema de gestión está especialmente recomendado a cualquier tipo de organización o actividad orientada a la producción de bienes o servicios, que necesiten de la gestión de sistemas una herramienta útil para mejorar su empresa.

La norma ISO/IEC 27001 Seguridad de la información es la herramienta que te  permite garantizar que la información que gestionas se trata de forma segura minimizando y controlando una posible pérdida de datos. Asimismo, te proporciona una ventaja competitiva, se reducen los costes debido a incidentes y la minimización de amenazas, se establecen áreas de responsabilidad en toda la organización, alineándose las políticas de  seguridad de la información con los objetivos de la organización.

Podrás garantizar a tu cliente que se cumplen las obligaciones legales y que se gestiona y minimiza la exposición al riesgo.

Un sistema de gestión es una metodología que te ayudará a visualizar y administrar mejor la empresa, área o procesos, así como para lograr mejores resultados a través de acciones y toma de decisiones basadas en datos y hechos.

Un sistema de gestión es una herramienta que toda empresa u organización debe tener para controlar su operación administrativa. Con ella se analizan los rendimientos, se administran los riesgos, y al mismo tiempo se trabaja de manera más eficiente y sostenible.

Los sistemas de gestión son programas diseñados para manejar las políticas y los procedimientos de una organización de manera eficaz.

Que es un SGSI ?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros.

El propósito de un Sistema de Gestión de la Seguridad de la Información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada

Un correcto proceso de identificación de riesgos implica:

• Identificar todos aquellos activos de información que tienen algún valor para la organización.

• Asociar las amenazas relevantes con los activos identificados.

• Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.

• Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.

Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Eliminar el riego. Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue realmente a producir.

Mitigarlo. En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo. En definitiva, se trata de implantar las medidas preventivas o correctivas necesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo.

Trasladarlo. Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información. Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.

Cómo automatizar el Sistema de Gestión de Seguridad de la Información según ISO 27001.

En C2CSmartCompliance tenemos un software de automatización que te permite llevar a cabo una gestión muy eficaz y exhaustiva de cualquier tipo de riesgo: operacionales, financieros, industriales, legales u operativos, ajustándolos a las necesidades de las organizaciones y facilitando la adecuación a la normativa.

Si estas buscando una certificación en las normas ISO 27001, ISO 22301 e ISO 20000, nosotros podemos ayudarte en la implementación de un Sistema de Gestión.

Contactanos para una entrevista y demostración de nuestros servicios.

Mario Meneses

Account Manager

Ciudad de Mexico

mario@c2csmartcompliance.com

+521 7711871152

Conmemoran Día Internacional de Protección de Datos Personales


10 febrero, 2019 at 10:08 am

OAXACA, Oax. (sucedióenoaxaca.com/vía IAIPO).- Para reflexionar sobre el Derecho a la Protección  de Datos Personales y generar conciencia sobre el uso responsable de las tecnologías de la información, el Instituto de Acceso a la Información Pública y Protección de Datos Personales de Oaxaca (IAIPO) y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), realizaron con éxito un evento conmemorativo en el Teatro Juárez de la ciudad de Oaxaca.

Al dar la bienvenida al evento, el Comisionado Presidente del IAIPO, Francisco Javier Álvarez Figueroa, señaló que hoy en conjunto con el INAI, el IAIPO celebra la incorporación del Derecho a la Protección de Datos Personales en la Constitución.

Puntualizó que Oaxaca ha sido un referente en materia de Protección de Datos Personales, ya que tiene una Ley desde 2008 y, en 2017, homologó la legislación local con la Ley General, por lo que agradeció la distinción de que Oaxaca haya sido elegido por el INAI para conmemorar esta fecha tan importante.


Panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”.

Álvarez Figueroa reconoció al Comisionado Eugenio Monterrey Chepov por impulsar la agenda nacional en materia de Protección de Datos Personales; asimismo, agradeció el acompañamiento de la Comisión de Transparencia, Acceso a la Información y Congreso Abierto de la LXIV Legislatura del Congreso Local a través de su presidenta María de Jesús Mendoza Sánchez.

En su oportunidad, la Diputada María de Jesús Mendoza Sánchez señaló que el evento que realiza el IAIPO y el INAI para reflexionar sobre la Protección de Datos Personales sea de utilidad, para que los ciudadanos conozcan las implicaciones de compartir información en redes sociales, por ejemplo.

Mientras que Maximino Vargas Betanzos, subsecretario de Contraloría Social y Transparencia, señaló que el Día Internacional de Protección de Datos Personales nos permite reforzar el conocimiento de este derecho, y consideró que los avances tecnológicos tienen un costo para las personas y que hace falta legislación mexicana para el uso de los servicios de internet.


Comisionado del INAI, Eugenio Monterrey Chepov.

La Conferencia Inaugural que dictó el Comisionado del INAI, Eugenio Monterrey Chepov, matizó el origen y desarrollo legislativo de los datos personales en México, los casos que el INAI ha resuelto y los retos en esta materia.

Monterrey Chepov afirmó que, con las reformas en materia de protección de datos personales, México se sumó al grupo de países que garantiza un derecho fundamental de tercera generación.

Como dato relevante, señaló que el INAI ha impuesto un total de 424 millones de pesos por concepto de multas por mal manejo de datos personales. “Entre los principales retos en esta materia, es que todos los mexicanos sepan que tienen este derecho y saber que existen los organismos que lo garantizan”, refirió el comisionado del INAI.

Dialogan sobre la Protección de Datos

Como parte del programa conmemorativo del Día Internacional de Protección de Datos Personales Oaxaca 2019, se desarrolló el panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”, bajo la moderación del comisionado del IAIPO, Juan Gómez Pérez, en donde participaron Aída Ruíz García, titular del Instituto Oaxaqueño de Atención al Migrante (IOAM); Juan Rodríguez Ramos, visitador general de la Defensoría de los Derechos Humanos del Pueblo de Oaxaca (DDHPO);  Edith Matías Juan, representante del Centro Profesional Indígena de Asesoría, Defensa y Traducción A.C. (CEPIADET) y Blanca Alicia Islas Maldonado y Edgar Nazario Luján del Sistema DIF Oaxaca, quienes compartieron sus experiencias en materia de Protección de Datos Personales desde sus espacios de acción.

Fuente: sucedioenoaxaca.com

Te ayudamos con los Sistemas de Gestión de Seguridad de la Información.

Mario Meneses

mario@c2csmartcompliance

+521 7711871152

Ciudad de Mexico

Saludos

MyRiskAssessor / Gestión del Riesgo


MyRiskAssessor ™ (Myra) aborda los desafíos de la protección de los activos con una solución rentable que lleva a cabo evaluaciones de riesgo y proporciona visibilidad de los procesos de gestión. 

Myra estima la probabilidad de exposición de numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar la exposición al riesgo. La identificación de riesgos de activos es cada vez más complejo y costoso. 

El aumento de la rendición de cuentas de los interesados, las industrias y el gobierno se exige ahora más que nunca. Myra ofrece una solución asequible que es fácil de entender y utilizar por los administradores y el personal.

Myra proporciona visibilidad y la comprensión de los valores de los activos y las actividades en torno a ellos. Además, la comprensión de la postura del riesgo de los activos permite la gestión para garantizar la adecuada protección de los mecanismos, los presupuestos y los recursos que se han establecido, asignado y supervisado.

Myra ayuda a la gerencia a entender quienes son responsables y proporciona los medios para monitorear, medir y gestionar el proceso.

Fuente: http://c2csmartcompliance.com/en/products/myriskassessor/

Informes

Pregunta por nuestros demos y los descuentos que tenemos en el uso de MYRA, no te quedes con las ganas de conocer esta herramienta para la Gestión del Riesgo.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Domina la Auditoría de un Sistema de Gestión de la Continuidad del Negocio (SGCN) basado en la norma ISO 22301 ​


La norma ISO 22301 está diseñada para proteger, reducir la probabilidad de ocurrencia, estar preparados, responder y recuperarse de incidentes disruptivos cuando surgen. Con SGCN, su organización está preparada para detectar y prevenir amenazas y continuará operando sin mayores impactos y pérdidas.


Beneficios de una certificación ISO 22301:

  • Amplíe sus conocimientos sobre cómo un sistema administración de continuidad de negocios lo ayudará a  cumplir los objetivos de negocios.
  • Adquirir los conocimientos necesarios para gestionar un equipo en la implementación de la norma ISO 22301.
  • Fortalecer la gestión de su reputación.
  • Aumentar la fiabilidad de tu cliente
  • Identificar riesgos y minimizar el impacto de incidentes.
  • Mejorar el tiempo de recuperación.
  • Lograr el reconocimiento internacional.

Informacion general

  • Las cuotas de certificación se incluyen en el precio del examen
  • Se entregará un manual a cada alumno que contiene más de 450 páginas de información y ejemplos prácticos
  • Se entregará a los participantes un certificado de participación de 31 EPC (Educación Profesional Continua)

México 

Contacto: info@intiq.mx
Tel: 55-7586-7574
www.intiq.mx

USA

Contacto: info@intiq.biz

Tel:+1-305-330- 6337
www.intiq.biz

Fuente: www.intiq.mx

Informes

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Consecuencias legales del robo de información en una empresa.


Por Mtro. Luis Mario Lemus Rivero 

Uno de los problemas que más aquejan a las empresas, es el robo de bases de datos. Desde información personal, confidencial y hasta secretos industriales o “know how”, pero ¿qué implicaciones legales tienen este tipo de conductas para los trabajadores?, ¿cómo prevenir o mitigar los riesgos al interior?, ¿hay implicaciones legales para la empresa que no previenen este tipo de conductas?

Aunque no es muy conocido, el robo de información al interior de una empresa tiene graves consecuencias tanto legales como reputacionales que pudieran traer consigo diversas sanciones económicas, la responsabilidad penal para la empresa y la quiebra de esta.

Por lo que hace al robo de información personal, el artículo 67 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone que, al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, se le impondrán de tres meses a tres años de prisión.

Esto es, que, si uno de nuestros empleados vulnera la base de datos de la empresa con un ánimo lucrativo, estará cometiendo este delito.

Asimismo, dicho ordenamiento en su artículo 68 dispone que, al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos se le sancionará con prisión de seis meses a cinco años.

Por otra parte, el artículo 211 bis 1, párrafo segundo, del Código Penal Federal, dispone que al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión.

No podemos perder de vista que, de conformidad a los artículos  210 y 211 del Código Penal Federal, se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad al que sin justificación revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto, y de uno a cinco años de prisión, multa de cincuenta a quinientos pesos y suspensión de profesión, cuando la revelación sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.

Ahora bien, en razón de lo dispuesto por los artículos 27 bis del CPDF y 421 del Código Nacional de Procedimientos Penales, entre otras, las empresas (personas morales) serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización.

Por su parte, la Ley Federal de Trabajo contempla como causal rescisión de la relación de trabajo sin responsabilidad para el patrón, revelar los secretos de fabricación o dar a conocer asuntos de carácter reservado, asimismo, dicho ordenamiento dispone que es obligación de los trabajadores guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa, quedando prohibido usar los útiles y herramientas suministrados por el patrón, para objeto distinto de aquél a que están destinados.

En razón de lo anterior, podemos determinar que cualquier conducta que llegue a realizar un trabajador y que viole o ponga en peligro la confidencialidad de la información y/o utilice las herramientas de trabajo para un uso distinto al que se le asignaron, será causa justificada para dar por terminada su relación laboral con causa justa para el patrón.  Por ejemplo: Un trabajador da de alta en la computadora que se le asignó para el desempeño de sus actividades –propiedad de la empresa– su correo electrónico personal para sustraer, enviar o almacenar información privilegiada y confidencial de la empresa. En este caso el empleado está vulnerando la confidencialidad de la información mediante el uso distinto a una herramienta que por motivo de trabajo se le asignó.

No omito señalar que este tipo de conductas son incluso violatorias de la Ley de Propiedad Industrial, la cual protege los secretos industriales y las bases de datos, sancionando a quienes atenten en contra de esto, con penas que van de dos a seis años de prisión, así como multas de cien a diez mil días de salario mínimo.

A tal efecto, es sumamente recomendable que el personal de nuestros negocios sepa de las consecuencias de realizar dichos actos. Esto se puede transmitir a través de capacitaciones y programas de concientización continua, lo que hará que quien esté dispuesto a cometer este tipo de conductas, lo piense dos veces.

Es indispensable implementar una estricta Política de Protección de Datos Personales y de Seguridad de la Información, que sea congruente una con otra y que su incumplimiento tenga consecuencias.  Por otra parte, se recomienda implementar un programa de prevención de delito y/o “compliance pogram” para evitar una responsabilidad pena para la empres, así como medidas de seguridad físicas, técnicas y administrativas que tengan como propósito proteger la información al interior del negocio.  Es fundamental que se asignen y firmen contratos de confidencialidad, lineamientos, responsivas por las herramientas que se les asignan a los trabajadores, para que, si ocurriese un incidente, podamos asociar la herramienta con la persona, así como documentación de prevención desde el proceso de contratación y documentos de salida en caso de renuncia o despido para proteger la información.

Resulta de vital importancia cuidar la información al interior de nuestro negocio, no hacerlo pudiera tener graves consecuencias tanto para la empresa, como para las personas que cometieron alguno de los actos referidos a lo largo del presente análisis.

En conclusión, este tipo de conductas para el trabajador esto puede constituir un delito, una causal de rescisión laboral, así como una violación a la Ley de la Propiedad Industrial, teniendo como consecuencia la prisión, multas económicas, jornadas de trabajo a favor de la comunidad, así como la pérdida de la profesión, sin embargo, la divulgación, pérdida y/o uso indebido de la información privilegiada y/o confidencial puede constituir responsabilidad penal para la empresa, así como un impacto reputacional y económico considerable, que incluso puede traer como consecuencia la quiebra de esta.

Fuente: forojuridico.mx

Saludos

Mario Meneses

mario@c2csmartcompliance.com

Construcción de capacidades espaciales para México estratégico en la cuarta transformación.


“Que la gente se dé cuenta de la importancia del tema espacial”: Secretario Jiménez Espriú • “El espacio es un bien social”: Mendieta Jiménez

Con el propósito de impulsar en la Cuarta Transformación la construcción de capacidades en el tema espacial en nuestro país y en las nuevas generaciones, el Secretario de Comunicaciones y Transportes (SCT), Ing. Javier Jiménez Espriú, recibió al Director General de la Agencia Espacial Mexicana (AEM), Dr. Javier Mendieta Jiménez, y a su equipo cercano de colaboradores.

Con la presencia de la Subsecretaria de Comunicaciones y Desarrollo Tecnológico de la SCT, Mtra. Salma Jalife Villalón, el Secretario Jiménez Espriú, pionero del tema espacial-satelital en México, y quien fuera actor clave para dotar a nuestra nación de su histórica primera generación de satélites Morelos I y II en 1985, destacó la relevancia de “Que la gente se dé cuenta de la importancia del tema espacial”.

“En la Cuarta Transformación vamos a hacer lo que se necesita para desarrollar al país, conectar a la gente, construir infraestructura y comunicaciones, así como, a través de este rubro espacial, atraer las vocaciones de nuestros jóvenes hacia ciencia, tecnología, ingeniería y matemáticas (STEM) para construir capacidades tecnológicas para nuestro país”, expresó el Secretario.

Por su parte, Mendieta Jiménez refrendó el compromiso de la AEM, organismo descentralizado de la SCT, para impulsar el concepto de “el espacio como bien social”, sobre todo en beneficio de los más vulnerables, y de continuar este desarrollo con austeridad presupuestal como toda una filosofía y convicción, pues la AEM siempre ha sido pionera en hacer más con menos.

La gente debe saber que el espacio es importante porque sirve para conectar a la población con la tecnología de telecomunicaciones y satélites, mismos que contribuyen para la protección de la población (sobre todo la más vulnerable) ante desastres naturales, la educación a distancia, apoyo a agricultura, llevar servicios de salud a comunidades apartadas, o hasta hablar por celular, mensajear, o llegar a nuestros destinos por satélite vía GPS, entre otros beneficios, explicó.

“Por todo ello, es de gran orgullo para nuestro país, que nuestra juventud mexicana aparezca cada vez más en los medios ganando competencias internacionales del tema espacial, así como el que nuestros ingenieros satelitales mexicanos estén al nivel de los mejores del mundo, y objetivamente todo eso comenzó con los Morelos I y II, en aquel 1985, con los esfuerzos titánicos de tan respetados pioneros como el Ingeniero Javier Jiménez Espriú”, destacó Mendieta.

Dado que en esta era de Internet y las tecnologías de la información, el impulso en la construcción de las capacidades STEM y en materia espacial de nuestro país serán estratégicas para beneficio del país, de allí el gran compromiso de la AEM para redoblar esfuerzos y contribuir a inspirar e impulsar a nuestra juventud, de la que será todo el mérito, a hacer historia en el Gobierno del Presidente López Obrador, concluyó.

Fuente: www.gob.mx/aem

Muy interesante tema en esta transformación digital, si necesitas asesoría en Seguridad Informática, quedamos a tus ordenes.

Saludos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

A %d blogueros les gusta esto: