Mercado de Gestión de la Información de Seguridad Física Global (PSIM) 2019


C2CSmartCompliance

“ Último resumen del mercado de gestión de información de seguridad física (PSIM)

Un nuevo informe de inteligencia de negocios publicado por Garner Insights con el título “Informe de investigación de mercado 2019 de Gestión de la información de seguridad física global (PSIM) que se enfoca y proporciona un análisis de mercado integral con perspectivas para el 2024. Los analistas del estudio han obtenido una extensa metodología de investigación y fuentes de datos (es decir, fuentes secundarias y primarias) para generar información colectiva y útil que ofrezca las últimas tendencias en el mercado y las tendencias de la industria.

PSIM es un software que es responsable de garantizar la seguridad y protección de los datos, el hardware, la red y los programas de propiedad de una organización, que pueden ser manipulados por una agencia externa.

Obtenga un ejemplo de informe en PDF: https://www.garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Countries-Type-and-Application-Forecast-to-2023# muestra de solicitud

Algunos de los principales competidores o fabricantes incluidos en el estudio son: CNL Software, Qognify, Johnson Controls, Vidsys, AxxonSoft, Bosch Security Systems, Genetec, Kentima, C.MER INDUSTRIES, Milestone systems

Si está involucrado en la industria de la Gestión de la Información de Seguridad Física Global (PSIM) o pretende serlo, este estudio le proporcionará una perspectiva integral. Es vital que mantenga sus conocimientos del mercado actualizados segmentados por los principales actores. Si tiene un grupo diferente de jugadores / fabricantes de acuerdo con la geografía o necesita informes regionales o por país, podemos proporcionarle personalización según sus necesidades.

La cobertura de tipo importante en el mercado son los   servicios, el software

Segmento de mercado por aplicaciones, cubre infraestructura crítica, empresas corporativas, seguridad pública,

Segmento de mercado por regiones / países, este informe cubre
AmericaAmérica del Norte 
Europa 
China 
estResto de Asia Pacífico 
 Centro y Sudamérica 
 Medio Oriente y África

¿Cuáles son los elementos que afectan a los que se hace referencia en el informe?

Escenario del mercado:
el informe destaca aún más las tendencias de desarrollo en el mercado global de Gestión de la Información de Seguridad Física (PSIM). Los factores que están impulsando el crecimiento del mercado y alimentando sus segmentos también se analizan en el informe. El informe también destaca sus aplicaciones, tipos, implementaciones, componentes y desarrollos de este mercado.

Aspectos destacados del mercado clave: 
El informe de Gestión de la información de seguridad física (PSIM) ofrece un examen de principio a fin en una parte de los elementos clave, que incluyen el ingreso, costo, límite, tasa de uso límite, creación, tasa de generación, utilización, importación / envío. Suministro / solicitud, red, trozo de la tarta, CAGR y borde bruto. Además, el informe muestra una investigación de gran alcance sobre los factores de desarrollo del mercado y sus patrones más recientes, junto con importantes fragmentos y sub-porciones del mercado.

Herramientas analíticas: el
informe de Mercado de Gestión de Información de Seguridad Física Global (PSIM, por sus siglas en inglés) incorpora la información decididamente examinada y evaluada de los miembros importantes del mercado y su alcance de mercado utilizando diversos dispositivos de investigación. Los aparatos de diagnóstico incorporan el examen de cinco poderes de Porter, la investigación FODA, el estudio de posibilidad de logro y la investigación de retorno de la empresa, que se han utilizado para considerar el desarrollo de los actores clave que trabajan en el mercado.

Obtenga un descuento en este informe: https://www.garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Countries-Type-and-Application-Forecast-to-2023# descuento

Algunos de los puntos que se tratan en el Informe de investigación de mercado de la Gestión de información de seguridad física global (PSIM) son:

Capítulo 1: Descripción general del mercado de Gestión de la información de seguridad física (PSIM) (2019-2024)
• Definición 
• Especificaciones 
• Clasificación 
• Aplicaciones 
• Regiones

Capítulo 2: Competencia de mercado por jugadores / proveedores 2019 y 2024
• Estructura de costos de fabricación 
• Materias primas y proveedores 
• Proceso de fabricación 
• Estructura de la cadena de la industria. Continuado…

Los principales puntos que se responden y cubren en este Informe son:

¿Cuál será el mercado total de Gestión de Información de Seguridad Física (PSIM) en los próximos años hasta 2024? 
¿Cuáles serán los factores clave que afectarán en general a la industria? 
¿Cuáles son los diversos desafíos abordados? 
¿Cuáles son las principales empresas incluidas?

Gracias por visitar nuestro informe

Ver el Informe completo en https://garnerinsights.com/Global-Physical-Security-Information-Management-PSIM-Market-2018-by-Manufacturers-Cypeies-Type-and-Application-Forecast-to-2023#description

Fuente: marketresearchupdates.com

INTIQ

Mario Meneses

Saludos

Nueva norma internacional ofrecerá un marco de gestión de riesgos para la IA.


Publicidad

A medida que aumenta el uso y la aplicación de los sistemas de inteligencia artificial (IA), abordar el aspecto de confianza de estos sistemas es clave para una adopción generalizada.

Los ejemplos incluyen los efectos de los datos o el sesgo algorítmico, lo que garantiza la privacidad de los datos y también la falta de transparencia y responsabilidad.

IEC e ISO están desarrollando una nueva norma internacional que proporcionará directrices sobre la gestión del riesgo que enfrentan las organizaciones durante el desarrollo y la aplicación de técnicas y sistemas de IA. Ayudará a las organizaciones a integrar la gestión de riesgos para la IA en actividades y funciones importantes, así como a describir los procesos para la implementación e integración efectiva de la gestión de riesgos de la IA.

La aplicación de estas directrices podrá personalizarse a cualquier organización y su contexto.

Gestión de riesgos en el contexto de la IA.

Las nuevas tecnologías traen nuevos desafíos, donde lo desconocido es mayor que lo conocido. La gestión de riesgos puede ayudar a lidiar con la incertidumbre en áreas donde no se han establecido medidas de calidad reconocidas.

“Para un producto específico de AI o un servicio de AI, un proceso de administración de riesgos asegura que ‘por diseño’ a lo largo del ciclo de vida del producto o servicio, se identifiquen los interesados ​​con sus activos y valores vulnerables, se comprendan las amenazas potenciales y los riesgos, riesgos asociados con sus consecuencias o impacto), y se toman decisiones conscientes sobre el tratamiento de riesgos en función de los objetivos de la organización y su tolerancia al riesgo “, dijo Wael William Diab, Presidente de ISO / IEC JTC 1 / SC 42 , el comité técnico conjunto de IEC e ISO para inteligencia artificial .

En el caso de los sistemas de IA, la gestión de riesgos abordaría:

  • Diseñe las fallas y evalúe las amenazas y riesgos típicos asociados a los sistemas de IA con sus técnicas y métodos de mitigación, permitiendo la identificación, clasificación y tratamiento de los riesgos para (y por el uso de) los sistemas de AI.
  • Establecimiento de confianza en los sistemas de inteligencia artificial a través de la transparencia, verificabilidad, explicabilidad, controlabilidad, mediante el uso de un proceso de gestión de riesgos bien comprendido y documentado.
  • Robustez, resistencia, fiabilidad, precisión, seguridad, privacidad, etc. del sistema de AI al proporcionar transparencia al tratamiento de los riesgos para las partes interesadas identificadas.

¿Quién se beneficia?

BeneficiarioBeneficiosEjemplo de organizaciones / empresas
Industria y comercio (grande)Aumentar la confianza en el uso de soluciones basadas en la inteligencia artificial en general. Los 

proveedores pueden aumentar la aceptación en el mercado de tales soluciones al documentar la gestión adecuada de riesgos durante el diseño, desarrollo y despliegue de sus productos. 

Los clientes pueden usar el estándar para implementar procesos apropiados para lidiar con los riesgos del uso de tecnologías basadas en AI.
Proveedor que ofrece modelos de aprendizaje automático capacitados 

Proveedor que ofrece servicios basados ​​en AI 

Cualquier industria que utilice Tecnologías de AI: tecnología, automoción, salud, industria aeroespacial, etc.  
Industria y comercio (PYMES)  Además de los beneficios mencionados anteriormente, se presentan nuevas oportunidades de mercado para las PYME al proporcionar herramientas y servicios relacionados con la gestión de riesgos.  Proveedores de servicios de evaluación para sistemas de inteligencia artificial (calidad, resistencia, robustez, etc.) 

Proveedores de herramientas de evaluación de componentes de inteligencia artificial
GobiernoLa gestión eficaz de riesgos permite el empleo de soluciones basadas en inteligencia artificial para servicios ciudadanos más eficientemente  Administraciones encargadas de: Mejor control del tráfico urbano con perfil ambiental optimizadoPlanificación urbana Monitorización / análisis del clima rural Control de la enfermedad
Los consumidoresAumentar la confianza en soluciones basadas en AI a través de una mayor responsabilidad, la prohibición de fugas de PII  Asistentes controlados por vozRecomendadores y asistencia para compras Hogares inteligentes
Órganos académicos y de investigación.La aplicación incrementada de soluciones basadas en IA depende de la disponibilidad de controles de riesgo efectivos. Esto crea incentivos de investigación para temas de relación de gestión de riesgos y AI en general.  
ONGsAumentar la confianza en la confiabilidad y la ausencia de sesgos aumenta la aplicabilidad de la IA para una variedad de ONG  ONG encargadas de: Análisis de rutas de migraciónMonitoreo ambientalControl de la enfermedad

Más sobre el estándar

La nueva norma se basa en los principios y directrices descritos en ISO 31000 (Gestión de riesgos – Directrices), que ayudan a las organizaciones con sus análisis y evaluaciones de riesgos. También proporciona una guía que surge cuando la IA se aplica a los procesos existentes en cualquier organización o cuando una organización proporciona un sistema de AI para que otros la utilicen. Este proyecto está previsto para proporcionar una plataforma y un marco para la estandarización de la confiabilidad.

ISO / CEI JTC 1 / SC 42 está desarrollando la propuesta de artículo de trabajo recientemente aprobada para la norma, como parte de su programa de trabajo integral que busca la estandarización de todo el ecosistema de AI.


Imagen de Adam Radosavljevic de Pixabay.

Fuente: blog.iec.ch

Publicidad

Ciberdelitos contra empresas en México se duplicaron en dos años: PwC


Publicidad

Rodrigo Riquelme11 de abril de 2019, 09:15

Los delitos cibernéticos superaron, respecto de su crecimiento, a otros delitos económicos, como el soborno y la corrupción y a la apropiación indebida de activos.

Durante 2018, las empresas sufrieron el doble de delitos cibernéticosque durante el 2016. Mientras que hace tres años la incidencia de crímenes cibernéticos era de 11% entre las empresas que operan en México, el año pasado este porcentaje alcanzó 22%, de acuerdo con la Encuesta de Delitos Económicos 2018 de la consultora PwC.

Los delitos cibernéticos superaron, respecto de su crecimiento, a otros delitos económicos, como el soborno y la corrupción y a la apropiación indebida de activos. El informe añade que 15% de las empresas en México considera que será víctima de un ataque cibernético en los próximos 24 meses.

“No obstante su impacto, las empresas siguen viendo a los delitos cibernéticos con cierta despreocupación. Según nuestro estudio, sólo el 15% de los encuestados considera que experimentará un ataque cibernético en los próximos 24 meses, además, cree también que será el delito más disruptivo e impactante que hayan afrontado”, refiere el informe de PwC.

Pese a esta percepción, más de la mitad de las organizaciones encuestadas por la consultoría dijo haber sido víctima de ataques mediante malware o por phishing en 2018. La principal consecuencia de estos ataques fue la disrupción del proceso de negocio, seguida de la extorsión, el uso indebido de información privilegiada, la malversación de activos y el robo de propiedad intelectual.

Fernando Román, socio líder de Ciberseguridad y Privacidad en México de PwC, la transformación digital está transformando la manera de hacer negocios no sólo en México sino en todo el mundo, lo que ha generado nuevos riesgos que deben ser atendidos. “Tecnologías como la Inteligencia Artificial y los robots para ejecutar los procesos de negocio abren nuevas puertas a ataques cibernéticos”, dijo Román en conversación con medios de comunicación.

Publicidad

Servicios financieros, a la delantera en protección

El informe Digital Trust de PwC, que recién fue presentado, advierte que los servicios financieros son quienes principalmente han incluido por diseño una gestión proactiva de los riesgos cibernéticos y de privacidad desde su concepción. A estos le siguen el sector salud, las industrias tecnológicas, de medios y de telecomunicaciones, el sector manufacturero y el de mercado de consumo.

“Un enfoque proactivo se trata de establecer controles que puedas ir monitoreando todo el tiempo para ir modificando tu estrategia de seguridad, con el fin de que esta esté alineada completamente a tus objetivos de negocio”, dijo Román y añadió que esto incide en que el hacer llegar productos y servicios de los consumidores se haga de forma segura desde su diseño.   

Pese a que estos sectores son los más avanzados al adoptar este enfoque proactivo, menos de la mitad de las empresas mexicanas (47%) cree que el cibercrimen en una de sus mayores preocupaciones. De este porcentaje, 96% ha incluido personal de seguridad y privacidad y 44% ha incluido una gestión proactiva de riesgos cibernéticos y privacidad, por diseño, en el plan de proyecto y el presupuesto desde su concepción.

La mayoría de las empresas entrevistadas por PwC dijeron haber provisto al consejo de la compañía de una estrategia para la gestión de ciberriesgos y privacidad. Sin embargo, de acuerdo con Fernando Román, menos de la mitad de las empresas en México cuentan con un director de Seguridad de la Información (CISO) que tenga un nivel ejecutivo.

“Si bien hay muchos profesionales preparados para ocupar esos roles, también es cierto que la capacitación y adquirir habilidades específicas es necesario, por ejemplo, para alinear iniciativas de seguridad con programas empresariales y los objetivos de negocio, asegurando la protección de sus activos y las tecnologías de la información”, refiere el informe.               

Las buenas intenciones de las compañías no se reflejan en incrementos en las inversiones en ciberseguridad, pues la mayoría de las empresas que operan en México mantendrá en el próximo año el presupuesto que, como parte de las Tecnologías de la Información, destina a la seguridad. Sólo 21% de los encuestados dijo que incrementaría este presupuesto entre 7.6 y 10% y sólo 5% cree que será de 25% o más.

“No hay una cifra de cuánto deba yo invertir, pero normalmente en las áreas de seguridad los presupuestos están compartidos con las áreas de tecnología. Se habla de que 5 a 7% se destina en este momento a seguridad en el área de tecnología”, remató Román.   

Fuente: www.eleconomista.com.mx 

Contamos con consultores de seguridad cibernetica, que te pueden orientar en la implementación de sistemas de gestión para la seguridad de la información.

Mario Meneses

Saludos

Las cinco funciones incluidas en el Framework de NIST.


NIST

Visión general

Este módulo de aprendizaje profundiza en las cinco funciones del marco de seguridad cibernética: identificar, proteger, detectar, responder y recuperar. La información presentada aquí se basa en el material introducido en el módulo Componentes del Marco . Este módulo explora el valor de las funciones dentro del marco y lo que se incluye en cada función.

Una introducción a las funciones

Las cinco funciones incluidas en el Framework Core son:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar
Publicidad

Las Funciones son el nivel más alto de abstracción incluido en el Marco. Actúan como la columna vertebral del Framework Core en el que se organizan todos los demás elementos.

Estas cinco funciones fueron seleccionadas porque representan los cinco pilares principales para un programa de ciberseguridad exitoso y holístico. Ayudan a las organizaciones a expresar fácilmente su gestión del riesgo de ciberseguridad a un alto nivel y posibilitan decisiones de gestión de riesgos.

Identificar

La función de identificación ayuda a desarrollar un entendimiento organizacional para administrar el riesgo de ciberseguridad para sistemas, personas, activos, datos y capacidades. La comprensión del contexto empresarial, los recursos que respaldan las funciones críticas y los riesgos relacionados con la seguridad cibernética permiten que una organización se centre y priorice sus esfuerzos, de acuerdo con su estrategia de administración de riesgos y sus necesidades comerciales.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Identificar los activos físicos y de software dentro de la organización para establecer las bases de un programa de gestión de activos
  • Identificar el entorno empresarial que la organización apoya, incluido el papel de la organización en la cadena de suministro y las organizaciones que se ubican en el sector de infraestructura crítica
  • Identificar las políticas de ciberseguridad establecidas dentro de la organización para definir el programa de Gobernanza, así como identificar los requisitos legales y reglamentarios con respecto a las capacidades de ciberseguridad de la organización.
  • Identificar las vulnerabilidades de los activos, las amenazas a los recursos organizativos internos y externos y las actividades de respuesta ante riesgos como base para la evaluación de riesgos de las organizaciones.
  • Identificación de una estrategia de gestión de riesgos para la organización, incluido el establecimiento de tolerancias de riesgo
  • Identificación de una estrategia de gestión de riesgos de la cadena de suministro, incluidas las prioridades, restricciones, tolerancias de riesgo y supuestos utilizados para respaldar las decisiones de riesgo asociadas con la gestión de los riesgos de la cadena de suministro

Proteger

La función de protección describe las medidas de seguridad adecuadas para garantizar la entrega de servicios de infraestructura crítica. La función de protección admite la capacidad de limitar o contener el impacto de un evento de ciberseguridad potencial.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Protecciones para la administración de identidades y el control de acceso dentro de la organización, incluido el acceso físico y remoto
  • Capacitar al personal dentro de la organización a través de Concientización y Capacitación, incluida la capacitación de usuarios privilegiada y basada en roles
  • Establecer una protección de seguridad de datos coherente con la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
  • Implementación de procesos y procedimientos de protección de la información para mantener y administrar las protecciones de los sistemas de información y los activos.
  • Proteger los recursos de la organización a través del mantenimiento, incluido el mantenimiento remoto, las actividades
  • El manejo de la tecnología de protección para garantizar la seguridad y la resistencia de los sistemas y las asistencias es coherente con las políticas, los procedimientos y los acuerdos de la organización.

Detectar

La función de detección define las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La función de detección permite el descubrimiento oportuno de eventos de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurarse de que se detectan anomalías y eventos, y se entiende su impacto potencial
  • Implementación de capacidades de monitoreo continuo de seguridad para monitorear eventos de ciberseguridad y verificar la efectividad de las medidas de protección, incluidas la red y las actividades físicas
  • Mantener procesos de detección para dar a conocer eventos anómalos.
Publicidad

Responder

La función de respuesta incluye actividades apropiadas para tomar medidas con respecto a un incidente de ciberseguridad detectado. La función de respuesta admite la capacidad de contener el impacto de un posible incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurarse de que el proceso de planificación de la respuesta se ejecute durante y después de un incidente
  • Gestionar las comunicaciones durante y después de un evento con las partes interesadas, la aplicación de la ley, las partes interesadas externas, según corresponda
  • El análisis se realiza para garantizar una respuesta eficaz y respaldar las actividades de recuperación, incluido el análisis forense y la determinación del impacto de los incidentes
  • Las actividades de mitigación se realizan para evitar la expansión de un evento y para resolver el incidente.
  • La organización implementa mejoras al incorporar las lecciones aprendidas de las actividades de detección / respuesta actuales y anteriores

Recuperar

 La función de recuperación identifica las actividades apropiadas para mantener los planes de resiliencia y para restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad. La función de recuperación es compatible con la recuperación oportuna de las operaciones normales para reducir el impacto de un incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

  • Asegurar que la organización implemente procesos y procedimientos de recuperación para restaurar sistemas y / o activos afectados por incidentes de ciberseguridad
  • Implementación de mejoras basadas en lecciones aprendidas y revisiones de estrategias existentes
  • Las comunicaciones internas y externas se coordinan durante y después de la recuperación de un incidente de ciberseguridad.

RECURSOS ADICIONALES

The_Five_Functions.pptx

Fuente: www.nist.gov

Publicidad

El mando y rumbo de la Guardia Nacional / Luis Raúl González Pérez


El arduo proceso que concluyó con la aprobación de las reformas constitucionales, que replantearon y redimensionaron el carácter y funciones de la Guardia Nacional, puso en evidencia la convicción compartida entre autoridades, partidos políticos, organizaciones de la sociedad civil, academia, y organismos nacionales e internacionales de protección y defensa de los derechos humanos de que es urgente implementar medidas eficaces y pertinentes que reviertan la situación de violencia e inseguridad que se enfrenta en diversas regiones del país, en un marco de fomento a la legalidad y respeto de los derechos fundamentales. En este sentido, si bien la Guardia Nacional no podría implicar la solución total de los problemas antes mencionados, la reforma constitucional abrió la expectativa de que la presencia de personal militar en tareas vinculadas a la seguridad pública se redujera y acotara, mientras las policías de carácter civil se fortalecían y desarrollaban.

El consenso alcanzado fue por más y mejor seguridad, así como por consolidar el papel de las instituciones civiles, como garantes de la seguridad pública. Si bien se consignó expresamente en la Constitución que la Guardia Nacional sería un cuerpo policiaco de carácter civil, la potestad que se le concedió al Presidente de la República para designar a sus mandos no excluyó el que pudiera nombrar a personal militar en activo, siendo con base en ello que en días pasados se anunció que sería un miembro de las fuerzas armadas quien estaría al frente de dicho cuerpo. Esta decisión puede justificarse jurídicamente, pero no es algo que abone a que la Guardia Nacional cumpla con los objetivos que persigue, ni a que efectivamente tenga la naturaleza que le corresponde.

El personal de la Guardia Nacional, si bien debe contar con un entrenamiento táctico y operativo altamente especializado, también debe tener un perfil y capacidades de carácter policial que permitieran otras dinámicas de interacción con la sociedad distintas a las propias del personal militar. Para ello, se enfatizó la necesidad de crear un perfil específico para el personal de la Guardia Nacional y, con base en el mismo, proceder a un intenso y verificable programa de formación y capacitación. Este perfil diferenciado que se exigiría y requeriría al personal en general, necesariamente tendría también que aplicarse a los mandos y máximas instancias de la Guardia Nacional, a efecto de que permeara en sus esquemas y modelos de operación.

En razón de lo anterior, en el ánimo de lograr una construcción e implementación sólida, respetuosa de los derechos humanos y en el marco de la ley, de los programas, acciones y medidas que se adopten en materia de seguridad pública, fue que la CNDH y otras organizaciones e instancias planteamos la conveniencia de que se ponderara privilegiar perfiles de carácter civil, con especialización en áreas policiales, para la elección de la persona que eventualmente estaría al mando de la Guardia Nacional, la cual, conforme a su misión constitucional, debe ser una fuerza policial especialmente capacitada, de carácter civil, que además de contribuir a la seguridad de las y los mexicanos, debe propiciar el retorno gradual y verificable de las fuerzas armadas a las tareas que les son propias.

El perfil de quien asuma el mando de la Guardia Nacional puede ser determinante para fijar el carácter y naturaleza que en la práctica asuma dicho cuerpo, con lo cual adquieren especial relevancia las disposiciones secundarias que se emitan para regular su funcionamiento. La CNDH, en el ámbito de sus atribuciones constitucionales, estará al tanto y dará seguimiento a los correspondientes procesos legislativos, a efecto de garantizar que se preserven los derechos humanos de las y los mexicanos, al respetarse el sentido y alcance de la reforma constitucional que fue aprobada.

*Presidente de la Comisión Nacional de los Derechos Humanos (CNDH)

Fuente: www.jornada.com.mx

Publicidad

No cree una línea de seguridad de datos maginot porque sin la seguridad cibernética usted sigue siendo vulnerable



Scott Nicholson

La seguridad de los datos y la seguridad cibernética se superponen, pero son diferentes, y existe el riesgo de que si se enfoca demasiado en la seguridad de los datos, podría quedar expuesto.

Protección de datos y ciberseguridad: la línea maginot.

Durante la década de 1930, los franceses construyeron un muro de defensa casi indestructible a lo largo de su frontera con Alemania. Estaba destinado a ser impermeable a casi cualquier forma de ataque, incluidos los bombardeos aéreos y los disparos de tanques. Teniendo en cuenta que este muro protegía a Francia de una posible invasión de Alemania, la nación se dejó vulnerable. El ejército alemán superó esta barrera invadiendo los países bajos: Holanda y Bélgica y atacando a Francia al pasar por alto la línea. Tal vez haya una analogía aquí con la protección de datos y la seguridad cibernética.

Recientemente, Information Age habló con Scott Nicholson, de Bridewell Consulting , y advirtió que “no importa qué tan fuerte sea la protección de la protección de datos, si las organizaciones no emplean también los controles de seguridad cibernética apropiados, entonces los controles de seguridad de datos pueden circunnavegarse fácilmente. … en determinadas situaciones.”

Parafraseando a él, el riesgo radica en que se deje llevar por una falsa sensación de seguridad.

Scott se ocupa de los servicios de entrega en Bridewell, y es un gurú en seguridad cibernética, pruebas de penetración, seguridad en la nube y privacidad de datos. “Están intrínsecamente vinculados, pero también se extienden en direcciones opuestas, mundos separados unos de otros”, dice. Él compara la relación entre la seguridad cibernética y la seguridad de datos con un círculo, se reúnen, se separan, se vuelven a encontrar.

“Necesitas los dos” dice Scott. El riesgo reside en un enfoque demasiado estrecho en la seguridad de los datos. Los atacantes pueden usar la seguridad cibernética deficiente para omitir cualquier control de seguridad de datos, sin importar lo bueno que sea ”.

La diferencia

“Seguridad de datos”, dice Scott, “se trata de tener medidas de seguridad adecuadas para los datos que está procesando”. Pero para lograrlo, existen varios requisitos previos, que son:

  • gestión de la información,
  • entender la importancia de los datos para usar un esquema de clasificación,
  • y cómo manejar esos datos en consecuencia.

Por el contrario, la seguridad cibernética es en parte sobre la protección de datos, pero “también se trata de proteger sus sistemas de varias amenazas cibernéticas. Hay un gran enfoque y un movimiento hacia la resistencia del negocio cibernético, y aceptar que ya no se trata de si te atacan, sino cuando te atacan “.

Luego se refiere al marco de seguridad cibernética del NIST , que describe cinco áreas en las que la seguridad cibernética debe centrarse en:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Lo sutilmente

La historia de la línea francesa de maginot no es tan simple como suele representarse. Los franceses y los británicos eran conscientes del riesgo de un ataque más allá de los límites de la línea y, hasta cierto punto, habían dispuesto sus fuerzas para cubrir este riesgo. Dejaron un punto débil en el bosque de las Ardenas, supuestamente difícil de atravesar para las tropas alemanas. Pero lo hicieron atravesar y Francia fue derrotada.

También hay una sutil interacción entre la seguridad de datos y la seguridad cibernética. Tome encriptación “una organización podría haber encriptado sus datos en una base de datos, pero si no están empleando controles de seguridad cibernética más amplios, como la autenticación de múltiples factores, o la capacidad de identificar enlaces de phishing, aplicando análisis antimalware, por ejemplo, de tal manera que la identificación del usuario y las contraseñas podrían verse comprometidas, luego los atacantes pueden pasar por alto todos los controles de seguridad de datos “.

Publicidad

GDPR

El Reglamento general de protección de datos ha marcado una gran diferencia, sugiere Scott. En virtud del artículo 30 de las organizaciones GDPR que requieren el procesamiento de datos personales, deben llevar un registro de sus actividades de procesamiento. “Creo que los profesionales de la seguridad han podido aprovechar GDPR para obtener presupuestos”, dice.

La realidad

¿Pero qué tan importante es este problema? La seguridad de los datos y la seguridad cibernética están claramente relacionadas, pero en el mundo real, ¿las organizaciones realmente ponen demasiado énfasis en una a expensas de la otra?

“Depende del tamaño de la organización”, dice Scott, “pero o son tratados como dos disciplinas diferentes o tiende a centrarse más en una a expensas de la otra”.

Tal vez el problema radique en las diferencias inherentes entre las dos, tal vez diferencias que requieren una mentalidad diferente.

Como explicó Scott: “La seguridad cibernética a menudo es más técnica y está enfocada en la resiliencia, mientras que la seguridad de los datos se refiere a cuestiones como el manejo de la información, el transporte y el cifrado.

Por lo tanto, la seguridad cibernética, por ejemplo, se centra en tener mitigación de DDOS en el sitio web de una organización. La seguridad de los datos se aplica, entre otras cosas, a los datos almacenados en papel.

“He trabajado en organizaciones del sector público que han sufrido una violación y he tenido que mejorar esas prácticas manuales, pero creo que hay un caso para la capacitación de concienciación, asegurándome de que hagan lo correcto con la información y cosas como no irse”. En su coche durante la noche. Si observa el registro de incumplimiento de ICO, la mayoría de los incumplimientos de las organizaciones del sector público a menudo se deben a la pérdida de papeleo o medios de comunicación “.

Así que eso es, por un lado, las pruebas de penetración y las medidas de mitigación de DDoS, el entrenamiento del personal para no dejar su maletín en el automóvil por otro lado: una mentalidad bastante diferente, una psicología bastante diferente, habilidades muy diferentes. Pero luego, la línea maginot con sus búnkeres de hormigón y los ferrocarriles subterráneos que unen la comunicación, fue bastante diferente del despliegue de tropas en la frontera de la Bélgica francesa. En el caso de la línea maginot, la lección de la historia es clara. En el caso de la seguridad de los datos y la seguridad cibernética, la lección se vuelve más clara, se necesitan ambas.

Bridewell Consulting proporciona consultoría de seguridad cibernética, una función de privacidad de datos, pruebas de penetración y servicios de seguridad administrados.

Fuente: www.information-age.com

Publicidad

La desaparición del CISEN representa un reacomodo y no un cambio sustantivo.


  • 12 MARZO, 2019

David Ramírez-de-Garay @DavidRdeG | Animal Político

Con el inicio de la administración de Andrés Manuel López Obrador se han dado cambios importantes en el diseño institucional del gobierno federal. Se han modificado atribuciones, se han recortado áreas enteras a nivel Secretaría de Estado y se han creado nuevos ministerios.

De acuerdo con los problemas que está atravesando el país, uno de los cambios más importantes –y, en su momento, más discutidos– fue la desaparición de la Comisión Nacional de Seguridad, para dar paso a la nueva Secretaría de Seguridad y Protección Ciudadana (SSPC). Este movimiento se hizo con la clara intención de separar las funciones relativas a la seguridad pública de la Secretaría de Gobernación. Un modelo en sentido contrario a lo que habían implementado los gobiernos panistas y que, a la vista del crecimiento la inseguridad en el sexenio priista, fue un rotundo fracaso.

La creación de la nueva Secretaría de Estado estuvo acompañada de una modificación de gran importancia, pero que llamó la atención de muy pocos. Como parte de sus promesas de campaña, AMLO aseguró que en sus primeros días de gobierno cerraría el Centro de Investigación y Seguridad Nacional, el CISEN. La desaparición del organismo formalmente encargado de la generación de inteligencia para la seguridad nacional y, en la práctica, de gran parte del espionaje político, es más una acción con gran peso simbólico que un cambio en la manera en que la nueva administración concibe la generación de inteligencia para la seguridad nacional.

En efecto, la desaparición del CISEN representa un reacomodo y no un cambio sustantivo. Las funciones realizadas por éste pasaron íntegramente al Centro Nacional de Inteligencia (CNI), una “nueva” instancia integrada a la estructura de la SSPC y bajo la dirección de un militar en retiro.

¿Qué implican estos movimientos para la seguridad nacional? En realidad, muy poco. Además del otrora CISEN, la comunidad de inteligencia está conformada por otras instituciones con capacidad de generación de información estratégica, como la Secretaría de la Defensa Nacional, la Secretaría de Marina y la Procuraduría/Fiscalía General de la República. El cambio no afecta la forma en que estas instituciones han estado trabajando desde hace al menos 10 años. Empero, este movimiento sí puede generar dos problemas, uno por acción y otro por omisión.

publicidad

Dos inteligencias incompatibles

La incorporación del CNI a la institución federal encargada de la seguridad pública deja entrever un problema en la forma en que el actual gobierno concibe la generación de inteligencia tanto para la seguridad nacional como para la seguridad pública, dos objetivos de suyo distintos que requieren de información de naturaleza también distinta.

La información de inteligencia que se genera para la seguridad nacional tiene el objetivo básico de proveer al Estado con información verídica sobre posibles amenazas contra él o contra la población. Las agencias que recaban esta información tienen la tarea de organizar y poner en perspectiva problemáticas complejas, identificar emergencias, amenazas a intereses nacionales, detección de riesgos e identificación de oportunidades estratégicas.

Así, los análisis que las instancias de inteligencia generan son útiles para definir intereses nacionales; desarrollar y modificar estrategias militares y de seguridad nacional; determinar misión y doctrina de las Fuerzas Armadas y de otras instituciones de seguridad; y para prevenir y atender crisis nacionales.

Por su parte, la información de inteligencia que se requiere para las labores de seguridad pública tiene otro talante. Su objetivo es identificar los patrones a los cuales responden las conductas y los fenómenos criminales; detectar cambios en estos fenómenos; señalar nuevas prácticas o comportamientos; mostrar los contextos donde se reproduce la criminalidad; crear perfiles de víctimas y victimarios; así como revelar y monitorear la formación de redes criminales.

El examen detallado de esta información genera productos muy específicos y, dicho sea de paso, distintos a los que se necesitan para la seguridad nacional. Los análisis sirven para orientar y diseñar la política criminal del Estado; definir estrategias de desarrollo policial y uso de recursos policiales; aportar elementos para diseñar una estrategia de persecución criminal; y ofrecer información relevante para la investigación criminal.

Como se puede ver, tanto en sus objetivos como en sus usos hay diferencias importantes en la información para seguridad nacional y para seguridad pública. ¿Qué pasaría si no damos cuenta de estas diferencias? Se puede pensar en muchos problemas que pueden surgir si no se evita la confusión; uno de los más importantes es el intentar usar información generada para la seguridad nacional en la investigación criminal y en el proceso penal.

Imagine usted que en un proceso penal federal contra la trata de personas la Fiscalía arma una parte importante del caso con información proveniente del CNI. Cuando el juez a cargo del caso revise la legalidad de la información usada, no tendría otra opción más que descartar las pruebas. La generación de información para la seguridad nacional no tiene que estar apegada a los criterios legales que, por el contrario, sí requiere la información que se emplea en un proceso penal. Es por ello que, en casi todo el mundo, el uso de la información generada por los servicios de inteligencia sólo se usa para alimentar procesos internos de toma de decisiones.

publicidad

Controles y contrapesos

La forma en que la nueva administración está manejando la elaboración de información de inteligencia genera un problema importante por vía de la omisión. El cambio del grupo en el poder marcó la oportunidad de modificar un conjunto de estructuras que, siendo muy funcionales para el diseño institucional instaurado por el régimen priista y mantenido por los gobiernos panistas, sería oportuno comenzar a modificar para materializar diseños más democráticos, transparentes y abiertos.

La comunidad de inteligencia es uno de esos ámbitos que requieren de un proceso de cambio. Sin embargo, como hemos visto en otros ámbitos institucionales, la actual administración no considera esta transformación como algo prioritario. Esto es evidente en el tema que nos ocupa, donde todo parece indicar que se cometerá una grave omisión al no reformar la estructura de la comunidad de inteligencia en el país.

Los primeros límites legales que deben respetar los servicios de inteligencia son las leyes internacionales y de Derechos Humanos (DD HH). No obstante, por la naturaleza de su trabajo pueden entrar en tensión, es decir, pueden verse en la necesidad (o en la tentación) de restringir ciertos DD HH y civiles en algunas áreas, como el derecho a la privacidad, el uso de datos personales, la libertad de movimiento o en la ejecución de operaciones encubiertas.

Los servicios de inteligencia y su ámbito de acción incluyen el riesgo potencial de ser usados en contra de la población. En virtud de esto, los países que han adoptado diseños democráticos sus servicios de inteligencia han establecido una serie de importantes controles y contrapesos al trabajo de las agencias. Uno de ellos establece que cualquier acción que trastoque los DD HH tiene que estar completamente apegada al marco legal que regula estos servicios, y la pertinencia de dichas acciones tiene que ser previamente evaluada por criterios de propósito, necesidad, proporcionalidad y consistencia.

Otro de los límites establecidos desde los principios de gobernanza democrática es la estricta prohibición de recolectar información sobre individuos que no representan una amenaza, sobre actividades políticas y sociales legales o motivada por el interés particular de algún miembro del Estado.

Lo anterior implica que, por la importancia estratégica de la inteligencia y el alto potencial que tienen sus servicios de vulnerar derechos, se trata de una actividad que debe estar sujeta a estrictos principios de gobernanza. Éstos tendrían que incluir: la rendición de cuentas; la transparencia; el respeto a la ley y a los DD HH; políticas de inclusión y de no discriminación en operaciones y procedimientos; efectividad en su mandato de seguridad humana y del Estado y criterios de eficiencia en el cumplimiento de sus objetivos de política pública, en relación con los recursos disponibles.

Sin una reforma democrática para la gobernanza de los servicios de inteligencia, corremos el riesgo de perpetuar un esquema que no ha dado los resultados esperados. La crisis de seguridad, la debilidad del Estado, la falta de preparación ante emergencias y la falta contrapesos capaces de contener la proclividad de usar estas herramientas para fines políticos son claros ejemplos de los rezagos que se tendrían que superar desde una perspectiva de gobernanza.

Hasta ahora, el gobierno de AMLO ha dejado pasar la oportunidad de detonar y guiar este proceso, y se ha conformado con medidas simbólicas. Sus únicas acciones han sido el relanzamiento del CISEN bajo la etiqueta del CNI, su vinculación con la seguridad pública y la apertura de los archivos históricos de la Dirección Federal de Seguridad y del CISEN hasta 1985. Estas decisiones están destinadas a satisfacer las demandas de algunos grupos de izquierda, agraviados históricamente por el Estado.

No obstante, esto se encuentra a años luz de un proceso de reforma que dote al país de una nueva gobernanza para los servicios de inteligencia, un paso indispensable en un contexto político aparentemente favorable para la reforma. No obstante, todo parece indicar que tendremos una omisión con consecuencias importantes para el desarrollo del país. Ojalá no se tire por la borda una oportunidad histórica.

Fuente: mexicoevalua.org

Publicidad

Mario Meneses

Saludos

Los malos hábitos de seguridad de la información ponen a los contribuyentes en riesgo


Cuatro de cada 10 contribuyentes en un nuevo estudio dijeron que estaban preocupados por ser víctimas de fraude fiscal o robo de identidad fiscal durante la temporada de impuestos, pero el 45% admitió que almacenaron los documentos de impuestos en una caja, un cajón del escritorio o un gabinete abierto en su casa o en el trabajo.

No solo eso, uno de cada cinco dijo que no destruyó el papeleo impositivo ni los documentos físicos que contienen información confidencial antes de tirarlos.

Shred-it , un servicio de seguridad de la información provisto por Stericycle, encargó la encuesta móvil, que Pollfish realizó el 5 de febrero entre 1,200 personas mayores de 18 años.

Cuarenta y ocho por ciento de los encuestados dijeron que presentarían sus propios impuestos en línea a través del software de preparación de impuestos, mientras que el 37% dijo que presentarían una solicitud a un preparador de impuestos certificado.

Cuarenta y cuatro por ciento en el último grupo dijeron que no sabían cómo la persona que preparaba sus declaraciones de impuestos almacenaría o eliminaría los documentos que contenían su información personal. Este hallazgo subraya la necesidad de conversaciones sobre la protección de datos durante la temporada de impuestos, según Shred-it.

“La Temporada de Impuestos y el Informe de Prevención de Fraude revelan qué tan comunes son estos hábitos riesgosos de declaración de impuestos y cómo ponen a los contribuyentes en peligro por fraude o robo de identidad”, dijo Monu Kalsi , vicepresidente de marketing de Stericycle, en un comunicado.

“A medida que nos acercamos a la fecha límite de presentación de impuestos del 15 de abril, alentamos a todos a reevaluar cómo manejan sus propios documentos fiscales que contienen información confidencial y también cuestionamos cómo los que preparan los impuestos hacen lo mismo”.

Según el informe, los hábitos de seguridad riesgosos podrían contribuir al robo de identidad fiscal y al fraude fiscal, que encontraron que el 26% de los encuestados conocían a alguien que había sido víctima de fraude fiscal.

Los temores de fraude fiscal golpearon con más fuerza a los millennials, con un 43% diciendo que estaban preocupados por ser víctimas de fraude fiscal o robo de identidad fiscal, en comparación con el 34% de los baby boomers y el 33% de los contribuyentes de Gen Z.

Fuentes de susceptibilidad de fraude

Según la encuesta, el 54% de los contribuyentes pensaron que los documentos fiscales, como los formularios W-2 y 1099, eran la fuente más susceptible de fraude de información o robo de identidad. Esto se compara con el 15% que estaba preocupado por los documentos de préstamos para automóviles y el 6% que estaba preocupado por los documentos de hipoteca.

El 57% de las mujeres expresaron su preocupación por el fraude de información o el robo de identidad de los documentos fiscales, en comparación con el 49% de los hombres.

Y dos tercios de los millennials y más de la mitad de Gen Zers consideran los documentos fiscales más susceptibles de fraude de información o robo de identidad, en comparación con menos de cuatro de cada 10 boomers.

El treinta y cinco por ciento de los contribuyentes pensaron que el mayor riesgo de ser víctima de fraude fiscal o robo de identidad fiscal se debía a la presentación de impuestos en línea con el software de preparación de impuestos.

Esto se compara con uno de cada cuatro que pensaron que declarar los impuestos con un amigo o un miembro de la familia los puso en mayor riesgo, y uno de cada 10 se preocupó de hacerlo con un preparador de impuestos certificado.

A pesar de las preocupaciones sobre la presentación de impuestos en línea, el 54% de los millennials dijo que presentaría sus impuestos en línea con el software de preparación de impuestos, seguido por el 45% de los boomers y el 43% de Gen Zers.

Cuarenta y dos por ciento de los contribuyentes en la encuesta dijeron que conservaron los documentos fiscales durante más de siete años antes de deshacerse de ellos, el 26% los guardaron durante cuatro a siete años, el 22% lo hicieron durante uno a tres años y el 5% guardaron los documentos por menos de un año.

Los hombres eran ligeramente más propensos que las mujeres a guardar documentos fiscales (por ejemplo, formularios W-2 y 1099) por menos de un año antes de deshacerse de ellos. Aproximadamente cuatro de cada 10 Gen Zers y millennials dijeron que se aferraron a los documentos fiscales durante uno a tres años.

– Eche un vistazo a las 12 principales estafas fiscales que debe evitar el IRS : 2019 en ThinkAdvisor.COMPARTIR EN FACEBOOK COMPARTIR EN TWITTER

Katie Rass

Katie Rass

Katie Rass es la editora gerente de ThinkAdvisor y la editora adjunta del canal ALM Media Finance. Anteriormente, fue editora en Dow Jones Newswires, en el New York Times News Service y en el International New York Times.

Publicidad

Mario Meneses

Saludos

IMPARTIRÁ CIIASA CURSO “SISTEMA DE GESTIÓN DE LA SEGURIDAD OPERACIONAL”


By Redaccion1 / 1 abril, 2019F

Rossi A. G. 

Aeropuertos y Servicios Auxiliares (ASA), a través de su Centro Internacional de Instrucción (CIIASA), llevará a cabo, a partir del 8 de abril de 2019, el curso “Sistema de Gestión de la Seguridad Operacional”, el cual tiene como objetivo proporcionar los conocimientos y fundamentos metodológicos implicados en el aseguramiento de la seguridad operacional, derivado de la implantación del SMS en su organización.

Este curso, que forma parte del Programa de Instrucción 2019, favorece de manera primordial la formación de los nuevos profesionales en la seguridad operacional en México y la región, que ayuden a la prevención de situaciones de riesgo.

La instrucción está enfocada a todo el personal que realice actividades dentro de la junta de control/grupo de acción del SMS y que participa en la notificación del reporte de accidentes e incidentes en su organización, así como auditores internos del SMS y tendrá una duración de 40 horas en modalidad presencial.

El contenido del curso está dividido en ocho módulos de temas especializados: Reglamentación y conceptos básicos del SMS; Identificación de peligros de seguridad operacional; Análisis, evaluación y mitigación de riesgos de seguridad operacional; Supervisión y medición del desempeño de la seguridad operacional; Gestión del cambio del SMS; Mejora continua del SMS; Planificación del SMS, además de la instrucción en Manual del SMS.

Aeropuertos y Servicios Auxiliares, a través de su Centro Internacional de Instrucción, reafirma el compromiso de elevar la profesionalización y mantener estándares mundiales de seguridad en el personal dedicado a la aviación civil nacional e internacional.

Fuente: desdepuebla.com

Publicidad
Te ayudamos a la implementacion de un Sistema de Gestión de Seguridad de la Información. mario@c2csmartcompliance.com

El cumplimiento de PCI DSS podría ser la disposición de seguridad cibernética


Publicidad

Por Tech Wire Asia | 29 de marzo de 2019

Uno de los mayores desafíos que enfrentan las empresas en la era digital es administrar su riesgo de ciberseguridad. Esto es especialmente cierto para las empresas que manejan datos confidenciales de clientes, como tarjetas de crédito y otra información de pago, ya que esas organizaciones tienen mucho más en juego.

Por ejemplo, cuando los piratas informáticos violaron los sistemas de Marriott International, lograron escapar con más de 8,6 millones de números de tarjetas de crédito, dañando gravemente la reputación del grupo hotelero más grande del mundo. El incidente podría costar a la compañía alrededor de US $ 577 millones, según una estimación.

Es por eso que las empresas de todas las industrias deben hacer todo lo posible para proteger sus sistemas de pago. Pero la realidad es que los modernos sistemas de punto de venta o POS, aunque se vuelven cada vez más sofisticados a lo largo de los años, siguen siendo un atractivo vector de ataque para los malos actores.

Numerosas infracciones de alto perfil iniciadas en los terminales POS han sido titulares en los últimos años. Target, el minorista con sede en EE. UU., Tuvo un ataque a su sistema POS en 2013 y posteriormente perdió 40 millones de datos de clientes. Hace dos años, otra famosa marca estadounidense, Chipotle Mexican Grill, sufrió la misma suerte , afectando a 2,250 de sus restaurantes.

Todos estos ataques fueron dirigidos a puntos finales con el objetivo de adquirir información de tarjetas de crédito. Los piratas informáticos a menudo consideran los dispositivos POS como el enlace más débil en la red de una organización y despliegan malware específicamente para extraer datos de ellos.

Cumpliendo los estándares

Además de centrar sus esfuerzos para defenderse de las amenazas de la ciberseguridad, las empresas tanto en línea como fuera de línea también deben cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Inicialmente creado para controlar los datos del titular de la tarjeta y frenar el fraude de la tarjeta de crédito, el estándar ahora requiere una validación anual o trimestral realizada por un Asesor de seguridad calificado (QSA) externo para garantizar el cumplimiento de las compañías.

PCI DSS establece 12 requisitos principales para las organizaciones que crean y administran redes seguras de procesamiento de pagos que protegen los datos del titular de la tarjeta, desde el procesamiento hasta la transmisión y el almacenamiento, e implementan estrictas medidas de control de acceso.

Administrar el cumplimiento de PCI DSS mientras se mantiene al día con las amenazas de ciberseguridad más recientes y sofisticadas puede ser difícil para las empresas y, por lo tanto, es crucial que encuentren un socio de soluciones capaz de ayudar a aliviar la carga.

Cómo Foregenix garantiza el cumplimiento y la seguridad.

Recientemente, Foregenix, una de las empresas con una larga historia de éxito en el cumplimiento de PCI, ha estado haciendo grandes progresos en el espacio de la ciberseguridad, ayudando a los clientes a liberar el valor total de su inversión en medidas de defensa que protegen sus redes y puntos finales.

Habiendo estado muy involucrado con el PCI DSS desde su inicio, Foregenix entiende los desafíos que la mayoría de las organizaciones enfrentan al lograr y mantener el cumplimiento de esos estándares.

Con un fuerte enfoque en la protección de activos comerciales que incluyen datos de clientes, la compañía ofrece un conjunto de soluciones integrales que incluyen, entre otras, las siguientes:

  • Pre-cumplimiento / análisis de brechas para identificar y abordar áreas de incumplimiento mientras se establece un nivel de referencia de seguridad.
  • Pruebas de penetración que proporcionan un análisis en profundidad de la seguridad de la red y las aplicaciones.
  • Exploraciones de vulnerabilidades de red que aseguran la protección contra las amenazas más recientes para ayudar a continuar con el cumplimiento de PCI DSS.

Más allá de eso, Foregenix fue el primer asesor del mundo acreditado por el PCI Security Standards Council para poder guiar y evaluar la solicitud de pago contra los estándares del Consejo de Punto a Punto de Cifrado (P2PE). Cuenta con el mayor número de QSA con su gran experiencia y experiencia en ayudar a los proveedores de soluciones de P2PE a asegurar sus soluciones, y la compañía dominó el espacio de mercado de evaluación de P2PE en 2018.

Detección y respuesta gestionadas.

Más allá del cumplimiento, los servicios de Detección y Respuesta Administrada ( MDR) de Foregenix permiten a las empresas detectar y neutralizar incluso algunas de las amenazas cibernéticas más sofisticadas. Si bien muchas organizaciones de seguridad dependen de varias herramientas y soluciones, sin la administración adecuada de múltiples actualizaciones, por ejemplo, numerosos falsos positivos pueden provocar retrasos en los tiempos de respuesta a problemas reales.

Pero el equipo de Foregenix responde a los incidentes cibernéticos antes de que se conviertan en noticias. Su solución Serengeti proporciona telemetría forense clave que transmite información detallada, casi en tiempo real, del estado de la salud de la ciberseguridad de una empresa. La experiencia y las habilidades del Foregenix Threat Intelligence Team aumentan la capacidad de detectar ataques en varias etapas que podrían impedir la detección de incluso la solución de ciberseguridad líder en la industria.

La acción rápida es posible gracias a la capacidad de análisis y visibilidad de “Panel Único de Vidrio” de Serengeti que permite a las empresas explorar y barrer rápidamente conjuntos de datos masivos para detectar amenazas. La preocupación de la ciberseguridad a menudo pesa mucho en la mente de los líderes empresariales, aunque no es así. Es mejor cambiar la atención al crecimiento de las empresas y al servicio al cliente, y dejar que Foregenix se preocupe por el entorno de amenazas.

Obtenga más información sobre los métodos de ciberseguridad de Foregenix y las ofertas de cumplimiento de PCI DSS aquí , y póngase en contacto hoy mismo.

Fuente: techwireasia.com

Publicidad

Mario Meneses

Saludos

Aprobó el CU la creación de dos carreras. Ciencia de Datos y Química e Ingeniería en Materiales


Epleno del Consejo Universitario aprobó crear dos nuevas licenciaturas: Ciencia de Datos y Química e Ingeniería en Materiales. Son las número 126 y 127 que ofrecerá esta casa de estudios.

El Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) es el responsable de la primera, y las facultades de Ciencias (FC), de Estudios Superiores (FES) Aragón y Acatlán, así como el Instituto de Matemáticas, serán participantes; la segunda licenciatura se impartirá en la Facultad de Química (FQ), y el Instituto de Investigaciones en Materiales será entidad participante.

Ciencia de Datos

Los profesionales de la licenciatura en Ciencia de Datos serán capaces de seleccionar, preparar, analizar, evaluar y comunicar cantidades masivas de datos de cualquier tipo, de manera ética y responsable para la toma de decisiones inteligentes y la resolución de problemas complejos en los sectores científicos, tecnológicos, empresariales y sociales.

La UNAM será la única institución pública en tener esta oferta a nivel centro y norte del país. En el extranjero hay más de 30 licenciaturas similares, pero son propuestas en ciencias de la computación, estadística y un área de aplicación a elegir.

Estos profesionales podrán ocupar uno de los 2.72 millones de puestos de trabajo que se abrirán en esta área para 2020, de acuerdo con Business Higher Education Forum & PwC Professional. En México, el portal de empleo Bumeran afirma que las vacantes para ellos crecerán 20 por ciento en la próxima década, y los sitúa en el primer sitio de las cinco carreras que serán más requeridas en ese mismo periodo.

“Los datos registrados actualmente corresponden a los 100 ZB (1023 bytes), muchos cientos de veces lo producido en la imprenta desde su aparición. Y las tasas estimadas de crecimiento anual van de 50 a 300 por ciento. Las supercomputadoras rebasan el Pflop (1015 operaciones de punto flotante por segundo)”, señala el proyecto de creación.

YouTube, por ejemplo, crece a razón de 100 horas de video por minuto; Walmart realiza un millón de transacciones comerciales por hora y Google procesa al día 24 PB; Instagram y Flickr incluyen 55 y 20 millones de fotografías, respectivamente, y se envían 340 millones de tuits.

“Este explosivo avance de las TIC hace posible procesos de convertir datos en inferencia, información a partir de la cual se genere conocimiento, de maneras impensables hace poco más de una década. Tal posibilidad involucra a todos los sectores, desde la ciencia y los negocios hasta los medios de comunicación, el entretenimiento, el turismo. La naturaleza de algunos ámbitos (como ciudades inteligentes, energía, medio ambiente y sostenibilidad, participación ciudadana, salud) evidencia la implementación irreversible de dichos procesos”, agrega el documento.

La licenciatura en Ciencia de Datos será de acceso indirecto. Podrán cursarla alumnos que acrediten los primeros cuatro semestres en carreras afines en la Universidad como Actuaría, Ciencias de la Computación, Ingeniería en Computación, Matemáticas Aplicadas y Computación.

El acceso al plan de estudios será a partir del quinto semestre para cubrir un total de ocho semestres que abarcarán 24 asignaturas –20 obligatorias y cuatro optativas–, constituyendo un total de 186 créditos.

Para ser aceptados, los aspirantes también deberán ser alumnos regulares, tener promedio mínimo de ocho, aprobar el examen diagnóstico correspondiente y realizar un par de entrevistas con un comité académico y con el coordinador de la carrera. Además, contar con el nivel A2 del idioma inglés en el Marco Común Europeo de Referencia para las Lenguas, o su equivalente.

Química e Ingeniería en Materiales

La licenciatura de Química e Ingeniería en Materiales tiene la misión de formar profesionales de excelencia con amplias capacidades en ciencia y tecnología químicas, comprometidos con
aportar valor a la sociedad, en el contexto del desarrollo sustentable del país.

En México no hay actualmente una carrera que proporcione la formación integral en ciencias de los materiales con conocimientos en química orgánica e inorgánica para la obtención de materiales metálicos, la síntesis de materiales polímeros y cerámicos, así como de materiales compuestos.

“Muchos de los avances tecnológicos que han transformado nuestra vida diaria se basan en el desarrollo de nuevos materiales y sus aplicaciones. Por ejemplo, cada día es más evidente que deben encontrarse materiales plásticos biodegradables en el corto plazo, baterías recargables con mayor capacidad de periodos de carga y de bajo costo, o dada la explosiva comercialización de dispositivos con pantallas táctiles, lograr que para su fabricación no se consuman grandes cantidades de elementos de poca disponibilidad como son las tierras raras”, señala el proyecto de creación de la licenciatura.

Se trata de un plan de estudios multidisciplinario, que busca formar profesionales que generen la tecnología e infraestructura requeridas en la nación. Deberá cursarse en nueve semestres para cubrir 53 asignaturas y un total de 410 créditos.

El egresado podrá incursionar en la producción, investigación y desarrollo de los materiales convencionales, además de facilitar su participación en proyectos de innovación y desarrollo de nuevos materiales con aplicaciones estructurales y funcionales.

El documento indica que de acuerdo a resultados del Instituto Mexicano para la Competitividad (IMCO), en 2018 la carrera de Química fue una de las de mejores opciones laborales y se mantendrá así en los próximos años, con una tasa de empleo de cien por ciento. Sus egresados pueden desarrollarse en diferentes ramos de la industria.

Fuente: gaceta.unam.mx

 

Publicidad

Mario Meneses

Saludos

Seguridad de la información: hackear, o no ser hackeado


Publicidad

Cuando pensamos en la seguridad de TI, por lo general piensa en las grandes cortes que fueron reportados en la prensa. Cuando se ve como un todo, podemos entender la magnitud de los datos perdidos. No es de extrañar que estos trucos sean lo que nos viene a la mente cuando pensamos en la seguridad de la información.

La siguiente tabla muestra algunos de los hacks más grandes que ocurrieron en este siglo. El número de cuentas afectadas varía en millones.

Las más grandes infracciones de seguridad, 2003–2018, clasificadas


Empresa
Cuentas hackeadasFecha de hackeo
Yahoo3 mil millonesAgosto de 2013
Marriott500 millones2014-2018
Yahoo500 millonesFinales de 2014
Adult FriendFinder412 millonesOctubre 2016
Mi espacio360 millonesMayo 2016
Debajo de la armadura150 millonesFebrero 2018
Equifax145.5 millonesJulio 2017
EBay145 millonesMayo 2014
Objetivo110 millonesNoviembre de 2013
Sistemas de pago Heartland100+ millonesMayo 2008
LinkedIn100 millonesjunio 2012
Rambler.ru98 millonesFebrero de 2012
TJX94 millones2003–2004
Sony PlayStation Network77 millonesAbril 2011
JPMorgan Chase83 millonesJulio de 2014
Tumblr65 millonesFebrero de 2013
Uber57 millonesFinales de 2016
Deposito de casa53 millonesAbril 2014
Facebook50 millonesJulio 2017
Oficina de Administración de Personal de los Estados Unidos (OPM)22 millones2012-2014
Himno78.8 millonesFebrero 2015
Seguridad RSA40 millonesMarzo 2011
Adobe38 millones2014-2015

Fuente: 
“Las 18 violaciones de datos más grandes del siglo XXI”, por Taylor Armerding , CSO 
“ Las violaciones de datos más grandes de todos los tiempos, clasificadas  , por Nicolas Rivero, Quartz

El hack más grande le sucedió a Yahoo en 2013; ¿Te imaginas los efectos de 3 billones de cuentas hackeadas? Eso es aproximadamente 10 veces la población actual de los Estados Unidos. El segundo ataque más grande es el ataque contra Marriot, que afectó a 500 millones de cuentas. El hackeo de Marriott me golpea especialmente cerca de casa porque uso el hotel a menudo y soy un viajero de primer nivel. Los hackers no solo tienen la información personal de 500 millones de cuentas, sino también varios números de tarjetas de crédito. Marriott aún tiene que reconocer el problema o advertir a los clientes que cambien sus números de tarjeta de crédito.

Si revisa esta lista de hacks, es probable que esté de acuerdo en que el problema es algo que todos debemos preocuparnos. Tomemos Yahoo, por ejemplo. La compañía primero tuvo 3 mil millones de cuentas pirateadas y luego otros 500 millones un año después. Parece que el equipo de seguridad de TI de Yahoo no pudo estar a la altura de los piratas informáticos, o que la alta dirección no proporcionó el ímpetu y el enfoque dentro de la organización. Creemos que hay muchos otros trucos que no están siendo noticia porque han pasado a las organizaciones de fabricación y diseño y no están afectando al público en general.

Estos hacks externos son problemas de ciberseguridad, definidos como ataques desde Internet, o como lo llaman las normas ISO, el ciberespacio. Vale la pena considerar el término tal como se define en la norma de orientación ISO 27032 “Tecnología de la información: técnicas de seguridad — Directrices para la ciberseguridad”. La ISO 27032 define la ciberseguridad como “Seguridad del ciberespacio: preservación de la confidencialidad, integridad y disponibilidad de información en el ciberespacio. . ”

El ciberespacio se define como el “entorno complejo que resulta de la interacción de personas, software y servicios en Internet mediante dispositivos de tecnología y redes conectadas a él, que no existen en ninguna forma física”.

La ciberseguridad es importante, pero las organizaciones también necesitan implementar la seguridad de la información. La seguridad de la información es el problema más amplio que contiene la ciberseguridad como uno de sus elementos. Consulte el diagrama a continuación, que muestra la seguridad de la información y su relación con la ciberseguridad.

Los estándares de seguridad de la información son los estándares más importantes de nuestro tiempo. Muchos CEOs han dejado el tema de la ciberseguridad a los CIO y no se han involucrado. La Comisión de Valores e Intercambio de los Estados Unidos emitió una guía interpretativa.El año pasado a empresas que cotizan en bolsa. Según la guía, “los riesgos de ciberseguridad representan amenazas graves para los inversores, nuestros mercados de capital y nuestro país. Ya sea en las empresas en las que invierten los inversores, sus cuentas en empresas de servicios financieros, los mercados a través de los cuales operan, o la infraestructura con la que cuentan diariamente, el público inversor y la economía de los Estados Unidos dependen de la seguridad y confiabilidad de la tecnología de la información y las comunicaciones. , sistemas y redes … Hoy en día, la importancia de la administración de datos y la tecnología para las empresas es análoga a la importancia de la electricidad y otras formas de energía en el siglo pasado … Primero, esta versión hace hincapié en la importancia de mantener un servicio integral. Políticas y procedimientos relacionados con los riesgos e incidentes de ciberseguridad. Se requiere que las empresas establezcan y mantengan controles y procedimientos de divulgación adecuados y efectivos que les permitan realizar revelaciones precisas y oportunas de eventos importantes, incluidos los relacionados con la ciberseguridad. Tales controles y procedimientos robustos de divulgación ayudan a las compañías a cumplir con sus obligaciones de divulgación según las leyes federales de valores “.

Esta guía deja claro que la implementación de un estándar de guía de TI como ISO 27001 no es realmente una opción sino un requisito para las empresas que cotizan en bolsa.

Cómo funciona ISO 27001

Para aquellos familiarizados con los estándares ISO, es bueno saber que ISO 27001 sigue la estructura de alto nivelde las normas ISO. Además, presenta el ciclo planear-hacer-verificar-actuar, también conocido como el ciclo Deming. Hay diferencias clave en los controles de esta norma frente a otras normas ISO, como cabría esperar. La ISO 27001 presenta dos requisitos: la cláusula 6.1.2, que requiere que se realice una evaluación de riesgos de seguridad de la información; y la cláusula 6.1.3, que requiere un tratamiento de riesgos de seguridad de la información. Por lo tanto, la cláusula 6.1 en Riesgo y planificación identificará los objetivos de seguridad de la información y ciberseguridad y también el riesgo asociado con las amenazas de seguridad de la información, tanto externas como internas. La sección de tratamiento de riesgos requiere que las organizaciones consideren 132 controles de riesgo en el Anexo A de la norma. (Más sobre esto más adelante.)

En la cláusula 6.2, ISO 27001 requiere que las organizaciones identifiquen los objetivos de seguridad de la información y desarrollen planes para alcanzarlos. Bajo la cláusula 8.0 — Operaciones, la norma requiere que la organización implemente los planes desarrollados en las cláusulas 6.1 y 6.2, realice evaluaciones periódicas de seguridad de la información (cláusula 8.2) e implemente el plan de tratamiento de riesgos de seguridad de la información creado, según lo requiere la cláusula 6.1.3.

Anexo A: Controles de seguridad de la información

El anexo A de ISO 27001 se divide en 14 áreas de categorías de control, que en conjunto presentan 132 controles individuales. La expectativa es que cada una de las áreas sea considerada y cubierta. Si no es así, el motivo por el que debe justificarse. La evaluación, el plan de tratamiento de riesgos y, luego, la implementación deben cubrir cada una de estas áreas. Aquí también es donde los programas del Instituto Nacional de Estándares y Tecnología (NIST) pueden integrarse con la norma ISO 27001.

El NIST es una agencia no reguladora del Departamento de Comercio de los Estados Unidos.

La Publicación especial 800-53 de NIST  proporciona un catálogo de controles de seguridad para todos los sistemas de información federales de los EE. UU., Excepto aquellos relacionados con la seguridad nacional. Las normas NIST se están convirtiendo rápidamente en requisitos obligatorios para que los fabricantes puedan suministrar al gobierno federal. La ley de los Estados Unidos especifica un mínimo para los requisitos de seguridad de la información para los sistemas de información utilizados por el gobierno federal. A su vez, esto se refiere a la Publicación Especial 800-53 como los  controles mínimos obligatorios que deben implementar las agencias federales.

Papel de la alta dirección

La cláusula 5.0 de ISO 27001 explica que la alta gerencia es responsable de la seguridad de la información y que los procesos de seguridad de la información deben integrarse en los procesos de negocios de la organización; en otras palabras, el “enfoque del proceso o el mapa del proceso”. Como se esperaba, los objetivos, El progreso hacia los objetivos, la efectividad de los controles y otras métricas se revisan durante las revisiones de gestión o de negocios que son dirigidas por la alta gerencia. Es crucial que la alta dirección entienda su importante papel en la gestión de la seguridad de la información y la ciberseguridad.

¿A dónde vamos desde aquí?

La comprensión de una organización de los riesgos relacionados con la seguridad de la información y la ciberseguridad debe comenzar con el liderazgo de la empresa. La Comisión de Bolsa y Valores de EE. UU. Ha dejado muy claro que si usted es una empresa que cotiza en bolsa, deberá desarrollar políticas y procedimientos que aborden el riesgo de ciberseguridad. Un buen lugar para comenzar es ISO 27001 con sus requisitos bien definidos y su metodología de proceso. Además, ISO 27001 se integra bien con el sistema de gestión de calidad de la organización.

El consejo de la empresa debe involucrarse y proporcionar supervisión y responsabilidades a este esfuerzo. La guía de la Comisión de Valores e Intercambio de EE. UU. Solicitó una descripción de cómo la junta administra la supervisión del riesgo. ISO 27001 requiere auditorías internas y externas. Al igual que la Ley Sarbanes-Oxley, el sistema debe ser probado regularmente por los evaluadores que prueban el proceso. Además, las pruebas de vulnerabilidad y penetración con partes externas contratadas deben convertirse en prácticas habituales para las organizaciones. Las organizaciones no solo deben centrarse en las partes externas, sino también en los ataques internos y la disponibilidad general de información. Ahí es donde los sistemas de gestión ISO 27001 pueden desempeñar un papel fundamental.

Implementar ISO 27001 y obtener un certificado de terceros no es suficiente. La seguridad cibernética y la seguridad de la información requieren un monitoreo continuo y actualizaciones de la defensa de la organización. La tecnología cambia constantemente y requiere que los equipos de seguridad de TI actualicen constantemente los procesos y las tecnologías.

Como punto de partida, Omnex recomienda que la alta gerencia, junto con la junta directiva de la compañía, reciba un resumen ejecutivo de este problema. Únase a Quality Digest y Chad Kymal, fundador de Omnex y CTO, en el seminario web, “¿Ciberinseguridad ? Cómo proteger su sistema contra un ataque de piratería: ISO / IEC 27001 ” para obtener información sobre cómo implementar un programa sólido de ciberseguridad y seguridad de la Información. Registrate aqui

SOBRE EL AUTOR

Imagen de Chad Kymal

Chad Kymal

Chad Kymal es el CTO y fundador de Omnex Inc. , una organización internacional de consultoría y capacitación con sede en los Estados Unidos. También es presidente de Omnex Systems, un proveedor de software de los sistemas de gestión ISO 9001, ISO 14001 e ISO 27001. Desarrolló y enseña la capacitación de auditores para ISO 9001, IATF 16949, ISO 14001 e ISO 45001, así como un curso de capacitación de Auditor Líder de Sistemas de Gestión Integrada en el que las tres normas se combinan en una sola auditoría.

Kymal también participa en los comités ISO / TC 176, ISO / TC 207 y PC283 para el desarrollo del sistema de gestión ISO 9001: 2015 (calidad), ISO 14001: 2015 (ambiental) e ISO 45001 (salud y seguridad).

Fuente: qualitydigest.com

Falta acercar la tecnología a la seguridad de la construcción.


Nelly Toche26 de marzo de 2019, 22:02

Especialistas señalan que el reto en México es todavía grande, aunque ya existe tecnología de anclaje antisísmico.

Hace unos días se llevó a cabo el simposio Tecnología de Anclajes para Zonas Sísmicas, un tema sin duda de relevancia en México, pues a un año y medio de vivir el más fuerte recordatorio de que nos encontramos en una zona de peligro, seguimos observando edificios y construcciones que aún no han podido superar aquel fatídico 19 de septiembre de 2017.

Después de una serie de encuentros afortunados, pues se dieron cita ingenieros, calculistas, empresas constructoras y estudiantes en el simposio, platicamos sobre los resultados y retos con Borman Rojas y Thilo Pregartner, representantes de Fischer, empresa de tecnología en construcción y organizadores de este evento, junto con la Sociedad Mexicana de Ingeniería Estructural.

“En México sí hay interés por recibir nuevas tecnologías, este evento fue exitoso, ya que fue nuestra primera actividad de tal magnitud, pero también a la luz del futuro, se presentan grandes oportunidades”, asegura Rojas.

Dijo que a través de los años la normativa ha mejorado y el interés, estructuralmente hablando, aumenta; la figura del Director Responsable de Obra (DRO) es una figura de autoridad en los proyectos que cada vez se hace más presente y eso ha ayudado a que la normativa se cumpla un poco más.

“Con ellos el trabajo va muy avanzado”; sin embargo, ante la generalidad de la normativa una cosa es lo que se dice y otra lo que se hace en campo; Rojas aseguró que falta hacer más específicas esas reglas y adaptar elementos de índole estructural. “Por ejemplo, las normas dicen que los edificios necesitan barreras anti-incendio, pero hasta ahí; el qué, cómo, dónde, no está establecido”.

Seguridad en la construcción

Rojas, quien es director de Fischer en México, asegura que también hay otro aspecto sobre seguridad que se ha dejado pasar, se trata de los elementos no estructurales (portacables, cielos, paneles, ventanas, puertas), los cuales también deben soportar los movimientos de la estructura.

“La normativa es muy laxa en este sentido, ya que en un sismo la mayoría de las cosas que pasan y que provocan daños, son en elementos no estructurales…Por supuesto que es muy importante que el edificio no colapse, pero también es muy importante la seguridad física de todos los elementos que están en una construcción…Los altos costos después de sismos, aún van sobre el tema de seguridad”.

Además, hablar de tecnología en estructuras no se limita a los grandes edificios, “simplemente para hacer un segundo piso en una casa, hacer fijaciones ligeras de ductos o portacables se tendrían que aplicar soluciones, sin embargo, volviendo al tema de seguridad, en construcciones pequeñas es todavía más incipiente. Normalmente el usuario ve más hacia el lado del costo que de la seguridad”.

Hoy la tecnología aplicada a la seguridad de edificios, tiene una vida útil de aproximadamente 50 años, “pero en México normalmente nadie se preocupa por 50 años, incluso aquí los desarrolladores sólo están obligados a dar garantías de un año, por ello muchas veces los productos no estructurales no duran y son ineficientes”.

Publicidad

Uso de la tecnología

Pregartner por su parte, quien es director en tecnología y aprobaciones de Fischer, platica que el tema de seguridad en anclajes ya tiene bastante historia, “hablamos de 20 años, pero siempre hay cosas por mejorar”, hoy el tema de sismos y homologaciones, tiene apenas 4 o 5 años para Europa.

Hemos trabajado en las homologaciones, especialmente para territorios sísmicos, en Europa hay dos categorías de homologaciones sísmicas, C1 para bajo nivel y C2 para sismos más intensos, esta última categoría es la más útil para México. Fischer trabaja con productos desde fijación ligera, hasta anclajes metálicos, productos químicos y de protección.

El especialista asegura que algo que también ha hecho la diferencia es trabajar la relación con las instituciones educativas y de investigación, “hoy junto con la Universidad de Sttutgard hemos hecho una comparación para lograr hacer casas más fuertes para sismos, en combinación con anclajes que provee Fischer.”

En esta oportunidad de visitar México igualmente se pudo hacer un intercambio de ideas con instituciones de investigación: “Hemos podido escuchar a las universidades durante el simposio, vimos que aquí las soluciones son diferentes, se usan menos los anclajes y más las estructuras de acero, que son muy invasivas”. La buena noticia es que a raíz de este encuentro se logró el contacto para seguir con la colaboración.

En México la tecnología ya tiene presencia desde hace algunos años y se puede constatar con construcciones icónicas como el Museo Jumex, que cuenta con un sistema de fijación para piedra natural y que es a prueba de sismos; la planta de BMW, la Torre Sequoia, el Tren Ligero  de Guadalajara, entre otras obras. Pero el reto sigue siendo grande: “trabajar con las normas en el cálculo de anclaje a través de asociaciones, pero también sería una invitación al gobierno a participar de estos temas”.

Rojas concluyó que están convencidos de que a través de la tecnología se pueden salvar vidas e infraestructuras, “la idea del simposio fue colaborar con eso, a través de la difusión de conocimiento, por ello se hizo una mezcla de temas teóricos con temas prácticos y con invitados mexicanos reconocidos en el tema estructural… A raíz de este ejercicio de colaboración vendrá una etapa de análisis y diagnóstico para poder generar acciones concretas, pero comenzar por responder las dudas que habíamos recogido del mercado, sin duda fue un gran acierto”.

Fuente: eleconomista.com.mx

Publicidad.

¿Qué es un sistema de gestión de seguridad de la información (SGSI)?


Un SGSI es un conjunto de directrices y procesos creados para ayudar a las organizaciones en un escenario de violación de datos. Al tener un conjunto formal de pautas, las empresas pueden minimizar el riesgo y asegurar la continuidad del trabajo en caso de un cambio de personal. ISO 27001 es una especificación bien conocida para un SGSI de una empresa.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.

Solicita información.

Mario Meneses

mario@c2csmartcompliance.com

WA / +52 1 7711871152

Guardia Nacional deberá diseñar un plan de ciberseguridad eficaz


Publicidad

Instituciones como la Guardia Nacional deben considerar dentro de sus estrategias y presupuesto un plan de ciberseguridad que proteja la información y los bienes informáticos bajo su propiedad, además de contar con recursos suficientes para contar con tecnología de punta y personal altamente capacitado, así lo destacó Jorge Osorio, co-fundador de la empresa CSI Consultores en Seguridad de la Información.

“El problema es que los distintos cuerpos u organismos de seguridad que existen en el país tienen sus propias políticas y estrategias de ciberseguridad, pero al unirse, van a tener que unificar sus protocolos, ¿y cuándo lo van a hacer? No se sabe, porque la ciberseguridad es uno más de los elementos entre todos lo que tienen que unificar o crear como algo nuevo, y eso incluye uniformes, procesos, planes de trabajo, entre otros. Sabemos que cada organismo tiene sus propias políticas de ciberseguridad e incluso el ejército cuenta hasta con un banco, que requiere un tratamiento aparte”, explicó el experto.


Bajo ese panorama, la creación de la Guardia Nacional implica una fusión que, a decir de Osorio, no va a ser sencilla e incluso pudiera presentar cierto caos de inicio.

“El problema es que el nuevo organismo podrá tardar para definir y ejecutar procesos, y en cuestión de sistemas la fusión de procedimientos relacionados con las TI y sistemas operativos puede llevarse hasta un sexenio. En este sentido, no hemos visto que los involucrados en este proyecto no abordan este tema: la ciberseguridad interna, y eso puede afectar a corto plazo debido a los ataques potenciales que pueden llegar a recibir”, resaltó.

Otra situación que ha detectado el director de CSI, se relaciona con la austeridad con la que se está manejando la actual administración federal. Al respecto comentó: “Detectamos que hay una disminución de presupuesto para los temas de TI, lo que incluye a la ciberseguridad. Es cierto que al inicio de cada sexenio cuesta trabajo iniciar proyectos relacionados con las TI porque recién se terminaron los contratos del período anterior y de algunos de ellos se pide una extensión al inicio del siguiente, pero no por mucho tiempo. Esto sucede en tanto los nuevos encargados definen necesidades y presupuestos, pero en este sexenio, después de cuatro meses no sabemos de gestiones para renovar o iniciar nuevos contratos. Por ello,  las instituciones gubernamentales corren el riesgo de dejar de recibir soporte técnico y actualizaciones, por la falta de contrato. La consecuencia es el incremento de los ciberataques”.

Como señaló Osorio, cada vez un mayor número de ciberataques de diferente tipo, y por ello es recomendable que las instituciones oficiales desarrollen estrategias de ciber protección de forma más expedita, porque en tanto no sucede así, se abre una “ventana” de tiempo que los hackers pueden aprovechar.


“Al parecer, muchas empresas e instituciones prefieren invertir recursos en su operación, en los recursos humanos o en sus deudas por pagar, y si les resta algún presupuesto, entonces lo destinan a la ciberseguridad, y a veces solo invierten en un antivirus, cuando deberían dedicar más recursos para proteger sus bienes informáticos y contar con personal especializado en ese tema”, indicó el directivo.

Jorge Osorio participará en Infosecurity México 2019, evento que mostrará lo último en conocimiento, tendencias y soluciones para proteger datos informáticos.

Fuente: cio.com.mx

Publicidad

La seguridad privada creció más que las fuerzas policiales de México durante la última década


Eliana Gilet

No existe un registro fiable de la cantidad de empresas de seguridad privadas en México, ni de los guardias que estas contratan, pero sí hay indicios de su colusión y participación en crímenes. Sputnik te presenta el caso de una mujer que denunció extorsión y secuestro de parte de guardias privados de la zona metropolitana a la capital.

Nancy Saavedra salía de hacer sus compras en la Central de Abastos de la ciudad de México, cuando seis oficiales del Cuerpo de Seguridad Auxiliar del Estado de México, una empresa conocida por sus siglas, Cusaem, la abordaron diciéndole que había ella sido acusada del robo de 2.000 pesos (106 dólares).

Cusaem es una empresa que puede verse comúnmente en las oficinas de Gobierno, haciendo tareas de seguridad pública. Tiene un nutrido historial de denuncias por gatillo fácilsecuestro, y extorsión. También ha sido denunciada por atacar migrantes en tránsito por México.

El caso que Nancy Saavedra denunció en diálogo con Sputnik ocurrió el 8 de julio de 2018. Sin orden judicial y con una supuesta querella de dos personas anónimas, Saavedra fue arrestada por los oficiales de Cusaem en un módulo policial del que prefirió no brindarse mayor referencia.

La mujer denunció que allí fue torturada por los guardias privados hasta que accedió a firmar una declaración en la que se asumía culpable del robo que nunca existió.  

Elemento de la Cusaem asesinó a un hombre, actuando como guardia en un supermercado en la calle José Peón del Valle, en la colonia Santa Marta Acatitla, Iztapalapa.

© SPUTNIK / ELIANA GILET Elemento de la Cusaem asesinó a un hombre, actuando como guardia en un supermercado en la calle José Peón del Valle, en la colonia Santa Marta Acatitla, Iztapalapa.

Una nota médica que forma parte del expediente indica que tres días después —el 11 de julio- Saavedra presentaba lesiones que demostraban que había sido sometida a tratos crueles: tenía un esguince en las vértebras cervicales, dolor en el abdomen, heridas en la cara, pubis, espalda y tibias.

Después de dos días sufriendo patadas, descargas eléctricas y humillaciones, y una vez que los 2.000 pesos llegaron a manos de los policías privados, Saavedra fue dejada en libertad. Para obtener este dinero, una persona que gana el salario mínimo en México debe trabajar unas 20 jornadas.

Mucha tropa

Según un informe encargado por la Comisión Nacional de Seguridad (CNS) de México al Centro Robert Strauss Center para la Seguridad y el Derecho Internacional, de la Universidad de Austin (Texas), el mundo de la seguridad privada ha crecido más en México que las policías regulares.

En 2006, cuando este proceso comenzaba, México sancionó la Ley de Seguridad Privada que estableció un registro nacional de las compañías que ofrecían estos servicios. La normativa lo encomendaba a la Dirección General de Seguridad Privada, en el ámbito de la CNS, para recabar y resguardar la información que cada mes debían enviar las autoridades de cada Estado de la República.

Nancy Saavedra, sobreviviente de un secuestro a manos de elementos de Cusaem

© SPUTNIK / ELIANA GILET Nancy Saavedra, sobreviviente de un secuestro a manos de elementos de Cusaem

Para octubre de 2017, las autoridades llevaban un registro de 4.587 empresas de seguridad privada en los distintos Estados de la República, de los que sobresalían la ciudad de México, Nuevo León, el Estado de México y Jalisco. Las empresas de seguridad privada crecieron más en zonas muy activas económicamente, en el norte y centro del país.

El informe oficial señala que esa cifra está inflada, porque el listado incluye empresas que se cuentan dobles o triples, ya que cada rama de una misma firma se agrega como un dato independiente. El número depurado estaría más cerca de las 3.000 empresas regulares.

Según el Instituto de Estadística (Inegi) las empresas privadas del rubro eran 5.193 en 2017. Sin embargo, el informe de la CNS alerta de algo importante y que es un secreto a voces en México: el registro de empresas está muy lejos de reflejar la totalidad del panorama.

La cifra oficial tiene una cara oscura que va del 40 al 75% del total de los proveedores que están en la informalidad, por lo que las cifras serían mucho más altas.

Lo mismo ocurre con el total de guardias privados actuantes en México, que según distintas fuentes citadas en el informe oficial, oscilarían entre los 450.000 y 600.000 efectivos.

El informe, publicado en abril de 2018, indica que los guardias de seguridad privados superarían al número de policías existentes en 2017, que de acuerdo con el Inegi son unos 330.000 efectivos.

Otro detalle que se señala de esta dinámica de crecimiento exponencial de las empresas privadas de seguridad es que son el destino natural de muchos policías y militares, una vez que dejan de servir en las filas públicas.

Sin justicia ni garantías

Estas empresas y sus guardias han sido acusadas de múltiples delitos mientras cumplían sus funciones de seguridad pública, algo que está en el centro del debate. El caso de Saavedra demuestra cómo la impunidad reina también para los delitos que cometen los guardias privados. Que, en la situación descrita, estaban al servicio del Estado..

El hostigamiento comenzó en cuanto se atrevió a denunciar lo sucedido, indicó la víctima de este abuso de Cusaem. De hecho, dijo, fue amenazada al salir de las instalaciones policiales.

“Me dijeron que si denunciaba me iban a desaparecer, tomaron mis datos personales, fotos, todo. Ellos saben donde vivo. Pusieron medidas cautelares, pero los policías sólo llegan a que les firme una hoja y se van. ¿Cómo sé que ellos mismos no me van a entregar a sus compañeros? No tengo seguridad real”, alertó

Nancy Saavedra y su abogada, Verónica Berber, en conferencia de prensa para denunciar el secuestro y tortura infringidos por elementos de la Cusaem.

© SPUTNIK / ELIANA GILET Nancy Saavedra y su abogada, Verónica Berber, en conferencia de prensa para denunciar el secuestro y tortura infringidos por elementos de la Cusaem.

Verónica Berber, la abogada que la defiende frente a los abusos recibidos, dijo a Sputnik que en este caso puede identificarse un secuestro extorsivo, en que se fabrica un delito inexistente para lograr el beneficio económico de quienes la detuvieron y torturaron.

“Vemos que el Gobierno tiene la responsabilidad de vigilar a esta corporación y si no, hay consentimiento en estas prácticas de privación de libertad, abuso de autoridad y tortura”, dijo la abogada, insistiendo en la responsabilidad de los funcionarios del Estado de México, que han contratado a esta empresa y la han mantenido, incluso, cuando rompen la ley.

Fuente: mundo.sputniknews.com

Mario Meneses

Saludos

¿Por qué no se debe escatimar en seguridad “endpoint”?


PC, impresoras, escáneres e impresoras de red se están volviendo los puntos de entrada más frecuentes para los ataques informáticos

Por Juan Manuel Campos, Gerente General, HP Inc. Argentina21.03.2019 • 09.08hs •TECNOLOGÍA

Dicen que “un centavo ahorrado es tan bueno como un centavo ganado”. A pesar de que eso puede ser cierto cuando se compran servilletas, el seguimiento ciego a esa regla puede crear un riesgo imprevisto en otras áreas, especialmente cuando se trata de adquirir tecnología.

Pensá en un equipo de compras de una empresa grande mientras considera una compra al por mayor de dispositivos endpoint como laptops e impresoras, con el precio más bajo posible por unidad.

Lograr un 20 por ciento de descuento en la operación es una gran ganancia para la compañía –hasta que deja de serlo. Cuando uno de esos dispositivos no está protegido de manera adecuada, rápidamente se convierte en la puerta de entrada para que los hackers tomen el control de una red y sustraigan la información privada de los clientes… o el dinero; entonces, ¿cuál es el costo real?

Como lo confirman los titulares de las noticias, el crimen cibernético es feroz en toda Latinoamérica, con un costo para la región de por lo menos 90 mil millones de dólares cada año con base en la estadísticas más recientes del Banco Interamericano de Desarrollo (IDB). Brasil es el más atacado en este sentido y es el lugar con el mayor número de sedes activas de los criminales cibernéticos en la región.

México se encuentra en un cercano segundo lugar, después de haber sufrido pérdidas por 3 mil millones de dólares en daños causados por los crímenes cibernéticos en 2016.

Los dispositivos endpoint –PCs, impresoras, escáneres e impresoras de red– se están volviendo los puntos de entrada más frecuentes para dichos ataques. De hecho, más del 70 por ciento de las violaciones a los datos tienen que ver con los equipos endpoint.

Publicidad


Estas son las tres mejores prácticas para proteger adecuadamente estos dispositivos y mantener segura tu empresa.

Integrá a los profesionales de TI, no únicamente al equipo de compras.

Debido a que cada dispositivo conlleva una vulnerabilidad potencial, la compra de tecnología de información (TI) debe incluir conversaciones que vayan más allá del precio. La seguridad debe ser un criterio bien pensado y deliberado.

Esto significa que los profesionales, tanto del equipo de TI como del equipo de seguridad, deben ser participantes activos en los criterios de evaluación y selección de la nueva tecnología que cumpla con las políticas de seguridad de la empresa. Estos empleados también son capaces de identificar la forma de aprovechar al máximo las inversiones en TI existentes, y planear las necesidades de crecimiento a futuro con puntos de integración de servicios o aplicaciones.

Por último, los profesionales de TI pueden evaluar las características de seguridad para mejorar la productividad con beneficios para el usuario final, sin comprometer los requerimientos de seguridad de la empresa.

Invertí en seguridad “endpoint” de primera clase

La mayoría de las empresas simplemente no invierte lo suficiente en seguridad cibernética. Rob Owens, analista de investigación senior para Security and Infrastructure Software en Pacific Crest Securities, comenta: “pienso que la seguridad ha sido un área en la que no se ha gastado lo suficiente en décadas. Estás gastando alrededor del 3 por ciento de tu de capital que está destinado para TI en seguridad. Eso es relativamente bajo.”

Sin embargo, no se trata solamente de los dólares que se invierten, sino de asegurar que esos dólares estén bien gastados. Buscá las mejores características de su clase tales como la detección de malware con base en la conducta (en vez de la firma que solo identifica malware conocido), la autenticación multifactor y la detección automática de intrusiones en tiempos de ejecución.

Además, soluciones para la administración de la seguridad de una flota, que verifiquen y corrijan las configuraciones de seguridad de los dispositivos cuando se reinician, lo cual es otra consideración importante para la protección de los endpoints. Recordá incorporar también medidas de seguridad física como pantallas de privacidad para impedir el hackeo visual.

Llamá a los expertos

La seguridad endpoint es fundamental para la salud de todas las empresas; de ahí que, subcontratar la responsabilidad, tiene sentido para muchas de las compañías. Un estudio reciente revela que solo el 16 por ciento de los encargados de tomar las decisiones de TI de las empresas considera que las impresoras son un objetivo de alto riesgo para una violación de la seguridad –lo cual crea una gran vulnerabilidad que los criminales cibernéticos están ansiosos por explotar.

Asociarse con un experto en seguridad puede brindar a las empresas la tranquilidad que necesitan, ya que les proporciona las herramientas de seguridad especializada, así como los recursos necesarios para hacer el trabajo de la manera correcta.

De hecho, según el EY Global Information Security Survey 2018–19, la mayoría de las empresas delegan las funciones tales como el monitoreo de seguridad, la evaluación de vulnerabilidad, la administración de riesgo, y la gestión de identidad y acceso a terceras partes.

Las empresas se han enfocado generalmente en la reducción de costos cuando compran computadoras, impresoras u otra tecnología. Pero un centavo ahorrado en seguridad hoy podría dañar tu cartera el día de mañana cuando se consideran los riesgos y las implicaciones potenciales para tu empresa. Ahora, preguntate a vos mismo: ¿Qué tan protegido estás realmente?

Fuente: www.iprofesional.com

Publicidad

Mario Meneses

Saludos

La nueva norma ISO 27501 pone a los seres humanos en el centro de los negocios


Por Elizabeth Gasiorowski-Denis en 15 de marzo de 2019

Se acabaron los días en que el lugar de trabajo se construyó en torno a una estructura bastante sencilla, compuesta por el empleador, el empleado y el cliente. Los vientos del cambio tecnológico pueden estar arrasando los modelos tradicionales, pero ISO 27501 está ayudando a los gerentes a construir uno más sostenible para el futuro.

Desde el advenimiento de Internet hasta lo que hoy se conoce como la Cuarta Revolución Industrial, las últimas tecnologías de vanguardia, entre ellas la robótica, la inteligencia artificial (AI), el Internet de las cosas, están cambiando fundamentalmente la forma en que vivimos, trabajamos y nos relacionamos. El uno al otro. El problema para los negocios en esta nueva era no se trata tanto de los resultados finales, ni solo de la responsabilidad social corporativa, sino también de adoptar un enfoque centrado en el ser humano para el futuro del trabajo y encontrar las herramientas adecuadas para garantizar que las organizaciones tengan éxito sostenible.

Personas como AI están presentando una gran oportunidad para ayudar a todos, líderes, responsables políticos y personas de todos los grupos de ingresos y países, a llevar vidas más enriquecedoras y gratificantes, pero también plantean desafíos sobre cómo aprovechar estas tecnologías para crear un entorno inclusivo. , futuro centrado en el ser humano.

ISO 27501: 2019 , La organización centrada en el ser humano: Guía para gerentes , puede ayudar a las organizaciones a enfrentar estos desafíos. En este nuevo mundo, las organizaciones no solo tendrán un impacto en sus clientes, sino también en otras partes interesadas, incluidos los empleados, sus familias y la comunidad en general.

El estándar se basa en ISO 27500, que explica a los miembros de la junta ejecutiva los valores y creencias que hacen que una organización se centre en el ser humano. Los requisitos y recomendaciones de la norma pretenden ser aplicables a organizaciones grandes o pequeñas, y en el sector público o privado.

Esboza las responsabilidades de los gerentes que van desde la estrategia de la organización hasta el desarrollo de procedimientos y procesos que permiten el enfoque humano, hasta la implementación de dichos procedimientos y procesos.

Peter Frener, presidente del subcomité que desarrolló la nueva norma, dice: “Si bien no todas las partes de esta Norma Internacional serán de igual uso para todos los tipos de organizaciones, todas las materias fundamentales son relevantes para todas las organizaciones”. que es responsabilidad de la organización identificar qué partes son “relevantes y significativas para que la organización las aborde, a través de sus propias consideraciones y mediante el diálogo con las partes interesadas”.

La norma ISO 27501: 2019 fue desarrollada por el comité técnico ISO / TC 159, Ergonomía , subcomité SC 1 , Principios de ergonomía general . Está disponible a través de su miembro nacional de ISO o a través de la Tienda ISO .

Fuente: www.iso.org

Mario Meneses mario@c2csmartcompliance.com

Saludos

¿Es hora de que levantemos las expectativas de los políticos sobre la seguridad cibernética?


Dada la percepción pública de que los políticos no tienen mucho conocimiento sobre temas de tecnología / seguridad, la firma de piratería ética y seguridad cibernética Redscan decidió encuestar a los 650 diputados del Reino Unido para comprender sus opiniones sobre las amenazas a la seguridad cibernética que enfrentan las empresas del Reino Unido.

Cuando se trata del tema de la seguridad cibernética, la historia reciente no se refleja con amabilidad en los políticos. En noviembre pasado, el ministro japonés de seguridad cibernética llegó a los titulares por admitir que nunca había usado una computadora, mientras que en 2017, Donald Trump afirma haber discutido “formar una unidad de seguridad cibernética impenetrable” con Vladimir Putin de todas las personas. Más cerca de casa, Diane Abbott, Secretaria de Shadow Home, admitió haber sido víctima de una campaña de phishing en la que los piratas informáticos podrían haber tomado el control de su PC y acceder a todos sus contenidos.

La verdad es que los políticos no tienen la reputación de ser particularmente expertos en seguridad. Esto es algo que hemos aceptado en gran medida hoy, pero ¿deberíamos hacerlo? Después de todo, sería indignante que un ministro de transporte dijera que no entendió el código de la carretera, o si la secretaria de asuntos exteriores no pudo ubicar a Canadá en el mapa mundial.

Si bien no debemos esperar que los políticos sean expertos cibernéticos, sus decisiones influyen en nuestra seguridad digital, privacidad y libertades en línea. Como tal, deberíamos esperar que los parlamentarios tengan al menos una comprensión básica de los problemas de seguridad cibernética, al igual que deberían conocer cualquier asunto que afecte a sus electores, ya sea en salud, educación o cumplimiento de la ley. A medida que digitalicemos más de los servicios críticos que sustentan nuestra sociedad, como el transporte, la energía y, posiblemente, incluso nuestro proceso de elección, la seguridad cibernética se integrará aún más en la política.

Con ese fin, Redscan , una compañía británica de seguridad cibernética, encuestó recientemente a los 650 miembros del parlamento del Reino Unido para comprender dónde creen que la seguridad cibernética debería estar entre las preocupaciones de las empresas.

Chi Onwurah, diputada de Newcastle Central, es una de las voces mejor informadas en el Parlamento cuando habla de temas de tecnología, y dice que anteriormente en su carrera, sus colegas eran extremadamente ingenuos con respecto a la escala de la amenaza de la seguridad cibernética.

“Cuando era jefe de tecnología de telecomunicaciones en Ofcom, dijo Onwurah. “Me pidieron que mirara la seguridad en internet. Cuando regresé con historias de ataques de bots y trampas de miel, DDoS y magos de sombrero blanco, troyanos y gusanos, phishing y pharming, fui recibido con un escepticismo comprensible. Era como si estuviera describiendo una guerra en una galaxia muy, muy lejos. Pero sabía que era solo una cuestión de tiempo antes de que la ciberdelincuencia pasara a la corriente dominante. Desafortunadamente, tenía razón ”.

Afortunadamente, no todos los diputados de hoy son tan desdeñosos a la amenaza de la seguridad cibernética como pueden haberlo sido en el pasado. Sir David Amess proporcionó un ejemplo de su circunscripción en Southend West, donde describió que “el delito cibernético tiene un impacto devastador en individuos y empresas”. Amess habló de una organización sin fines de lucro que se encuentra en bancarrota como resultado de una violación de datos: todo – Ocurrencia demasiado familiar en los últimos años.

Los propios parlamentarios no son inmunes a sufrir violaciones de datos. Onwurah explicó que su oficina fue víctima de un ciberataque, pero afortunadamente no causó ningún daño real. “Como oficina de un diputado, teníamos un gran departamento que nos apoyaba y no había ningún compromiso con los datos de los constituyentes”, comentó Onwurah. “Si hubiéramos sido una pequeña empresa, no habríamos tenido acceso a ese tipo de soporte, y podría habernos dejado fuera de servicio por mucho más tiempo”. Esto es innegablemente cierto, ya que las violaciones de datos se han convertido en eventos de extinción para muchas empresas

Madeleine Moon, diputada de Bridgend, sugirió rápidamente una razón clave por la que las violaciones de datos son ahora tan frecuentes. “La mayoría del personal no ve la seguridad cibernética como la razón por la que vienen a trabajar, o su responsabilidad”, dijo.

“Como ciudadanos, no dejamos nuestras puertas y ventanas abiertas, confiando en que la policía nos protegerá de los ladrones. En nuestro mundo en línea, todos deben comprender y seguir las reglas básicas para proteger nuestros datos, contraseñas y redes. Necesitamos aprender a cerrar esas puertas y ventanas en línea en nuestros sistemas ”. Esta es una analogía adecuada. Desafortunadamente, las personas que establecen contraseñas seguras y únicas y activan medidas de seguridad adicionales, como la autenticación de dos factores, son una minoría.

Meg Hillier, diputado por Hackney South y Shoreditch, hizo eco de los sentimientos de Moon y dijo: “El Reino Unido tiene el enorme desafío de pasar al nivel de seguridad cibernética necesario para protegerse contra las amenazas actuales. Hay una grave escasez actual y futura de habilidades esenciales en esta área “.

Esto puede, de hecho, ser el punto crucial del desafío de la seguridad cibernética. Los expertos de la industria reportan un déficit de casi 3 millones de trabajadores de seguridad cibernética en todo el mundo , ya que las amenazas de seguridad cibernética continúan superando la cantidad de nuevos solicitantes en la industria. Hillier tiene razón, debemos encontrar una forma de revertir esta tendencia antes de que sea demasiado tarde.

De cara al futuro, Steve McCabe, diputado por Birmingham Selly Oak, quiso plantear el problema de la vigilancia de la ciberdelincuencia. “Creo firmemente que debería haber un requisito para la notificación obligatoria de delitos cibernéticos por parte de los bancos y otras empresas a la policía. También es necesario realizar un chequeo de salud cibernético, tal vez de forma anual, para garantizar que el personal y las empresas traten el problema con seriedad ”. Asimismo, Peter Dowd, diputado por Bootle, dijo:“ El tema crucial de los recursos policiales y la concientización para abordar el delito cibernético es uno de los que requiere un debate más abierto “. A medida que el cibercrimen sigue aumentando en escala y complejidad, la cuestión de cómo protegemos nuestros espacios digitales, al tiempo que protegemos la privacidad y las libertades en línea no es algo que hayamos resuelto todavía. Ni siquiera cerca.

Las respuestas completas de MP están disponibles para leer aquí . Lo que está claro es que la amenaza cibernética para las empresas ya no se puede descartar como trivial, como hicieron algunos líderes de la industria y políticos. Ante un panorama digital en rápida evolución, con amenazas cada vez más avanzadas, necesitamos que nuestros políticos entiendan los problemas y riesgos en juego. Necesitamos que utilicen su influencia para aumentar la concienciación entre las comunidades empresariales y definir la política nacional de seguridad cibernética que sea adecuada para el futuro.

Escrito por Andy Kays, CTO, Redscan

Fuente: www.information-age.com

Jive es más que un conmutador: es la nueva manera de comunicarse.


Jive es un sistema telefónico empresarial en la nube con más de 100 características que le ayudará a unificar las comunicaciones de su empresa por un precio increíble. Con Jive, usted puede realizar/recibir llamadas desde/en su computadora, teléfono y celular.

¿Qué es un conmutador en la nube?

El Conmutador Virtual es un conmutador hospedado en la Nube, es decir que funciona a través de Internet, sustituyendo al conmutador físico y con las mismas funcionalidades, para brindar los servicios de voz y comunicaciones unificadas básicas para profesionalizar sus Negocios y hacerlos más productivos.

Beneficios

1. Su instalación es casi inmediata.

2. No requiere de inversiones, sólo en los teléfonos IP.

3. Incluye líneas telefónicas con tus mismos números de siempre, hacemos la portabilidad numérica de cualquier línea y compañía del país.

4. Soporte remoto y alta flexibilidad para incorporar más líneas o extensiones en su sucursal u otros sitios.

5. No requiere de un administrador ni de mantenimiento, ni gasto en aire acondicionado para mantener el equipo operando.

6. Mayores ahorros en larga distancia entre sucursales de varias ciudades a través de una renta fija .

7. Servicios de telefonía para llamadas locales, celulares y de larga distancia internacional en 52 países (LDI).

8. Otorga nuevas herramientas a los empleados que les permiten agilizar la atención, estar siempre en su celular, oficina foránea o desde su casa.

9. Control del gasto y eliminar llamadas que no son del negocio a través del bloqueo de extensiones.

10. Eliminación de Inventario (Hardware y Software).

11. Posibilidad de brindarle extensiones en localidades distintas integrando todo su negocio.

12. Hable con sus clientes en conferencia, Jive provee salas de audio conferencia ilimitadas con posibilidad de tener control visual de quien se conecta.

13. Vea a sus clientes, Jive en cada usuario contratado se lo entregamos con una cuenta de GoToMeeting Pro del mismo fabricante, que le permite hacer video conferencias, presentaciones remotas y puede brindar soporte remoto si así lo desea con un límite de 150 usuarios conectados a la vez por ejemplo, a su ponencia.

Le ayudamos en su proyecto de equipamiento de su Call y Contact Center y Comunicaciones unificadas UC&C con equipo Jabra, somos distribuidores CERTIFICADOS de las mejores diademas y soluciones alámbricas e inalámbricas de mejor calidad, ROI (retorno de inversión) y con las mejores alianzas con las marcas líderes del mercado de comunicaciones unificadas y telefonía tradicional..

Contactanos al WA +52 1 7711871152 Mario Meneses

La UNAM hará un atlas de riesgo de CDMX con ayuda de los capitalinos


OMAR LOZANO10 DE MARZO 2019

A través del hashtag #Vulneralópolis, el Instituto de Geografía de la UNAM hará una consulta digital pública para que los ciudadanos ayuden a mapear y alimentar un Atlas de Riesgos de la Ciudad de México accesible y entendible para todos.

El anuncio lo dio Naxhelli Ruiz, investigadora de dicho instituto, durante la mesa “#AtlasDeRiesgoYA y su apropiación ciudadana” en la primera jornada del Festival Ciudadanía 2019, organizado por el colectivo #CIUDADanía19S

En palabras de la investigadora, esta propuesta inició porque los Atlas de Riesgo de la Ciudad son, en gran medida, incomprensibles para la ciudadanía y deficientes para las autoridades a la hora de tomar decisiones en materia de prevención de desastres.

“Mientras un atlas de riesgo necesite un traductor para ser entendible, no está cumpliendo su función de ayudar en la prevención”, dijo la etnóloga. Y “representa una vulneración a los derechos humanos, específicamente al derecho a la información”.

A la investigadora la secundó Rafael Marín Cambranis, director general de Análisis de Riesgo de la Secretaría de Gestión Integral de Riesgos y Protección Civil de la Ciudad de México, quien dijo que el atlas de riesgo de la pasada administración “no era más que un repositorio de información cartográfica que no le permitía al ciudadano tomar decisiones”.

Por ello, dijo, las autoridades ya trabajan para hacer más funcional y accesible los datos disponibles en esa plataforma, aunque aseguró que dicho proceso será gradual.

Por su parte, el Instituto de Geografía de la UNAM tiene previsto iniciar su consulta en la segunda quincena de abril a través de redes sociales con los hashtags #Vulneralópolis, #CuéntameTuRiesgo y #GestionaTuRiesgo y de un micrositio en su página de internet.

Quienes participen en la consulta podrán exponer los riesgos geológicos que existen en sus comunidades y, en una segunda etapa, los investigadores mapearán dicha información en lo que ya denominan un “Atlas participativo” a nivel de calle, que deberá ser amigable y entendible para todos.

Se espera que los resultados sean publicados el 19 de septiembre, en el segundo aniversario del 19-S, o el 13 de octubre, día internacional para la reducción de desastres.

El Festival Ciudadanía se lleva a cabo desde este 9 de marzo y continuará los días 10 y 11 en las instalaciones de la Universidad de la Comunicación, en la colonia Roma.

El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma
El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma

En su segunda jornada tendrá actividades como la presentación de la nueva plataforma de #Verificado19S y una mesa de análisis de la reconstrucción, en donde participará César Cravioto, comisionado de la Ciudad de México en esa materia.

Fuente: www.mexico.com

Saludos

Mario Meneses

Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados


Principales preocupaciones de CISOs para 2019 abarcan una amplia gama de problemas

Desde manejar los datos y la escasez de personal hasta la adaptación a un conjunto cada vez mayor de responsabilidades laborales, los CISO se enfrentan a una serie de problemas serios en 2019.

Mary K. Pratt

Cuando se le preguntó acerca de las principales preocupaciones de CISO que ve ahora, el líder de ciberseguridad Robert LaMagna-Reiter dijo que su propia participación implica dar un giro hacia el lado de negocios. Como CISO en FNTS, una compañía de servicios administrados y de estrategia de TI, LaMagna-Reiter desea que su lista de prioridades se alinee más con los principales objetivos declarados de los ejecutivos de negocios de su compañía. Es un trabajo en progreso y una tarea en la que se centrará en los próximos meses, dijo.

“Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados, hacer que nuestros KPI [indicadores clave de rendimiento] sean más significativos y hacer que nuestras relaciones sean más significativas para que, a medida que los planes estratégicos de la organización evolucionan, podamos comunicar nuestro valor y los recursos que necesitamos para hacer lo que necesitamos”, dijo.

LaMagna-Reiter marcó sus prioridades que están ayudando a mejorar la alineación: garantizar la seguridad de los servicios en la nube para el holding de FNTS, First National of Nebraska Inc. y sus otros clientes; implementar nuevas tecnologías, como la automatización, en sus procesos de seguridad; y alentar a sus empleados a establecer relaciones con colegas del lado de los negocios, como lo está haciendo a nivel ejecutivo.

Robert LaMagna-Reiter.

Dijo que ese trabajo le permite avanzar en el valor estratégico del rol de CISO y la función de seguridad dentro de la organización.

Es un proceso iterativo que los CISO continúan refinando“, dijo LaMagna-Reiter. “En gran parte, nos hemos centrado en los aspectos técnicos desde el inicio de nuestro rol definido dentro de una organización, pero el enfoque estratégico se ha vuelto más importante y una mayor parte del rol como seguridad se ha elevado al nivel de la junta directiva y la gerencia”.

A medida que las organizaciones finalizan sus presupuestos de seguridad cibernética para el próximo año, planifiquen sus estrategias para 2019 y modifiquen sus planes de trabajo para los próximos meses, LaMagna-Reiter y otros CISO dijeron que varios temas clave estarán a la vanguardia. Las preocupaciones de los CISOs al encabezar sus listas de prioridades incluyen, primero, la necesidad de evolucionar el rol del CISO a una posición más estratégica y centrada en el negocio, y luego usar tecnologías emergentes, abordar las regulaciones crecientes y las prácticas maduras para extender la seguridad más allá de los límites de la propia empresa.

“Más CISOs están pasando de ser expertos en tecnología a tener que entender realmente el negocio, los riesgos del negocio y cómo la tecnología respalda los procesos del negocio”, dijo Ash Ahuja, CISO en residencia y vicepresidente de liderazgo para la ciberseguridad de los socios y la gestión de riesgos en Gartner. Luego, desde la perspectiva de la seguridad y los riesgos, los CISOs deben entender si tienen suficientes monitoreos y controles para que sepan qué hacer cuando algo sale mal, agregó Ahuja.

A medida que avanzan en 2019, 10 preocupaciones de los CISOs están dominando la agenda:

1. Alineación estratégica

Ahuja y otros dijeron que una preocupación de los CISOs es que solo una minoría de CISOs se ha convertido en socios ejecutivos estratégicamente enfocados que alinean la función de ciberseguridad con la estrategia organizacional, pero observaron que muchos CISOs se están moviendo en esa dirección. Para hacer eso, están construyendo cada vez más relaciones con sus colegas ejecutivos, informando a los CEOs y comprometiendo a los miembros de la junta.

Mansur Hasib.

Los CISOs deberían estar desarrollando planes estratégicos alineados con la misión de una organización, algo que deberían desarrollar en función de lo que la empresa articula según sus necesidades y su apetito por el riesgo, dijo Mansur Hasib, autor de Cybersecurity Leadership, ex CIO y presidente del programa de tecnología de ciberseguridad en la Escuela de Graduados de la Universidad de Maryland University College. Los CISOs deben usar estos planes para articular el valor que su equipo aporta a la organización.

Hasib dijo que todo esto ayuda a los CISOs a obtener el apoyo y los recursos que necesitan, lo que les permite ofrecer los programas de seguridad que necesitan sus empresas. “Una vez que tienes ese marco, donde todo lo que haces se enlaza con este marco”, agregó, “entonces no estarás jugando a busca y dale con todas las nuevas amenazas”.

2. Regulaciones

Cumplir con las regulaciones existentes y las nuevas leyes que los legisladores están a punto de aprobar también encabeza la lista de preocupaciones de los CISOs a medida que las organizaciones y sus líderes de seguridad se dirigen hacia 2019. Muchos anticipan que las crecientes preocupaciones del público sobre la privacidad y las violaciones de datos estimularán una mayor aplicación de las leyes, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR).

“Si bien no es un desafío completamente nuevo para 2019, espero ver una creciente demanda y desafíos para cumplir con las normas internacionales de seguridad y privacidad. A raíz de GDPR, otros lo están utilizando como modelo para promulgar estándares de cumplimiento más estrictos”, dijo Tom. Conklin, CISO en Druva, una empresa de gestión de datos como servicio. La Ley de Privacidad del Consumidor de California entrará en vigencia en enero de 2020, y deberíamos esperar ver más de lo mismo en los próximos años”, agregó.

“Tales regulaciones significan que las obligaciones de la compañía serán más complicadas y deberán cumplir con nuevos estándares”, dijo Conklin. Esto obligaría a las compañías a mejorar la seguridad “en todos los ámbitos”, continuó. “Los equipos de seguridad y de TI deberán demostrar que han capturado completamente los riesgos para la organización y saber dónde se procesan los datos de la empresa, cómo se utilizan y cómo se protegen”.

3. Seguridad en la nube

Ashiwini Ahuja.

A medida que más partes de la pila de TI se mueven a la nube, la seguridad continuará dominando la agenda en el próximo año, dijo Ahuja, de Gartner. “Ese panorama cambiante mantiene esos elementos básicos de seguridad como una tarea continua. El trabajo nunca se realiza; eso es algo que los CISOs están realizando“.

Los líderes de seguridad dijeron que el trabajo incluye mejorar la seguridad de la red y mejorar las prácticas de administración de identidad y acceso, las cuales se vuelven cada vez más importantes a medida que aumenta el acceso y los puntos de conexión fuera de las paredes de la TI empresarial. Sin embargo, los líderes de seguridad de TI dicen que ese trabajo debe realizarse además del trabajo, no en lugar del mismo, para garantizar la seguridad de los sistemas heredados.

“Estamos en un estado de transición donde se están consumiendo más servicios, pero aún existen sistemas de procesamiento de datos locales heredados. Así que ahora los equipos de seguridad deben ser expertos en ambos frentes”, dijo Conklin.

4. Dotación de personal

Omar F. Khawaja, CISO de Highmark Health, dijo que su equipo de 125 miembros es su prioridad número uno. “Si cuido de mi gente, ellos harán lo correcto, y si hacen lo correcto, entonces el negocio y mis clientes estarán felices”, dijo Khawaja.

Omar Khawaja.

Khawaja reconoció que los problemas de personal deberían ocupar un lugar destacado en la lista de preocupaciones del CISO; la necesidad de atención de alto nivel al personal es algo que aprendió durante sus cinco años en la organización de atención médica. La tasa de deserción del personal hace tres años estaba en el rango del 33% al 50%, aproximadamente el promedio para un campo donde la permanencia habitual de los profesionales de la seguridad es de dos a tres años. Ahora, dijo que su tasa de deserción entre los empleados que busca retener es inferior al 5%. Khawaja acreditó las políticas que diseñó para involucrar mejor a los empleados e identificar los riesgos relacionados con el personal.

Dijo que también está trabajando para empoderar a sus gerentes y empleados para que puedan manejar todos los elementos tácticos de la función de seguridad, lo que le permite centrarse en los elementos estratégicos que se han convertido en el componente principal del rol de CISO. “Se trata de tener a la persona adecuada en el rol correcto haciendo el mejor trabajo de sus vidas”, agregó Khawaja.

5. Tecnologías emergentes

Los CISOs están recurriendo a más tecnologías emergentes para ayudarlos a alcanzar sus objetivos de seguridad, dijo el CISO Ahuja. Ellos están utilizando inteligencia artificial, aprendizaje automático, automatización y orquestación. También están utilizando ofertas de seguridad basadas en la nube que pueden recopilar información sobre amenazas en múltiples organizaciones para sortear el aluvión de amenazas potenciales e identificar las que realmente necesitan atención.

Implementar más tecnologías en el proceso de seguridad es una de las prioridades de Gary Hayslip, CISO en la empresa de seguridad de Internet Webroot. “Vamos a poner en marcha un motor de orquestación para ordenar todos los datos y revisar las reglas para identificar lo ‘malo’ para que podamos ver eso. Luego, uniremos las diferentes tecnologías y crearemos tableros para obtener visibilidad de cosas como el flujo de datos, y si el flujo de datos cumple con un cierto nivel de riesgo que activará un ticket de servicio y un mensaje SMS para alertar al líder de la investigación”, dijo, y señaló que esta tecnología automatizaría lo que hoy es un proceso manual en su empresa.

6. Respuesta y remediación

Sam Olyaei.

Los analistas de Gartner recomiendan que los presupuestos de seguridad se dividan en tres partes: protección; seguimiento y detección; y respuesta y remediación. Entre otros, Sam Olyaei, director principal de seguridad y gestión de riesgos en Gartner, dijo que esto refleja la realidad a la que se enfrentan los CISO: Que tendrán brechas y, en lugar de centrarse solo en mantener alejados a los actores malos, necesitan gastar más en la detección y remediación para que puedan reaccionar adecuadamente cuando suceda lo inevitable.

7. Expandiendo responsabilidades

Los CISOs también deben darse cuenta de que el alcance de sus responsabilidades se está expandiendo en algunos frentes, dijo Olyaei. “Tienen que manejar otros riesgos, como los riesgos de proveedores o terceros”, dijo, señalando que varias infracciones de alto perfil ocurrieron no solo debido a una debilidad dentro de la organización violada, sino también debido a un lapso en el perfil de seguridad de un socio.

Dadas estas realidades, dijo, los principales CISOs están expandiendo su trabajo para incluir evaluaciones de seguridad de terceros. También son responsables de compartir sus propios perfiles de seguridad con terceros. “Se les está pidiendo a las empresas que exhiban certificaciones o requisitos específicos de otras empresas antes de que trabajen juntas”, explicó Olyaei.

8. Ataques más grandes

Otra de las principales preocupaciones es el creciente alcance de los ataques. “Una de las cosas más importantes que me preocupan es la escala de los ataques. Creo que es solo cuestión de tiempo antes de que veamos un ataque que cause una gran cantidad de muertes”, dijo Hayslip de Webroot. Él cree que el uso creciente de la automatización y la orquestación puede ayudar a contrarrestar esa amenaza, ya que esas tecnologías pueden ayudar a los equipos de seguridad a concentrarse solo en las amenazas reales y no perder el tiempo persiguiendo falsas alarmas. Espera que el impulso en los negocios, y en la sociedad en general, para hablar no solo sobre la conciencia cibernética, sino sobre la ciberseguridad como un problema de seguridad, aumentará la preocupación por las amenazas potenciales y dará energía a las personas para prepararse mejor para frustrar un ataque importante, o al menos disminuir su impacto.

9. Tratar con los datos

Khawaja observa que algunos informes estiman que casi el 50% de los datos que las organizaciones almacenan no tienen uso o valor. La eliminación de datos innecesarios que su organización almacenó es una de sus prioridades “porque eso significaría un 50% menos de lo que tenemos que proteger”.

Otros expertos en seguridad dijeron que una administración de datos más sólida es una prioridad para los principales CISOs y sus organizaciones. Como ejemplo de ello, Ahuja, de Gartner, dijo que algunas organizaciones están creando un rol de director de protección de datos que informa sobre la legalidad, pero que trabaja con la oficina del CISO sobre la mejor manera de proteger los datos en consonancia con las crecientes regulaciones.

10. Fortalecer las bases

Muchos CISOs aún luchan con la creación de políticas y prácticas sólidas en torno a medidas de seguridad fundamentales, dijo Olyaei de Gartner. Como resultado, la higiene básica de seguridad sigue siendo una prioridad para los CISOs, tanto los que luchan con esto como los que tienen prácticas más maduras.

El CISO de LinkedIn, Cory Scott, dijo que su función de seguridad “abarca las operaciones tradicionales de seguridad de la información, seguridad de productos, y confianza y seguridad”, y señaló que su equipo ha crecido significativamente en los últimos cinco años.

Pero Scott aún se enfoca en la base como parte de su estrategia de seguridad general cuando se dirige a 2019. “No estoy tachando nada de la lista, pero en general estoy satisfecho con la conciencia de que la higiene de seguridad básica –administración de activos, parches y gestión de la configuración, recopilación de la telemetría de seguridad, autenticación multifactor– es lo más importante que se debe hacer bien. Creo que comenzaremos a ver un enfoque básico en 2019, basado en estos aprendizajes”.

Fuente: searchdatacenter.techtarget.com

Riesgo continuo, seguridad y cumplimiento para la gestión de la postura de ciberseguridad: un enfoque unificado.


Las soluciones actuales de riesgo, seguridad y cumplimiento están fragmentadas, lo que requiere diferentes enfoques o incluso implementaciones totalmente diferentes para las instalaciones locales, la nube, los contenedores y las aplicaciones críticas para la empresa, como las bases de datos. Con múltiples herramientas, configuraciones, operaciones y diferentes algoritmos para priorizar activos críticos, es difícil para cualquier equipo de operaciones de seguridad evaluar y mantener la postura de ciberseguridad de su organización.

Como industria, debemos evolucionar para crear un enfoque más unificado que abarque múltiples entornos y ofrezca a los clientes un panel único para seleccionar marcos, lanzar evaluaciones basadas en el tiempo e informar sobre los resultados. Y necesitamos introducir la inteligencia de la máquina para facilitar las evaluaciones predictivas y un tiempo más rápido para remediar.

Esta evolución tiene un impacto tanto financiero como práctico, ya que los días de un presupuesto de seguridad en constante crecimiento han terminado, como recientemente capturó IDC. Este año, el 50% de las empresas espera un aumento del presupuesto, en comparación con el 79% del año pasado, lo que refleja una desviación de la tendencia de incorporar un nuevo producto de seguridad de puntos para cada requisito. Las organizaciones deben encontrar más valor y, a medida que sus entornos se vuelven más complejos, los productos deben adaptarse en consecuencia. En particular, esto es un buen augurio para las plataformas que protegen la nube pública y la infraestructura local de manera unificada.

Abrazando la nube híbrida

Para manejar de manera efectiva los diferentes activos en la nube híbrida, las soluciones ganadoras deben tener la flexibilidad para asegurar los servicios en la nube pública, manejar múltiples sistemas operativos y admitir arquitecturas de VM, contenedores y servidores sin facilidad.

Considere una carga de trabajo HIPAA en VMware, local dentro de un perímetro. Cuando se migran a Amazon Web Services (AWS), esta misma carga de trabajo podría tener VPC de acceso abierto y grupos de seguridad, depósitos de S3 abiertos y máquinas virtuales vulnerables, todo lo cual necesita una evaluación continua para la seguridad. Luego, dado un mecanismo de descubrimiento sofisticado y flexible, la solución no debe limitarse a solo evaluar sistemas operativos. Debería manejar efectivamente los hipervisores y contenedores como VMware, Docker y Kubernetes. Además, debe evaluar de manera efectiva los servicios de nube críticos que están estrechamente relacionados con la carga de trabajo, como las bases de datos, ofreciendo así una visión más completa de la postura de seguridad de una organización. Este requisito de flexibilidad se presta a la personalización.

Personalización

La cita de Henry Ford  : “Cualquier cliente puede pintar un auto del color que quiera, siempre y cuando sea negro”, simplemente no lo corta en las implementaciones de seguridad de hoy. Cada empresa tiene sus propios requisitos, su propia forma de evaluar el riesgo. Para evaluaciones exhaustivas de seguridad y cumplimiento, esto requiere una forma intuitiva de crear scripts de políticas personalizadas tanto para el SO como para los servicios locales / en la nube.

Por ejemplo, la solución de un proveedor puede ofrecer monitoreo y remediación para un conjunto pre-empaquetado de servicios de AWS, pero la empresa puede haber adoptado uno de los más oscuros, aunque crítico para su entorno. Aquí, la personalización puede ofrecer a las empresas una visión completa de su postura de seguridad. De la misma manera, los puntos de referencia preempaquetados de la CIS u otras asignaciones de control técnico como HIPAA o HITECHpuede integrar un conjunto de controles, pero una institución de atención médica puede necesitar algo más en profundidad o una variación de un control existente. O bien, puede necesitar desarrollar su propio marco que consiste en controles de diferentes familias, así como políticas personalizadas. Las opciones aquí incluyen aprovechar el contenido del Protocolo de automatización del contenido de seguridad (SCAP) ya disponible o crear políticas personalizadas desde cero a través de secuencias de comandos.

Aprendizaje automático

En la mayoría de los casos, los equipos de cumplimiento adoptan un estándar como HIPAA que contiene un conjunto de medidas administrativas, físicas y técnicas. Asignan cada protección técnica a una política de control técnico correspondiente, como la que se encuentra en CIS, que luego se asigna a un sistema operativo de destino. Como se podría imaginar, este es un proceso que requiere mucho tiempo y, en casi todos los casos, no tienen forma de priorizar los controles técnicos para guiar los planes de gestión de cambios. Una vez que las asignaciones están en su lugar, la plataforma de cumplimiento automatiza las comprobaciones, con el resultado una lista de las acciones de remediación recomendadas.

Pero, a medida que surgen nuevas regulaciones y estándares, especialmente para la privacidad de los datos, debemos evolucionar, tanto en la forma en que mapeamos los diferentes estándares, regulaciones y puntos de referencia, como en cómo manejamos el resultado. Aquí es donde entra en juego una aplicación práctica de aprendizaje automático, ya que puede ayudar a racionalizar y automatizar el mapeo y la priorización de varios controles técnicos. En la cola, el sistema debe priorizar efectivamente las acciones de remediación y, si el operador lo desea, automáticamente lleve a cabo esta guía.

Cómo empezar

Si usted es un líder en seguridad cibernética que busca implementar este enfoque unificado, aquí le indicamos cómo comenzar. Como referencia, el Marco de Ciberseguridad (CSF) del NIST proporciona una estructura para implementar un programa de seguridad, que incluye la realización de una evaluación de riesgos inicial, la creación de un perfil de seguridad objetivo, el análisis y la priorización de brechas y la realización de un plan de acción. No es una regulación en sí misma, pero hace referencia a una serie de otras normas que se pueden aplicar a una función específica y vertical. Por ejemplo, los que están en el cuidado de la salud pueden centrarse en HIPAA e ISO. Extendiéndose a la nube pública, el CSF se puede utilizar junto con la nueva Guía complementaria de la nube de controles CIS que mapea los controles CIS 20 a IaaS, PaaS, SaaS y FaaS.

En última instancia, un enfoque unificado de la automatización de riesgos, seguridad y cumplimiento ofrece a las organizaciones una forma más extensible, precisa y rentable de proteger sus datos y aplicaciones híbridas. La implementación en múltiples nubes, las secuencias de comandos personalizadas y el aprendizaje automático son todas las capacidades críticas que permiten esta evolución.El Consejo de Tecnología de Forbes es una comunidad de invitación únicamente para CIO, CTO y ejecutivos de tecnología de clase mundial.¿Califico?

Fuente: www.forbes.com

Praveen Jain

Consejos Praveen Jain Forbes

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

Riesgos de no contar con un Data Privacy Officer en una empresa.


Por Mtro. Luis Mario Lemus Rivero 1 Agosto, 2018  

Tras la publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares(LFPDPPP) se han generado diversas dudas respecto a las medidas que tiene que implementar una empresa para cumplir con esta norma.

En general, se creía que el Aviso de Privacidad era el elemento fundamental para cumplir con la LFPDPPP, lo cual trae un riesgo para quienes así lo consideren, pues el Aviso de Privacidad no resuelve todos los problemas, ya que el Aviso únicamente presupone una obligación de muchas otras, como, por ejemplo, contar con un Data Privacy Officer (DPO) o departamento encargado de la protección de datos personales al interior de una empresa.

Esta obligación deriva del artículo 30 de la LFPDPPP, el cual a la letra refiere lo siguiente:

“Artículo 30. Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.”

En razón de lo anterior, las empresas deberán consagrar formalmente un departamento o designar un DPO que se encargue del cabal cumplimiento a la LFPDPPP, su reglamento, y demás normativa aplicable.

¿Qué riesgos existen si no tengo un DPO?

De conformidad con el artículo 63 de la LFPDPPP, no contar con un DPO constituye una de las causales de incumplimiento de la LFPDPPP; por lo que en caso de una revisión y/o auditoría de cumplimiento por parte de la autoridad correspondiente, la empresa (en su calidad de responsable o encargado) podría ser sujeta a una sanción económica, así como a un desgaste reputacional considerable, sin dejar de lado la responsabilidad penal en la que pudiera incurrir.

¿Cuáles son las funciones de un DPO?

El DPO tiene diversas funciones, dentro de las cuales destacan las siguientes:

  1. Tramitar las solicitudes que los titulares hagan respecto al ejercicio de sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO).
  2. Supervisar el cumplimiento de las obligaciones que se dispongan en materia de Protección de Datos Personales.
  3. La concientización y formación del personal que trate los datos.
  4. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales.
  5. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales para el uso de los documentos como Avisos de PrivacidadPolíticasManuales.
  6. Elaborar y difundir la política de privacidad y protección de datos personales implementada al interior de la empresa.
  7. Análisis de riesgo y política de prevención.
  8. Conservación de evidencias de cumplimiento.
  9. Implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de Datos Personales (SGSDP).
  10. Estudiar los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en el SGSDP que ha implementado la organización.
  11. Ser el representante de la organización en materia de protección de datos.
  12. Actuar como punto de contacto con la autoridad.
  13. Instrumentar y administrar procedimientos para la atención de dudas y quejas formuladas por los titulares, relacionadas con las políticas y prácticas de privacidad y protección de datos personales de la organización.
  14. Instrumentar y administrar procedimientos para la revocación del consentimiento de los titulares, así como para la solicitud de limitación del uso y divulgación de datos personales.

¿El DPO puede ser agente externo?

La ley no prohíbe o limita que un DPO pueda ser externo, esta responsabilidad puede recaer en un profesional de la propia plantilla de la compañía o empresa, especializado naturalmente en estas responsabilidades; o bien, puede ser un experto o empresa externa cuya figura y funciones deben quedar claramente determinadas mediante contrato.

Se recomienda que si el DPO es externo, haya una persona al interior de la empresa del responsable que funcione como canal o puente de comunicación para que, de manera conjunta, supervisen el flujo de la información, realicen las auditorías correspondientes, actualicen los programas y políticas de privacidad, capaciten al personal, hagan el análisis de brecha y riesgo, actualicen avisos de privacidad y atiendan cualquier ejercicio de derecho o cualquier procedimiento en materia de  protección de datos personales, entre otras actividades.

Contactanos para mas información

Mario Meneses

mario@c2csmartcompliance.com

+52 1 771 187 1152

Siniestro aéreo en Puebla: ¿asunto de seguridad nacional?


POR GERARDO RODRÍGUEZ  FEBRERO 28, 2019

El gobierno de México, a través de la Secretaría de Comunicaciones y Transportes (SCT) determinó reservar por cinco años los audios de las últimas comunicaciones, entre el piloto y torre de control, del fatal siniestro en el que fallecieron la gobernadora de PueblaMartha Erika Alonso, y su esposo, el senador Rafael Moreno Valle.

La guerra de declaraciones ya inició. El presidente del PAN, Marko Cortés, está claramente politizando el tema por las próximas elecciones en el estado al sugerir que pudo haber sido “un hecho provocado” ante la falta de información. El presidente de México Andrés Manuel López Obrador comentó que su recomendación es que exista “transparencia completa”. Cortés cae en la irresponsabilidad de sus declaraciones hasta que no concluya la investigación y el presidente no está debidamente informado porque no puede haber “transparencia completa” por el momento. Aquí les comparto mi análisis.

Investigaciones ante el MP. Una reserva clara de información contenida en el artículo 113 de la Ley General de Transparencia (LGTAIP) es que “se encuentre contenida dentro de las investigaciones de hechos que la ley señale como delitos y se tramiten ante el MP”. Hay una investigación en curso, por supuesto que se puede reservar la información. Este es la más importante de los argumentos de la SCT.

Información de agencias de inteligencia extranjeras y seguridad nacional. La cooperación internacional entre agencias de inteligencia de los países tarda años en construirse y puede terminar en un momento cuando un gobierno decide utilizarla con fines políticos. En el caso de Puebla se solicitó la cooperación de agencias aeronáuticas de EU y Canadá, sin embargo no es necesariamente un tema de seguridad nacional, a menos que se tenga información que vincule el hecho con delincuencia organizada. Este argumento es endeble.

Interés público. El PAN, medios de comunicación y cualquier persona puede argumentar que es mayor el interés público que la reserva de la información por cualquier escenario planteado en el artículo 113 de la LGTAIP. No será fácil la argumentación y seguramente el pleno del INAI estudiará el caso. Sin embargo, la Presidencia de la República a través de su Consejero Jurídico puede interponer un recurso ante la Suprema Corte en caso de que el INAI resuelva a favor de abrir dicha información.

Al clasificarse por cinco años se le da un periodo de gracia a las investigaciones para no afectar el debido proceso, se cuidan las relaciones con agencias extranjeras, no se trasciende la reserva a otra administración, es decir, se desclasificará en este sexenio si no se pide una extensión que puede ser por un plazo de otros cinco años. Lo mejor es no especular, dejar que corran las investigaciones y se presenten los resultados de este terrible acontecimiento.

Agenda estratégica: Recomiendo el libro de Santiago Nieto, titular de la UIF, sin filias ni fobias: memorias de un fiscal incómodo. Contiene un índice onomástico que puede identificar a personas políticamente expuestas en casos de corrupción.

gerardo_rsl@yahoo.com

@gerodriguezsl

Fuente: heraldodemexico.com.mx

Mario Meneses

mario@c2csmartcompliance.com

Saludos

Ciberabogados, nueva necesidad para el mundo jurídico


Sara Milena Cruz Abril

Redactora Ámbito Jurídico

Internet ha generado una revolución que brinda nuevas y amplias oportunidades en casi todos los aspectos de la vida, pero a la vez deja más vulnerables a las personas, empresas y organizaciones que interactúan en el ciberespacio.

Este panorama, en el que millones de datos viajan todo el tiempo por el mundo a la velocidad de la luz hace que surja la demanda de nuevos roles que enfoquen su atención en los novedosos intercambios sociales y comerciales.

Para nuestro caso, podemos hablar del ciberabogado como ejemplo de un profesional que afronta esta nueva realidad y los retos de la tecnología.

ÁMBITO JURÍDICO contactó a Álvaro Écija, managing partner del Exix Group, firma especializada en la prestación de servicios de compliance y ciberseguridad, y director académico del máster en ciberderecho ofrecido en España por la Universidad Católica de Murcia (UCAM), quien nos contó de que trata esta oportunidad de aprendizaje y su importancia.

¿Qué es el ciberderecho?

Esta disciplina busca detectar y actuar frente a los nuevos problemas que afectan a las personas y empresas desde el ciberespacio, los cuales se traducen en retos para los profesionales del Derecho.

La falta de regulación global de internet, qué derechos y responsabilidades surgen de un ciberataque, ante quién se puede reclamar el secuestro de información por ransomware, qué hacer si se suben contenidos a una plataforma cuyos servidores están en un tercer país, cómo configurar jurídicamente un sistema de connected car y la lucha contra la ciberdelincuencia son algunas de las problemáticas actuales a las que el abogado debe dar solución.

Por esta razón, surge la necesidad de obtener una formación académica y especializada que, además de actualizar de manera sólida al jurista, lo prepare para enfrentar de manera eficaz las actuales problemáticas del manejo de la información.

¿Por qué estudiar un máster en ciberderecho?

El abogado debe conocer y comprender cómo se regula internet y las tecnologías que convergen a su alrededor, para poder enfrentarse a esta nueva realidad con las competencias profesionales necesarias.

Por otro lado, debe despertar su espíritu crítico ante los retos jurídicos que traen los nuevos ciberproblemas, las cambiantes ciberamenazas y las nuevas tecnologías.

Así, dentro de los objetivos que se buscan alcanzar al iniciar esta nueva dinámica están conocer la organización de las relaciones en el ciberespacio; entender la estructura técnica de internet y la problemática jurídica; identificar desde el punto de vista práctico algunas de las amenazas que existen en internet; conocer las estrategias y mecanismos supranacionales, nacionales e individuales para combatir la ciberdelincuencia; detectar los problemas de identificación en el ciberespacio y, así mismo, las ventajas y desventajas de los sistemas utilizados.

Así mismo, busca conocer blockchain y sus principales usos; entender los principales aspectos del crowdfunding; desarrollar un conocimiento crítico que permita discernir la evolución del mercado, valorar la viabilidad de proyectos y nuevos modelos de negocio y conocer los principales sujetos que intervienen en el desarrollo de eSport.

¿Qué aprende un ciberabogado?

El abogado que decide capacitarse en esta disciplina ve durante algo más de un año asignaturas relacionadas con la introducción y el entendimiento del ciberderecho (filosofía del derecho); regulación del ciberespacio; ciberseguridad, ciberdelincuencia y ciberproblemas; identificación no presencial y contratación electrónica; blockchain; internet de las cosas (loT) e inteligencia artificial (AI); eSport (sector del juego online); modelos de negocio y financiación del emprendimiento digital y tributación en el ciberespacio.

¿Cuál es la importancia del máster para los abogados?

Internet es un espacio virtual donde las normas del juego han cambiado y donde han aparecido nuevos problemas que van más allá de la seguridad de la información como los bulos, las noticias falsas, el cyberbullying o la ciberextorsión, entre otros. Además, nuevas tecnologías como blockchain o la inteligencia artificial (AI) requieren de una reflexión jurídica.

Los abogados necesitan tomar conciencia del ciberespacio, formarse y adquirir técnicas orientadas a entender las nuevas reglas del juego y las implicaciones legales que traen las nuevas tecnologías. Solo de esta manera pueden ofrecer a sus clientes, personas físicas o empresas soluciones jurídicas adaptadas al ciberespacio.

Fuente: http://www.ambitojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Espacio Compliance en la CNMC: El Delegado de Protección de Datos en el Sector Público (DPD)


La AEPD va a ser “muy garantista” en relación a la propaganda electoral

“Los partidos políticos saben que es ilegal elaborar perfiles ideológicos de los ciudadanos”

Yolanda del Valle

“La situación actual no faculta a los partidos políticos a elaborar perfiles ideológicos individuales de los ciudadanos y, si un ciudadano recibe propaganda electoral por un medio digital y ‘sospecha’ que un partido político puede tener su perfil ideológico, debe denunciarlo ante la Agencia Española de Protección de Datos porque los partidos saben que eso es ilegal y vamos a ser muy garantistas”, afirmó ayer Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en respuesta a la preocupación manifestada por uno de los asistentes a la cuarta sesión de ‘Espacio Compliance’, dedicada en esta ocasión a hablar sobre ‘El Delegado de Protección de Datos en el Sector Público’.

Durante la ponencia de inauguración del evento celebrado en la Comisión Nacional de los Mercados y la Competencia (CNMC), Mar España destacó la importancia que tiene que organismos reguladores como la AEPD y la CNMC trabajen de manera conjunta dado el nuevo marco normativo que ha creado en nuestro país la nueva Ley Orgánica de Protección de Datos, aprobada el pasado 5 de diciembre, y el nuevo Reglamento Europeo de Protección de Datos (REPD), de plena aplicación en España desde finales de mayo de 2018.

La directora de la AEPD aseguró que “todos los organismos públicos, sin excepción, deben de tener un Delegado de Protección de Datos (DPD)”, y añadió que “la AEPD está haciendo una labor importante de formación de esta nueva figura en el sector público”.  Asimismo, destacó que la actividad desarrollada por los organismos públicos en materia de protección de datos “es clave, porque una ‘brecha’ de seguridad puede suponer la pérdida de la reputación para las administraciones públicas, además de las posibles sanciones administrativas o las responsabilidades penales que se pudieran derivar”, y aconsejó que los futuros DPD utilicen el servicio INFORMA, accesible desde la página web de la AEPD, para trasladar sus dudas o consultas en materia de protección de datos.

En relación a las sanciones económicas que pueda poner la AEPD por no respetar la privacidad en materia de protección de datos, Mar España afirmó que “cuando tengamos que ser serios lo vamos a ser, como lo hemos sido con Facebook imponiéndole una multa de 1,2 millones de euros antes del escándalo de Cambridge Analytica; pero también queremos ser comprensivos y acompañar en la adaptación a la nueva normativa a las organizaciones españolas, públicas o privadas, que lo necesiten”. En este sentido, animó a empresas privadas y organismos públicos a usar la herramienta FACILITA, que “es gratuita y ayuda a los DPD en el ejercicio diario de sus funciones”.  

Finalmente, destacó que “hay muchas reclamaciones que llegan a la AEPD que podrían resolverse mediante la conciliación fuera del ámbito administrativo o penal”, y que esta posibilidad “supone muchas ventajas para todos los implicados, aunque no impida que la AEPD pueda ejercitar su potestad sancionadora”.  

Por su parte, los invitados que participaron en la mesa redonda que se celebró tras la intervención de Mar España, todos DPD de importantes organismos públicos, debatieron sobre el papel de esta nueva figura en el sector público español, su independencia dentro de la organización y los canales de denuncia como mecanismos de control que pueden utilizarse en materia de protección de datos para denunciar ‘brechas’ de seguridad.  

“HAY MUCHAS RECLAMACIONES QUE LLEGAN A LA AEPD QUE PODRÍAN RESOLVERSE MEDIANTE LA CONCILIACIÓN FUERA DEL ÁMBITO ADMINISTRATIVO O PENAL”, AFIRMA MAR ESPAÑA, DIRECTORA DE LA AEPD.

DPD: ¿interno o externo?

Juan José Pérez Rodríguez, DPD de la CNMC, afirmó que “para la Administración Pública contratar a un DPD externo debería de ser la última opción” y abogó “por que sea interno por el valor que aporta el que sea alguien de la ‘casa’ que conoce bien los procedimientos y el funcionamiento de ese organismo público concreto”.

Mar Rubio Conteras, DPD de la Comisión Nacional del Mercado de Valores (CNMV), apoyó sus palabras afirmando que “el DPD es un mecanismo de resolución de conflictos amistoso que, si bien se puede externalizar en algunos casos, en el sector público es mejor que sea alguien de dentro por su cercanía y conocimiento de la organización”.

En relación a la independencia de esta figura clave en materia de privacidad y a la posibilidad de que esta responsabilidad recaiga en un cargo directivo o intermedio,  Juan José Pérez Rodríguez afirmó que “no es lo más adecuado ni favorece su independencia, puesto que ocupar un cargo directivo le fuerza a alinearse con la doctrina y estrategia de la organización”, y concluyó su intervención asegurando que “lo importante es que se trate de un perfil que genere confianza y que tenga comunicación directa con la alta dirección”.

Mar Rubio añadió que, como asesor, “su independencia se basa en el conocimiento que tenga de la organización para saber dónde poner los controles y dónde están los posibles riesgos”, y que es fundamental que el DPD “conozca el negocio o la actividad de su empresa ‘desde abajo’ y que esté convenientemente acreditado para ejercer su función con estándares de calidad”.

Canal de denuncias y Protección de Datos

En lo que respecta a la implementación de mecanismos de control como son los canales de denuncia en materia de protección de datos, Lluís Sanz Marco, DPD del Ayuntamiento de Barcelona, aseguró que “nuestro canal de denuncias no es interno, es externo, y está abierto a la ciudadanía para denunciar conductas que no sean éticas garantizando el anonimato y la confidencialidad de los datos que se aporten en la denuncia”, y concluyó asegurando que su funcionamiento en el Ayuntamiento de la Ciudad Condal está siendo “todo un éxito”.

José López Calvo, vocal de la Asesoría Jurídica y DPD del Consejo Superior de Investigaciones Científicas (CSIC), puntualizó que “las denuncias tienen que ser siempre investigadas, sean anónimas o no, por la propia seguridad de los responsables de la organización, en este caso de la Administración Pública”.

Juan José Pérez Rodríguez cerró su intervención añadiendo que es importante que la nueva Ley Orgánica de Protección de Datos haya incorporado el anonimato del denunciante, “aunque nuestro canal en la CNMC es confidencial, no anónimo”, puntualizó,  y avivó el debate en el último momento añadiendo que “lo que no tengo tan claro es que sea conveniente que exista un canal de denuncias interno que reciba únicamente denuncias relacionadas con protección de datos, con lo cual se entiende que en ese canal de denuncias genérico debe de haber siempre un ‘filtrado’ que involucre necesariamente al DPD”.   

“LO QUE NO TENGO TAN CLARO ES QUE SEA CONVENIENTE QUE EXISTA UN CANAL DE DENUNCIAS INTERNO QUE RECIBA ÚNICAMENTE DENUNCIAS RELACIONADAS CON PROTECCIÓN DE DATOS”, AFIRMÓ JUAN JOSÉ PÉREZ RODRÍGUEZ, DPD DE LA CNMC.

A modo de broche para clausurar el evento, todos coincidieron en que las partidas presupuestarias con las que cuentan en estos momentos los organismos públicos de los que son DPD se están dedicando, fundamentalmente, a capacitar y formar a funcionarios públicos en materia de privacidad y protección de datos, especialmente a los que trabajan en atención al público, y destacaron la importancia de contar con una herramienta de gestión que facilite el trabajo del DPD en la Administración Pública.

Autora: Yolanda del Valle

certificacion - diario juridico

Responsable de Comunicación & Marketing en Legal Compliance

Fuente: http://www.diariojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Mi Asesor del Riesgo/herramienta. Directores, Gerentes, Consultores, Asesores y Analistas del Riesgo, que se unen a la Tecnología de MyRA.


My Risk Assessor (MyRA) aborda los desafíos de proteger los activos con una solución rentable que realiza evaluaciones de riesgos y proporciona visibilidad del proceso de gestión.

MyRA estima la probabilidad de exposición a numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar las exposiciones de riesgo. Identificar el riesgo de los activos es cada vez más complejo y costoso. La mayor responsabilidad de las partes interesadas, las industrias y el gobierno se está exigiendo más que nunca. MRA ofrece una solución automatizada y asequible que es fácil de entender y de usar para los gerentes y el personal.

My Risk Assessor (MyRA) es una solución de SaaS alojada y desarrollada por Compliance MapperTM que ayuda a la administración a entender las responsabilidades y proporciona los medios para monitorear, medir y administrar el proceso de administración de riesgos.

MyRATM. es fácil de usar e integrado con la plataforma de Compliance Mapper de C2C. Las bibliotecas de tratamiento contienen y vinculan vulnerabilidades y controles, y pueden personalizarse con información de hoja de cálculo importada. Existe un componente de Análisis de impacto empresarial (BIA) para ayudar a crear continuidad e identificar y evaluar los costos relacionados con el impacto de pérdida / riesgo.

Beneficios: Modelo SaaS protegido – rentable y seguro
 · Extremadamente fácil de usar
 · Proporciona portabilidad de evaluaciones.
 · Capacidad de importación y exportación.
 · Bibliotecas de amenazas de activos estandarizadas
 · Calcula la expectativa de pérdida única y la expectativa de pérdida anual
 · Enlaces a controles y se alinea con los requisitos de ISO 27001 y NIST 800-53
 · Agiliza la implementación de ISO
 · Asigna riesgos a procesos internos: ahorro de tiempo y costos.
 · Asigna riesgos a las políticas, procedimientos y regulaciones con una simple actualización
 · Capacidades de análisis con propiedades de activos mejoradas (SLE y ALE) SOA para NIST e ISO 27001

My Risk Assessor (MyRA) tiene informes completos. Los informes incluyen: informes de riesgos de activos, declaración de aplicabilidad, planes de remediación de riesgos, análisis comparativo.

Contactanos para que te podamos dar una demostración gratis de los beneficios que tienen nuestra herramienta MyRA.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Ciudad de Mexico – Miami

¿Cómo fortalecer la seguridad informática en los negocios?


La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

Cuando se trata de seguridad cibernética, solía haber dos tipos de personas: aquellas enfocadas en crear un sistema cerrado que nunca pudiera ser violado, y quienes reconocieron que las tecnologías convergentes requieren un enfoque más centrado en el ecosistema. Muchos de los que pasamos por el mundo de los sistemas de seguridad física, habríamos estado firmemente en el primer campamento. Pero a medida que la industria ha pasado de ser analógica a la tecnología basada en IP y al nuevo ecosistema de IoT, todas las medidas de ciberseguridad puestas en juego (o la falta de ellas) pueden afectar todo lo demás en la red. 

Ahora hay prácticamente un solo tipo de persona: quienes creen que es imperativo que nuestros sistemas y dispositivos no solo converjan en un nivel operativo, sino también en un nivel de ciberseguridad.

De acuerdo con cifras oficiales, 9 de cada 10 empresas serán blancos de ataques o eventos cibernéticos en el mundo.1 Esto ha generado que una las prioridades de las empresas de todas las industrias y sectores tomen a la ciberseguridad como parte importante de sus preferencias, una tendencia que seguirá creciendo tomando en cuenta que estamos caminando hacia un mundo cada vez más conectado.

La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

México no ha sido una excepción a estos ataques, ya que el pasado 17 de abril un participante del Servicio de Pagos Electrónicos Interbancarios (SPEI) registró un ataque cibernético, de acuerdo con el Banco de México, que agregó que a partir de esa fecha se identificaron cuatro eventos más: dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo.

Ante esta situación, cualquier negocio puede sufrir amenazas de ciberseguridad. Y es que el sector del entretenimiento, como restaurantes y hoteles, también ha sido víctima de esto, un ejemplo es el caso del Hotel Marriot, que el año pasado dio a conocer sobre el robo de una lista de datos personales de sus huéspedes, donde se incluía nombres completos, direcciones, número de pasaporte, información de cuenta de Starwood Preferred Guest, y en algunos casos información de tarjetas de crédito y sus fechas de vencimiento, entre otros más.

En el caso de la atención médica, la seguridad de los pacientes y los empleados es de suma importancia, especialmente porque casi el 90% de las organizaciones de atención médica, experimentaron algún tipo de violación de datos dentro de los dos años de la publicación de esa investigación. Los pacientes y el personal confían en los centros de salud al proporcionarles su información privada, por lo que es responsabilidad de esos centros proteger los datos. 2

Desde el año pasado, se han visto mejoras en las modalidades que están utilizando los hackers para modificar el estilo de ataques, volviéndolos cada día más agresivos. En este momento las conexiones IP y tecnología IoT son objetivo de estas amenazas informáticas, incluso, el robo de información tiene diferentes modalidades: desde un celular, una computadora, hasta una cámara de vigilancia.

Existen virus que pueden infectar estos equipos para obtener información de las personas hasta el secuestro virtual de la información digital o ransomware, lo cual hace más vulnerable la privacidad de todos. Entonces, una de las preguntas que se deben hacer todos los negocios es, ¿cómo mantener una confianza digital ante el crecimiento de las tendencias de conectividad?, ¿qué factores se deben tomar en cuenta para brindar la seguridad y privacidad, tanto del mismo personal, así como de los usuarios de un negocio?

Ante esto, empresas de vigilancia y seguridad están trabajando e innovando en los sistemas de vigilancia inteligente, integrando cámaras de red para mejorar la protección de información de todas las personas. Axis Communications, empresa que trabaja para hacer un mundo más inteligente y seguro, sabe de la importancia que tiene el papel de la ciberseguridad hoy en día, es por esto que nos comparte algunos consejos para fortalecer la seguridad informática en los negocios.

  • Asegure una red de sistemas interconectados 

En un ecosistema convergente, como un escenario de seguridad física basado en IP, las amenazas y vulnerabilidades cibernéticas se vuelven mucho más complejas. No solo aumenta la cantidad de componentes, también aumenta la cantidad de proveedores que suministran esa tecnología y la cantidad de usuarios que acceden a ellos. Para mitigar los riesgos en este tipo de ecosistema abierto, es necesario que todos los proveedores operen con el mismo libro de jugadas de ciberseguridad.

  • Las políticas de seguridad son claves 

¿Podría existir una solución de aplicación universal? La respuesta es NO, ya que cada organización tiene necesidades de ciberseguridad específicas y únicas, no existe tal configuración de ciberseguridad. En su lugar, es importante contar con un conjunto de políticas de seguridad de la información para definir el alcance de la seguridad requerida.

Sin embargo, no se trata sólo de tener una política vigente. Como señaló IDC en su informe “Smart City: Secure by design” del año pasado, “también se trata de garantizar que todas las partes involucradas en la gestión del ecosistema de la ciudad sigan los estándares de la política de seguridad”.

La cantidad de dispositivos conectados en las ciudades seguirá creciendo rápidamente y las ciudades se verán afectadas por incidentes de ciberseguridad más o menos graves. Por lo tanto, es necesario estar bien preparado, y esto solo se puede lograr de la siguiente manera: Tener una política clara de seguridad cibernética que sea compartida y conocida por partes internas y externas.

  • Encontrar un terreno común para mitigar los riesgos cibernéticos 

Los fabricantes de TI, seguridad física y tecnología deberían estar trabajando como una unidad cohesiva para alcanzar un consenso sobre los estándares actuales y las tecnologías actuales de mitigación cibernética que realmente reflejen las técnicas de mitigación del riesgo cibernético del “Denominador más alto”.

En la mayoría de los casos, las cámaras de videovigilancia y el sistema de gestión de video (VMS) se seleccionan según dos criterios principales: 1) su uso específico previsto: protección del perímetro, vigilancia en áreas públicas abarrotadas, entradas y salidas de los negocios, etc., y 2) la fuerza del proveedor para satisfacer ese uso específico. Pero hay un tercer criterio que también debe considerarse: ¿el fabricante de la cámara A es compatible con los mismos protocolos de seguridad que el fabricante de VMS B, y estos protocolos se integran perfectamente con el conjunto actual de hardware, software y protocolos de protección cibernética de TI?

  • ¿Quién posee la conectividad?

Dado que el ecosistema se ejecuta en la infraestructura de TI, plantea otra pregunta importante: ¿Quién es responsable de la conectividad? ¿Las estrategias de ciberseguridad para los sistemas y dispositivos conectados a la red de seguridad física ahora pertenecen a TI? ¿O el departamento de seguridad física exige que las TI apoyen las tecnologías de seguridad informática incorporadas en las soluciones de seguridad física? La respuesta más simple es que la administración de la seguridad física necesita trabajar con integradores y fabricantes para diseñar soluciones que sean inherentemente compatibles con las metodologías actuales de TI para la mitigación del riesgo cibernético.

  • La ciberseguridad es un esfuerzo de equipo 

Las similitudes en las tecnologías de protección cibernética entre IoT y seguridad física pueden ser evidentes, pero hay algunas preocupaciones clave que deben permanecer a la vanguardia de cualquier creador de sistemas. No importa que tan sofisticados se vuelvan los dispositivos y sistemas de IoT, todavía funcionan en un mundo de TI. Y como tales, deben adoptar una estrategia de protección cibernética cooperativa. Las tecnologías maduras de IoT, como la seguridad física, deberán evolucionar para beneficiarse de algunas de las nuevas técnicas de protección cibernética de IoT.

  • Gestión de dispositivos escalable y eficiente 

Cuando tiene cientos, o incluso miles de dispositivos conectados, ya sean farolas, cubos de basura o cámaras, es fundamental que pueda realizar actualizaciones y configuraciones de forma automática en grandes cantidades, en lugar de hacerlo manualmente.

El trabajar juntos puede asegurar que las ciudades estén mejor preparadas para enfrentar la amenaza de la ciberseguridad en constante evolución y seguir siendo capaces de reaccionar rápidamente si la amenaza se materializa.

Fuente: www.addictware.com.mx

Mario Meneses

mario@c2csmartcompliance.com

+521 77871152

Saludos

Gestión de la seguridad integral e integrada en ciudades inteligentes: un proyecto de convergencia e integración física y lógica


Se trata de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y local (“glocal”) de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

18/02/2019
MANUEL SANCHEZ GÓMEZ-MERELO

Comunicación presentada al IV Congreso de Ciudades Inteligentes

Autor


Introducción

Este es un proyecto multidisciplinar planteado hacia los retos y demandas de cada entorno, diferenciando las necesidades de la Administración, de la industria y de los usuarios, desde la transversalidad de la “Gestión de la Seguridad Integral e Integrada” y como un proyecto de “Convergencia de la Seguridad Física y la Seguridad Lógica”.

Está basado, principalmente en:

  • Las necesidades del gobierno para poder: crear conciencia sobre la importancia de la seguridad; confianza de que se tiene suficientes recursos y prácticas para proteger las redes públicas, así como suficiente información para permitir la respuesta en situaciones de emergencia.
  • Las necesidades de la industria para poder: ofrecer seguridad para los sistemas y los servicios; brindar garantías y satisfacción al cliente, y ofrecer confianza y rentabilidad.
  • Las necesidades del usuario para poder: tener confianza en los medios de información y comunicación; prevención y protección ciudadana; seguridad y privacidad de su información.

Todo ello, con un carácter y objetivo multidisciplinar, generando acciones para: Incrementar la sinergia entre todas las partes interesadas como entes de vigilancia y control, entes de políticas y regulación, empresas y usuarios. Impulsar el desarrollo de normas compatibles a nivel global. Concienciar sobre las vulnerabilidades para proveer protección en forma independiente sobre las amenazas que están constantemente cambiando y pueden ser desconocidas.

El nuevo rol de las ciudades inteligentes, verdadero reto del siglo XXI. De manera general, el éxito futuro de las ciudades inteligentes radica en una especial planificación global y estratégica, con una visión de conjunto que incluya y coordine todas las áreas.

Esto ha de ser entendido como un verdadero proceso de gestión del cambio, hacia la transformación de la ciudad, planteado con una visión a medio-largo plazo y en el que formen parte todos los grupos de interés que confluyen en ella y en el que tampoco hay que olvidar la relación con el territorio y con el entorno próximo.

Una ciudad no será inteligente si no integra la triple vertiente del desarrollo sostenible aprovechando la oportunidad que los avances tecnológicos nos proporcionan.

Una sostenibilidad de las tres vertientes de forma coordinada: sostenibilidad económica, sostenibilidad ambiental y sostenibilidad social. De modo que todas las actuaciones proporcionen beneficios o mejoras en cada una de ellas.

En este sentido, las nuevas tecnologías y herramientas tecnológicas, las TIC, han de ser los instrumentos que han de posibilitar y facilitar ese salto cuantitativo y cualitativo hacia una mayor eficiencia y sostenibilidad.

Una ciudad Inteligente se consigue no meramente por acciones puntuales, sino por aplicación de una visión global a largo plazo. Hoy día estamos siendo testigos de cómo muchas ciudades se suben a la “moda” de las ciudades inteligentes o Smart City a través de la adopción o puesta en marcha de pequeños proyectos o iniciativas que incluyen algún proceso o simplemente una app tecnológica para incorporar el sello “inteligente” a sus denominaciones.

Pero tiene que haber algo más, una voluntad y un esfuerzo conjunto por acometer y gestionar ese proceso de cambio de forma real, rigurosa y con una amplia visión global de los objetivos.

A nivel internacional y nacional, las ciudades que así lo hacen logran un mayor nivel de implementación y obtienen mejores resultados de gestión, optimización de recursos y eficacia. Generan a su vez una ventaja competitiva frente a otras, siendo capaces de atraer más inversión y financiación (pública y privada) lo que redunda en mayores beneficios para las ciudades y sus ciudadanos, convirtiéndose en referencias a seguir.

Lo cierto es que alrededor de las llamadas ciudades inteligentes se está creando todo un ecosistema de trabajo conjunto entre ciudades, empresas, centros del conocimiento e investigación, nichos de emprendimiento, etc. y de importante transferencia de conocimiento y experiencia en muchos ámbitos y que está dando sus frutos.

Además, existe una fuerte inversión privada, principalmente por empresas del ámbito tecnológico, que llevan apostando por ello tiempo atrás con nuevas y específicas líneas y divisiones de negocio que están proporcionando soluciones en las ciudades, así como la aparición de nuevos nichos de mercado, en los que por ejemplo el Big Data, Open Data y el Data Mining, etc. se perfilan, como algunos expertos mencionan, como un nuevo sector económico: la economía de los datos.

Proyecto

El esquema de contenido del proyecto es el siguiente: Control y Gestión, Seguridad y Emergencia, Vigilancia y Seguridad Ciudadana, Sanidad y Salud, Transporte Urbano y Metropolitano y Servicios al ciudadano.

Control y gestión

Como primer objetivo del proyecto se trata de establecer una plataforma integral e integrada de control y gestión de las infraestructuras objeto de convergencia partiendo de la incorporación igualmente de los sistemas de análisis y evaluación de los riesgos, amenazas y vulnerabilidades identificadas y clasificadas en cada infraestructura, plataforma igualmente integrada para su evaluación permanente.

Seguridad y emergencia

Dado que el crecimiento de nuestras ciudades provoca que la gestión de la seguridad pública sea más compleja, para asegurarla es necesaria la coordinación de una gran cantidad de recursos disponibles que obligan al establecimiento de sistemas y metodologías de gestión en tiempo real y la optimización de los recursos.

Cualquier aplicación que integremos en la plataforma de gestión ayudará a optimizar la capacidad, y el tiempo de respuesta de los servicios de seguridad y emergencia será de gran utilidad en el ámbito de las ciudades.

Los servicios de seguridad y emergencias, como en ESPAÑA el 112, están diseñados bajo un criterio de servicios múltiples que permite integrar operativamente todos los medios y recursos implicados en este tipo de situaciones.

Los procedimientos determinan también los intercambios de información necesarios para conocer, en todo momento, el desarrollo de la gestión de la incidencia en un modelo del servicio que se desarrolla en dos niveles: RECEPCIÓN, ATENCIÓN Y GESTIÓN de las llamadas y MOVILIZACIÓN Y GESTIÓN de los recursos para atender adecuadamente las emergencias.

Vigilancia y seguridad ciudadana

En este punto, las aplicaciones pueden abarcar desde los servicios básicos de videovigilancia centrados en controlar determinadas zonas, a aplicaciones inteligentes que aseguran el control de los eventos masivos, a través de sensores que localizan y pueden identificar personas, objetos y vehículos como ayuda para la previsión de situaciones de aglomeración o incidentes. Para el caso de incendios se combinarían redes de sensores que ayudan a detectar de manera temprana este tipo de incidentes, así como redes de comunicación que permiten contactar con los centros de emergencia e intervención de manera inmediata, y así resolver la extinción del incendio en su desarrollo inicial.

Sanidad y salud

En planteamientos territoriales descentralizados, diversas entidades de sanidad y salud pueden participar en la GESTIÓN DE LA ATENCIÓN PRIMARIA y, por lo tanto, encuentran en la tecnología un aliado para ofrecer este tipo de servicios en el ámbito de las ciudades inteligentes.

Destacan las soluciones para el seguimiento del estado de salud a través de MEDICIONES DE SIGNOS VITALES usando biosensores y biometría mediante la monitorización de los pacientes y puede servir como puente entre el hospital y el hogar, permitiendo a los enfermos estar en sus casas y ser atendidos a distancia, tanto para diagnóstico como para tratamiento y seguimiento de la enfermedad.

En este planteamiento hemos de tener en cuenta igualmente la integración de la historia clínica electrónica para poder COMPARTIR INFORMACIÓN, y colaborar entre los hospitales y las consultas de atención primaria.

En FRIEDRICHSHAFEN (Alemania) se están desarrollando SISTEMAS DE TELEMEDICINA DISEÑADOS PARA MEJORAR LA ATENCIÓN MÉDICA. Por ejemplo, los diabéticos que utilizan el sistema de control de la diabetes GLUCOTEL ya no tienen que realizar visitas frecuentes a su médico pues este puede recuperar sus datos a través de un sistema remoto centralizado.

Igualmente importantes son los sistemas de teleasistencia social que contribuyen a FACILITAR LA VIDA INDEPENDIENTE DE PERSONAS CON NECESIDADES ESPECIALES, como son ancianos y enfermos. A estos se les suman los sistemas de localización que permiten ofrecer asistencia a domicilio a personas mayores en un tiempo más corto.

Es muy útil combinar el uso de datos y servicios de localización para plantear SERVICIOS QUE ALERTEN DE POSIBLES RIESGOS PARA LA SALUD. Un caso puede ser la aplicación “DON´T EAT AT” implantada en NUEVA YORK y que avisa con una notificación cuando el usuario entra en un restaurante que no cumple las normas de sanidad pública.

Transporte urbano y metropolitano

Sin lugar a dudas, una de las claves del proyecto de gestión integral e integrada para ciudades inteligentes, son las plataformas de control y seguimiento de los transportes urbanos y metropolitanos.

En este sentido, la integración de todas sus redes, la geolocalización de todos los elementos, la vigilancia y control en tiempo real de su funcionamiento y la gestión del desarrollo de incidencias, hace imprescindible e irreversible la gestión integral e integrada de todos sus recursos y convergencia en el entorno de todo el resto de infraestructuras.

Servicios al ciudadano

Si bien la ADMINISTRACIÓN ELECTRÓNICa es uno de los servicios en Internet que más se han desarrollado en los últimos años, es importante también la incorporación de los servicios de e-participación y aquellas iniciativas que, en general, FAVORECEN LA TRANSPARENCIA Y QUE CONTRIBUYEN A LA GOBERNANZA DE LOS MUNICIPIOS.

Ejemplo de uno de estos servicios es el del Ayuntamiento de la ciudad de Edimburgo, el cual ha adoptado una aplicación novedosa introduciendo a los ciudadanos en el diseño de los servicios ofrecidos.

En esta línea, LONDRES ha creado la “London Database”, que pone todos sus datos disponibles de manera abierta (LOCALIZACIONES DE ALQUILER DE BICICLETAS, PRECIOS DE VIVIENDAS, LOCALIZACIONES DE CAMPOS DE JUEGOS, ETC.) y está interesando a los negocios que quieren combinar los datos de clientes con datos de la ciudad y datos de ventas con el objetivo, por ejemplo, de ofrecer precios más ajustados a sus productos y servicios.

La analítica y la misión de servicio son piezas importantes de las ciudades inteligentes, sobre todo en lo referente a la generación de valor.

Material y método

La inteligencia y el conocimiento transversal son elementos clave, ya que habrá que coordinar y agrupar muchas áreas del conocimiento, con profesionales que cuenten con habilidades y capacidades multidisciplinares adecuadas, que sean capaces de acometer esa gestión integral e integrada de la seguridad en las ciudades inteligentes.

Alrededor del planteamiento de ciudades inteligentes se está generando todo un ecosistema de trabajo y transferencia de conocimiento entre Administraciones, empresas y universidades.

No obstante, a pesar del incremento de iniciativas, acciones, proyectos y propuestas que se están poniendo en marcha, en muchos casos ya implementadas y con resultados tangibles, es habitual encontrar una situación que se percibe como dispersa y heterogénea, generando mucho ruido alrededor de las ciudades inteligentes, y que están siendo cuestionada en muchos ámbitos precisamente por esa confusión, dispersión y falta de concreción generada, con el riesgo real de que se convierta más en moda pasajera que en solución necesaria a nuestro planteamiento de ciudades inteligentes.

Resultados

El esquema de contenido del proyecto en cuanto al resultado buscado y obtenido, es el siguiente: Integración y Convergencia, Continuidad de Funcionamiento, Sostenibilidad y Gobernanza, Accesibilidad y Movilidad, Resiliencia.

Integración y convergencia

La apuesta por plataformas de integración para la gestión global de la seguridad permite ubicar los puntos de control para monitorizar en vivo la información que nos aportan las soluciones tecnológicas de esta manera tener un control absoluto de todas las cámaras, sensores y dispositivos de control colocados en los diferentes entornos e infraestructuras.

Además, los sistemas de videovigilancia sirven como elementos disuasorios frente a hechos vandálicos o incidentes no deseables.

Por otro lado, la integración del complicado escenario las Tecnologías de la Información y las Comunicaciones (TIC) pueden ser un importante valor añadido.

Un ejemplo es el proyecto “WikiCity” desarrollado por el “SENSEABLE CITY LAB DEL MIT” que ha implantado experiencias en la ciudad de Roma usando los teléfonos móviles de los habitantes para obtener información en tiempo real y presentarla de manera gráfica mediante mapas.

Partiendo de la necesidad de comunicaciones en común, una característica que define a las ciudades inteligentes es la capacidad de los sistemas de componentes para interoperar.

Continuidad y funcionamiento

De manera transversal, todas las plataformas y sistemas de integración y convergencia de las seguridades han de mantener un denominador común como objetivo y es garantizar la continuidad y funcionamiento de los sistemas e infraestructuras de las ciudades inteligentes.

Continuidad y funcionamiento que se hace más imprescindible en aquellas infraestructuras denominadas y clasificadas como críticas, imprescindibles para la prestación de los servicios vitales.

Sostenibilidad y gobernanza

En la actualidad las ciudades cuentan con mucha información sobre su funcionamiento, pero casi toda está distribuida en paquetes de información independientes. Información no conectada y que no permite realizar un análisis completo y complejo del funcionamiento o incidencias.

Por otra parte, con relación a aspectos ambientales de la sostenibilidad, cabe mencionar como otra muestra de la aplicación de las normas el MANDATO DE NORMALIZACIÓN DE LA COMISIÓN EUROPEA en apoyo de la implementación de la COMUNICACIÓN RELATIVA A LA ESTRATEGIA DE LA UE EN MATERIA DE ADAPTACIÓN AL CAMBIO CLIMÁTICO. Dentro de los objetivos del MANDATO, destaca el asegurar infraestructuras que resistan el cambio climático, destacando tres prioritarias: transporte, energía y construcción.

Accesibilidad y movilidad

Para gestión y control del tráfico de vehículos en los entornos urbanos existen soluciones innovadoras e inteligentes basadas en la lectura de matrículas y análisis de comportamientos. Estos servicios ofrecen multitud de ventajas en cuanto a la gestión y optimización para el beneficio del ciudadano, disminuyendo problemas, accidentes, atascos, consumos energéticos y reduciendo la contaminación.

Todo ello integrado en una plataforma global que complementa la gestión inteligente de las ciudades, a través de cartografía 3D o fotografía aérea de gran detalle, que permite la interactuación de todos los elementos integrados como cámaras de seguridad, semáforos, luminarias, control y gestión del mobiliario urbano, etc.

El valor de toda esta información se incrementa de manera exponencial cuando se mezcla con datos de carácter público, privado y comercial. El ejemplo del proyecto “Live Singapore” pone de manifiesto como la combinación de datos básicos de móviles con previsiones meteorológicas puede mejorar los flujos y la localización de los taxis y servicios públicos.

Resiliencia

Después de analizar cómo se puede captar, integrar y compartir la información entre las infraestructuras y servicios en las ciudades inteligentes, es importante conocer qué RIESGOS HAY EN DIRIGIRSE HACIA ESTE TIPO DE SERVICIOS Y CÓMO PUEDEN GESTIONARSE Y MINIMIZARSE.

Al compartir datos entre servicios surge un nuevo reto sobre la seguridad de la información, LA PROTECCIÓN DE LOS DATOS Y LA PRIVACIDAD. Por ejemplo, compartir datos en la nube puede suscitar dudas sobre el uso de los datos para un fin distinto al original, y sobre si se está accediendo a los datos personales, almacenándolos y procesándolos.

A medida que los sistemas van descendiendo en aplicación hacia edificios, viviendas, empresas y personas, el riesgo, la amenaza de perder la privacidad crece, así como la necesidad garantizar la confianza y seguridad.

Con respecto a la resiliencia de los canales de prestación de servicios en una CIUDAD INTELIGENTE, el éxito dependerá seriamente de que tenga una infraestructura digital que sea robusta y segura. Si los servicios críticos se vuelven dependientes de infraestructuras y sistemas inteligentes no especialmente protegidos, las interrupciones del servicio y los fallos en los equipos pueden llegar a tener un impacto o consecuencias importantes.

También es probable que surjan las cuestiones relativas a la RESILIENCIA y la planificación del fallo de los sistemas críticos. Todo sistema de ciudad inteligente debe tener redundancia, y debido a la enorme cantidad de puntos de información y de datos que se prevén en la ciudad inteligente, habrá elementos de ésta inherentes a cualquier otra ciudad.

Las normas existentes también se pueden aplicar a la mejora de la RESILIENCIA DE LAS CIUDADES INTELIGENTES, considerando la protección y seguridad de los ciudadanos.

Conclusiones

A modo de conclusiones cabe subrayar que se trata del planteamiento de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y glocal de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

Como se ha descrito, el esquema básico de contenido y objetivos del proyecto es la integración global del Control y la Gestión, la Seguridad y Emergencia, la Vigilancia y Seguridad Ciudadana, la Sanidad y Salud, el Transporte Urbano y Metropolitano y los Servicios de valor al ciudadano.

Finalmente, la búsqueda de resultados de este proyecto multidisciplinar de integración de las seguridades se realiza a través: de la Integración y Convergencia, la Continuidad de Funcionamiento, la Sostenibilidad y Gobernanza, la Accesibilidad y Movilidad, y la Resiliencia.

Fuente: www.tendencias21.net

La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores.


La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores. Tener un paquete actualizado de Microsoft, no será suficiente, pues a medida que avanza la tecnología, crecen los ataques cibernéticos.
Pensando en las empresas, Microsoft ha desarrollado un paquete completo que incluye Office 365, Windows 10 y Enterprise Mobility + Segurity.
El ideal de un conjunto completo de programación es aumentar la productividad a la vez que aumenta la seguridad de los dispositivos electrónicos de trabajo.

¿Cómo se adapta la propuesta de Microsoft a las empresas?

La solución de seguridad creada por Microsoft funciona simplificando los procesosadministrativos y proporcionando herramientas de gestión de dispositivos.
Para ello, presenta versiones de Enterprise para grandes empresas y Business para PYMES y empresas con un volumen no mayor a 300 empleados. Esto demuestra que Microsoft ha pensado en soluciones que realmente correspondan a las necesidades de cada tipo de empresa.

¿En qué consiste la solución desarrollada por Microsoft para empresas?

Esta, es la solución con mayor crecimiento que ha desarrollado Microsoft. Fue presentada en la conferencia mundial de partners, Microsotf Inspire, en 2017. En ella, se dieron a conocer importantes ofertas para Microsoft 365, especialmente aquellas dedicadas a la seguridad y el cumplimiento.
Dos de las ofertas añadidas a la suite son:

  • Identify & Threat Protection: Este nuevo paquete, se ha creado para la protección de identidad y seguridad para Office 365, Windows 10 y EMS. Creada para proteger aplicaciones en la nube de Microsoft y Active Directory de Azure.
  • Information Protection & Compliance: dirigido a la protección de información y cumplimiento, en un paquete de Office 365 Advance Compliance y Azure Information Protection. Busca realizar evaluaciones preventivas de riesgo a los servicios de Microsoft Cloud.

¿Qué beneficios ofrece la nueva oferta de Microsoft?

Es un beneficio muy alto a las empresas, por ser soluciones ajustadas a las necesidades de las empresas. Además, el precio por usuario es asequible, aproximadamente 54€ al mes. El precio, además está configurado para no afectar el valor de los planes ya existentes. No se pretende aumentar precios, sino por el contrario, ampliar y mejorar la cartera de servicios.

¿Cómo desarrolla Microsoft la oferta de seguridad para empresas?

Los ataques cibernéticos son la amenaza del siglo XXI, dónde la información y comunicación se ha compactado en dispositivos electrónicos que almacenan su información en nubes.

Microsoft dispone de al menos 3500 profesionales de ciberseguridad, que trabajan en pro proteger, defender y responder a las amenazas cibernéticas por medio de actuaciones seguras y la prevención de ataques.
Además, sabiendo el crecimiento exponencial del mundo tecnológico en la cotidianidad y el ámbito laboral, Microsoft se ha convertido en el mayor impulsor de asociaciones tecnológicas que trabajan en normativas en el sector por la lucha de condiciones iguales de protección para todos los usuarios.
Microsoft, además, busca que la información sea extendida a todo el mundo, por eso ha desarrollado blogs de Microsoft Security, informes publicados sobre inteligencia de seguridad y reuniones públicas que tratan temas sobre Gestión de Acceso e Identidad de Gartner, llevada a cabo en diciembre de 2018.

Si estas buscando proteger tu información, nosotros te ayudamos a implementar un Sistema de Gestión de Seguridad de la Información para que logres una Certificación en Normas ISO.

Fuente: www.lukor.com

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos cordiales

Sistemas de Gestión de Seguridad de la Información SGSI.


Los sistemas de gestión están basados en normas internacionales que permiten controlar distintas facetas en una empresa, como la calidad de su producto o servicio, los impactos ambientales que pueda ocasionar, la seguridad y salud de los trabajadores, la responsabilidad social o la innovación.

La Organización Internacional de Normalización (originalmente en inglés: International Organization for Standardization, conocida por la abreviación ISO) es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de estandarización.

Fundada el 23 de febrero de 1947, la organización promueve el uso de estándares propietarios, industriales y comerciales a nivel mundial. Su sede está en Ginebra (Suiza)

ISO es una organización voluntaria cuyos miembros son autoridades reconocidas en estandarización, cada uno representando a un país. Los miembros se reúnen anualmente en la Asamblea General para discutir los objetivos estratégicos de ISO. La organización está coordinada por un Secretariado Central con sede en Ginebra.

El Comité Conjunto Técnico ISO/IEC 1 (JTC 1) fue creado en 1987 para “desarrollar, mantener, promover y facilitar los estándares relacionados con la Tecnología de la Información“.

Un sistema de gestión está especialmente recomendado a cualquier tipo de organización o actividad orientada a la producción de bienes o servicios, que necesiten de la gestión de sistemas una herramienta útil para mejorar su empresa.

La norma ISO/IEC 27001 Seguridad de la información es la herramienta que te  permite garantizar que la información que gestionas se trata de forma segura minimizando y controlando una posible pérdida de datos. Asimismo, te proporciona una ventaja competitiva, se reducen los costes debido a incidentes y la minimización de amenazas, se establecen áreas de responsabilidad en toda la organización, alineándose las políticas de  seguridad de la información con los objetivos de la organización.

Podrás garantizar a tu cliente que se cumplen las obligaciones legales y que se gestiona y minimiza la exposición al riesgo.

Un sistema de gestión es una metodología que te ayudará a visualizar y administrar mejor la empresa, área o procesos, así como para lograr mejores resultados a través de acciones y toma de decisiones basadas en datos y hechos.

Un sistema de gestión es una herramienta que toda empresa u organización debe tener para controlar su operación administrativa. Con ella se analizan los rendimientos, se administran los riesgos, y al mismo tiempo se trabaja de manera más eficiente y sostenible.

Los sistemas de gestión son programas diseñados para manejar las políticas y los procedimientos de una organización de manera eficaz.

Que es un SGSI ?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros.

El propósito de un Sistema de Gestión de la Seguridad de la Información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada

Un correcto proceso de identificación de riesgos implica:

• Identificar todos aquellos activos de información que tienen algún valor para la organización.

• Asociar las amenazas relevantes con los activos identificados.

• Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.

• Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.

Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Eliminar el riego. Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue realmente a producir.

Mitigarlo. En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo. En definitiva, se trata de implantar las medidas preventivas o correctivas necesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo.

Trasladarlo. Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información. Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.

Cómo automatizar el Sistema de Gestión de Seguridad de la Información según ISO 27001.

En C2CSmartCompliance tenemos un software de automatización que te permite llevar a cabo una gestión muy eficaz y exhaustiva de cualquier tipo de riesgo: operacionales, financieros, industriales, legales u operativos, ajustándolos a las necesidades de las organizaciones y facilitando la adecuación a la normativa.

Si estas buscando una certificación en las normas ISO 27001, ISO 22301 e ISO 20000, nosotros podemos ayudarte en la implementación de un Sistema de Gestión.

Contactanos para una entrevista y demostración de nuestros servicios.

Mario Meneses

Account Manager

Ciudad de Mexico

mario@c2csmartcompliance.com

+521 7711871152

Conmemoran Día Internacional de Protección de Datos Personales


10 febrero, 2019 at 10:08 am

OAXACA, Oax. (sucedióenoaxaca.com/vía IAIPO).- Para reflexionar sobre el Derecho a la Protección  de Datos Personales y generar conciencia sobre el uso responsable de las tecnologías de la información, el Instituto de Acceso a la Información Pública y Protección de Datos Personales de Oaxaca (IAIPO) y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), realizaron con éxito un evento conmemorativo en el Teatro Juárez de la ciudad de Oaxaca.

Al dar la bienvenida al evento, el Comisionado Presidente del IAIPO, Francisco Javier Álvarez Figueroa, señaló que hoy en conjunto con el INAI, el IAIPO celebra la incorporación del Derecho a la Protección de Datos Personales en la Constitución.

Puntualizó que Oaxaca ha sido un referente en materia de Protección de Datos Personales, ya que tiene una Ley desde 2008 y, en 2017, homologó la legislación local con la Ley General, por lo que agradeció la distinción de que Oaxaca haya sido elegido por el INAI para conmemorar esta fecha tan importante.


Panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”.

Álvarez Figueroa reconoció al Comisionado Eugenio Monterrey Chepov por impulsar la agenda nacional en materia de Protección de Datos Personales; asimismo, agradeció el acompañamiento de la Comisión de Transparencia, Acceso a la Información y Congreso Abierto de la LXIV Legislatura del Congreso Local a través de su presidenta María de Jesús Mendoza Sánchez.

En su oportunidad, la Diputada María de Jesús Mendoza Sánchez señaló que el evento que realiza el IAIPO y el INAI para reflexionar sobre la Protección de Datos Personales sea de utilidad, para que los ciudadanos conozcan las implicaciones de compartir información en redes sociales, por ejemplo.

Mientras que Maximino Vargas Betanzos, subsecretario de Contraloría Social y Transparencia, señaló que el Día Internacional de Protección de Datos Personales nos permite reforzar el conocimiento de este derecho, y consideró que los avances tecnológicos tienen un costo para las personas y que hace falta legislación mexicana para el uso de los servicios de internet.


Comisionado del INAI, Eugenio Monterrey Chepov.

La Conferencia Inaugural que dictó el Comisionado del INAI, Eugenio Monterrey Chepov, matizó el origen y desarrollo legislativo de los datos personales en México, los casos que el INAI ha resuelto y los retos en esta materia.

Monterrey Chepov afirmó que, con las reformas en materia de protección de datos personales, México se sumó al grupo de países que garantiza un derecho fundamental de tercera generación.

Como dato relevante, señaló que el INAI ha impuesto un total de 424 millones de pesos por concepto de multas por mal manejo de datos personales. “Entre los principales retos en esta materia, es que todos los mexicanos sepan que tienen este derecho y saber que existen los organismos que lo garantizan”, refirió el comisionado del INAI.

Dialogan sobre la Protección de Datos

Como parte del programa conmemorativo del Día Internacional de Protección de Datos Personales Oaxaca 2019, se desarrolló el panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”, bajo la moderación del comisionado del IAIPO, Juan Gómez Pérez, en donde participaron Aída Ruíz García, titular del Instituto Oaxaqueño de Atención al Migrante (IOAM); Juan Rodríguez Ramos, visitador general de la Defensoría de los Derechos Humanos del Pueblo de Oaxaca (DDHPO);  Edith Matías Juan, representante del Centro Profesional Indígena de Asesoría, Defensa y Traducción A.C. (CEPIADET) y Blanca Alicia Islas Maldonado y Edgar Nazario Luján del Sistema DIF Oaxaca, quienes compartieron sus experiencias en materia de Protección de Datos Personales desde sus espacios de acción.

Fuente: sucedioenoaxaca.com

Te ayudamos con los Sistemas de Gestión de Seguridad de la Información.

Mario Meneses

mario@c2csmartcompliance

+521 7711871152

Ciudad de Mexico

Saludos

MyRiskAssessor / Gestión del Riesgo


MyRiskAssessor ™ (Myra) aborda los desafíos de la protección de los activos con una solución rentable que lleva a cabo evaluaciones de riesgo y proporciona visibilidad de los procesos de gestión. 

Myra estima la probabilidad de exposición de numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar la exposición al riesgo. La identificación de riesgos de activos es cada vez más complejo y costoso. 

El aumento de la rendición de cuentas de los interesados, las industrias y el gobierno se exige ahora más que nunca. Myra ofrece una solución asequible que es fácil de entender y utilizar por los administradores y el personal.

Myra proporciona visibilidad y la comprensión de los valores de los activos y las actividades en torno a ellos. Además, la comprensión de la postura del riesgo de los activos permite la gestión para garantizar la adecuada protección de los mecanismos, los presupuestos y los recursos que se han establecido, asignado y supervisado.

Myra ayuda a la gerencia a entender quienes son responsables y proporciona los medios para monitorear, medir y gestionar el proceso.

Fuente: http://c2csmartcompliance.com/en/products/myriskassessor/

Informes

Pregunta por nuestros demos y los descuentos que tenemos en el uso de MYRA, no te quedes con las ganas de conocer esta herramienta para la Gestión del Riesgo.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Domina la Auditoría de un Sistema de Gestión de la Continuidad del Negocio (SGCN) basado en la norma ISO 22301 ​


La norma ISO 22301 está diseñada para proteger, reducir la probabilidad de ocurrencia, estar preparados, responder y recuperarse de incidentes disruptivos cuando surgen. Con SGCN, su organización está preparada para detectar y prevenir amenazas y continuará operando sin mayores impactos y pérdidas.


Beneficios de una certificación ISO 22301:

  • Amplíe sus conocimientos sobre cómo un sistema administración de continuidad de negocios lo ayudará a  cumplir los objetivos de negocios.
  • Adquirir los conocimientos necesarios para gestionar un equipo en la implementación de la norma ISO 22301.
  • Fortalecer la gestión de su reputación.
  • Aumentar la fiabilidad de tu cliente
  • Identificar riesgos y minimizar el impacto de incidentes.
  • Mejorar el tiempo de recuperación.
  • Lograr el reconocimiento internacional.

Informacion general

  • Las cuotas de certificación se incluyen en el precio del examen
  • Se entregará un manual a cada alumno que contiene más de 450 páginas de información y ejemplos prácticos
  • Se entregará a los participantes un certificado de participación de 31 EPC (Educación Profesional Continua)

México 

Contacto: info@intiq.mx
Tel: 55-7586-7574
www.intiq.mx

USA

Contacto: info@intiq.biz

Tel:+1-305-330- 6337
www.intiq.biz

Fuente: www.intiq.mx

Informes

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Consecuencias legales del robo de información en una empresa.


Por Mtro. Luis Mario Lemus Rivero 

Uno de los problemas que más aquejan a las empresas, es el robo de bases de datos. Desde información personal, confidencial y hasta secretos industriales o “know how”, pero ¿qué implicaciones legales tienen este tipo de conductas para los trabajadores?, ¿cómo prevenir o mitigar los riesgos al interior?, ¿hay implicaciones legales para la empresa que no previenen este tipo de conductas?

Aunque no es muy conocido, el robo de información al interior de una empresa tiene graves consecuencias tanto legales como reputacionales que pudieran traer consigo diversas sanciones económicas, la responsabilidad penal para la empresa y la quiebra de esta.

Por lo que hace al robo de información personal, el artículo 67 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone que, al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, se le impondrán de tres meses a tres años de prisión.

Esto es, que, si uno de nuestros empleados vulnera la base de datos de la empresa con un ánimo lucrativo, estará cometiendo este delito.

Asimismo, dicho ordenamiento en su artículo 68 dispone que, al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos se le sancionará con prisión de seis meses a cinco años.

Por otra parte, el artículo 211 bis 1, párrafo segundo, del Código Penal Federal, dispone que al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión.

No podemos perder de vista que, de conformidad a los artículos  210 y 211 del Código Penal Federal, se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad al que sin justificación revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto, y de uno a cinco años de prisión, multa de cincuenta a quinientos pesos y suspensión de profesión, cuando la revelación sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.

Ahora bien, en razón de lo dispuesto por los artículos 27 bis del CPDF y 421 del Código Nacional de Procedimientos Penales, entre otras, las empresas (personas morales) serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización.

Por su parte, la Ley Federal de Trabajo contempla como causal rescisión de la relación de trabajo sin responsabilidad para el patrón, revelar los secretos de fabricación o dar a conocer asuntos de carácter reservado, asimismo, dicho ordenamiento dispone que es obligación de los trabajadores guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa, quedando prohibido usar los útiles y herramientas suministrados por el patrón, para objeto distinto de aquél a que están destinados.

En razón de lo anterior, podemos determinar que cualquier conducta que llegue a realizar un trabajador y que viole o ponga en peligro la confidencialidad de la información y/o utilice las herramientas de trabajo para un uso distinto al que se le asignaron, será causa justificada para dar por terminada su relación laboral con causa justa para el patrón.  Por ejemplo: Un trabajador da de alta en la computadora que se le asignó para el desempeño de sus actividades –propiedad de la empresa– su correo electrónico personal para sustraer, enviar o almacenar información privilegiada y confidencial de la empresa. En este caso el empleado está vulnerando la confidencialidad de la información mediante el uso distinto a una herramienta que por motivo de trabajo se le asignó.

No omito señalar que este tipo de conductas son incluso violatorias de la Ley de Propiedad Industrial, la cual protege los secretos industriales y las bases de datos, sancionando a quienes atenten en contra de esto, con penas que van de dos a seis años de prisión, así como multas de cien a diez mil días de salario mínimo.

A tal efecto, es sumamente recomendable que el personal de nuestros negocios sepa de las consecuencias de realizar dichos actos. Esto se puede transmitir a través de capacitaciones y programas de concientización continua, lo que hará que quien esté dispuesto a cometer este tipo de conductas, lo piense dos veces.

Es indispensable implementar una estricta Política de Protección de Datos Personales y de Seguridad de la Información, que sea congruente una con otra y que su incumplimiento tenga consecuencias.  Por otra parte, se recomienda implementar un programa de prevención de delito y/o “compliance pogram” para evitar una responsabilidad pena para la empres, así como medidas de seguridad físicas, técnicas y administrativas que tengan como propósito proteger la información al interior del negocio.  Es fundamental que se asignen y firmen contratos de confidencialidad, lineamientos, responsivas por las herramientas que se les asignan a los trabajadores, para que, si ocurriese un incidente, podamos asociar la herramienta con la persona, así como documentación de prevención desde el proceso de contratación y documentos de salida en caso de renuncia o despido para proteger la información.

Resulta de vital importancia cuidar la información al interior de nuestro negocio, no hacerlo pudiera tener graves consecuencias tanto para la empresa, como para las personas que cometieron alguno de los actos referidos a lo largo del presente análisis.

En conclusión, este tipo de conductas para el trabajador esto puede constituir un delito, una causal de rescisión laboral, así como una violación a la Ley de la Propiedad Industrial, teniendo como consecuencia la prisión, multas económicas, jornadas de trabajo a favor de la comunidad, así como la pérdida de la profesión, sin embargo, la divulgación, pérdida y/o uso indebido de la información privilegiada y/o confidencial puede constituir responsabilidad penal para la empresa, así como un impacto reputacional y económico considerable, que incluso puede traer como consecuencia la quiebra de esta.

Fuente: forojuridico.mx

Saludos

Mario Meneses

mario@c2csmartcompliance.com

Construcción de capacidades espaciales para México estratégico en la cuarta transformación.


“Que la gente se dé cuenta de la importancia del tema espacial”: Secretario Jiménez Espriú • “El espacio es un bien social”: Mendieta Jiménez

Con el propósito de impulsar en la Cuarta Transformación la construcción de capacidades en el tema espacial en nuestro país y en las nuevas generaciones, el Secretario de Comunicaciones y Transportes (SCT), Ing. Javier Jiménez Espriú, recibió al Director General de la Agencia Espacial Mexicana (AEM), Dr. Javier Mendieta Jiménez, y a su equipo cercano de colaboradores.

Con la presencia de la Subsecretaria de Comunicaciones y Desarrollo Tecnológico de la SCT, Mtra. Salma Jalife Villalón, el Secretario Jiménez Espriú, pionero del tema espacial-satelital en México, y quien fuera actor clave para dotar a nuestra nación de su histórica primera generación de satélites Morelos I y II en 1985, destacó la relevancia de “Que la gente se dé cuenta de la importancia del tema espacial”.

“En la Cuarta Transformación vamos a hacer lo que se necesita para desarrollar al país, conectar a la gente, construir infraestructura y comunicaciones, así como, a través de este rubro espacial, atraer las vocaciones de nuestros jóvenes hacia ciencia, tecnología, ingeniería y matemáticas (STEM) para construir capacidades tecnológicas para nuestro país”, expresó el Secretario.

Por su parte, Mendieta Jiménez refrendó el compromiso de la AEM, organismo descentralizado de la SCT, para impulsar el concepto de “el espacio como bien social”, sobre todo en beneficio de los más vulnerables, y de continuar este desarrollo con austeridad presupuestal como toda una filosofía y convicción, pues la AEM siempre ha sido pionera en hacer más con menos.

La gente debe saber que el espacio es importante porque sirve para conectar a la población con la tecnología de telecomunicaciones y satélites, mismos que contribuyen para la protección de la población (sobre todo la más vulnerable) ante desastres naturales, la educación a distancia, apoyo a agricultura, llevar servicios de salud a comunidades apartadas, o hasta hablar por celular, mensajear, o llegar a nuestros destinos por satélite vía GPS, entre otros beneficios, explicó.

“Por todo ello, es de gran orgullo para nuestro país, que nuestra juventud mexicana aparezca cada vez más en los medios ganando competencias internacionales del tema espacial, así como el que nuestros ingenieros satelitales mexicanos estén al nivel de los mejores del mundo, y objetivamente todo eso comenzó con los Morelos I y II, en aquel 1985, con los esfuerzos titánicos de tan respetados pioneros como el Ingeniero Javier Jiménez Espriú”, destacó Mendieta.

Dado que en esta era de Internet y las tecnologías de la información, el impulso en la construcción de las capacidades STEM y en materia espacial de nuestro país serán estratégicas para beneficio del país, de allí el gran compromiso de la AEM para redoblar esfuerzos y contribuir a inspirar e impulsar a nuestra juventud, de la que será todo el mérito, a hacer historia en el Gobierno del Presidente López Obrador, concluyó.

Fuente: www.gob.mx/aem

Muy interesante tema en esta transformación digital, si necesitas asesoría en Seguridad Informática, quedamos a tus ordenes.

Saludos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

¿Sabías que las Smart-homes son cada vez más populares?


En la película “Odisea en el espacio” el Hal 9000 era un superordenador que funcionaba como unidad central, monitorizando y controlando todas las funciones de la nave espacial. Salvando las diferencias, existe una similitud con las Smart-homes que permiten controlar todos los aparatos y monitorizar su actividad al estar conectados a una misma Red.

¿Cómo ha evolucionado el concepto de domótica?

Seguro que te suena o habrás oído hablar del concepto conocido como el Internet de las cosas o Internet of Things (IoT), es decir, el conjunto de dispositivos y sensores conectados entre sí que se encargan de recoger y enviar datos de su entorno a un servidor centralizado o en la nube. Cuando nos referimos a aquellos dispositivos que intercambian información dentro de nuestros hogares, estamos hablando de domótica, y como la máxima expresión de ésta, encontramos las Smart-homes.

La invención del concepto de domótica se le atribuye al físico e inventor Jhoel Spira, quien en la década de los cincuenta trabajaba para una compañía aeroespacial donde empleaba un transistor (tiristor) para uno de sus proyectos. Entonces, se le ocurrió la idea de que éste podía ser utilizado para variar la intensidad de la luz, y fue así como inventó un atenuador para su hogar, capaz de captar el estado de ánimo y usarlo como recurso a la hora de graduar la intensidad de la luz.

El objetivo de Jhoel era que todas las personas pudieran disponer de uno en sus hogares, lo cual era una idea muy revolucionaria para la época. El sector de la domótica continúa en constante crecimiento. Los últimos datos obtenidos por CEDOM (“Asociación Española de Domótica e Inmótica”) revelan que el volumen de facturación de los sistemas de control y automatización fue de 50,5 millones de euros en 2016, lo que supone un incremento del 12% con respecto al registrado en el año anterior.

Estudio de mercado del sector de la domótica en el quinquenio 2012 - 2016

En los últimos años, cada vez más constructoras apuestan por la transformación del hogar tradicional al hogar domotizado, llegando incluso a crear edificios o urbanizaciones totalmente conectadas entre sí.

En España, a diferencia de otros rincones del planeta donde la implantación de la domótica podrá llegar al 50% en la próxima década, es posible que no alcancemos el 30%. Según los expertos, esta diferencia puede estar relacionada con la asociación de este tipo de hogares con el lujo y los altos precios. No obstante, esto ha cambiado mucho y ya disponemos de una gran variedad de dispositivos inteligentes a precios muy asequibles, con los que domotizar nuestro hogar.

Este tipo de viviendas pueden ser controladas por sus propietarios mediante pantallas táctiles programables a modo de panel de control, o a través de aplicaciones desde los smartphones o tabletas con conexión a Internet.

¿Cuáles son las ventajas de una Smart-home?

Diferencias entre hogar tradicional y smart home

Con el incremento de los costes en la energía y la necesidad de una mejora en la eficiencia energética, la demanda para los sistemas de control y automatización de los hogares ha crecido significativamente.

Precisamente, la gestión de la energía es el principal beneficio que pueden ofrecernos las Smart-homes y la domótica en general. Concretamente, las instalaciones más demandadas son el control de los sistemas de iluminación y climatización. La sociedad está cada vez más concienciada con la eficiencia energética y el ahorro que proponen este tipo de hogares, entre el 25 y el 30% en el consumo energético, según el CEDOM.

Imagina todas aquellas veces donde has dudado si dejaste las luces encendidas o la calefacción. Una vivienda inteligente se encargará de controlar estos dispositivos y monitorizar su actividad. Por ejemplo, apagando los sistemas de iluminación cuando no haya nadie en casa o activando los sistemas de calefacción cuando detecta que estamos volviendo del trabajo.

Una Smart-home aprende además nuestros hábitos y se adapta para satisfacer nuestras necesidades. De este modo, puede informarnos automáticamente de las noticias y el tiempo cuando nos levantamos al identificar esta rutina.

¿Y los riesgos?

Como toda tecnología conectada a Internet, corremos el riesgo de sufrir ataques a manos de ciberdelincuentes. Dentro del Internet de las cosas, el mayor de sus riesgos es la falta de seguridad que presentan estos dispositivos. En la mayoría de los casos, éstos se conectan a nuestro smartphone a partir de una aplicación, sin mayor seguridad que un usuario y contraseña, y ya conocemos la cantidad de tácticas de las que disponen los ciberdelincuentes para obtener esta información.

Ejemplo de amenaza

Un ejemplo son las Smart-TV, que en 2017 tenían presencia en el 14,4% de los hogares españoles y que son vulnerables a ataques de forma remota, en los que un ciberdelincuente puede tomar el control de éstas mediante ataques del tipo “Drive-by-download”, donde visitando una web, abriendo un correo electrónico o haciendo clic en el lugar equivocado, podríamos descargar un software malicioso sin darnos cuenta.

Con el acceso y el control de este aparato, nuestro atacante ya podría acceder al resto de dispositivos conectados a la misma red, y con ello a toda nuestra información.

Esta situación se agudiza si tenemos en cuenta que cuantos más dispositivos tengamos conectados a Internet, existirán más posibilidades de sufrir un ciberataque y una mayor cantidad de información correrá el riesgo de ser filtrada.

También existe un riesgo relacionado con el uso que hacen las empresas con toda la información que compartimos sobre nuestros hábitos de consumo, gustos, rutinas e información personal como los miembros que viven en el hogar familiar, planos, etc. Estos datos pueden llegar a manos de terceros sin que nosotros, los usuarios, seamos conscientes de su difusión. Por ejemplo, la empresa fabricante de nuestros dispositivos IoT puede vender información que éstos recogen y almacenan (sin nuestro consentimiento explícito), como la incorporación a la familia de una nueva mascota, y venderla a empresas que nos harán llegar ofertas, promociones y demás publicidad para mascotas.

A priori, puede parecernos útil pero la realidad es que están en posesión de mucha más información sobre nosotros de la que sabemos, y se están lucrando al comerciar con ella.

No se trata de demonizar el IoT, sino de conocer sus riesgos para actuar en consecuencia:

  1. Hacer una búsqueda sobre el dispositivo y sus posibles vulnerabilidades: los expertos están continuamente poniendo a prueba las vulnerabilidades de estos dispositivos. Es muy probable que ya se hayan detectado problemas en el dispositivo de moda, por lo que lo mejor sería informarnos sobre si estas vulnerabilidades ya han sido parcheadas.
  2. Entender las políticas de privacidad del fabricante y el dispositivo: debemos informarnos, en el punto de venta y con el fabricante, sobre las opciones de privacidad y seguridad del dispositivo, es decir, ¿qué información recoge el dispositivo?, ¿qué hace la empresa fabricante con esa información?, ¿es compartida con terceras empresas?, ¿dónde y cómo se guarda esta información, y por cuánto tiempo?, ¿el consumidor tiene control sobre qué información desea compartir? Esta serie de preguntas hará que el consumidor tome una decisión más segura.
  3. Mantener el dispositivo al día con las actualizaciones: debemos mantener el dispositivo actualizado. Ya que de esta manera las vulnerabilidades encontradas se irán parcheando. En el caso de que el fabricante no siga dando soporte al dispositivo, lo mejor será desconectarlo o actualizarlo a una versión soportada.

¿Qué te parecen las Smart-homes? ¿Conocías sus riesgos o ventajas? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Fuente: www.osi.es

En C2CSmartCompliance te ayudamos con la implementación de un Sistema de Gestión de Seguridad de la Información, para el control y la disminución de los riesgos, así como el cumplimiento de la legislación vigente en los activos de la información.

Contacto e informes

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

“Hemos llevado nuestro modelo de seguridad de la parte física a la parcela informática”


Alejandro Las Heras, director de operaciones y Ciso de Grupo Eulen, explica en qué consiste la responsabilidad de llevar la seguridad de una multinacional que lleva más de 60 servicios externos al mercado.

Lleva al mercado más de 60 servicios gestionados y, entre ellos, es pionero en España de la seguridad física. Con la llegada de la transformación digital, Grupo Eulen también quiere destacar en la parcela de la ciberseguridad, tanto en sus estructuras internas como en su oferta. Pero, tiene una visión bastante particular de ésta; como evolución del mundo de las operaciones. Por ello, Alejandro las Heras aglutina tanto los cargos de Ciso como de director de operaciones en la compañía. “La disponibilidad y el rendimiento son los parámetros que están cambiando las reglas del tablero en que jugamos”, espeta.

Acceda a la entrevista completa haciendo clic aquí

Fuente: cso.computerworld.es

En esta transformación digital, las empresas de seguridad están enfocando la protección de activos con la seguridad lógica.

Esta convergencia es una realidad que se esta dando entre la Seguridad Física y lógica, si necesitas información o asesoría para la implementación de un Sistema de Gestión de Seguridad de la Información, nosotros te podemos ayudar para lograr una certificación en ISO 27001.

Contactanos,

Mario Meneses

mario@c2csmartcompliance.com

movil +521 7711871152

La ciberseguridad es cada vez más importante para los megaproyectos.


Ya sea que esté construyendo una instalación nuclear, una represa o creando los próximos Juegos Olímpicos, el aumento de la tecnología significa que la importancia de contar con una tecnología segura no puede ser subestimada. Éireann (se pronuncia Aaron) Leverett, CEO de Concinnity Risks, es un experto en riesgo cibernético y un hacker ético que recientemente fue coautor de Solving Cyber ​​Risk . Lo entrevisté para averiguar más sobre cómo el riesgo cibernético puede afectar a los megaproyectos.

Karlene Agard: ¿Cuáles son los riesgos cibernéticos emergentes a los que los líderes de megaproyectos deberían estar atentos?

Éireann Leverett: Si tiene nuevos diseños o innovaciones, su propiedad intelectual puede ser un objetivo. Además, cuando administra megaproyectos, puede obtener proveedores que solo entregan una pequeña parte del trabajo y eso significa que tiene una alta tasa de cambio en sus proveedores. La complejidad de las cadenas de suministro significa que alguien con aprobación podría transferir dinero a la persona u organización equivocada de manera fraudulenta.

Al considerar los riesgos en su proyecto, a veces es difícil pensar en los riesgos que su proyecto podría estar ocultando. Si construyes una nueva embajada y un subcontratista, se incorporarán micrófonos o dispositivos que puedan piratear la red informática de la embajada, eso afectaría la reputación de las personas que construyeron esa embajada, independientemente de si estuvieron o no involucrados en el pirateo.

Agard:  Sé lo que quieres decir. El profesor asociado de la Universidad de Leeds, Giorgio Locatelli y otros académicos han informado que “la corrupción en los megaproyectos es probablemente la causa principal de sus ineficiencias”. ¿Cuáles son algunos ejemplos de problemas de riesgo cibernético?

Leverett:  un ataque cibernético arrojó una llave en las operaciones de logística y la compañía de envíos Maersk . Durante esos 10 días, hubo personas que intentaron trasladar buques portacontenedores a través de WhatsApp porque tuvieron un amigo que trabaja en la oficina de Maersk. Creo que eso es increíble, pero no debería suceder. Una de las lecciones para los megaproyectos es que es muy fácil enfocarse en los riesgos que nos impone la tecnología, pero es difícil pensar en los riesgos de los socios comerciales que son pirateados. ¿Y qué pasa si te hackean? 

Considere todos los megaproyectos en el mundo que deben usar Maersk Shipping. ¿Podrías haber predicho que todos tus envíos llegarán dos días tarde? ¿Qué tipo de impacto tendría eso en ciertos tipos de megaproyectos?

Agard:  ¿Qué está cambiando en la ciberseguridad?

Leverett: la promesa de una empresa solo puede ser tan buena como su seguridad.  Estamos entrando en una nueva era de seguridad informática donde las personas comienzan a comprender que el trabajo de seguridad a veces tedioso se está haciendo por nuestro bien en conjunto, no solo para que la organización esté segura por sí misma.

No puede simplemente tener una visión lateral de que solo protegerá a su organización benéfica, ONG o empresa. La seguridad debe hacerse en un nivel social donde entendamos que “no me sirve de nada, si es inseguro porque quiero hacer negocios con usted”. Lo que sea que gaste en seguridad también debería beneficiar a otros . De la misma manera que nos inoculamos contra la gripe y eso ayuda a ricos y pobres por igual: beneficia a toda la sociedad. Creo que ese es el problema. Pensamos que la seguridad podría ser realizada solo por las grandes empresas, pero no creo que eso sea cierto.

Agard:  Hemos hablado mucho sobre seguridad. ¿Cómo influye el factor de seguridad en esto?

Leverett:  Para esta discusión es increíblemente importante que la seguridad todavía se estudie como una búsqueda intelectual separada de la seguridad. Podemos usar tanto la palabra seguridad como la seguridad de muchas maneras diferentes dependiendo de los factores que afectan la disciplina que estamos abordando. Por ejemplo, la seguridad en el sector energético es completamente diferente de la seguridad informática o física.

Resulta que la seguridad física y la seguridad de la computadora están interrelacionadas en el sentido de que es muy difícil asegurar una computadora si alguien peligroso puede ponerla en sus manos en cualquier momento del proyecto. Las personas de seguridad están más acostumbradas a preocuparse por la ley de Murphy y no por la maldad. Mientras que el profesional de la seguridad informática está acostumbrado a tratar de proteger los servidores de las personas.

Creo que una de las muchas cosas importantes que se deben hacer es lograr que las personas de seguridad y protección tengan diálogos juntos. Porque si construyo un sistema que es completamente seguro pero no es seguro, eso no es útil para nadie. Y si construyo un sistema que es completamente seguro, pero alguien puede manipularlo para que no sea seguro, entonces eso no es bueno. Entonces, este aislamiento falso de estas dos cosas está empezando a ser problemático.

Agard: Con el rápido ritmo de la tecnología, ¿cómo pueden los líderes de proyectos evitar que sus resultados se vuelvan obsoletos rápidamente?

Leverett: Hace poco me encontré con un gran concepto: “Diseño para diseño tras diseño”. Una vez que diseñe y construya un sistema, debe dejar espacio para el siguiente titular que usa su sistema para alterar el diseño y adaptarlo a los nuevos problemas del día.

La conversación ha sido editada y condensada para mayor claridad.

Mi guía para obtener recursos adicionales al inicio de un proyecto está disponible en guide.ARAVUN.com/businesscaseresources . Visite ARAVUN.com para obtener información sobre cómo iniciar megaproyectos para el éxito.

Fuente: www.forbes.com

En C2CSmartCompliance podemos ayudarte en la identificación y administración de nuevas amenazas. Realizamos la planificación, la implantación y las auditorias para un Sistema de Gestión de Seguridad de la Información. Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC).

Contacto

Mario Meneses

Account Manager

mario@c2csmartcompliance.com

El Abogado Digital es un Líder que Construye Puentes entre la Tecnología y el Derecho


La Maestra Janet Huerta es Mercadóloga de profesión, pero ha dedicado la mayor parte de su trayectoria profesional al desarrollo de contenidos y educación especializada para abogados.

Actualmente es Directora Ejecutiva del Grupo Editorial Foro Jurídico y Directora de la Universidad Ius Semper, institución educativa que tiene como objetivo desarrollar programas de actualización que difundan el conocimiento y prácticas actualizadas del Derecho en México. Es conferencista sobre temas digitales. A continuación presentamos su entrevista.

¿Cómo ha cambiado la tecnología a la práctica de los abogados?

Claro que la ha cambiado y de una manera tan rápida que no logramos darnos cuenta de la dimensión de este cambio. Si entendemos que el Derecho, en cualquiera de sus ramas, no hace más que establecer los sistemas normativos de las interacciones sociales, obviamente siempre al Derecho le va a afectar el cómo y a través de qué medio interactúa la sociedad, ya sea para hacer negocios o relacionarse y comunicarse entre sí.

Todos sabemos que las nuevas tecnologías han cambiado el quehacer humano, los modelos de negocios, la forma en la que nos educamos, compramos y nos transportamos. Entender todos estos cambios es entender cómo y porqué cambia la práctica del abogado.

El abogado es un profesional que ayuda a los humanos a solucionar sus conflictos, y cada vez más los conflictos que surgen cuentan con una vertiente tecnológica, ya sea porque se envió información a través de un medio electrónico (correo, mensaje, etcétera), se pagó con un medio electrónico o se interactuó mediante una red social. Por ello, el abogado tiene que saber qué es lo que está pasando en esta interacción y cómo la herramienta tecnológica incidió en este conflicto.

Para los abogados postulantes, el 60% de los casos que se llevan a cabo en los tribunales son civiles, familiares y mercantiles, esto quiere decir, que son conflictos que se dan entre socios, empresas y familiares; resolver estas controversias ante un juez implica usar pruebas digitales, demostrar un mensaje a través de WhatsApp, comprobar firmas o consentimiento de una acción a través del uso de una cuenta o usuario digital.

El Derecho y las normas tradicionalmente son locales y la tendencia de la globalización a veces hace que los sistemas normativos ya no sean eficientes para solucionar las controversias que se suscitan. El abogado debe de salir de la mentalidad local y limitativa porque pensar en un mundo digital es pensar global.

Por otra parte, es importante entender cómo la Inteligencia Artificial (IA) ha llegado a revolucionar el mundo. Debemos aprender cómo usar la IA no sólo para estructurar el sistema normativo sino para poder incorporarla en la práctica del Derecho y poder eficientar los procesos. Un gran porcentaje de despachos de abogados en países avanzados ya usan softwares con IA para analizar contratos y elaborar estrategias legales tomando en consideración leyes, sentencias similares, antecedentes del despacho, entre otros. Asimismo, algunos poderes judiciales también usan ya algoritmos para predicción de conductas delictivas, para procesos de gestión judicial e incluso para propuestas de elaboración de sentencias.

¿En qué campos consideras que la tecnología ha cambiado más a la profesión?

En primer lugar, ha impactado al abogado de empresas ya que son éstas las que están a la vanguardia de los cambios, son corporativos que pertenecen a organizaciones internacionales y las que ya están haciendo negocios de una manera diferente, utilizando la tecnología, tanto local como internacionalmente. Estas empresas ya registran algoritmos como parte de su secreto industrial, los comercializan, solucionan conflictos entre usuarios con sus propios mecanismos de autorregulación, analizan los datos y metadatos de sus clientes como estrategia de negocios, usan criptomonedas como forma de pago, entre otros.

Siempre han existido cambios tecnológicos, sin embargo, cada vez es mayor la velocidad de los cambios. Considero que el internet es una de las herramientas que más ha contribuido a esta transformación, pero aún más lo ha sido la llegada de los dispositivos móviles y del cómputo en la nube, incorporando así la posiblidad de la portabilidad de la información y el aumento exponencial en la capacidad de almacenamiento. Si nos ponemos a analizar, tenemos relativamente poco tiempo usándolos, sin embargo, algunos ya no podríamos imaginar nuestra vida sin estas tecnologías.

Esta situación nos abre un umbral de nuevas posibilidades para que surga el conflicto, ya que hoy te pueden hackear en cuestión de segundos una cuenta de banco y vaciarla, robarte tu identidad y hacer pagos con tu tarjeta o acceder a información confidencial.

Surge además un conflicto de jurisdicción ya que una transacción se puede hacer a una empresa estadounidense, que tiene la información en servidores en Irlanda cuya oficina operativa está en Alemania. En tal caso la pregunta sería, ¿a quién le reclamo, y si demando qué legislación aplica? El Derecho y las normas tradicionalmente son locales y la tendencia de la globalización a veces hace que los sistemas normativos ya no sean eficientes para solucionar las controversias que se suscitan. El abogado debe de salir de la mentalidad local y limitativa porque pensar en un mundo digital es pensar global.

¿Ante los cambios que describes consideras que los abogados deben sólo conocer las nuevas tecnologías y leyes o consideras que tienen que cambiar su forma de pensar, de educarse y su forma de actuar?

Yo estoy de acuerdo con aquellos que dicen “regula la conducta y no el medio”. Existe un debate sobre si las leyes se deben de modificar o si podemos adaptar los conceptos del Derecho actual a conductas que se llevan a cabo en internet.

Creo que en algunos casos y materias sí es necesario hacer ligeras adecuaciones a las leyes, sin embargo, en su mayoría no se requiere modificar, sino sólo entender y diferenciar entre la conducta y el medio usado, para ver cómo las figuras del derecho aplican en cada caso. Todos sabemos que si alguien irrumpe con un acceso no autorizado en tu domicilio y se lleva muebles, está incurriendo en una conducta delictiva. Lo mismo pasa en el mundo digital. Tu casa/domicilio es tu computadora o tu dominio y si alguien irrumpe a través de la tecnología de manera no autorizada y se lleva o te retiene tu información a cambio de un pago, está incurriendo en exactamente la misma conducta.

En la actualidad, un abogado que quiera adaptarse a la nueva realidad que estamos viviendo, debe de entender cuáles son los conceptos y cómo se está modificando la conducta humana. De esta forma podrá transformarse en lo que yo llamo un Abogado Digital, aquel profesionista del Derecho que entiende que hoy un algoritmo puede dirigir más la conducta de las personas que una ley.

El desconocimiento de la tecnología lleva a la sobrerregulación. No entender qué está pasando o tener miedo a qué puede pasar si los desarrollos tecnológicos se nos “salen de las manos” nos lleva a querer controlarlos. Sin embargo, esas medidas no siempre son las mejores ni mucho menos eficientes.

La sociedad digital y exponencial se necesita regular con la propia tecnología, es por eso que las mayores plataformas del mundo invierten mucho en desarrollar sus propios mecanismos de autorregulación o solución de controversias. Tal es el caso de Audible Magic que protege los derechos de autor en los videos de YouTube, Rights Manager en Facebook, o los mecanismos que han incorporado estas dos redes, así como Google y Mozilla para contrastar datos e información errónea con el objetivo de combatir las fake news. Con la inmensa cantidad de información que se publica, se comparte en internet y las millones de operaciones y transacciones que se llevan a cabo por segundo es imposible pretender solucionarlas con las leyes o en los tribunales. Por ejemplo, el año pasado se solucionaron más conflictos en la herramienta de autorregulación de eBay que en todas las cortes de Estados Unidos.

El internet y las tecnologías de la información sólo son un medio y las conductas siempre vienen de una persona. Atrás de una computadora, de un algoritmo, o de un delito cibernético siempre habrá una conciencia humana, y considero que ahí es en donde nos tenemos que enfocar, en la apertura al cambio, la adaptabilidad y sobre todo en la ética de los profesionales del Derecho.

En la actualidad, un abogado que quiera adaptarse a la nueva realidad que estamos viviendo, debe de entender cuáles son los conceptos y cómo se está modificando la conducta humana. De esta forma podrá transformarse en lo que yo llamo un Abogado Digital, aquel profesionista del Derecho que entiende que hoy un algoritmo puede dirigir más la conducta de las personas que una ley.

¿Los avances y la velocidad con la que se mueven los humanos y la tecnología han creado una gran brecha digital en el mundo de los abogados, cómo ves el futuro de la práctica profesional de los abogados?

Primero me gustaría hablar del presente, la brecha digital es un asunto generacional, las nuevas generaciones ya traemos nato el entendimiento y uso de la tecnología, contra la generación anterior que son los que actualmente están en las posiciones de liderazgo de las empresas, del gobierno o de los despachos, y quienes en ocasiones no alcanzan a dimensionar la importancia de aplicar la nueva tecnología.

Para esos líderes, yo les recomendaría que aunque los sistemas y creencias que tengan les hayan servido toda la vida, se abran a los beneficios de eficiencia y transparencia que genera la tecnología y que confíen en los nuevos talentos que poseen una mentalidad fresca para proponer nuevas formas de crecer las empresas y solucionar conflictos a través del uso de la tecnología.

Respecto al futuro, considero que en aproximadamente unos 5 o 10 años, una vez que los millenials ocupen las posiciones de liderazgo, será cuando estemos dentro de la verdadera transformación de las empresas o instituciones.

A los abogados, yo les diría que va a cambiar la práctica del Derecho, el abogado del futuro no va a ser mejor porque conozca las leyes porque esas ya cualquiera las tiene disponibles en un clic. El abogado exitoso será quien sepa solucionar conflictos, lo que implica no sólo tener conocimientos de Derecho y digitales, como hemos visto, sino habilidades de negociación y hasta psicológicas para comprender la conducta humana.

Como ya mencioné, los problemas que se suscitan en el mundo digital deben tener soluciones digitales, por lo que deben de ser los abogados los que estén detrás del desarrollo de la tecnología necesaria para mediar entre las partes. El abogado exitoso va a ser aquel que sepa gestionar los sistemas de tecnología aplicados al Derecho.

Pongo un ejemplo, en Estados Unidos el 40% de los despachos de abogados y de los departamentos jurídicos de las empresas ya están usando sistemas de inteligencia artificial para análisis de contratos. Y está comprobado que este tipo de sistemas artificiales son mucho más eficientes y pueden presentar una estrategia interna en una hora, una actividad que tardarían hasta 10 horas en realizarla 10 abogados.

Es importante decir que la IA no sustituye al abogado, porque en algunos ámbitos se ha dicho que esto puede causar que desaparezca la profesión, y no es así. Aunque es conocido el caso del robot que le ganó al campeón mundial de ajedrez, los expertos concluyen que a pesar de que un sistema de IA pueda aprender a jugar ajedrez en menos de cuatro horas, cosa que a una persona le llevaría años o décadas, la mejor estrategia de ajedrez hoy en día no es la del robot, sino aquellas que han construido en conjunto el robot con la mente humana.

Esta es la misma posición que debemos de adoptar en el mundo jurídico. No alejarnos por miedo a lo desconocido sino participar con una visión entusiasta hacia la posibilidad. El desarrollo de los softwares y tecnología que mejorará la práctica de esta profesión requiere de abogados que diseñen los procesos jurídicos y analicen los datos necesarios.

En resumen, debemos dejar las labores repetitivas jurídicas que no generan valor a las máquinas y robots y esto permitirá al abogado ser más estratégico en su quehacer y en su pensar. El mejor abogado será aquel que sepa cómo implementar las herramientas tecnológicas para mejorar los procesos legales y jurídicos en donde sea necesario.

¿Qué es un abogado digital?

Un abogado digital es un líder que genera transformación en cualquier sector o actividad que tenga que ver con el mundo jurídico o la aplicación del mismo. Es aquel que construye puentes entre el paradigma legal y la realidad tecnológica, así como entre personas. La digitalización nos está cambiando a todos y aún nos enfrentamos a mucha desinformación y resistencia, por lo que considero que este liderazgo necesita no sólo adquirir conocimientos sino desarrollar inteligencia emocional, autoconciencia, y adaptabilidad que son habilidades y competencias que no tienen que ver con el derecho.

Nos estamos enfrentando a un rompimiento general con las viejas estructuras empujadas en gran parte por la tendencia a la descentralización. Los mecanismos de autorregulación, el blockchain y la tecnología en general abren más la información y los datos, trayendo consigo transparencia, dándonos poder como usuarios, consumidores y ciudadanos y dejando atrás la necesidad de contar con autoridades o medios centrales para vigilar o “guiar” nuestro camino como sociedad. Claramente este cambio trae mucha incomodidad. El abogado digital será quien lidere estos cambios y hará la transición hacia contar con un verdadero gobierno abierto, construirá los procesos de justicia y parlamento abierto. Será quien garantice la seguridad de la información en las empresas e instituciones que usen medios digitales y electrónicos. La tecnología nos permite tener una verdadera rendición de cuentas y medición de resultados.

Asimismo, el abogado digital es el profesional del Derecho que tiene y/o desarrolla una inteligencia digital. Es aquel abogado que además de tener una inteligencia analítica para poder analizar o interpretar las leyes individuales, debe tener una inteligencia sistémica, que entienda cómo se interconectan y cuál es la interdependencia de todos los elementos y sus partes. Porque al final de cuentas internet nos permite conectarnos y entender a la persona como un organismo, al sistema judicial como un organismo, a la empresa como un organismo. La inteligencia digital entiende la interconexión de la información y la multifactorialidad de las controversias, presentando así soluciones colaborativas.

¿Qué es una solución colaborativa?

Estamos sumergidos en una era y una economía colaborativa. Este fue un paradigma que se transformó con la transición de la era industrial a la era del conocimiento o de la información. En la primera, el paradigma de producción estaba basado en la escasez, mientras más capacidad de producción yo usaba en una máquina, menos capacidad me quedaba, por lo que si un lado de la balanza ganaba, el otro perdía. Sin embargo, en la era del conocimiento es al revés, pasamos a un paradigma de abundancia ya que ahora mientras yo comparto más conocimiento, lo que pasa es que se produce aún más. Esto nos lleva a un ganar-ganar y para mí esta es la mentalidad que a muchos todavía les está costando cambiar.

Yo vería la creación de soluciones colaborativas en dos vertientes. Primero en la generación de sinergias entre abogados. En “cambiar el chip” y dejar de ver al abogado de al lado como una contraparte o como rival, por el contrario, es un colaborador que junto contigo persigue un mismo objetivo, solucionar un conflicto de tal forma que ambas partes puedan salir satisfechas con el resultado. De hecho es reciente pero ya existe en México la práctica del abogado colaborativo que es una etiqueta que se le da a los abogados que se comprometen a llegar a acuerdos evitando el litigio.

Por otro lado, llegar a soluciones colaborativas en el ámbito jurídico implica también salirnos de la caja del Derecho y colaborar con otras disciplinas. Los abogados de antes eran como llaneros solitarios y pensaban: “sólo trato con abogados y sólo sé de Derecho”, su mundo era sólo de casos y leyes. Justo en la inteligencia sistémica entra el nuevo paradigma de la multidisciplinariedad. Si junto a las finanzas y la tecnología surgen las empresas Fintech, o de tecnología financiera. Si junto a un abogado con un informático nace Max, el primer robot que da asesoría legal gratuita. Si junto a un abogado con un politólogo y un biólogo nace el Observatorio de la Corrupción y la Impunidad que hoy analiza los avances de la corrupción con el mismo enfoque que un médico analiza el esparcimiento del cáncer.

¿Qué recomendarías a los abogados para convertirse en abogados digitales?

México necesita más abogados digitales, las empresas e instituciones necesitan que ellos abanderen esta transformación. Te cuento un ejemplo de los retos que enfrenta el país en este aspecto: una empresa muy grande en México adquirió un sistema de Inteligencia Artificial llamado Ross para hacer estrategias de litigio en su área jurídica, sin embargo, decidieron abortar el proyecto bajo el argumento de que no funcionó. Entender la IA nos llevaría a ver que ese sistema fue desarrollado en Estados Unidos, por abogados norteamericanos y que probablemente sus algoritmos hayan sido alimentados con datos de casos de ese país, por lo que no necesariamente está adaptado al sistema legal mexicano.

Mi pregunta entonces sería ¿si empresas grandes como ésta no asumen el liderazgo para desarrollar los sistemas que puedan aplicar para México, o no cuentan con los profesionales aptos para poder hacerlo, entonces quién lo hará?

Se necesitan líderes para crear un sistema de inteligencia artificial para despachos de abogados mexicanos, donde se empiecen a meter casos de nuestro país, que se programe con las leyes mexicanas y entonces toda esta información pueda, el día de mañana, ser compartida con otros despachos.

Yo invitaría, en primer lugar, a todos los abogados a que abanderen el cambio, a que la gente que tiene posibilidades, que son líderes en cualquier sector que tenga que ver con temas jurídicos, se eduque, investiguen y vean de qué forma pueden tomar los beneficios de la tecnología y aplicarlos en sus propias áreas.

En segundo lugar, creo que debemos de trabajar en el desarrollo de competencias y habilidades personales que nada tienen que ver con el Derecho, como la inteligencia emocional, el liderazgo, la negociación, la gestión del cambio, sobre todo porque adaptarse a la tecnología es un factor de capacidad humana.

Y finalmente hay que dedicar tiempo a estudiar los detalles de cómo funciona la digitalización, sus alcances y las nuevas aplicaciones tecnológicas, unos para manejarlas y desarrollarlas y otros para ser usuarios de sus beneficios.

“Un abogado digital es un líder que genera transformación en cualquier sector o actividad que tenga que ver con el mundo jurídico o la aplicación del mismo. Es aquel que construye puentes entre el paradigma legal y la realidad tecnológica, así como entre personas. La digitalización nos está cambiando a todos y aún nos enfrentamos a mucha desinformación y resistencia, por lo que considero que este liderazgo necesita no sólo adquirir conocimientos sino desarrollar inteligencia emocional, autoconciencia, y adaptabilidad que son habilidades y competencias que no tienen que ver con el Derecho.”

Fuente: forojuridico.mx

Todos estos cambios en el ámbito legal nos dejan muy claro que tenemos que prevenir los fraudes y el robo de nuestros datos personales y empresariales. Te invito a que conozcas nuestras soluciones integrales en la Gestión de Riesgos. Solicita información.

Mario Meneses

mario@c2csmartcompliance.com

WA +52 1 7711871152

El Foro Económico Mundial instaura un Centro para la Ciberseguridad


Cuenta con Fortinet como primera compañía en adherirse y socia fundadora.

El Foro Económico Mundial (WEF, de sus siglas inglesas) ha instaurado su Centro para la Ciberseguridad (Centre of Cibersecurity) y tiene a Fortinet como primera espada y socia fundadora del organismo.  El motivo de la creación es el crecimiento de ciberamenazas globales para la economía digital. “Lo cual requiere una respuesta también global”, aseguran. El centro tratará de convertirse en una red mundial de partners que incluya a empresas, gobiernos, organizaciones internacionales, instituciones académicas y la sociedad civil.

Asimismo, entre los primeros compromisos que ha adquirido destaca el establecimiento, la activación y coordinación de alianzas entre el sector público y privado para fomentar el intercambio de información de inteligencia y elaboración de normas de seguridad. También pretenden desarrollar, probar e implementar colectivamente conocimientos y herramientas innovadoras para prever y protegerse frente a las amenazas. Además, tratará de crear y coordinar un grupo de trabajo mundial sobre ciberseguridad de reacción rápida compuesto por los expertos de la comunidad de socios e implementar programas globales de capacitación y formación para impulsar la próxima generación de profesionales de ciberseguridad.

Para Ken Xie, fundador, presidente y CEO de Fortinet, “el Centro para la Ciberseguridad del Foro Económico Mundial es importante para la colaboración global entre múltiples organizaciones, y ser socio fundador del mismo supone otro paso más en nuestra misión por garantizar la seguridad de las mayores empresas, proveedores de servicios y organizaciones gubernamentales del mundo”.

Fuente: cso.computerworld.es

En la protección de datos podemos asesorarte con los riesgos de ciberseguridad que pueda tener tu empresa.

Solicita informes

Mario Meneses

mario@c2csmartcompliance.com

WA +52 1 7711871152

C2C SmartCompliance and IBM Software Integrated to Deliver Advanced Compliance and Risk Capabilities


ALEXANDRIA, VA, 31 de diciembre de 2018 – C2C SmartCompliance (C2C), un proveedor líder de software de gestión de riesgo y cumplimiento, anunció hoy una nueva solución de Gestión de cumplimiento y alerta reglamentaria (RACM) que aprovecha las capacidades de gestión de cumplimiento del software Compliance Mapper de C2C. y la plataforma OpenCages GRC de IBM.

La solución integrada Compliance Mapper / OpenPages brinda información única sobre los riesgos de cumplimiento, y el cumplimiento regulatorio y la administración de cambios a través de la gran inversión de IBM en OpenPages y la experiencia incomparable de C2C en el desarrollo de soluciones de cumplimiento y gestión de riesgos forjadas en el campo.
“Esta potente solución integrada brinda a la administración de nivel superior un sistema de alerta temprana para mitigar los problemas de cumplimiento y normativos que potencialmente pueden interrumpir las operaciones comerciales”, explicó Steve Crutchley, fundador y CEO de C2C SmartCompliance. “La ventaja competitiva es clara para las organizaciones pequeñas con recursos limitados y las grandes corporaciones con sistemas complejos que a menudo se distribuyen en las divisiones corporativas que operan de manera independiente”.
Compliance Mapper proporciona el contenido avanzado y las capacidades de mapeo, mientras que OpenPages ofrece un conjunto robusto de herramientas que cubren políticas de gestión de cumplimiento, gobierno de TI, auditoría, problemas / eventos y gestión de riesgo operacional. La integración de Compliance Mapper con OpenPages brinda a las empresas lo mejor de ambas plataformas para administrar el cumplimiento, el riesgo regulatorio, los cambios regulatorios, las políticas y los controles.

El Mapeador de Cumplimiento de C2C proporciona a las organizaciones con visión de futuro un sistema de alerta temprana en tiempo real de cumplimiento y amenazas reglamentarias durante meses, trimestres o incluso más.
“Nuestra solución combinada le permite a la gerencia superior realizar ajustes comerciales según sea necesario para evitar resultados negativos”, dijo Brian Alexander, CLO de C2C. “Imagine un GPS que puede detectar peligros en la carretera a lo largo de la carretera para su negocio. Esa es la ventaja competitiva de la solución RACM impulsada por Compliance Mapper y OpenPages de IBM “.

La solución combinada desbloquea los datos críticos de riesgo y cumplimiento que a menudo se ocultan dentro de las organizaciones. Esto permite a los gerentes de alto nivel controlar y administrar los riesgos de cumplimiento y regulatorios en lugar de verse envueltos en un enfoque caótico y práctico después de que se manifiestan las amenazas. La solución pone los datos correctos con respecto a los requisitos regulatorios, los cambios y las relaciones en manos de los profesionales de cumplimiento y riesgo que más necesitan esta información.

Sobre C2C SmartCompliance
C2C SmartCompliance es un proveedor de software y servicios de Gobernanza, Riesgo y Cumplimiento de empresas especializado, fundado por profesionales de seguridad de la información, riesgos y cumplimiento con más de 25 años de experiencia en consultoría y auditoría de GRC. La metodología C2C alinea la estrategia de cumplimiento de una organización con objetivos comerciales específicos. Los productos de C2C automatizan los costosos procesos manuales asociados con las iniciativas de cumplimiento, realizando tareas en horas que normalmente toman días. Proporcionamos a las partes interesadas un marco de cumplimiento operativo común, centrado en el negocio y sostenible.

C2C SmartCompliance y su logotipo, y Compliance Mapper son marcas comerciales de C2C SmartCompliance LLC. IBM y OpenPages son marcas registradas de IBM.


Contacto:
Mario Meneses

mario@c2csmartcompliance.com

+52 1 7711871152

Especialistas prevén año complicado para ciberseguridad.



Las crecientes amenazas que enfrentan los consumidores y las organizaciones se ven agravadas por un mundo cada vez más conectado.

Los cibercriminales aumentarán este año la efectividad de sus ataques con elementos más sofisticados, para aprovechar el constante cambio en la tecnología y las vulnerabilidades ya conocidas que permanecen en las empresas, destacó Trend Micro.

En el informe “Mapeo del futuro: Cómo lidiar con amenazas omnipresentes y persistentes”, la empresa de ciberseguridad destacó en un comunicado las crecientes amenazas que enfrentan los consumidores y las organizaciones que se ven agravadas por un mundo cada vez más conectado.

El vicepresidente de Ciberseguridad de Trend Micro, Greg Young, señaló que “a medida que vamos entrando en el año 2019, las organizaciones deben comprender las implicaciones de seguridad de una mayor adopción de la nube, la convergencia de TI y OT, y el aumento del trabajo remoto”.

“Los cibercriminales continuarán con una fórmula ganadora: explotar las fallas existentes, la ingeniería social y las credenciales robadas para generar ganancias”, advirtió.

Argumentó que a medida que aumentan las amenazas corporativas y cibernéticas desconocidas, es más importante para las organizaciones poner más recursos en la concientización de los empleados para ayudar a protegerse contra estos ataques crecientes.

Trend Micro predijo que los atacantes aprovecharán estos métodos en contra de la creciente adopción de la nube, en donde encontrarán un mayor número de vulnerabilidades en este tipo de infraestructura, al igual que en las medidas débiles de seguridad.

Además, es probable que los ataques se dirijan a empleados que reporten a ejecutivos de los más altos niveles, lo que resultará en pérdidas globales continuas.

El SIM swapping y el SIM-jacking serán una amenaza creciente para aprovecharse de los empleados remotos y los usuarios cotidianos, que permite por ejemplo a los delincuentes secuestrar un teléfono celular sin el conocimiento del usuario, lo que dificulta a los usuarios recuperar el control de sus dispositivos.

Además, los hogares inteligentes serán un objetivo cada vez más atractivo para los ataques que aprovechan los routers domésticos y los dispositivos conectados, advirtió la empresa de ciberseguridad.

Fuente: forbes.com.mx

En C2CSmartCompliance podemos ayudarte en la identificación y administración de estas nuevas amenazas. Realizamos la planificación, la implantación y las auditorias para un Sistemas de Gestión de Seguridad de la Información. Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC).

Somos Partners de Trend Micro, seguridad de datos empresariales y soluciones de ciberseguridad para empresas.

Solicita información a mario@c2csmartcompliance.com

Mario Meneses

Account Manager

Symantec recomienda estudiar detalladamente los ciberataques ocurridos durante 2018.


Los ciberataques más utilizados durante el 2018 seguirán presentes en el 2019.

Symantec recomienda estudiar detalladamente los ciberataques ocurridos durante 2018 para afrontar los retos en ciberseguridad en 2019. Entre las distintas formas de ataque familiares, los ciberataques a los principales sistemas corporativos y sitios web continuaron en 2018 e inevitablemente formarán parte de la escena de ciberseguridad de 2019. Muchas organizaciones conocidas en todo el mundo sufrieron brechas significativas este año. La mayor pérdida potencial de datos, que afecta a la empresa de comercialización y agregación de datos Exactis, supuso la exposición de una base de datos que contenía casi 340 millones de registros de información personal.

El despliegue y adopción de la red 5G comenzará a expandir el área de superficie de ciberataques

Más allá de los ataques corporativos demasiado comunes, 2018 fue testigo de una actividad creciente contra una amplia gama de objetivos y víctimas. En el ámbito de las redes sociales, Facebook aseguró que hackers robaron información de casi 30 millones de personas. Diferentes gobiernos utilizaron sondeos y ataques cibernéticos para acceder a todo, desde secretos corporativos, hasta sistemas gubernamentales e infraestructuras. A nivel personal, una violación de las cuentas del rastreador de salud MyFitnessPal de Under Armour fue víctima del robo de datos privados de aproximadamente 150 millones de personas.

Entonces, ¿qué podemos esperar en el frente de seguridad cibernética el próximo año? Estas son algunas de las tendencias y actividades que probablemente afecten a organizaciones, gobiernos y personas en 2019 y después.

  1. Los cibercriminales explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques
  2. Los defensores dependerán cada vez más de la IA para contrarrestar los ataques e identificar las vulnerabilidades
  3. El despliegue y adopción de la red 5G comenzará a expandir el área de superficie de ciberataques
  4. Los eventos basados en IoT irán más allá de los asaltos masivos de DDoS a nuevas formas de ataque más peligrosas.
  5. Los grupos de ataque capturarán cada vez más datos en tránsito
  6. Los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto.
  7. Las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad regulatoria

Fuente: revistabyte.es

En C2C SmartCompliance te podemos ayudar con la implementacion de SGSI.

Mario Meneses

C2CSmartCompliance es una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC),  ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

Account manager at C2C SmartCompliance

mario@c2csmartcompliance.com

+52 1 7711871152

10 maneras en que el aprendizaje automático está revolucionando las ventas


  • Los equipos de ventas que adoptan AI están viendo un aumento de clientes potenciales y citas de más del 50%, reducciones de costos de 40% a 60% y reducciones en el tiempo de llamadas de 60% a 70% según el artículo de Harvard Business Review ¿Por qué los vendedores necesitan desarrollar una máquina? inteligencia .
  • El 62% de los vendedores de más alto rendimiento pronostican que la adopción de ventas guiadas se acelerará según su capacidad para clasificar las oportunidades potenciales por valor y sugerir los siguientes pasos según el último estudio de investigación de Estado de ventas de Salesforces .
  • Para 2020, el 30% de todas las empresas B2B emplearán AI para aumentar al menos uno de sus procesos de ventas primarios según Gartner .
  • De acuerdo con el Estado de ventas publicado por Salesforce, los equipos de ventas de alto rendimiento tienen 4.1 veces más probabilidades de usar aplicaciones de aprendizaje automático y de inteligencia artificial que sus compañeros .
  • El pronóstico inteligente, la información de oportunidades y la priorización de clientes potenciales son los tres principales casos de uso de aprendizaje automático e inteligencia artificial en ventas.

La inteligencia artificial (AI) y el aprendizaje automático muestran el potencial de reducir las tareas manuales que consumen más tiempo y que evitan que los equipos de ventas pasen más tiempo con los clientes. Automatizar el soporte de marketing basado en la cuenta con análisis predictivos y apoyar la investigación centrada en la cuenta, realizar pronósticos, informar y recomendar qué clientes vender primero son todas las técnicas que liberan a los equipos de ventas de tareas manuales intensivas.

La carrera por las patentes de aprendizaje automático e inteligencia artificial centradas en las ventas está en marcha

Los proveedores de CRM y Configure, Price & Quote (CPQ) continúan desarrollando y ajustando a sus asistentes digitales, que están diseñados específicamente para ayudar al equipo de ventas a obtener el máximo valor de AI y el aprendizaje automático. Einstein de Salesforces admite comandos de activación por voz de Amazon Alexa, Apple Siri y Google . Salesforce y otras compañías de software empresarial continúan invirtiendo agresivamente en Investigación y Desarrollo (I&D). Para los nueve meses finalizados el 31 de octubre de 2018, Salesforce gastó $ 1.300 millones o 14% de los ingresos totales en comparación con $ 1.100 millones o 15% de los ingresos totales, durante el mismo período del año anterior, un aumento de $ 211M según el10Q de la compañía. Con la Comisión de Bolsa y Valores .

La carrera por la IA y las patentes de aprendizaje automático que agilizan las ventas es cada vez más competitiva. Espere ver florecer la carrera de inteligencia artificial centrada en las ventas y las patentes de aprendizaje automático en 2019. La Oficina Nacional de Investigación Económica publicó un estudio en julio pasado del Instituto de Investigación de Políticas Económicas de Stanford,  titulado Some Facts On High Tech Patenting . El estudio encuentra que las patentes en el aprendizaje automático han experimentado un crecimiento exponencial desde 2010 y que Microsoft tuvo el mayor número de patentes en el período 2000-2015. Utilizando el análisis de patentes de PatentSight y la búsqueda ip , IAM  publicó un análisis el mes pasado mostrandoMicrosoft como el líder mundial en patentes de aprendizaje automático con 2.075 . El estudio se basó en el Índice de Activos de Patentes de PatentSight  para clasificar a los creadores y propietarios de patentes de aprendizaje automático, revelando que Microsoft y Alphabet dominan hoy. Salesforce que invierte más de $ 1B al año en I + D refleja cuán competitiva es la carrera por las patentes y la propiedad intelectual.

10 maneras en que el aprendizaje automático está revolucionando las ventas

Impulsado por la proliferación de patentes y la integración de AI y el código de aprendizaje automático en CRM, CPQ, Servicio al cliente, Análisis predictivo y una amplia variedad de aplicaciones de Habilitación de ventas, los casos de uso están floreciendo hoy en día. A continuación se presentan las diez formas en que el aprendizaje automático está más revolucionando las ventas hoy en día:

  1. La inteligencia artificial y las tecnologías de aprendizaje automático sobresalen en el reconocimiento de patrones, lo que permite a los equipos de ventas encontrar los potenciales nuevos prospectos más altos al hacer coincidir los perfiles de datos con sus clientes más valiosos. Casi todas las aplicaciones de CRM habilitadas para AI están proporcionando la capacidad de definir una serie de atributos, características y sus valores específicos que señalan las perspectivas más altas posibles. La selección y la priorización de nuevos prospectos utilizando este enfoque ahorra a los equipos de ventas miles de horas al año.
  2. El liderazgo y la formación de líderes basados ​​en la IA y los algoritmos de aprendizaje automático ayudan a guiar a los equipos de ventas y marketing a convertir los Leads calificados de marketing (MQL) en Leads calificados de ventas (SQL), fortaleciendo las líneas de ventas en el proceso. Una de las áreas más importantes de colaboración entre ventas y mercadotecnia es liderar estrategias que muevan prospectos a través de la tubería. La inteligencia artificial y el aprendizaje automático están enriqueciendo la colaboración con información de datos de terceros, la actividad de los clientes potenciales en los eventos y en el sitio web, y de conversaciones anteriores con los vendedores. El puntaje y la crianza del plomo dependen en gran medida de la generación de lenguaje natural (NLG) y del procesamiento del lenguaje natural (NLP) para ayudar a mejorar la puntuación de cada plomo.
  3. La combinación de datos históricos de ventas, precios y compras en un solo modelo de aprendizaje automático mejora la precisión y la escala de los pronósticos de ventas . Tener en cuenta las diferencias inherentes a cada cuenta dado su historial anterior y los ciclos de compra de productos y servicios es invaluable para predecir con precisión sus futuros niveles de compra. Los algoritmos de aprendizaje automático e inteligencia artificial integrados en las aplicaciones de CRM, gestión de ventas y planificación de ventas pueden explicar las variaciones en los pronósticos, siempre que tengan los datos disponibles. El pronóstico de la demanda de nuevos productos y servicios es un área donde la inteligencia artificial y el aprendizaje automático reducen el riesgo de invertir en estrategias de venta completamente nuevas para nuevos productos.
  4. Saber la propensión de un cliente dado a la rotación frente a la renovación es invaluable para mejorar el Valor de vida del cliente. El análisis de una serie diversa de factores para ver qué clientes van a ceder o irse en comparación con los que se renovarán es una de las ideas más valiosas que ofrece AI y el aprendizaje automático. El hecho de poder completar un Análisis del valor de la vida útil del cliente para cada cliente que una empresa tiene proporciona una hoja de ruta priorizada en la que la salud de las relaciones con los clientes es excelente en comparación con las que necesitan atención. Muchas compañías están usando el Análisis del valor de la vida útil del cliente como un proxy para una puntuación de salud del cliente que se revisa mensualmente.
  5. Conocer las estrategias, las técnicas y la gestión del tiempo se acerca al 10% superior de los vendedores con quienes contar para sobresalir mucho más allá de la cuota y escalar esas prácticas en todo el equipo de ventas en base a información impulsada por AI. Todos los gerentes de ventas y líderes piensan sobre esto a menudo, especialmente en los equipos de ventas donde los niveles de rendimiento varían ampliamente. Conocer las capacidades de los vendedores de mayor rendimiento y luego reclutar selectivamente a los candidatos del equipo de ventas que tienen capacidades comparables ofrece resultados sólidos. Los líderes en el campo de la aplicación de la inteligencia artificial a la gestión del talento incluyen Eightfold, cuyo enfoque de la gestión del talento es el perfeccionamiento del reclutamiento y cada fase de la gestión del potencial de un empleado. Por favor, vea la característica reciente del New York Times de ellos aquí .
  6. La venta guiada está progresando rápidamente de una estrategia de ventas orientada a la personalización a una que capitaliza las ideas basadas en datos, revolucionando aún más las ventas. La venta guiada basada en el aprendizaje automático y la IA se basa en un análisis prescriptivo que ofrece recomendaciones a los vendedores sobre qué productos, servicios y paquetes ofrecer al precio. El 62% de los vendedores de más alto rendimiento pronostican que la adopción de ventas guiadas se acelerará según su capacidad para clasificar las oportunidades potenciales por valor y sugerir los siguientes pasos según el último estudio de investigación de Estado de ventas de Salesforces .
  7. Mejora la productividad del equipo de ventas utilizando la inteligencia artificial y el aprendizaje automático para analizar las acciones y comportamientos más efectivos que conducen a ventas más cerradas. La inteligencia artificial y el contacto de ventas basado en el aprendizaje automático y el análisis predictivo del cliente tienen en cuenta todas las fuentes de contactos con los clientes y determinan cuáles son las más eficaces. Al conocer qué acciones y comportamientos se correlacionan con las tasas de cierre más altas, los gerentes de ventas pueden usar estos conocimientos para escalar sus equipos de ventas a un mayor rendimiento.
  8. Las ventas y el marketing pueden definir mejor una estrategia de optimización de precios utilizando el análisis de todos los datos disponibles utilizando la IA y los algoritmos de aprendizaje automático. Los precios siguen siendo un área en la que la mayoría de los equipos de ventas y marketing aprenden a hacerlo a través de prueba y error. Al poder analizar los datos de precios, el historial de compras, los descuentos, la participación en los programas promocionales y muchos otros factores, la inteligencia artificial y el aprendizaje automático pueden calcular la elasticidad del precio para un cliente determinado, lo que hace que sea más asequible un precio optimizado.
  9. La personalización del contenido de ventas y marketing que mueve las perspectivas de MQL a SQL mejora continuamente gracias a la inteligencia artificial y el aprendizaje automático. Las aplicaciones de Marketing Automation, incluyendo HubSpot y muchas otras, durante años han podido definir qué contenido de contenido debe presentarse ante un posible cliente en un momento dado. Lo que ha cambiado es la naturaleza interactiva y personalizada del contenido en sí. Al combinar análisis, personalización y aprendizaje automático, las aplicaciones de automatización de marketing ahora pueden personalizar el contenido y los activos que impulsan las oportunidades.
  10. Resolver los muchos desafíos de la programación de ingeniería de ventas, el soporte de habilitación de ventas y dedicar la mayor cantidad de tiempo a las cuentas de mayor valor se resuelve con el aprendizaje automático . Las aplicaciones de CRM, incluida Salesforce, pueden definir el cronograma de un vendedor en función del valor de la venta potencial combinado con la solidez del liderazgo de ventas, en función de su puntaje de plomo. La inteligencia artificial y el aprendizaje automático optimizan el tiempo de un vendedor para que puedan ir de una reunión de clientes a la siguiente, dedicando su tiempo a los prospectos más valiosos.

Actualmente me desempeño como Director, IQMS. Las posiciones anteriores incluyen gestión de productos en Ingram Cloud, mercadotecnia de productos en iBASEt, Plex Systems, analista senior de AMR Research (ahora Gartner), mercadotecnia y desarrollo de negocios en Cincom Systems, Ingram Micro, un inicio de SaaS …MÁS

Louis Columbus es un estratega de software empresarial con experiencia en análisis, computación en la nube, CPQ, Customer Relationship Management (CRM), comercio electrónico y planificación de recursos empresariales (ERP).

Fuente: forbes.com

Mario Meneses

Account Manager at C2C SmartCompliance

Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC), ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

mario@c2csmartcompliance.com

Saludos

Una nueva rectificación evidencia la división en el Supremo sobre el ‘compliance’



El ‘error’ cuestiona el sistema de atribución de responsabilidad a la empresa

Una nueva rectificación de una sentencia sobre responsabilidad penal de las personas jurídicas ha vuelto a evidenciar la profunda división que en torno a esta materia existe en la Sala de lo Penal del Tribunal Supremo. La resolución original, cuyo ponente es el magistrado Andrés Martínez Arrieta, afirmaba, en contra del criterio mayoritario sostenido hasta ahora por sus compañeros, que la responsabilidad de las empresas “es vicarial”. Es decir, que una vez constatado el delito cometido por un empleado o directivo, se produce una transferencia automática de la culpa a la organización.

La sentencia confirmaba la absolución del Banco Mare Nostrum y de dos de sus empleadas, a quien la acusación particular atribuía los delitos de estafa procesal, falsedad documental y falso testimonio.

El debate, sin embargo, no afecta al sentido del fallo, sino a la argumentación empleada. La posición de Martínez Arrieta chocaba frontalmente con la sostenida hasta ahora por el alto tribunal, que defiende el criterio de la autorresponsabilidad. O lo que es lo mismo, la culpa de la persona jurídica es independiente de la de las personas jurídicas que intervienen en el delito.

La rectificación ha tardado en llegar dos semanas y media. En un auto firmado por el propio Martínez Arrieta, se asevera que se ha producido un “error en la argumentación” al hablar de responsabilidad vicarial. “Lo procedente es afirmar la autonomía de las responsabilidades y, por lo tanto, no supeditada a la condena de una persona física”, explica el texto que, sin embargo, no ordena suprimir término “vicarial” de la sentencia original.

Lejos de tratarse de un error puntual, se da la circunstancia de que es la segunda vez que el mismo magistrado firma, como ponente, una sentencia que afirma que la responsabilidad penal de las organizaciones es “vicarial”. La anterior, de 2016, también fue corregida en un auto posterior.

Fuentes jurídicas descartan que se trate de la repetición de un fallo involuntario y enmarcan estos hechos dentro de la “pelea” que existe entre los magistrados de la Sala de lo Penal por la interpretación del artículo 31 bis del Código Penal(que regula esta figura). Una fractura que se puso de manifiesto en la sentencia más relevante que, hasta la fecha, ha dictado el alto tribunal sobre este asunto. El fallo, de febrero de 2016, contó con el voto particular de siete de los quince magistrados que componían el Pleno de la Sala. A esta disputa también se suma la Fiscalía General del Estado que, en su Circular 1/2016 defiende el mismo criterio que los magistrados discrepantes: que la responsabilidad penal de las empresas es vicarial o automática.

Efectos prácticos

Este intenso debate gira en torno a una cuestión que ni es menor ni es únicamente teórica. Cómo se determina la culpabilidad de la empresa tiene una incidencia clave en el devenir de los procesos en los que se ven envueltos las empresas. La razón es que modifica la carga de la prueba de la eficacia o ineficacia de los programas de prevención de delitos (o compliance), que, según el artículo 31 bis Código Penal, son la vía para que la empresa alcance la absolución.

“Con el sistema de la autorresponsabilidad, es la fiscalía o la acusación particular quien debe probar los defectos organizativos o estructurales de la empresa; si la responsabilidad es automática, será la defensa quien deba acreditar que cumple las exigencias del 31 bis”, explica Juan Antonio Frago, fiscal especializado en delitos económicos.

Además de las disputas internas, Frago también apunta otro factor relevante en la aplicación judicial del artículo 31 bis del Código Penal. A su juicio, la judicatura y algunos fiscales dan “muy poca importancia” a esta figura. Así, frente a “empresas y bufetes que sí se lo están tomando en serio”, él detecta en la mayoría de los jueces cierto desinterés o falta de convicción en torno a una figura que, por ser importada del ámbito anglosajón, tiene un difícil encaje en nuestra legislación.

FALLOS EN LOS TRIBUNALES

Desconocimiento. El fiscal Frago también detalla una larga lista de resoluciones judiciales que ponen de manifiesto que en muchos tribunales aún se desconocen aspectos básicos de la responsabilidad penal de las personas jurídicas.

Riesgos laborales. Uno de los casos más llamativos proviene de la Audiencia Provincial de Soria que, en enero de este año, confundió el plan de prevención de delitos con el manual de prevención de riesgos laborales, sirviendo este para librar a la compañía de su responsabilidad.

Error en los delitos. Otro fallo es la condena a empresas por delitos que no se encuentran dentro del catálogo por los cuales pueden ser condenadas. Así, por ejemplo, la Audiencia Provincial de Sevilla y la Audiencia Provincial de Pontevedra han dictado condenas por apropiación indebida, una conducta que el Código Penal no permite atribuir a las personas jurídicas.

Fechas. Otro problema proviene del error en las fechas. La Audiencia Provincial de Valencia, por ejemplo, afirmó que la responsabilidad penal de las personas jurídicas fue introducida en el Código Penal en 2015, en lugar de en 2010.

Fuente: cincodias.elpais.com

Saludos

Mario Meneses


C2CSmartCompliance es una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC),  ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

mario@c2csmartcompliance.com

+52 1 7711871152

El Senador Pedro Haces, promete para enero iniciativa de la Ley de Seguridad Privada.


Tomarán medidas para poner orden en la seguridad privada.

Ante la competencia desleal que enfrentan los empresarios de seguridad privada, el senador Pedro Haces se comprometió a modernizar la legislación en la materia “porque la que opera actualmente está rebasada”.

En el marco de la reunión de trabajo con empresarios de las distintas asociaciones de seguridad privada, el legislador de Morena prometió que en enero próximo arrancarán mesas de trabajo temáticas para analizar cada una de las necesidades del sector y trasladarlas a la legislación que se encuentra congelada en la Cámara de Diputados.

El senador admitió que este ramo enfrenta un serio problema de competencia desleal, pues dijo  “de un total de seis mil empresas de seguridad privada, sólo mil 226 cuentan con registro federal, lo que les permite operar en dos o más entidades”.

Ante esta situación, el legislador Haces Barba se pronunció por la creación de un solo permiso que regule todas las empresas de seguridad privada nacionales y por adecuar la ley con base en las necesidades de los actores del ramo, siempre escuchando a todos los involucrados en dicha industria.

“Los empresarios son el motor para el desarrollo de la Nación, porque generan empleos. Los legisladores vamos a trabajar de la mano con ustedes y buscar beneficios que impulsen el desarrollo y bienestar de todos”, manifestó.

“Vamos a tener mano dura para castigar a las empresas patito y para sancionar también a los usuarios de éstas, porque solo así evitaremos que sigan operando”, apuntó.


El senador Pedro Haces Barba y el diputado federal Raúl Sánchez, tras una reunión con empresarios de seguridad privada

Pedro Haces, acompañado de los senadores Raúl Paz Alonzo (PAN) y Arturo Bours Griffith  (Movimiento Ciudadano), así como del diputado federal Raúl Sánchez (Morena),  se comprometió a que en el próximo periodo ordinario de sesiones que se inicia en febrero, la Ley General de Seguridad Privada será una de las prioridades de la agenda legislativa.– COMUNICADO DEL SENADO.

Fuente: www.yucatan.com.mx

Saludos

Mario Meneses

mario@c2csmartcompliance.com

El Tribunal Supremo fija los límites del compliance officer en el uso de los emails


Hace pocos días pudimos leer que la Sala 2ª del Tribunal Supremo se había pronunciado acerca de los límites de los compliance officers en la investigación interna de los delitos empresariales.

En el presente artículo abordaremos la cuestión desde nuestra perspectiva, como despacho de abogados que ha asumido la defensa en el procedimiento.

Pues bien, el TS ha dictado la STS nº 489/2018, Sala 2ª, de 23 de octubre (Ponente: Exmo. Sr. D. Antonio del Moral García)que estima parcialmente el recurso de casación interpuesto por nuestro despacho URRAZA, MENDIETA & ASOCIADOS frente a la sentencia nº 23/2017 de 1 de junio dictada por la Sección 1ª de la Audiencia Provincial de Bizkaia.

La sentencia del Tribunal Supremo supone un éxito ya que acuerda anular la sentencia anterior de la AP y retrotraer las actuaciones hasta el auto de acomodación pero, además, ofrece un riguroso análisis de los márgenes empresariales para la fiscalización de los medios tecnológicos utilizados por los empleados, fijando así los parámetros sobre los que los compliance officerspueden investigar.

La AP de Bizkaia condenó al acusado como autor de un delito continuado de apropiación indebida a 5 años de prisión y 11 meses de multa, así como al pago en concepto de responsabilidad civil de un importe que superaba los cinco millones de euros.

En el motivo segundo del recurso de casación propugnábamos la nulidad del examen efectuado en el ordenador del acusado y, en consecuencia, la prohibición de utilizar las pruebas derivadas del escrutinio de correos electrónicos de éste ya que se tratarían de pruebas afectadas por la prohibición del art. 11.1 de la LOPJ.

Tal y como entiende la sentencia comentada (FJ3º) “la extensión que debe conferirse a las facultades de supervisión del empresario, en el marco de una relación laboral, respecto a los dispositivos informáticos puestos a disposición de los trabajadores, es una cuestión salpicada de matices que cuenta, además, con pronunciamientos distintos de diferentes ámbitos jurisdiccionales que han marcado una Doctrina no siempre lineal“. Pues bien, en orden a determinar la legitimidad de la medida intrusiva de investigación es necesario identificar los derechos fundamentales implicados ya que el nivel de protección y los requisitos para una injerencia legítima varían según cuál sea el derecho afectado (secreto de las comunicaciones, intimidad o autodeterminación informativa). En este sentido, para entrometerse en las comunicaciones ajenas resulta necesaria autorización judicial, no obstante dicha afirmación ofrece matices:

  • La fiscalización de las comunicaciones “en marcha” está condicionada a autorización judicial por vincularse al Derecho al secreto de las comunicaciones.
  • La fiscalización de las comunicaciones “cerradas” no están necesariamente sometidas a autorización judicial por estar vinculadas al Derecho a la intimidad, privacidad o autodeterminación informativa. No obstante, ello no conduce a un escenario de absoluta libertad para el empresario ya que, como decimos, están concernidos Derechos Fundamentales.

Tras un admirable análisis de la jurisprudencia de la Sala 4ª del TS y del TC, la sentencia comentada centra su atención (FJ9 y 10) para apoyar la estimación del recurso, en el reciente hito jurisprudencial del TEDH que invocamos en el recurso. Se trata de la STEDH de 5 de septiembre de 2017 dictada por la Gran Sala en el ASUNTO BARBULESCU II. Esta sentencia concreta los parámetros de inexcusable respeto por el empresario a la hora de realizar la injerencia orientada a descubrir conductas desleales o ilícitas del trabajador. Dichos estándares se conocen como “Test Barbulescu”. Precisamente AQUÍ SE ENCUENTRA LA CLAVE del asunto ya que según la Doctrina fijada por el TEDH (en la que se apoya ahora el TS), no cabe un acceso inconsentido al dispositivo si el trabajador no ha sido previamente advertido de esa posibilidad de fiscalización y/o, además, no ha sido expresamente limitado el empleo del dispositivo o herramienta a las tareas atribuidas exclusivamente dentro del ámbito de funciones del trabajador dentro de la empresa. De forma que, el resto de factores de ponderación (necesidad y utilidad de la medida, inexistencia de otras vías menos invasivas, presencia de sospechas fundadas, etc.) entrarán en juego para inclinar la balanza en uno u otro sentido siempre que se cuente con ese presupuesto, es decir, siempre que SE HAYA ADVERTIDO AL TRABAJADOR.

Aplicando dicho criterio, el TS nos estima el recurso de casación al considerar que “podrían existir razones fundadas para sospechar y entender que el examen del ordenador era una medida proporcionada y, además, se buscó una fórmula lo menos invasiva posible pero, faltaba el presupuesto inexcusable“, esto es, faltaba la advertencia al trabajador.

Por tanto, en el supuesto que nos ocupa, lo que vicia la prueba es el acceso no legítimo, con independencia de que se hayan obtenido o no elementos sensibles desde el punto de vista de la privacidad ya que la valoración de la legitimidad de la actuación inicial (el acceso al ordenador del empleado) no puede hacerse más que mediante un juicio ex ante. Esto quiere decir que la vinculación con la privacidad o intimidad solo será dilucidable en un juicio ex post y ello no puede cambiar la valoración de lo que se hace ex ante. En este sentido, señala acertadamente el TS que “limitar los perjuicios de la intromisión a elementos estrictamente necesarios consiguiendo así no afectar la intimidad del usuario no sirve para revertir en legítima la intromisión ab initio ilegítima“.

Una vez detectada la violación de derechos fundamentales, procede dotarle de consecuencias porque, aunque estemos ante una ilicitud atribuible a particulares (en este caso, la empresa), rige el mandato del art. 11.1 de la LOPJ, toda vez que la empresa realizó esas indagaciones con el propósito de hacer valer como prueba en un proceso judicial los datos obtenidos. Llegados a este punto, a la hora de explorar la solución pertinente, nos encontramos tres escenarios distintos:

  • Si la prueba indebidamente valorada por ser ilícita es prescindible, de forma que, el pronunciamiento de condena no pierde sustento pese a ser suprimida, se mantendrá la condena.
  • Si por el contrario, la prueba indebidamente valorada resultaba esencial, de manera que, suprimida ésta, el pronunciamiento condenatorio pierde todo su apoyo, procede la absolución.
  • Mientras que, si no puede deducirse de manera indubitada la influencia que puedo tener dicha prueba anulada en el pronunciamiento condenatorio, habrá que reenviarse la causa al Tribunal a quo para que dicte nueva sentencia o celebre nuevo juicio, en ambos casos, sin contar con esa prueba.

Merece especial consideración el argumento que, desde su posición, utilizaron las acusaciones, nos referimos a la Doctrina relativa a la “Excepción de Buena Fe” (aplicada por el Tribunal Supremo americano que se abrió paso en nuestro ordenamiento jurídico a través de la STC 22/2003 de 10 de febrero) en virtud de la cual, no sería “ilícita” a estos efectos la acción, ni por tanto la prueba, cuando se ha actuado de buena fe, con la convicción de que la conducta se ajustaba al ordenamiento y sin indiligencia, indiferencia o desidia reprobables. Pese a ello, dicha excepción finalmente no ha prosperado por considerar el TS que a la vista de la jurisprudencia existente en el momento de los hechos, la empresa debía y podía haber extremado la cautela.

En el caso estudiado, el TS opta por la última de las alternativas y acuerda reenviar la causa a la Audiencia Provincial para un nuevo enjuiciamiento partiendo de que el examen del ordenador vulneró derechos fundamentales, debiendo determinar el Tribunal de enjuiciamiento qué pruebas no están afectadas por la conexión de antijuricidad y cuales sí, así como, si las mismas pueden apoyar o no un pronunciamiento de culpabilidad. A mi juicio, la prueba anulada es el eje sobre el que pivotan el resto de elementos probatorios que están unidos a ella de forma “refleja”, “contaminadas”  por la antijuricidad y por tanto, se carece de sustento probatorio para la condena.

Pero el TS va más allá, estima también el primer motivo del recurso (FJ18) extendiendo así la nulidad a lo actuado a partir del auto de transformación del art. 779.1.4ª de la LECrim, al entender que no se actuó correctamente desde el punto de vista procesal por haberse introducido hechos relevantes sobre los que no se había escuchado al acusado.

En definitiva, se trata de una sentencia muy útil en la medida que delimita los márgenes de actuación en la intrusión y fija los parámetros a seguir por el empresario en el marco de la investigación interna por ejemplo, dotando, a su vez, a los compliance officers de estándares al respecto.

No puedo concluir la publicación sin antes felicitar al Socio Director del despacho y compañero, Jesús Urraza Abad, por el éxito conseguido, enhorabuena. 

Oihane Bilbao Fernández,

Fuente: legaltoday.com

Mario Meneses 

Account manager at C2C SmartComliance 

mario@c2csmartcompliance 

A %d blogueros les gusta esto: