¿Es hora de que levantemos las expectativas de los políticos sobre la seguridad cibernética?


Dada la percepción pública de que los políticos no tienen mucho conocimiento sobre temas de tecnología / seguridad, la firma de piratería ética y seguridad cibernética Redscan decidió encuestar a los 650 diputados del Reino Unido para comprender sus opiniones sobre las amenazas a la seguridad cibernética que enfrentan las empresas del Reino Unido.

Cuando se trata del tema de la seguridad cibernética, la historia reciente no se refleja con amabilidad en los políticos. En noviembre pasado, el ministro japonés de seguridad cibernética llegó a los titulares por admitir que nunca había usado una computadora, mientras que en 2017, Donald Trump afirma haber discutido “formar una unidad de seguridad cibernética impenetrable” con Vladimir Putin de todas las personas. Más cerca de casa, Diane Abbott, Secretaria de Shadow Home, admitió haber sido víctima de una campaña de phishing en la que los piratas informáticos podrían haber tomado el control de su PC y acceder a todos sus contenidos.

La verdad es que los políticos no tienen la reputación de ser particularmente expertos en seguridad. Esto es algo que hemos aceptado en gran medida hoy, pero ¿deberíamos hacerlo? Después de todo, sería indignante que un ministro de transporte dijera que no entendió el código de la carretera, o si la secretaria de asuntos exteriores no pudo ubicar a Canadá en el mapa mundial.

Si bien no debemos esperar que los políticos sean expertos cibernéticos, sus decisiones influyen en nuestra seguridad digital, privacidad y libertades en línea. Como tal, deberíamos esperar que los parlamentarios tengan al menos una comprensión básica de los problemas de seguridad cibernética, al igual que deberían conocer cualquier asunto que afecte a sus electores, ya sea en salud, educación o cumplimiento de la ley. A medida que digitalicemos más de los servicios críticos que sustentan nuestra sociedad, como el transporte, la energía y, posiblemente, incluso nuestro proceso de elección, la seguridad cibernética se integrará aún más en la política.

Con ese fin, Redscan , una compañía británica de seguridad cibernética, encuestó recientemente a los 650 miembros del parlamento del Reino Unido para comprender dónde creen que la seguridad cibernética debería estar entre las preocupaciones de las empresas.

Chi Onwurah, diputada de Newcastle Central, es una de las voces mejor informadas en el Parlamento cuando habla de temas de tecnología, y dice que anteriormente en su carrera, sus colegas eran extremadamente ingenuos con respecto a la escala de la amenaza de la seguridad cibernética.

“Cuando era jefe de tecnología de telecomunicaciones en Ofcom, dijo Onwurah. “Me pidieron que mirara la seguridad en internet. Cuando regresé con historias de ataques de bots y trampas de miel, DDoS y magos de sombrero blanco, troyanos y gusanos, phishing y pharming, fui recibido con un escepticismo comprensible. Era como si estuviera describiendo una guerra en una galaxia muy, muy lejos. Pero sabía que era solo una cuestión de tiempo antes de que la ciberdelincuencia pasara a la corriente dominante. Desafortunadamente, tenía razón ”.

Afortunadamente, no todos los diputados de hoy son tan desdeñosos a la amenaza de la seguridad cibernética como pueden haberlo sido en el pasado. Sir David Amess proporcionó un ejemplo de su circunscripción en Southend West, donde describió que “el delito cibernético tiene un impacto devastador en individuos y empresas”. Amess habló de una organización sin fines de lucro que se encuentra en bancarrota como resultado de una violación de datos: todo – Ocurrencia demasiado familiar en los últimos años.

Los propios parlamentarios no son inmunes a sufrir violaciones de datos. Onwurah explicó que su oficina fue víctima de un ciberataque, pero afortunadamente no causó ningún daño real. “Como oficina de un diputado, teníamos un gran departamento que nos apoyaba y no había ningún compromiso con los datos de los constituyentes”, comentó Onwurah. “Si hubiéramos sido una pequeña empresa, no habríamos tenido acceso a ese tipo de soporte, y podría habernos dejado fuera de servicio por mucho más tiempo”. Esto es innegablemente cierto, ya que las violaciones de datos se han convertido en eventos de extinción para muchas empresas

Madeleine Moon, diputada de Bridgend, sugirió rápidamente una razón clave por la que las violaciones de datos son ahora tan frecuentes. “La mayoría del personal no ve la seguridad cibernética como la razón por la que vienen a trabajar, o su responsabilidad”, dijo.

“Como ciudadanos, no dejamos nuestras puertas y ventanas abiertas, confiando en que la policía nos protegerá de los ladrones. En nuestro mundo en línea, todos deben comprender y seguir las reglas básicas para proteger nuestros datos, contraseñas y redes. Necesitamos aprender a cerrar esas puertas y ventanas en línea en nuestros sistemas ”. Esta es una analogía adecuada. Desafortunadamente, las personas que establecen contraseñas seguras y únicas y activan medidas de seguridad adicionales, como la autenticación de dos factores, son una minoría.

Meg Hillier, diputado por Hackney South y Shoreditch, hizo eco de los sentimientos de Moon y dijo: “El Reino Unido tiene el enorme desafío de pasar al nivel de seguridad cibernética necesario para protegerse contra las amenazas actuales. Hay una grave escasez actual y futura de habilidades esenciales en esta área “.

Esto puede, de hecho, ser el punto crucial del desafío de la seguridad cibernética. Los expertos de la industria reportan un déficit de casi 3 millones de trabajadores de seguridad cibernética en todo el mundo , ya que las amenazas de seguridad cibernética continúan superando la cantidad de nuevos solicitantes en la industria. Hillier tiene razón, debemos encontrar una forma de revertir esta tendencia antes de que sea demasiado tarde.

De cara al futuro, Steve McCabe, diputado por Birmingham Selly Oak, quiso plantear el problema de la vigilancia de la ciberdelincuencia. “Creo firmemente que debería haber un requisito para la notificación obligatoria de delitos cibernéticos por parte de los bancos y otras empresas a la policía. También es necesario realizar un chequeo de salud cibernético, tal vez de forma anual, para garantizar que el personal y las empresas traten el problema con seriedad ”. Asimismo, Peter Dowd, diputado por Bootle, dijo:“ El tema crucial de los recursos policiales y la concientización para abordar el delito cibernético es uno de los que requiere un debate más abierto “. A medida que el cibercrimen sigue aumentando en escala y complejidad, la cuestión de cómo protegemos nuestros espacios digitales, al tiempo que protegemos la privacidad y las libertades en línea no es algo que hayamos resuelto todavía. Ni siquiera cerca.

Las respuestas completas de MP están disponibles para leer aquí . Lo que está claro es que la amenaza cibernética para las empresas ya no se puede descartar como trivial, como hicieron algunos líderes de la industria y políticos. Ante un panorama digital en rápida evolución, con amenazas cada vez más avanzadas, necesitamos que nuestros políticos entiendan los problemas y riesgos en juego. Necesitamos que utilicen su influencia para aumentar la concienciación entre las comunidades empresariales y definir la política nacional de seguridad cibernética que sea adecuada para el futuro.

Escrito por Andy Kays, CTO, Redscan

Fuente: www.information-age.com

Jive es más que un conmutador: es la nueva manera de comunicarse.


Jive es un sistema telefónico empresarial en la nube con más de 100 características que le ayudará a unificar las comunicaciones de su empresa por un precio increíble. Con Jive, usted puede realizar/recibir llamadas desde/en su computadora, teléfono y celular.

¿Qué es un conmutador en la nube?

El Conmutador Virtual es un conmutador hospedado en la Nube, es decir que funciona a través de Internet, sustituyendo al conmutador físico y con las mismas funcionalidades, para brindar los servicios de voz y comunicaciones unificadas básicas para profesionalizar sus Negocios y hacerlos más productivos.

Beneficios

1. Su instalación es casi inmediata.

2. No requiere de inversiones, sólo en los teléfonos IP.

3. Incluye líneas telefónicas con tus mismos números de siempre, hacemos la portabilidad numérica de cualquier línea y compañía del país.

4. Soporte remoto y alta flexibilidad para incorporar más líneas o extensiones en su sucursal u otros sitios.

5. No requiere de un administrador ni de mantenimiento, ni gasto en aire acondicionado para mantener el equipo operando.

6. Mayores ahorros en larga distancia entre sucursales de varias ciudades a través de una renta fija .

7. Servicios de telefonía para llamadas locales, celulares y de larga distancia internacional en 52 países (LDI).

8. Otorga nuevas herramientas a los empleados que les permiten agilizar la atención, estar siempre en su celular, oficina foránea o desde su casa.

9. Control del gasto y eliminar llamadas que no son del negocio a través del bloqueo de extensiones.

10. Eliminación de Inventario (Hardware y Software).

11. Posibilidad de brindarle extensiones en localidades distintas integrando todo su negocio.

12. Hable con sus clientes en conferencia, Jive provee salas de audio conferencia ilimitadas con posibilidad de tener control visual de quien se conecta.

13. Vea a sus clientes, Jive en cada usuario contratado se lo entregamos con una cuenta de GoToMeeting Pro del mismo fabricante, que le permite hacer video conferencias, presentaciones remotas y puede brindar soporte remoto si así lo desea con un límite de 150 usuarios conectados a la vez por ejemplo, a su ponencia.

Le ayudamos en su proyecto de equipamiento de su Call y Contact Center y Comunicaciones unificadas UC&C con equipo Jabra, somos distribuidores CERTIFICADOS de las mejores diademas y soluciones alámbricas e inalámbricas de mejor calidad, ROI (retorno de inversión) y con las mejores alianzas con las marcas líderes del mercado de comunicaciones unificadas y telefonía tradicional..

Contactanos al WA +52 1 7711871152 Mario Meneses

La UNAM hará un atlas de riesgo de CDMX con ayuda de los capitalinos


OMAR LOZANO10 DE MARZO 2019

A través del hashtag #Vulneralópolis, el Instituto de Geografía de la UNAM hará una consulta digital pública para que los ciudadanos ayuden a mapear y alimentar un Atlas de Riesgos de la Ciudad de México accesible y entendible para todos.

El anuncio lo dio Naxhelli Ruiz, investigadora de dicho instituto, durante la mesa “#AtlasDeRiesgoYA y su apropiación ciudadana” en la primera jornada del Festival Ciudadanía 2019, organizado por el colectivo #CIUDADanía19S

En palabras de la investigadora, esta propuesta inició porque los Atlas de Riesgo de la Ciudad son, en gran medida, incomprensibles para la ciudadanía y deficientes para las autoridades a la hora de tomar decisiones en materia de prevención de desastres.

“Mientras un atlas de riesgo necesite un traductor para ser entendible, no está cumpliendo su función de ayudar en la prevención”, dijo la etnóloga. Y “representa una vulneración a los derechos humanos, específicamente al derecho a la información”.

A la investigadora la secundó Rafael Marín Cambranis, director general de Análisis de Riesgo de la Secretaría de Gestión Integral de Riesgos y Protección Civil de la Ciudad de México, quien dijo que el atlas de riesgo de la pasada administración “no era más que un repositorio de información cartográfica que no le permitía al ciudadano tomar decisiones”.

Por ello, dijo, las autoridades ya trabajan para hacer más funcional y accesible los datos disponibles en esa plataforma, aunque aseguró que dicho proceso será gradual.

Por su parte, el Instituto de Geografía de la UNAM tiene previsto iniciar su consulta en la segunda quincena de abril a través de redes sociales con los hashtags #Vulneralópolis, #CuéntameTuRiesgo y #GestionaTuRiesgo y de un micrositio en su página de internet.

Quienes participen en la consulta podrán exponer los riesgos geológicos que existen en sus comunidades y, en una segunda etapa, los investigadores mapearán dicha información en lo que ya denominan un “Atlas participativo” a nivel de calle, que deberá ser amigable y entendible para todos.

Se espera que los resultados sean publicados el 19 de septiembre, en el segundo aniversario del 19-S, o el 13 de octubre, día internacional para la reducción de desastres.

El Festival Ciudadanía se lleva a cabo desde este 9 de marzo y continuará los días 10 y 11 en las instalaciones de la Universidad de la Comunicación, en la colonia Roma.

El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma
El Festival Ciudadanía 2019 se lleva a cabo los días 9, 10 y 11 de marzo en la Universidad de la Comunicación, en la Roma

En su segunda jornada tendrá actividades como la presentación de la nueva plataforma de #Verificado19S y una mesa de análisis de la reconstrucción, en donde participará César Cravioto, comisionado de la Ciudad de México en esa materia.

Fuente: www.mexico.com

Saludos

Mario Meneses

Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados


Principales preocupaciones de CISOs para 2019 abarcan una amplia gama de problemas

Desde manejar los datos y la escasez de personal hasta la adaptación a un conjunto cada vez mayor de responsabilidades laborales, los CISO se enfrentan a una serie de problemas serios en 2019.

Mary K. Pratt

Cuando se le preguntó acerca de las principales preocupaciones de CISO que ve ahora, el líder de ciberseguridad Robert LaMagna-Reiter dijo que su propia participación implica dar un giro hacia el lado de negocios. Como CISO en FNTS, una compañía de servicios administrados y de estrategia de TI, LaMagna-Reiter desea que su lista de prioridades se alinee más con los principales objetivos declarados de los ejecutivos de negocios de su compañía. Es un trabajo en progreso y una tarea en la que se centrará en los próximos meses, dijo.

“Nos hemos esforzado por comunicar mejor los riesgos de seguridad… estar mejor alineados, hacer que nuestros KPI [indicadores clave de rendimiento] sean más significativos y hacer que nuestras relaciones sean más significativas para que, a medida que los planes estratégicos de la organización evolucionan, podamos comunicar nuestro valor y los recursos que necesitamos para hacer lo que necesitamos”, dijo.

LaMagna-Reiter marcó sus prioridades que están ayudando a mejorar la alineación: garantizar la seguridad de los servicios en la nube para el holding de FNTS, First National of Nebraska Inc. y sus otros clientes; implementar nuevas tecnologías, como la automatización, en sus procesos de seguridad; y alentar a sus empleados a establecer relaciones con colegas del lado de los negocios, como lo está haciendo a nivel ejecutivo.

Robert LaMagna-Reiter.

Dijo que ese trabajo le permite avanzar en el valor estratégico del rol de CISO y la función de seguridad dentro de la organización.

Es un proceso iterativo que los CISO continúan refinando“, dijo LaMagna-Reiter. “En gran parte, nos hemos centrado en los aspectos técnicos desde el inicio de nuestro rol definido dentro de una organización, pero el enfoque estratégico se ha vuelto más importante y una mayor parte del rol como seguridad se ha elevado al nivel de la junta directiva y la gerencia”.

A medida que las organizaciones finalizan sus presupuestos de seguridad cibernética para el próximo año, planifiquen sus estrategias para 2019 y modifiquen sus planes de trabajo para los próximos meses, LaMagna-Reiter y otros CISO dijeron que varios temas clave estarán a la vanguardia. Las preocupaciones de los CISOs al encabezar sus listas de prioridades incluyen, primero, la necesidad de evolucionar el rol del CISO a una posición más estratégica y centrada en el negocio, y luego usar tecnologías emergentes, abordar las regulaciones crecientes y las prácticas maduras para extender la seguridad más allá de los límites de la propia empresa.

“Más CISOs están pasando de ser expertos en tecnología a tener que entender realmente el negocio, los riesgos del negocio y cómo la tecnología respalda los procesos del negocio”, dijo Ash Ahuja, CISO en residencia y vicepresidente de liderazgo para la ciberseguridad de los socios y la gestión de riesgos en Gartner. Luego, desde la perspectiva de la seguridad y los riesgos, los CISOs deben entender si tienen suficientes monitoreos y controles para que sepan qué hacer cuando algo sale mal, agregó Ahuja.

A medida que avanzan en 2019, 10 preocupaciones de los CISOs están dominando la agenda:

1. Alineación estratégica

Ahuja y otros dijeron que una preocupación de los CISOs es que solo una minoría de CISOs se ha convertido en socios ejecutivos estratégicamente enfocados que alinean la función de ciberseguridad con la estrategia organizacional, pero observaron que muchos CISOs se están moviendo en esa dirección. Para hacer eso, están construyendo cada vez más relaciones con sus colegas ejecutivos, informando a los CEOs y comprometiendo a los miembros de la junta.

Mansur Hasib.

Los CISOs deberían estar desarrollando planes estratégicos alineados con la misión de una organización, algo que deberían desarrollar en función de lo que la empresa articula según sus necesidades y su apetito por el riesgo, dijo Mansur Hasib, autor de Cybersecurity Leadership, ex CIO y presidente del programa de tecnología de ciberseguridad en la Escuela de Graduados de la Universidad de Maryland University College. Los CISOs deben usar estos planes para articular el valor que su equipo aporta a la organización.

Hasib dijo que todo esto ayuda a los CISOs a obtener el apoyo y los recursos que necesitan, lo que les permite ofrecer los programas de seguridad que necesitan sus empresas. “Una vez que tienes ese marco, donde todo lo que haces se enlaza con este marco”, agregó, “entonces no estarás jugando a busca y dale con todas las nuevas amenazas”.

2. Regulaciones

Cumplir con las regulaciones existentes y las nuevas leyes que los legisladores están a punto de aprobar también encabeza la lista de preocupaciones de los CISOs a medida que las organizaciones y sus líderes de seguridad se dirigen hacia 2019. Muchos anticipan que las crecientes preocupaciones del público sobre la privacidad y las violaciones de datos estimularán una mayor aplicación de las leyes, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR).

“Si bien no es un desafío completamente nuevo para 2019, espero ver una creciente demanda y desafíos para cumplir con las normas internacionales de seguridad y privacidad. A raíz de GDPR, otros lo están utilizando como modelo para promulgar estándares de cumplimiento más estrictos”, dijo Tom. Conklin, CISO en Druva, una empresa de gestión de datos como servicio. La Ley de Privacidad del Consumidor de California entrará en vigencia en enero de 2020, y deberíamos esperar ver más de lo mismo en los próximos años”, agregó.

“Tales regulaciones significan que las obligaciones de la compañía serán más complicadas y deberán cumplir con nuevos estándares”, dijo Conklin. Esto obligaría a las compañías a mejorar la seguridad “en todos los ámbitos”, continuó. “Los equipos de seguridad y de TI deberán demostrar que han capturado completamente los riesgos para la organización y saber dónde se procesan los datos de la empresa, cómo se utilizan y cómo se protegen”.

3. Seguridad en la nube

Ashiwini Ahuja.

A medida que más partes de la pila de TI se mueven a la nube, la seguridad continuará dominando la agenda en el próximo año, dijo Ahuja, de Gartner. “Ese panorama cambiante mantiene esos elementos básicos de seguridad como una tarea continua. El trabajo nunca se realiza; eso es algo que los CISOs están realizando“.

Los líderes de seguridad dijeron que el trabajo incluye mejorar la seguridad de la red y mejorar las prácticas de administración de identidad y acceso, las cuales se vuelven cada vez más importantes a medida que aumenta el acceso y los puntos de conexión fuera de las paredes de la TI empresarial. Sin embargo, los líderes de seguridad de TI dicen que ese trabajo debe realizarse además del trabajo, no en lugar del mismo, para garantizar la seguridad de los sistemas heredados.

“Estamos en un estado de transición donde se están consumiendo más servicios, pero aún existen sistemas de procesamiento de datos locales heredados. Así que ahora los equipos de seguridad deben ser expertos en ambos frentes”, dijo Conklin.

4. Dotación de personal

Omar F. Khawaja, CISO de Highmark Health, dijo que su equipo de 125 miembros es su prioridad número uno. “Si cuido de mi gente, ellos harán lo correcto, y si hacen lo correcto, entonces el negocio y mis clientes estarán felices”, dijo Khawaja.

Omar Khawaja.

Khawaja reconoció que los problemas de personal deberían ocupar un lugar destacado en la lista de preocupaciones del CISO; la necesidad de atención de alto nivel al personal es algo que aprendió durante sus cinco años en la organización de atención médica. La tasa de deserción del personal hace tres años estaba en el rango del 33% al 50%, aproximadamente el promedio para un campo donde la permanencia habitual de los profesionales de la seguridad es de dos a tres años. Ahora, dijo que su tasa de deserción entre los empleados que busca retener es inferior al 5%. Khawaja acreditó las políticas que diseñó para involucrar mejor a los empleados e identificar los riesgos relacionados con el personal.

Dijo que también está trabajando para empoderar a sus gerentes y empleados para que puedan manejar todos los elementos tácticos de la función de seguridad, lo que le permite centrarse en los elementos estratégicos que se han convertido en el componente principal del rol de CISO. “Se trata de tener a la persona adecuada en el rol correcto haciendo el mejor trabajo de sus vidas”, agregó Khawaja.

5. Tecnologías emergentes

Los CISOs están recurriendo a más tecnologías emergentes para ayudarlos a alcanzar sus objetivos de seguridad, dijo el CISO Ahuja. Ellos están utilizando inteligencia artificial, aprendizaje automático, automatización y orquestación. También están utilizando ofertas de seguridad basadas en la nube que pueden recopilar información sobre amenazas en múltiples organizaciones para sortear el aluvión de amenazas potenciales e identificar las que realmente necesitan atención.

Implementar más tecnologías en el proceso de seguridad es una de las prioridades de Gary Hayslip, CISO en la empresa de seguridad de Internet Webroot. “Vamos a poner en marcha un motor de orquestación para ordenar todos los datos y revisar las reglas para identificar lo ‘malo’ para que podamos ver eso. Luego, uniremos las diferentes tecnologías y crearemos tableros para obtener visibilidad de cosas como el flujo de datos, y si el flujo de datos cumple con un cierto nivel de riesgo que activará un ticket de servicio y un mensaje SMS para alertar al líder de la investigación”, dijo, y señaló que esta tecnología automatizaría lo que hoy es un proceso manual en su empresa.

6. Respuesta y remediación

Sam Olyaei.

Los analistas de Gartner recomiendan que los presupuestos de seguridad se dividan en tres partes: protección; seguimiento y detección; y respuesta y remediación. Entre otros, Sam Olyaei, director principal de seguridad y gestión de riesgos en Gartner, dijo que esto refleja la realidad a la que se enfrentan los CISO: Que tendrán brechas y, en lugar de centrarse solo en mantener alejados a los actores malos, necesitan gastar más en la detección y remediación para que puedan reaccionar adecuadamente cuando suceda lo inevitable.

7. Expandiendo responsabilidades

Los CISOs también deben darse cuenta de que el alcance de sus responsabilidades se está expandiendo en algunos frentes, dijo Olyaei. “Tienen que manejar otros riesgos, como los riesgos de proveedores o terceros”, dijo, señalando que varias infracciones de alto perfil ocurrieron no solo debido a una debilidad dentro de la organización violada, sino también debido a un lapso en el perfil de seguridad de un socio.

Dadas estas realidades, dijo, los principales CISOs están expandiendo su trabajo para incluir evaluaciones de seguridad de terceros. También son responsables de compartir sus propios perfiles de seguridad con terceros. “Se les está pidiendo a las empresas que exhiban certificaciones o requisitos específicos de otras empresas antes de que trabajen juntas”, explicó Olyaei.

8. Ataques más grandes

Otra de las principales preocupaciones es el creciente alcance de los ataques. “Una de las cosas más importantes que me preocupan es la escala de los ataques. Creo que es solo cuestión de tiempo antes de que veamos un ataque que cause una gran cantidad de muertes”, dijo Hayslip de Webroot. Él cree que el uso creciente de la automatización y la orquestación puede ayudar a contrarrestar esa amenaza, ya que esas tecnologías pueden ayudar a los equipos de seguridad a concentrarse solo en las amenazas reales y no perder el tiempo persiguiendo falsas alarmas. Espera que el impulso en los negocios, y en la sociedad en general, para hablar no solo sobre la conciencia cibernética, sino sobre la ciberseguridad como un problema de seguridad, aumentará la preocupación por las amenazas potenciales y dará energía a las personas para prepararse mejor para frustrar un ataque importante, o al menos disminuir su impacto.

9. Tratar con los datos

Khawaja observa que algunos informes estiman que casi el 50% de los datos que las organizaciones almacenan no tienen uso o valor. La eliminación de datos innecesarios que su organización almacenó es una de sus prioridades “porque eso significaría un 50% menos de lo que tenemos que proteger”.

Otros expertos en seguridad dijeron que una administración de datos más sólida es una prioridad para los principales CISOs y sus organizaciones. Como ejemplo de ello, Ahuja, de Gartner, dijo que algunas organizaciones están creando un rol de director de protección de datos que informa sobre la legalidad, pero que trabaja con la oficina del CISO sobre la mejor manera de proteger los datos en consonancia con las crecientes regulaciones.

10. Fortalecer las bases

Muchos CISOs aún luchan con la creación de políticas y prácticas sólidas en torno a medidas de seguridad fundamentales, dijo Olyaei de Gartner. Como resultado, la higiene básica de seguridad sigue siendo una prioridad para los CISOs, tanto los que luchan con esto como los que tienen prácticas más maduras.

El CISO de LinkedIn, Cory Scott, dijo que su función de seguridad “abarca las operaciones tradicionales de seguridad de la información, seguridad de productos, y confianza y seguridad”, y señaló que su equipo ha crecido significativamente en los últimos cinco años.

Pero Scott aún se enfoca en la base como parte de su estrategia de seguridad general cuando se dirige a 2019. “No estoy tachando nada de la lista, pero en general estoy satisfecho con la conciencia de que la higiene de seguridad básica –administración de activos, parches y gestión de la configuración, recopilación de la telemetría de seguridad, autenticación multifactor– es lo más importante que se debe hacer bien. Creo que comenzaremos a ver un enfoque básico en 2019, basado en estos aprendizajes”.

Fuente: searchdatacenter.techtarget.com

Riesgo continuo, seguridad y cumplimiento para la gestión de la postura de ciberseguridad: un enfoque unificado.


Las soluciones actuales de riesgo, seguridad y cumplimiento están fragmentadas, lo que requiere diferentes enfoques o incluso implementaciones totalmente diferentes para las instalaciones locales, la nube, los contenedores y las aplicaciones críticas para la empresa, como las bases de datos. Con múltiples herramientas, configuraciones, operaciones y diferentes algoritmos para priorizar activos críticos, es difícil para cualquier equipo de operaciones de seguridad evaluar y mantener la postura de ciberseguridad de su organización.

Como industria, debemos evolucionar para crear un enfoque más unificado que abarque múltiples entornos y ofrezca a los clientes un panel único para seleccionar marcos, lanzar evaluaciones basadas en el tiempo e informar sobre los resultados. Y necesitamos introducir la inteligencia de la máquina para facilitar las evaluaciones predictivas y un tiempo más rápido para remediar.

Esta evolución tiene un impacto tanto financiero como práctico, ya que los días de un presupuesto de seguridad en constante crecimiento han terminado, como recientemente capturó IDC. Este año, el 50% de las empresas espera un aumento del presupuesto, en comparación con el 79% del año pasado, lo que refleja una desviación de la tendencia de incorporar un nuevo producto de seguridad de puntos para cada requisito. Las organizaciones deben encontrar más valor y, a medida que sus entornos se vuelven más complejos, los productos deben adaptarse en consecuencia. En particular, esto es un buen augurio para las plataformas que protegen la nube pública y la infraestructura local de manera unificada.

Abrazando la nube híbrida

Para manejar de manera efectiva los diferentes activos en la nube híbrida, las soluciones ganadoras deben tener la flexibilidad para asegurar los servicios en la nube pública, manejar múltiples sistemas operativos y admitir arquitecturas de VM, contenedores y servidores sin facilidad.

Considere una carga de trabajo HIPAA en VMware, local dentro de un perímetro. Cuando se migran a Amazon Web Services (AWS), esta misma carga de trabajo podría tener VPC de acceso abierto y grupos de seguridad, depósitos de S3 abiertos y máquinas virtuales vulnerables, todo lo cual necesita una evaluación continua para la seguridad. Luego, dado un mecanismo de descubrimiento sofisticado y flexible, la solución no debe limitarse a solo evaluar sistemas operativos. Debería manejar efectivamente los hipervisores y contenedores como VMware, Docker y Kubernetes. Además, debe evaluar de manera efectiva los servicios de nube críticos que están estrechamente relacionados con la carga de trabajo, como las bases de datos, ofreciendo así una visión más completa de la postura de seguridad de una organización. Este requisito de flexibilidad se presta a la personalización.

Personalización

La cita de Henry Ford  : “Cualquier cliente puede pintar un auto del color que quiera, siempre y cuando sea negro”, simplemente no lo corta en las implementaciones de seguridad de hoy. Cada empresa tiene sus propios requisitos, su propia forma de evaluar el riesgo. Para evaluaciones exhaustivas de seguridad y cumplimiento, esto requiere una forma intuitiva de crear scripts de políticas personalizadas tanto para el SO como para los servicios locales / en la nube.

Por ejemplo, la solución de un proveedor puede ofrecer monitoreo y remediación para un conjunto pre-empaquetado de servicios de AWS, pero la empresa puede haber adoptado uno de los más oscuros, aunque crítico para su entorno. Aquí, la personalización puede ofrecer a las empresas una visión completa de su postura de seguridad. De la misma manera, los puntos de referencia preempaquetados de la CIS u otras asignaciones de control técnico como HIPAA o HITECHpuede integrar un conjunto de controles, pero una institución de atención médica puede necesitar algo más en profundidad o una variación de un control existente. O bien, puede necesitar desarrollar su propio marco que consiste en controles de diferentes familias, así como políticas personalizadas. Las opciones aquí incluyen aprovechar el contenido del Protocolo de automatización del contenido de seguridad (SCAP) ya disponible o crear políticas personalizadas desde cero a través de secuencias de comandos.

Aprendizaje automático

En la mayoría de los casos, los equipos de cumplimiento adoptan un estándar como HIPAA que contiene un conjunto de medidas administrativas, físicas y técnicas. Asignan cada protección técnica a una política de control técnico correspondiente, como la que se encuentra en CIS, que luego se asigna a un sistema operativo de destino. Como se podría imaginar, este es un proceso que requiere mucho tiempo y, en casi todos los casos, no tienen forma de priorizar los controles técnicos para guiar los planes de gestión de cambios. Una vez que las asignaciones están en su lugar, la plataforma de cumplimiento automatiza las comprobaciones, con el resultado una lista de las acciones de remediación recomendadas.

Pero, a medida que surgen nuevas regulaciones y estándares, especialmente para la privacidad de los datos, debemos evolucionar, tanto en la forma en que mapeamos los diferentes estándares, regulaciones y puntos de referencia, como en cómo manejamos el resultado. Aquí es donde entra en juego una aplicación práctica de aprendizaje automático, ya que puede ayudar a racionalizar y automatizar el mapeo y la priorización de varios controles técnicos. En la cola, el sistema debe priorizar efectivamente las acciones de remediación y, si el operador lo desea, automáticamente lleve a cabo esta guía.

Cómo empezar

Si usted es un líder en seguridad cibernética que busca implementar este enfoque unificado, aquí le indicamos cómo comenzar. Como referencia, el Marco de Ciberseguridad (CSF) del NIST proporciona una estructura para implementar un programa de seguridad, que incluye la realización de una evaluación de riesgos inicial, la creación de un perfil de seguridad objetivo, el análisis y la priorización de brechas y la realización de un plan de acción. No es una regulación en sí misma, pero hace referencia a una serie de otras normas que se pueden aplicar a una función específica y vertical. Por ejemplo, los que están en el cuidado de la salud pueden centrarse en HIPAA e ISO. Extendiéndose a la nube pública, el CSF se puede utilizar junto con la nueva Guía complementaria de la nube de controles CIS que mapea los controles CIS 20 a IaaS, PaaS, SaaS y FaaS.

En última instancia, un enfoque unificado de la automatización de riesgos, seguridad y cumplimiento ofrece a las organizaciones una forma más extensible, precisa y rentable de proteger sus datos y aplicaciones híbridas. La implementación en múltiples nubes, las secuencias de comandos personalizadas y el aprendizaje automático son todas las capacidades críticas que permiten esta evolución.El Consejo de Tecnología de Forbes es una comunidad de invitación únicamente para CIO, CTO y ejecutivos de tecnología de clase mundial.¿Califico?

Fuente: www.forbes.com

Praveen Jain

Consejos Praveen Jain Forbes

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

Riesgos de no contar con un Data Privacy Officer en una empresa.


Por Mtro. Luis Mario Lemus Rivero 1 Agosto, 2018  

Tras la publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares(LFPDPPP) se han generado diversas dudas respecto a las medidas que tiene que implementar una empresa para cumplir con esta norma.

En general, se creía que el Aviso de Privacidad era el elemento fundamental para cumplir con la LFPDPPP, lo cual trae un riesgo para quienes así lo consideren, pues el Aviso de Privacidad no resuelve todos los problemas, ya que el Aviso únicamente presupone una obligación de muchas otras, como, por ejemplo, contar con un Data Privacy Officer (DPO) o departamento encargado de la protección de datos personales al interior de una empresa.

Esta obligación deriva del artículo 30 de la LFPDPPP, el cual a la letra refiere lo siguiente:

“Artículo 30. Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.”

En razón de lo anterior, las empresas deberán consagrar formalmente un departamento o designar un DPO que se encargue del cabal cumplimiento a la LFPDPPP, su reglamento, y demás normativa aplicable.

¿Qué riesgos existen si no tengo un DPO?

De conformidad con el artículo 63 de la LFPDPPP, no contar con un DPO constituye una de las causales de incumplimiento de la LFPDPPP; por lo que en caso de una revisión y/o auditoría de cumplimiento por parte de la autoridad correspondiente, la empresa (en su calidad de responsable o encargado) podría ser sujeta a una sanción económica, así como a un desgaste reputacional considerable, sin dejar de lado la responsabilidad penal en la que pudiera incurrir.

¿Cuáles son las funciones de un DPO?

El DPO tiene diversas funciones, dentro de las cuales destacan las siguientes:

  1. Tramitar las solicitudes que los titulares hagan respecto al ejercicio de sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO).
  2. Supervisar el cumplimiento de las obligaciones que se dispongan en materia de Protección de Datos Personales.
  3. La concientización y formación del personal que trate los datos.
  4. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales.
  5. Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales para el uso de los documentos como Avisos de PrivacidadPolíticasManuales.
  6. Elaborar y difundir la política de privacidad y protección de datos personales implementada al interior de la empresa.
  7. Análisis de riesgo y política de prevención.
  8. Conservación de evidencias de cumplimiento.
  9. Implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de Datos Personales (SGSDP).
  10. Estudiar los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en el SGSDP que ha implementado la organización.
  11. Ser el representante de la organización en materia de protección de datos.
  12. Actuar como punto de contacto con la autoridad.
  13. Instrumentar y administrar procedimientos para la atención de dudas y quejas formuladas por los titulares, relacionadas con las políticas y prácticas de privacidad y protección de datos personales de la organización.
  14. Instrumentar y administrar procedimientos para la revocación del consentimiento de los titulares, así como para la solicitud de limitación del uso y divulgación de datos personales.

¿El DPO puede ser agente externo?

La ley no prohíbe o limita que un DPO pueda ser externo, esta responsabilidad puede recaer en un profesional de la propia plantilla de la compañía o empresa, especializado naturalmente en estas responsabilidades; o bien, puede ser un experto o empresa externa cuya figura y funciones deben quedar claramente determinadas mediante contrato.

Se recomienda que si el DPO es externo, haya una persona al interior de la empresa del responsable que funcione como canal o puente de comunicación para que, de manera conjunta, supervisen el flujo de la información, realicen las auditorías correspondientes, actualicen los programas y políticas de privacidad, capaciten al personal, hagan el análisis de brecha y riesgo, actualicen avisos de privacidad y atiendan cualquier ejercicio de derecho o cualquier procedimiento en materia de  protección de datos personales, entre otras actividades.

Contactanos para mas información

Mario Meneses

mario@c2csmartcompliance.com

+52 1 771 187 1152

Siniestro aéreo en Puebla: ¿asunto de seguridad nacional?


POR GERARDO RODRÍGUEZ  FEBRERO 28, 2019

El gobierno de México, a través de la Secretaría de Comunicaciones y Transportes (SCT) determinó reservar por cinco años los audios de las últimas comunicaciones, entre el piloto y torre de control, del fatal siniestro en el que fallecieron la gobernadora de PueblaMartha Erika Alonso, y su esposo, el senador Rafael Moreno Valle.

La guerra de declaraciones ya inició. El presidente del PAN, Marko Cortés, está claramente politizando el tema por las próximas elecciones en el estado al sugerir que pudo haber sido “un hecho provocado” ante la falta de información. El presidente de México Andrés Manuel López Obrador comentó que su recomendación es que exista “transparencia completa”. Cortés cae en la irresponsabilidad de sus declaraciones hasta que no concluya la investigación y el presidente no está debidamente informado porque no puede haber “transparencia completa” por el momento. Aquí les comparto mi análisis.

Investigaciones ante el MP. Una reserva clara de información contenida en el artículo 113 de la Ley General de Transparencia (LGTAIP) es que “se encuentre contenida dentro de las investigaciones de hechos que la ley señale como delitos y se tramiten ante el MP”. Hay una investigación en curso, por supuesto que se puede reservar la información. Este es la más importante de los argumentos de la SCT.

Información de agencias de inteligencia extranjeras y seguridad nacional. La cooperación internacional entre agencias de inteligencia de los países tarda años en construirse y puede terminar en un momento cuando un gobierno decide utilizarla con fines políticos. En el caso de Puebla se solicitó la cooperación de agencias aeronáuticas de EU y Canadá, sin embargo no es necesariamente un tema de seguridad nacional, a menos que se tenga información que vincule el hecho con delincuencia organizada. Este argumento es endeble.

Interés público. El PAN, medios de comunicación y cualquier persona puede argumentar que es mayor el interés público que la reserva de la información por cualquier escenario planteado en el artículo 113 de la LGTAIP. No será fácil la argumentación y seguramente el pleno del INAI estudiará el caso. Sin embargo, la Presidencia de la República a través de su Consejero Jurídico puede interponer un recurso ante la Suprema Corte en caso de que el INAI resuelva a favor de abrir dicha información.

Al clasificarse por cinco años se le da un periodo de gracia a las investigaciones para no afectar el debido proceso, se cuidan las relaciones con agencias extranjeras, no se trasciende la reserva a otra administración, es decir, se desclasificará en este sexenio si no se pide una extensión que puede ser por un plazo de otros cinco años. Lo mejor es no especular, dejar que corran las investigaciones y se presenten los resultados de este terrible acontecimiento.

Agenda estratégica: Recomiendo el libro de Santiago Nieto, titular de la UIF, sin filias ni fobias: memorias de un fiscal incómodo. Contiene un índice onomástico que puede identificar a personas políticamente expuestas en casos de corrupción.

gerardo_rsl@yahoo.com

@gerodriguezsl

Fuente: heraldodemexico.com.mx

Mario Meneses

mario@c2csmartcompliance.com

Saludos

Ciberabogados, nueva necesidad para el mundo jurídico


Sara Milena Cruz Abril

Redactora Ámbito Jurídico

Internet ha generado una revolución que brinda nuevas y amplias oportunidades en casi todos los aspectos de la vida, pero a la vez deja más vulnerables a las personas, empresas y organizaciones que interactúan en el ciberespacio.

Este panorama, en el que millones de datos viajan todo el tiempo por el mundo a la velocidad de la luz hace que surja la demanda de nuevos roles que enfoquen su atención en los novedosos intercambios sociales y comerciales.

Para nuestro caso, podemos hablar del ciberabogado como ejemplo de un profesional que afronta esta nueva realidad y los retos de la tecnología.

ÁMBITO JURÍDICO contactó a Álvaro Écija, managing partner del Exix Group, firma especializada en la prestación de servicios de compliance y ciberseguridad, y director académico del máster en ciberderecho ofrecido en España por la Universidad Católica de Murcia (UCAM), quien nos contó de que trata esta oportunidad de aprendizaje y su importancia.

¿Qué es el ciberderecho?

Esta disciplina busca detectar y actuar frente a los nuevos problemas que afectan a las personas y empresas desde el ciberespacio, los cuales se traducen en retos para los profesionales del Derecho.

La falta de regulación global de internet, qué derechos y responsabilidades surgen de un ciberataque, ante quién se puede reclamar el secuestro de información por ransomware, qué hacer si se suben contenidos a una plataforma cuyos servidores están en un tercer país, cómo configurar jurídicamente un sistema de connected car y la lucha contra la ciberdelincuencia son algunas de las problemáticas actuales a las que el abogado debe dar solución.

Por esta razón, surge la necesidad de obtener una formación académica y especializada que, además de actualizar de manera sólida al jurista, lo prepare para enfrentar de manera eficaz las actuales problemáticas del manejo de la información.

¿Por qué estudiar un máster en ciberderecho?

El abogado debe conocer y comprender cómo se regula internet y las tecnologías que convergen a su alrededor, para poder enfrentarse a esta nueva realidad con las competencias profesionales necesarias.

Por otro lado, debe despertar su espíritu crítico ante los retos jurídicos que traen los nuevos ciberproblemas, las cambiantes ciberamenazas y las nuevas tecnologías.

Así, dentro de los objetivos que se buscan alcanzar al iniciar esta nueva dinámica están conocer la organización de las relaciones en el ciberespacio; entender la estructura técnica de internet y la problemática jurídica; identificar desde el punto de vista práctico algunas de las amenazas que existen en internet; conocer las estrategias y mecanismos supranacionales, nacionales e individuales para combatir la ciberdelincuencia; detectar los problemas de identificación en el ciberespacio y, así mismo, las ventajas y desventajas de los sistemas utilizados.

Así mismo, busca conocer blockchain y sus principales usos; entender los principales aspectos del crowdfunding; desarrollar un conocimiento crítico que permita discernir la evolución del mercado, valorar la viabilidad de proyectos y nuevos modelos de negocio y conocer los principales sujetos que intervienen en el desarrollo de eSport.

¿Qué aprende un ciberabogado?

El abogado que decide capacitarse en esta disciplina ve durante algo más de un año asignaturas relacionadas con la introducción y el entendimiento del ciberderecho (filosofía del derecho); regulación del ciberespacio; ciberseguridad, ciberdelincuencia y ciberproblemas; identificación no presencial y contratación electrónica; blockchain; internet de las cosas (loT) e inteligencia artificial (AI); eSport (sector del juego online); modelos de negocio y financiación del emprendimiento digital y tributación en el ciberespacio.

¿Cuál es la importancia del máster para los abogados?

Internet es un espacio virtual donde las normas del juego han cambiado y donde han aparecido nuevos problemas que van más allá de la seguridad de la información como los bulos, las noticias falsas, el cyberbullying o la ciberextorsión, entre otros. Además, nuevas tecnologías como blockchain o la inteligencia artificial (AI) requieren de una reflexión jurídica.

Los abogados necesitan tomar conciencia del ciberespacio, formarse y adquirir técnicas orientadas a entender las nuevas reglas del juego y las implicaciones legales que traen las nuevas tecnologías. Solo de esta manera pueden ofrecer a sus clientes, personas físicas o empresas soluciones jurídicas adaptadas al ciberespacio.

Fuente: http://www.ambitojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Espacio Compliance en la CNMC: El Delegado de Protección de Datos en el Sector Público (DPD)


La AEPD va a ser “muy garantista” en relación a la propaganda electoral

“Los partidos políticos saben que es ilegal elaborar perfiles ideológicos de los ciudadanos”

Yolanda del Valle

“La situación actual no faculta a los partidos políticos a elaborar perfiles ideológicos individuales de los ciudadanos y, si un ciudadano recibe propaganda electoral por un medio digital y ‘sospecha’ que un partido político puede tener su perfil ideológico, debe denunciarlo ante la Agencia Española de Protección de Datos porque los partidos saben que eso es ilegal y vamos a ser muy garantistas”, afirmó ayer Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en respuesta a la preocupación manifestada por uno de los asistentes a la cuarta sesión de ‘Espacio Compliance’, dedicada en esta ocasión a hablar sobre ‘El Delegado de Protección de Datos en el Sector Público’.

Durante la ponencia de inauguración del evento celebrado en la Comisión Nacional de los Mercados y la Competencia (CNMC), Mar España destacó la importancia que tiene que organismos reguladores como la AEPD y la CNMC trabajen de manera conjunta dado el nuevo marco normativo que ha creado en nuestro país la nueva Ley Orgánica de Protección de Datos, aprobada el pasado 5 de diciembre, y el nuevo Reglamento Europeo de Protección de Datos (REPD), de plena aplicación en España desde finales de mayo de 2018.

La directora de la AEPD aseguró que “todos los organismos públicos, sin excepción, deben de tener un Delegado de Protección de Datos (DPD)”, y añadió que “la AEPD está haciendo una labor importante de formación de esta nueva figura en el sector público”.  Asimismo, destacó que la actividad desarrollada por los organismos públicos en materia de protección de datos “es clave, porque una ‘brecha’ de seguridad puede suponer la pérdida de la reputación para las administraciones públicas, además de las posibles sanciones administrativas o las responsabilidades penales que se pudieran derivar”, y aconsejó que los futuros DPD utilicen el servicio INFORMA, accesible desde la página web de la AEPD, para trasladar sus dudas o consultas en materia de protección de datos.

En relación a las sanciones económicas que pueda poner la AEPD por no respetar la privacidad en materia de protección de datos, Mar España afirmó que “cuando tengamos que ser serios lo vamos a ser, como lo hemos sido con Facebook imponiéndole una multa de 1,2 millones de euros antes del escándalo de Cambridge Analytica; pero también queremos ser comprensivos y acompañar en la adaptación a la nueva normativa a las organizaciones españolas, públicas o privadas, que lo necesiten”. En este sentido, animó a empresas privadas y organismos públicos a usar la herramienta FACILITA, que “es gratuita y ayuda a los DPD en el ejercicio diario de sus funciones”.  

Finalmente, destacó que “hay muchas reclamaciones que llegan a la AEPD que podrían resolverse mediante la conciliación fuera del ámbito administrativo o penal”, y que esta posibilidad “supone muchas ventajas para todos los implicados, aunque no impida que la AEPD pueda ejercitar su potestad sancionadora”.  

Por su parte, los invitados que participaron en la mesa redonda que se celebró tras la intervención de Mar España, todos DPD de importantes organismos públicos, debatieron sobre el papel de esta nueva figura en el sector público español, su independencia dentro de la organización y los canales de denuncia como mecanismos de control que pueden utilizarse en materia de protección de datos para denunciar ‘brechas’ de seguridad.  

“HAY MUCHAS RECLAMACIONES QUE LLEGAN A LA AEPD QUE PODRÍAN RESOLVERSE MEDIANTE LA CONCILIACIÓN FUERA DEL ÁMBITO ADMINISTRATIVO O PENAL”, AFIRMA MAR ESPAÑA, DIRECTORA DE LA AEPD.

DPD: ¿interno o externo?

Juan José Pérez Rodríguez, DPD de la CNMC, afirmó que “para la Administración Pública contratar a un DPD externo debería de ser la última opción” y abogó “por que sea interno por el valor que aporta el que sea alguien de la ‘casa’ que conoce bien los procedimientos y el funcionamiento de ese organismo público concreto”.

Mar Rubio Conteras, DPD de la Comisión Nacional del Mercado de Valores (CNMV), apoyó sus palabras afirmando que “el DPD es un mecanismo de resolución de conflictos amistoso que, si bien se puede externalizar en algunos casos, en el sector público es mejor que sea alguien de dentro por su cercanía y conocimiento de la organización”.

En relación a la independencia de esta figura clave en materia de privacidad y a la posibilidad de que esta responsabilidad recaiga en un cargo directivo o intermedio,  Juan José Pérez Rodríguez afirmó que “no es lo más adecuado ni favorece su independencia, puesto que ocupar un cargo directivo le fuerza a alinearse con la doctrina y estrategia de la organización”, y concluyó su intervención asegurando que “lo importante es que se trate de un perfil que genere confianza y que tenga comunicación directa con la alta dirección”.

Mar Rubio añadió que, como asesor, “su independencia se basa en el conocimiento que tenga de la organización para saber dónde poner los controles y dónde están los posibles riesgos”, y que es fundamental que el DPD “conozca el negocio o la actividad de su empresa ‘desde abajo’ y que esté convenientemente acreditado para ejercer su función con estándares de calidad”.

Canal de denuncias y Protección de Datos

En lo que respecta a la implementación de mecanismos de control como son los canales de denuncia en materia de protección de datos, Lluís Sanz Marco, DPD del Ayuntamiento de Barcelona, aseguró que “nuestro canal de denuncias no es interno, es externo, y está abierto a la ciudadanía para denunciar conductas que no sean éticas garantizando el anonimato y la confidencialidad de los datos que se aporten en la denuncia”, y concluyó asegurando que su funcionamiento en el Ayuntamiento de la Ciudad Condal está siendo “todo un éxito”.

José López Calvo, vocal de la Asesoría Jurídica y DPD del Consejo Superior de Investigaciones Científicas (CSIC), puntualizó que “las denuncias tienen que ser siempre investigadas, sean anónimas o no, por la propia seguridad de los responsables de la organización, en este caso de la Administración Pública”.

Juan José Pérez Rodríguez cerró su intervención añadiendo que es importante que la nueva Ley Orgánica de Protección de Datos haya incorporado el anonimato del denunciante, “aunque nuestro canal en la CNMC es confidencial, no anónimo”, puntualizó,  y avivó el debate en el último momento añadiendo que “lo que no tengo tan claro es que sea conveniente que exista un canal de denuncias interno que reciba únicamente denuncias relacionadas con protección de datos, con lo cual se entiende que en ese canal de denuncias genérico debe de haber siempre un ‘filtrado’ que involucre necesariamente al DPD”.   

“LO QUE NO TENGO TAN CLARO ES QUE SEA CONVENIENTE QUE EXISTA UN CANAL DE DENUNCIAS INTERNO QUE RECIBA ÚNICAMENTE DENUNCIAS RELACIONADAS CON PROTECCIÓN DE DATOS”, AFIRMÓ JUAN JOSÉ PÉREZ RODRÍGUEZ, DPD DE LA CNMC.

A modo de broche para clausurar el evento, todos coincidieron en que las partidas presupuestarias con las que cuentan en estos momentos los organismos públicos de los que son DPD se están dedicando, fundamentalmente, a capacitar y formar a funcionarios públicos en materia de privacidad y protección de datos, especialmente a los que trabajan en atención al público, y destacaron la importancia de contar con una herramienta de gestión que facilite el trabajo del DPD en la Administración Pública.

Autora: Yolanda del Valle

certificacion - diario juridico

Responsable de Comunicación & Marketing en Legal Compliance

Fuente: http://www.diariojuridico.com

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Mi Asesor del Riesgo/herramienta. Directores, Gerentes, Consultores, Asesores y Analistas del Riesgo, que se unen a la Tecnología de MyRA.


My Risk Assessor (MyRA) aborda los desafíos de proteger los activos con una solución rentable que realiza evaluaciones de riesgos y proporciona visibilidad del proceso de gestión.

MyRA estima la probabilidad de exposición a numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar las exposiciones de riesgo. Identificar el riesgo de los activos es cada vez más complejo y costoso. La mayor responsabilidad de las partes interesadas, las industrias y el gobierno se está exigiendo más que nunca. MRA ofrece una solución automatizada y asequible que es fácil de entender y de usar para los gerentes y el personal.

My Risk Assessor (MyRA) es una solución de SaaS alojada y desarrollada por Compliance MapperTM que ayuda a la administración a entender las responsabilidades y proporciona los medios para monitorear, medir y administrar el proceso de administración de riesgos.

MyRATM. es fácil de usar e integrado con la plataforma de Compliance Mapper de C2C. Las bibliotecas de tratamiento contienen y vinculan vulnerabilidades y controles, y pueden personalizarse con información de hoja de cálculo importada. Existe un componente de Análisis de impacto empresarial (BIA) para ayudar a crear continuidad e identificar y evaluar los costos relacionados con el impacto de pérdida / riesgo.

Beneficios: Modelo SaaS protegido – rentable y seguro
 · Extremadamente fácil de usar
 · Proporciona portabilidad de evaluaciones.
 · Capacidad de importación y exportación.
 · Bibliotecas de amenazas de activos estandarizadas
 · Calcula la expectativa de pérdida única y la expectativa de pérdida anual
 · Enlaces a controles y se alinea con los requisitos de ISO 27001 y NIST 800-53
 · Agiliza la implementación de ISO
 · Asigna riesgos a procesos internos: ahorro de tiempo y costos.
 · Asigna riesgos a las políticas, procedimientos y regulaciones con una simple actualización
 · Capacidades de análisis con propiedades de activos mejoradas (SLE y ALE) SOA para NIST e ISO 27001

My Risk Assessor (MyRA) tiene informes completos. Los informes incluyen: informes de riesgos de activos, declaración de aplicabilidad, planes de remediación de riesgos, análisis comparativo.

Contactanos para que te podamos dar una demostración gratis de los beneficios que tienen nuestra herramienta MyRA.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Ciudad de Mexico – Miami

¿Cómo fortalecer la seguridad informática en los negocios?


La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

Cuando se trata de seguridad cibernética, solía haber dos tipos de personas: aquellas enfocadas en crear un sistema cerrado que nunca pudiera ser violado, y quienes reconocieron que las tecnologías convergentes requieren un enfoque más centrado en el ecosistema. Muchos de los que pasamos por el mundo de los sistemas de seguridad física, habríamos estado firmemente en el primer campamento. Pero a medida que la industria ha pasado de ser analógica a la tecnología basada en IP y al nuevo ecosistema de IoT, todas las medidas de ciberseguridad puestas en juego (o la falta de ellas) pueden afectar todo lo demás en la red. 

Ahora hay prácticamente un solo tipo de persona: quienes creen que es imperativo que nuestros sistemas y dispositivos no solo converjan en un nivel operativo, sino también en un nivel de ciberseguridad.

De acuerdo con cifras oficiales, 9 de cada 10 empresas serán blancos de ataques o eventos cibernéticos en el mundo.1 Esto ha generado que una las prioridades de las empresas de todas las industrias y sectores tomen a la ciberseguridad como parte importante de sus preferencias, una tendencia que seguirá creciendo tomando en cuenta que estamos caminando hacia un mundo cada vez más conectado.

La necesidad de proteger las redes y los sistemas contra intrusiones no autorizadas y no deseadas es real y, si no se está atento, los resultados pueden ir desde la pérdida de la confianza del cliente hasta el cierre del negocio, lo que puede ser catastrófico.

México no ha sido una excepción a estos ataques, ya que el pasado 17 de abril un participante del Servicio de Pagos Electrónicos Interbancarios (SPEI) registró un ataque cibernético, de acuerdo con el Banco de México, que agregó que a partir de esa fecha se identificaron cuatro eventos más: dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo.

Ante esta situación, cualquier negocio puede sufrir amenazas de ciberseguridad. Y es que el sector del entretenimiento, como restaurantes y hoteles, también ha sido víctima de esto, un ejemplo es el caso del Hotel Marriot, que el año pasado dio a conocer sobre el robo de una lista de datos personales de sus huéspedes, donde se incluía nombres completos, direcciones, número de pasaporte, información de cuenta de Starwood Preferred Guest, y en algunos casos información de tarjetas de crédito y sus fechas de vencimiento, entre otros más.

En el caso de la atención médica, la seguridad de los pacientes y los empleados es de suma importancia, especialmente porque casi el 90% de las organizaciones de atención médica, experimentaron algún tipo de violación de datos dentro de los dos años de la publicación de esa investigación. Los pacientes y el personal confían en los centros de salud al proporcionarles su información privada, por lo que es responsabilidad de esos centros proteger los datos. 2

Desde el año pasado, se han visto mejoras en las modalidades que están utilizando los hackers para modificar el estilo de ataques, volviéndolos cada día más agresivos. En este momento las conexiones IP y tecnología IoT son objetivo de estas amenazas informáticas, incluso, el robo de información tiene diferentes modalidades: desde un celular, una computadora, hasta una cámara de vigilancia.

Existen virus que pueden infectar estos equipos para obtener información de las personas hasta el secuestro virtual de la información digital o ransomware, lo cual hace más vulnerable la privacidad de todos. Entonces, una de las preguntas que se deben hacer todos los negocios es, ¿cómo mantener una confianza digital ante el crecimiento de las tendencias de conectividad?, ¿qué factores se deben tomar en cuenta para brindar la seguridad y privacidad, tanto del mismo personal, así como de los usuarios de un negocio?

Ante esto, empresas de vigilancia y seguridad están trabajando e innovando en los sistemas de vigilancia inteligente, integrando cámaras de red para mejorar la protección de información de todas las personas. Axis Communications, empresa que trabaja para hacer un mundo más inteligente y seguro, sabe de la importancia que tiene el papel de la ciberseguridad hoy en día, es por esto que nos comparte algunos consejos para fortalecer la seguridad informática en los negocios.

  • Asegure una red de sistemas interconectados 

En un ecosistema convergente, como un escenario de seguridad física basado en IP, las amenazas y vulnerabilidades cibernéticas se vuelven mucho más complejas. No solo aumenta la cantidad de componentes, también aumenta la cantidad de proveedores que suministran esa tecnología y la cantidad de usuarios que acceden a ellos. Para mitigar los riesgos en este tipo de ecosistema abierto, es necesario que todos los proveedores operen con el mismo libro de jugadas de ciberseguridad.

  • Las políticas de seguridad son claves 

¿Podría existir una solución de aplicación universal? La respuesta es NO, ya que cada organización tiene necesidades de ciberseguridad específicas y únicas, no existe tal configuración de ciberseguridad. En su lugar, es importante contar con un conjunto de políticas de seguridad de la información para definir el alcance de la seguridad requerida.

Sin embargo, no se trata sólo de tener una política vigente. Como señaló IDC en su informe “Smart City: Secure by design” del año pasado, “también se trata de garantizar que todas las partes involucradas en la gestión del ecosistema de la ciudad sigan los estándares de la política de seguridad”.

La cantidad de dispositivos conectados en las ciudades seguirá creciendo rápidamente y las ciudades se verán afectadas por incidentes de ciberseguridad más o menos graves. Por lo tanto, es necesario estar bien preparado, y esto solo se puede lograr de la siguiente manera: Tener una política clara de seguridad cibernética que sea compartida y conocida por partes internas y externas.

  • Encontrar un terreno común para mitigar los riesgos cibernéticos 

Los fabricantes de TI, seguridad física y tecnología deberían estar trabajando como una unidad cohesiva para alcanzar un consenso sobre los estándares actuales y las tecnologías actuales de mitigación cibernética que realmente reflejen las técnicas de mitigación del riesgo cibernético del “Denominador más alto”.

En la mayoría de los casos, las cámaras de videovigilancia y el sistema de gestión de video (VMS) se seleccionan según dos criterios principales: 1) su uso específico previsto: protección del perímetro, vigilancia en áreas públicas abarrotadas, entradas y salidas de los negocios, etc., y 2) la fuerza del proveedor para satisfacer ese uso específico. Pero hay un tercer criterio que también debe considerarse: ¿el fabricante de la cámara A es compatible con los mismos protocolos de seguridad que el fabricante de VMS B, y estos protocolos se integran perfectamente con el conjunto actual de hardware, software y protocolos de protección cibernética de TI?

  • ¿Quién posee la conectividad?

Dado que el ecosistema se ejecuta en la infraestructura de TI, plantea otra pregunta importante: ¿Quién es responsable de la conectividad? ¿Las estrategias de ciberseguridad para los sistemas y dispositivos conectados a la red de seguridad física ahora pertenecen a TI? ¿O el departamento de seguridad física exige que las TI apoyen las tecnologías de seguridad informática incorporadas en las soluciones de seguridad física? La respuesta más simple es que la administración de la seguridad física necesita trabajar con integradores y fabricantes para diseñar soluciones que sean inherentemente compatibles con las metodologías actuales de TI para la mitigación del riesgo cibernético.

  • La ciberseguridad es un esfuerzo de equipo 

Las similitudes en las tecnologías de protección cibernética entre IoT y seguridad física pueden ser evidentes, pero hay algunas preocupaciones clave que deben permanecer a la vanguardia de cualquier creador de sistemas. No importa que tan sofisticados se vuelvan los dispositivos y sistemas de IoT, todavía funcionan en un mundo de TI. Y como tales, deben adoptar una estrategia de protección cibernética cooperativa. Las tecnologías maduras de IoT, como la seguridad física, deberán evolucionar para beneficiarse de algunas de las nuevas técnicas de protección cibernética de IoT.

  • Gestión de dispositivos escalable y eficiente 

Cuando tiene cientos, o incluso miles de dispositivos conectados, ya sean farolas, cubos de basura o cámaras, es fundamental que pueda realizar actualizaciones y configuraciones de forma automática en grandes cantidades, en lugar de hacerlo manualmente.

El trabajar juntos puede asegurar que las ciudades estén mejor preparadas para enfrentar la amenaza de la ciberseguridad en constante evolución y seguir siendo capaces de reaccionar rápidamente si la amenaza se materializa.

Fuente: www.addictware.com.mx

Mario Meneses

mario@c2csmartcompliance.com

+521 77871152

Saludos

Gestión de la seguridad integral e integrada en ciudades inteligentes: un proyecto de convergencia e integración física y lógica


Se trata de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y local (“glocal”) de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

18/02/2019
MANUEL SANCHEZ GÓMEZ-MERELO

Comunicación presentada al IV Congreso de Ciudades Inteligentes

Autor


Introducción

Este es un proyecto multidisciplinar planteado hacia los retos y demandas de cada entorno, diferenciando las necesidades de la Administración, de la industria y de los usuarios, desde la transversalidad de la “Gestión de la Seguridad Integral e Integrada” y como un proyecto de “Convergencia de la Seguridad Física y la Seguridad Lógica”.

Está basado, principalmente en:

  • Las necesidades del gobierno para poder: crear conciencia sobre la importancia de la seguridad; confianza de que se tiene suficientes recursos y prácticas para proteger las redes públicas, así como suficiente información para permitir la respuesta en situaciones de emergencia.
  • Las necesidades de la industria para poder: ofrecer seguridad para los sistemas y los servicios; brindar garantías y satisfacción al cliente, y ofrecer confianza y rentabilidad.
  • Las necesidades del usuario para poder: tener confianza en los medios de información y comunicación; prevención y protección ciudadana; seguridad y privacidad de su información.

Todo ello, con un carácter y objetivo multidisciplinar, generando acciones para: Incrementar la sinergia entre todas las partes interesadas como entes de vigilancia y control, entes de políticas y regulación, empresas y usuarios. Impulsar el desarrollo de normas compatibles a nivel global. Concienciar sobre las vulnerabilidades para proveer protección en forma independiente sobre las amenazas que están constantemente cambiando y pueden ser desconocidas.

El nuevo rol de las ciudades inteligentes, verdadero reto del siglo XXI. De manera general, el éxito futuro de las ciudades inteligentes radica en una especial planificación global y estratégica, con una visión de conjunto que incluya y coordine todas las áreas.

Esto ha de ser entendido como un verdadero proceso de gestión del cambio, hacia la transformación de la ciudad, planteado con una visión a medio-largo plazo y en el que formen parte todos los grupos de interés que confluyen en ella y en el que tampoco hay que olvidar la relación con el territorio y con el entorno próximo.

Una ciudad no será inteligente si no integra la triple vertiente del desarrollo sostenible aprovechando la oportunidad que los avances tecnológicos nos proporcionan.

Una sostenibilidad de las tres vertientes de forma coordinada: sostenibilidad económica, sostenibilidad ambiental y sostenibilidad social. De modo que todas las actuaciones proporcionen beneficios o mejoras en cada una de ellas.

En este sentido, las nuevas tecnologías y herramientas tecnológicas, las TIC, han de ser los instrumentos que han de posibilitar y facilitar ese salto cuantitativo y cualitativo hacia una mayor eficiencia y sostenibilidad.

Una ciudad Inteligente se consigue no meramente por acciones puntuales, sino por aplicación de una visión global a largo plazo. Hoy día estamos siendo testigos de cómo muchas ciudades se suben a la “moda” de las ciudades inteligentes o Smart City a través de la adopción o puesta en marcha de pequeños proyectos o iniciativas que incluyen algún proceso o simplemente una app tecnológica para incorporar el sello “inteligente” a sus denominaciones.

Pero tiene que haber algo más, una voluntad y un esfuerzo conjunto por acometer y gestionar ese proceso de cambio de forma real, rigurosa y con una amplia visión global de los objetivos.

A nivel internacional y nacional, las ciudades que así lo hacen logran un mayor nivel de implementación y obtienen mejores resultados de gestión, optimización de recursos y eficacia. Generan a su vez una ventaja competitiva frente a otras, siendo capaces de atraer más inversión y financiación (pública y privada) lo que redunda en mayores beneficios para las ciudades y sus ciudadanos, convirtiéndose en referencias a seguir.

Lo cierto es que alrededor de las llamadas ciudades inteligentes se está creando todo un ecosistema de trabajo conjunto entre ciudades, empresas, centros del conocimiento e investigación, nichos de emprendimiento, etc. y de importante transferencia de conocimiento y experiencia en muchos ámbitos y que está dando sus frutos.

Además, existe una fuerte inversión privada, principalmente por empresas del ámbito tecnológico, que llevan apostando por ello tiempo atrás con nuevas y específicas líneas y divisiones de negocio que están proporcionando soluciones en las ciudades, así como la aparición de nuevos nichos de mercado, en los que por ejemplo el Big Data, Open Data y el Data Mining, etc. se perfilan, como algunos expertos mencionan, como un nuevo sector económico: la economía de los datos.

Proyecto

El esquema de contenido del proyecto es el siguiente: Control y Gestión, Seguridad y Emergencia, Vigilancia y Seguridad Ciudadana, Sanidad y Salud, Transporte Urbano y Metropolitano y Servicios al ciudadano.

Control y gestión

Como primer objetivo del proyecto se trata de establecer una plataforma integral e integrada de control y gestión de las infraestructuras objeto de convergencia partiendo de la incorporación igualmente de los sistemas de análisis y evaluación de los riesgos, amenazas y vulnerabilidades identificadas y clasificadas en cada infraestructura, plataforma igualmente integrada para su evaluación permanente.

Seguridad y emergencia

Dado que el crecimiento de nuestras ciudades provoca que la gestión de la seguridad pública sea más compleja, para asegurarla es necesaria la coordinación de una gran cantidad de recursos disponibles que obligan al establecimiento de sistemas y metodologías de gestión en tiempo real y la optimización de los recursos.

Cualquier aplicación que integremos en la plataforma de gestión ayudará a optimizar la capacidad, y el tiempo de respuesta de los servicios de seguridad y emergencia será de gran utilidad en el ámbito de las ciudades.

Los servicios de seguridad y emergencias, como en ESPAÑA el 112, están diseñados bajo un criterio de servicios múltiples que permite integrar operativamente todos los medios y recursos implicados en este tipo de situaciones.

Los procedimientos determinan también los intercambios de información necesarios para conocer, en todo momento, el desarrollo de la gestión de la incidencia en un modelo del servicio que se desarrolla en dos niveles: RECEPCIÓN, ATENCIÓN Y GESTIÓN de las llamadas y MOVILIZACIÓN Y GESTIÓN de los recursos para atender adecuadamente las emergencias.

Vigilancia y seguridad ciudadana

En este punto, las aplicaciones pueden abarcar desde los servicios básicos de videovigilancia centrados en controlar determinadas zonas, a aplicaciones inteligentes que aseguran el control de los eventos masivos, a través de sensores que localizan y pueden identificar personas, objetos y vehículos como ayuda para la previsión de situaciones de aglomeración o incidentes. Para el caso de incendios se combinarían redes de sensores que ayudan a detectar de manera temprana este tipo de incidentes, así como redes de comunicación que permiten contactar con los centros de emergencia e intervención de manera inmediata, y así resolver la extinción del incendio en su desarrollo inicial.

Sanidad y salud

En planteamientos territoriales descentralizados, diversas entidades de sanidad y salud pueden participar en la GESTIÓN DE LA ATENCIÓN PRIMARIA y, por lo tanto, encuentran en la tecnología un aliado para ofrecer este tipo de servicios en el ámbito de las ciudades inteligentes.

Destacan las soluciones para el seguimiento del estado de salud a través de MEDICIONES DE SIGNOS VITALES usando biosensores y biometría mediante la monitorización de los pacientes y puede servir como puente entre el hospital y el hogar, permitiendo a los enfermos estar en sus casas y ser atendidos a distancia, tanto para diagnóstico como para tratamiento y seguimiento de la enfermedad.

En este planteamiento hemos de tener en cuenta igualmente la integración de la historia clínica electrónica para poder COMPARTIR INFORMACIÓN, y colaborar entre los hospitales y las consultas de atención primaria.

En FRIEDRICHSHAFEN (Alemania) se están desarrollando SISTEMAS DE TELEMEDICINA DISEÑADOS PARA MEJORAR LA ATENCIÓN MÉDICA. Por ejemplo, los diabéticos que utilizan el sistema de control de la diabetes GLUCOTEL ya no tienen que realizar visitas frecuentes a su médico pues este puede recuperar sus datos a través de un sistema remoto centralizado.

Igualmente importantes son los sistemas de teleasistencia social que contribuyen a FACILITAR LA VIDA INDEPENDIENTE DE PERSONAS CON NECESIDADES ESPECIALES, como son ancianos y enfermos. A estos se les suman los sistemas de localización que permiten ofrecer asistencia a domicilio a personas mayores en un tiempo más corto.

Es muy útil combinar el uso de datos y servicios de localización para plantear SERVICIOS QUE ALERTEN DE POSIBLES RIESGOS PARA LA SALUD. Un caso puede ser la aplicación “DON´T EAT AT” implantada en NUEVA YORK y que avisa con una notificación cuando el usuario entra en un restaurante que no cumple las normas de sanidad pública.

Transporte urbano y metropolitano

Sin lugar a dudas, una de las claves del proyecto de gestión integral e integrada para ciudades inteligentes, son las plataformas de control y seguimiento de los transportes urbanos y metropolitanos.

En este sentido, la integración de todas sus redes, la geolocalización de todos los elementos, la vigilancia y control en tiempo real de su funcionamiento y la gestión del desarrollo de incidencias, hace imprescindible e irreversible la gestión integral e integrada de todos sus recursos y convergencia en el entorno de todo el resto de infraestructuras.

Servicios al ciudadano

Si bien la ADMINISTRACIÓN ELECTRÓNICa es uno de los servicios en Internet que más se han desarrollado en los últimos años, es importante también la incorporación de los servicios de e-participación y aquellas iniciativas que, en general, FAVORECEN LA TRANSPARENCIA Y QUE CONTRIBUYEN A LA GOBERNANZA DE LOS MUNICIPIOS.

Ejemplo de uno de estos servicios es el del Ayuntamiento de la ciudad de Edimburgo, el cual ha adoptado una aplicación novedosa introduciendo a los ciudadanos en el diseño de los servicios ofrecidos.

En esta línea, LONDRES ha creado la “London Database”, que pone todos sus datos disponibles de manera abierta (LOCALIZACIONES DE ALQUILER DE BICICLETAS, PRECIOS DE VIVIENDAS, LOCALIZACIONES DE CAMPOS DE JUEGOS, ETC.) y está interesando a los negocios que quieren combinar los datos de clientes con datos de la ciudad y datos de ventas con el objetivo, por ejemplo, de ofrecer precios más ajustados a sus productos y servicios.

La analítica y la misión de servicio son piezas importantes de las ciudades inteligentes, sobre todo en lo referente a la generación de valor.

Material y método

La inteligencia y el conocimiento transversal son elementos clave, ya que habrá que coordinar y agrupar muchas áreas del conocimiento, con profesionales que cuenten con habilidades y capacidades multidisciplinares adecuadas, que sean capaces de acometer esa gestión integral e integrada de la seguridad en las ciudades inteligentes.

Alrededor del planteamiento de ciudades inteligentes se está generando todo un ecosistema de trabajo y transferencia de conocimiento entre Administraciones, empresas y universidades.

No obstante, a pesar del incremento de iniciativas, acciones, proyectos y propuestas que se están poniendo en marcha, en muchos casos ya implementadas y con resultados tangibles, es habitual encontrar una situación que se percibe como dispersa y heterogénea, generando mucho ruido alrededor de las ciudades inteligentes, y que están siendo cuestionada en muchos ámbitos precisamente por esa confusión, dispersión y falta de concreción generada, con el riesgo real de que se convierta más en moda pasajera que en solución necesaria a nuestro planteamiento de ciudades inteligentes.

Resultados

El esquema de contenido del proyecto en cuanto al resultado buscado y obtenido, es el siguiente: Integración y Convergencia, Continuidad de Funcionamiento, Sostenibilidad y Gobernanza, Accesibilidad y Movilidad, Resiliencia.

Integración y convergencia

La apuesta por plataformas de integración para la gestión global de la seguridad permite ubicar los puntos de control para monitorizar en vivo la información que nos aportan las soluciones tecnológicas de esta manera tener un control absoluto de todas las cámaras, sensores y dispositivos de control colocados en los diferentes entornos e infraestructuras.

Además, los sistemas de videovigilancia sirven como elementos disuasorios frente a hechos vandálicos o incidentes no deseables.

Por otro lado, la integración del complicado escenario las Tecnologías de la Información y las Comunicaciones (TIC) pueden ser un importante valor añadido.

Un ejemplo es el proyecto “WikiCity” desarrollado por el “SENSEABLE CITY LAB DEL MIT” que ha implantado experiencias en la ciudad de Roma usando los teléfonos móviles de los habitantes para obtener información en tiempo real y presentarla de manera gráfica mediante mapas.

Partiendo de la necesidad de comunicaciones en común, una característica que define a las ciudades inteligentes es la capacidad de los sistemas de componentes para interoperar.

Continuidad y funcionamiento

De manera transversal, todas las plataformas y sistemas de integración y convergencia de las seguridades han de mantener un denominador común como objetivo y es garantizar la continuidad y funcionamiento de los sistemas e infraestructuras de las ciudades inteligentes.

Continuidad y funcionamiento que se hace más imprescindible en aquellas infraestructuras denominadas y clasificadas como críticas, imprescindibles para la prestación de los servicios vitales.

Sostenibilidad y gobernanza

En la actualidad las ciudades cuentan con mucha información sobre su funcionamiento, pero casi toda está distribuida en paquetes de información independientes. Información no conectada y que no permite realizar un análisis completo y complejo del funcionamiento o incidencias.

Por otra parte, con relación a aspectos ambientales de la sostenibilidad, cabe mencionar como otra muestra de la aplicación de las normas el MANDATO DE NORMALIZACIÓN DE LA COMISIÓN EUROPEA en apoyo de la implementación de la COMUNICACIÓN RELATIVA A LA ESTRATEGIA DE LA UE EN MATERIA DE ADAPTACIÓN AL CAMBIO CLIMÁTICO. Dentro de los objetivos del MANDATO, destaca el asegurar infraestructuras que resistan el cambio climático, destacando tres prioritarias: transporte, energía y construcción.

Accesibilidad y movilidad

Para gestión y control del tráfico de vehículos en los entornos urbanos existen soluciones innovadoras e inteligentes basadas en la lectura de matrículas y análisis de comportamientos. Estos servicios ofrecen multitud de ventajas en cuanto a la gestión y optimización para el beneficio del ciudadano, disminuyendo problemas, accidentes, atascos, consumos energéticos y reduciendo la contaminación.

Todo ello integrado en una plataforma global que complementa la gestión inteligente de las ciudades, a través de cartografía 3D o fotografía aérea de gran detalle, que permite la interactuación de todos los elementos integrados como cámaras de seguridad, semáforos, luminarias, control y gestión del mobiliario urbano, etc.

El valor de toda esta información se incrementa de manera exponencial cuando se mezcla con datos de carácter público, privado y comercial. El ejemplo del proyecto “Live Singapore” pone de manifiesto como la combinación de datos básicos de móviles con previsiones meteorológicas puede mejorar los flujos y la localización de los taxis y servicios públicos.

Resiliencia

Después de analizar cómo se puede captar, integrar y compartir la información entre las infraestructuras y servicios en las ciudades inteligentes, es importante conocer qué RIESGOS HAY EN DIRIGIRSE HACIA ESTE TIPO DE SERVICIOS Y CÓMO PUEDEN GESTIONARSE Y MINIMIZARSE.

Al compartir datos entre servicios surge un nuevo reto sobre la seguridad de la información, LA PROTECCIÓN DE LOS DATOS Y LA PRIVACIDAD. Por ejemplo, compartir datos en la nube puede suscitar dudas sobre el uso de los datos para un fin distinto al original, y sobre si se está accediendo a los datos personales, almacenándolos y procesándolos.

A medida que los sistemas van descendiendo en aplicación hacia edificios, viviendas, empresas y personas, el riesgo, la amenaza de perder la privacidad crece, así como la necesidad garantizar la confianza y seguridad.

Con respecto a la resiliencia de los canales de prestación de servicios en una CIUDAD INTELIGENTE, el éxito dependerá seriamente de que tenga una infraestructura digital que sea robusta y segura. Si los servicios críticos se vuelven dependientes de infraestructuras y sistemas inteligentes no especialmente protegidos, las interrupciones del servicio y los fallos en los equipos pueden llegar a tener un impacto o consecuencias importantes.

También es probable que surjan las cuestiones relativas a la RESILIENCIA y la planificación del fallo de los sistemas críticos. Todo sistema de ciudad inteligente debe tener redundancia, y debido a la enorme cantidad de puntos de información y de datos que se prevén en la ciudad inteligente, habrá elementos de ésta inherentes a cualquier otra ciudad.

Las normas existentes también se pueden aplicar a la mejora de la RESILIENCIA DE LAS CIUDADES INTELIGENTES, considerando la protección y seguridad de los ciudadanos.

Conclusiones

A modo de conclusiones cabe subrayar que se trata del planteamiento de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y glocal de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

Como se ha descrito, el esquema básico de contenido y objetivos del proyecto es la integración global del Control y la Gestión, la Seguridad y Emergencia, la Vigilancia y Seguridad Ciudadana, la Sanidad y Salud, el Transporte Urbano y Metropolitano y los Servicios de valor al ciudadano.

Finalmente, la búsqueda de resultados de este proyecto multidisciplinar de integración de las seguridades se realiza a través: de la Integración y Convergencia, la Continuidad de Funcionamiento, la Sostenibilidad y Gobernanza, la Accesibilidad y Movilidad, y la Resiliencia.

Fuente: www.tendencias21.net

La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores.


La seguridad informática es un factor imprescindible para cualquier persona y empresa que utilice ordenadores. Tener un paquete actualizado de Microsoft, no será suficiente, pues a medida que avanza la tecnología, crecen los ataques cibernéticos.
Pensando en las empresas, Microsoft ha desarrollado un paquete completo que incluye Office 365, Windows 10 y Enterprise Mobility + Segurity.
El ideal de un conjunto completo de programación es aumentar la productividad a la vez que aumenta la seguridad de los dispositivos electrónicos de trabajo.

¿Cómo se adapta la propuesta de Microsoft a las empresas?

La solución de seguridad creada por Microsoft funciona simplificando los procesosadministrativos y proporcionando herramientas de gestión de dispositivos.
Para ello, presenta versiones de Enterprise para grandes empresas y Business para PYMES y empresas con un volumen no mayor a 300 empleados. Esto demuestra que Microsoft ha pensado en soluciones que realmente correspondan a las necesidades de cada tipo de empresa.

¿En qué consiste la solución desarrollada por Microsoft para empresas?

Esta, es la solución con mayor crecimiento que ha desarrollado Microsoft. Fue presentada en la conferencia mundial de partners, Microsotf Inspire, en 2017. En ella, se dieron a conocer importantes ofertas para Microsoft 365, especialmente aquellas dedicadas a la seguridad y el cumplimiento.
Dos de las ofertas añadidas a la suite son:

  • Identify & Threat Protection: Este nuevo paquete, se ha creado para la protección de identidad y seguridad para Office 365, Windows 10 y EMS. Creada para proteger aplicaciones en la nube de Microsoft y Active Directory de Azure.
  • Information Protection & Compliance: dirigido a la protección de información y cumplimiento, en un paquete de Office 365 Advance Compliance y Azure Information Protection. Busca realizar evaluaciones preventivas de riesgo a los servicios de Microsoft Cloud.

¿Qué beneficios ofrece la nueva oferta de Microsoft?

Es un beneficio muy alto a las empresas, por ser soluciones ajustadas a las necesidades de las empresas. Además, el precio por usuario es asequible, aproximadamente 54€ al mes. El precio, además está configurado para no afectar el valor de los planes ya existentes. No se pretende aumentar precios, sino por el contrario, ampliar y mejorar la cartera de servicios.

¿Cómo desarrolla Microsoft la oferta de seguridad para empresas?

Los ataques cibernéticos son la amenaza del siglo XXI, dónde la información y comunicación se ha compactado en dispositivos electrónicos que almacenan su información en nubes.

Microsoft dispone de al menos 3500 profesionales de ciberseguridad, que trabajan en pro proteger, defender y responder a las amenazas cibernéticas por medio de actuaciones seguras y la prevención de ataques.
Además, sabiendo el crecimiento exponencial del mundo tecnológico en la cotidianidad y el ámbito laboral, Microsoft se ha convertido en el mayor impulsor de asociaciones tecnológicas que trabajan en normativas en el sector por la lucha de condiciones iguales de protección para todos los usuarios.
Microsoft, además, busca que la información sea extendida a todo el mundo, por eso ha desarrollado blogs de Microsoft Security, informes publicados sobre inteligencia de seguridad y reuniones públicas que tratan temas sobre Gestión de Acceso e Identidad de Gartner, llevada a cabo en diciembre de 2018.

Si estas buscando proteger tu información, nosotros te ayudamos a implementar un Sistema de Gestión de Seguridad de la Información para que logres una Certificación en Normas ISO.

Fuente: www.lukor.com

Contactanos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos cordiales

Sistemas de Gestión de Seguridad de la Información SGSI.


Los sistemas de gestión están basados en normas internacionales que permiten controlar distintas facetas en una empresa, como la calidad de su producto o servicio, los impactos ambientales que pueda ocasionar, la seguridad y salud de los trabajadores, la responsabilidad social o la innovación.

La Organización Internacional de Normalización (originalmente en inglés: International Organization for Standardization, conocida por la abreviación ISO) es una organización para la creación de estándares internacionales compuesta por diversas organizaciones nacionales de estandarización.

Fundada el 23 de febrero de 1947, la organización promueve el uso de estándares propietarios, industriales y comerciales a nivel mundial. Su sede está en Ginebra (Suiza)

ISO es una organización voluntaria cuyos miembros son autoridades reconocidas en estandarización, cada uno representando a un país. Los miembros se reúnen anualmente en la Asamblea General para discutir los objetivos estratégicos de ISO. La organización está coordinada por un Secretariado Central con sede en Ginebra.

El Comité Conjunto Técnico ISO/IEC 1 (JTC 1) fue creado en 1987 para “desarrollar, mantener, promover y facilitar los estándares relacionados con la Tecnología de la Información“.

Un sistema de gestión está especialmente recomendado a cualquier tipo de organización o actividad orientada a la producción de bienes o servicios, que necesiten de la gestión de sistemas una herramienta útil para mejorar su empresa.

La norma ISO/IEC 27001 Seguridad de la información es la herramienta que te  permite garantizar que la información que gestionas se trata de forma segura minimizando y controlando una posible pérdida de datos. Asimismo, te proporciona una ventaja competitiva, se reducen los costes debido a incidentes y la minimización de amenazas, se establecen áreas de responsabilidad en toda la organización, alineándose las políticas de  seguridad de la información con los objetivos de la organización.

Podrás garantizar a tu cliente que se cumplen las obligaciones legales y que se gestiona y minimiza la exposición al riesgo.

Un sistema de gestión es una metodología que te ayudará a visualizar y administrar mejor la empresa, área o procesos, así como para lograr mejores resultados a través de acciones y toma de decisiones basadas en datos y hechos.

Un sistema de gestión es una herramienta que toda empresa u organización debe tener para controlar su operación administrativa. Con ella se analizan los rendimientos, se administran los riesgos, y al mismo tiempo se trabaja de manera más eficiente y sostenible.

Los sistemas de gestión son programas diseñados para manejar las políticas y los procedimientos de una organización de manera eficaz.

Que es un SGSI ?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros.

El propósito de un Sistema de Gestión de la Seguridad de la Información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada

Un correcto proceso de identificación de riesgos implica:

• Identificar todos aquellos activos de información que tienen algún valor para la organización.

• Asociar las amenazas relevantes con los activos identificados.

• Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.

• Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.

Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

Eliminar el riego. Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue realmente a producir.

Mitigarlo. En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo. En definitiva, se trata de implantar las medidas preventivas o correctivas necesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo.

Trasladarlo. Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información. Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.

Cómo automatizar el Sistema de Gestión de Seguridad de la Información según ISO 27001.

En C2CSmartCompliance tenemos un software de automatización que te permite llevar a cabo una gestión muy eficaz y exhaustiva de cualquier tipo de riesgo: operacionales, financieros, industriales, legales u operativos, ajustándolos a las necesidades de las organizaciones y facilitando la adecuación a la normativa.

Si estas buscando una certificación en las normas ISO 27001, ISO 22301 e ISO 20000, nosotros podemos ayudarte en la implementación de un Sistema de Gestión.

Contactanos para una entrevista y demostración de nuestros servicios.

Mario Meneses

Account Manager

Ciudad de Mexico

mario@c2csmartcompliance.com

+521 7711871152

Conmemoran Día Internacional de Protección de Datos Personales


10 febrero, 2019 at 10:08 am

OAXACA, Oax. (sucedióenoaxaca.com/vía IAIPO).- Para reflexionar sobre el Derecho a la Protección  de Datos Personales y generar conciencia sobre el uso responsable de las tecnologías de la información, el Instituto de Acceso a la Información Pública y Protección de Datos Personales de Oaxaca (IAIPO) y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), realizaron con éxito un evento conmemorativo en el Teatro Juárez de la ciudad de Oaxaca.

Al dar la bienvenida al evento, el Comisionado Presidente del IAIPO, Francisco Javier Álvarez Figueroa, señaló que hoy en conjunto con el INAI, el IAIPO celebra la incorporación del Derecho a la Protección de Datos Personales en la Constitución.

Puntualizó que Oaxaca ha sido un referente en materia de Protección de Datos Personales, ya que tiene una Ley desde 2008 y, en 2017, homologó la legislación local con la Ley General, por lo que agradeció la distinción de que Oaxaca haya sido elegido por el INAI para conmemorar esta fecha tan importante.


Panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”.

Álvarez Figueroa reconoció al Comisionado Eugenio Monterrey Chepov por impulsar la agenda nacional en materia de Protección de Datos Personales; asimismo, agradeció el acompañamiento de la Comisión de Transparencia, Acceso a la Información y Congreso Abierto de la LXIV Legislatura del Congreso Local a través de su presidenta María de Jesús Mendoza Sánchez.

En su oportunidad, la Diputada María de Jesús Mendoza Sánchez señaló que el evento que realiza el IAIPO y el INAI para reflexionar sobre la Protección de Datos Personales sea de utilidad, para que los ciudadanos conozcan las implicaciones de compartir información en redes sociales, por ejemplo.

Mientras que Maximino Vargas Betanzos, subsecretario de Contraloría Social y Transparencia, señaló que el Día Internacional de Protección de Datos Personales nos permite reforzar el conocimiento de este derecho, y consideró que los avances tecnológicos tienen un costo para las personas y que hace falta legislación mexicana para el uso de los servicios de internet.


Comisionado del INAI, Eugenio Monterrey Chepov.

La Conferencia Inaugural que dictó el Comisionado del INAI, Eugenio Monterrey Chepov, matizó el origen y desarrollo legislativo de los datos personales en México, los casos que el INAI ha resuelto y los retos en esta materia.

Monterrey Chepov afirmó que, con las reformas en materia de protección de datos personales, México se sumó al grupo de países que garantiza un derecho fundamental de tercera generación.

Como dato relevante, señaló que el INAI ha impuesto un total de 424 millones de pesos por concepto de multas por mal manejo de datos personales. “Entre los principales retos en esta materia, es que todos los mexicanos sepan que tienen este derecho y saber que existen los organismos que lo garantizan”, refirió el comisionado del INAI.

Dialogan sobre la Protección de Datos

Como parte del programa conmemorativo del Día Internacional de Protección de Datos Personales Oaxaca 2019, se desarrolló el panel “La Protección de Datos Personales de personas en situación de vulnerabilidad”, bajo la moderación del comisionado del IAIPO, Juan Gómez Pérez, en donde participaron Aída Ruíz García, titular del Instituto Oaxaqueño de Atención al Migrante (IOAM); Juan Rodríguez Ramos, visitador general de la Defensoría de los Derechos Humanos del Pueblo de Oaxaca (DDHPO);  Edith Matías Juan, representante del Centro Profesional Indígena de Asesoría, Defensa y Traducción A.C. (CEPIADET) y Blanca Alicia Islas Maldonado y Edgar Nazario Luján del Sistema DIF Oaxaca, quienes compartieron sus experiencias en materia de Protección de Datos Personales desde sus espacios de acción.

Fuente: sucedioenoaxaca.com

Te ayudamos con los Sistemas de Gestión de Seguridad de la Información.

Mario Meneses

mario@c2csmartcompliance

+521 7711871152

Ciudad de Mexico

Saludos

MyRiskAssessor / Gestión del Riesgo


MyRiskAssessor ™ (Myra) aborda los desafíos de la protección de los activos con una solución rentable que lleva a cabo evaluaciones de riesgo y proporciona visibilidad de los procesos de gestión. 

Myra estima la probabilidad de exposición de numerosas amenazas, vulnerabilidades e identifica las políticas y procedimientos necesarios para controlar la exposición al riesgo. La identificación de riesgos de activos es cada vez más complejo y costoso. 

El aumento de la rendición de cuentas de los interesados, las industrias y el gobierno se exige ahora más que nunca. Myra ofrece una solución asequible que es fácil de entender y utilizar por los administradores y el personal.

Myra proporciona visibilidad y la comprensión de los valores de los activos y las actividades en torno a ellos. Además, la comprensión de la postura del riesgo de los activos permite la gestión para garantizar la adecuada protección de los mecanismos, los presupuestos y los recursos que se han establecido, asignado y supervisado.

Myra ayuda a la gerencia a entender quienes son responsables y proporciona los medios para monitorear, medir y gestionar el proceso.

Fuente: http://c2csmartcompliance.com/en/products/myriskassessor/

Informes

Pregunta por nuestros demos y los descuentos que tenemos en el uso de MYRA, no te quedes con las ganas de conocer esta herramienta para la Gestión del Riesgo.

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Saludos

Domina la Auditoría de un Sistema de Gestión de la Continuidad del Negocio (SGCN) basado en la norma ISO 22301 ​


La norma ISO 22301 está diseñada para proteger, reducir la probabilidad de ocurrencia, estar preparados, responder y recuperarse de incidentes disruptivos cuando surgen. Con SGCN, su organización está preparada para detectar y prevenir amenazas y continuará operando sin mayores impactos y pérdidas.


Beneficios de una certificación ISO 22301:

  • Amplíe sus conocimientos sobre cómo un sistema administración de continuidad de negocios lo ayudará a  cumplir los objetivos de negocios.
  • Adquirir los conocimientos necesarios para gestionar un equipo en la implementación de la norma ISO 22301.
  • Fortalecer la gestión de su reputación.
  • Aumentar la fiabilidad de tu cliente
  • Identificar riesgos y minimizar el impacto de incidentes.
  • Mejorar el tiempo de recuperación.
  • Lograr el reconocimiento internacional.

Informacion general

  • Las cuotas de certificación se incluyen en el precio del examen
  • Se entregará un manual a cada alumno que contiene más de 450 páginas de información y ejemplos prácticos
  • Se entregará a los participantes un certificado de participación de 31 EPC (Educación Profesional Continua)

México 

Contacto: info@intiq.mx
Tel: 55-7586-7574
www.intiq.mx

USA

Contacto: info@intiq.biz

Tel:+1-305-330- 6337
www.intiq.biz

Fuente: www.intiq.mx

Informes

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

Consecuencias legales del robo de información en una empresa.


Por Mtro. Luis Mario Lemus Rivero 

Uno de los problemas que más aquejan a las empresas, es el robo de bases de datos. Desde información personal, confidencial y hasta secretos industriales o “know how”, pero ¿qué implicaciones legales tienen este tipo de conductas para los trabajadores?, ¿cómo prevenir o mitigar los riesgos al interior?, ¿hay implicaciones legales para la empresa que no previenen este tipo de conductas?

Aunque no es muy conocido, el robo de información al interior de una empresa tiene graves consecuencias tanto legales como reputacionales que pudieran traer consigo diversas sanciones económicas, la responsabilidad penal para la empresa y la quiebra de esta.

Por lo que hace al robo de información personal, el artículo 67 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone que, al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, se le impondrán de tres meses a tres años de prisión.

Esto es, que, si uno de nuestros empleados vulnera la base de datos de la empresa con un ánimo lucrativo, estará cometiendo este delito.

Asimismo, dicho ordenamiento en su artículo 68 dispone que, al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos se le sancionará con prisión de seis meses a cinco años.

Por otra parte, el artículo 211 bis 1, párrafo segundo, del Código Penal Federal, dispone que al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión.

No podemos perder de vista que, de conformidad a los artículos  210 y 211 del Código Penal Federal, se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad al que sin justificación revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto, y de uno a cinco años de prisión, multa de cincuenta a quinientos pesos y suspensión de profesión, cuando la revelación sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.

Ahora bien, en razón de lo dispuesto por los artículos 27 bis del CPDF y 421 del Código Nacional de Procedimientos Penales, entre otras, las empresas (personas morales) serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización.

Por su parte, la Ley Federal de Trabajo contempla como causal rescisión de la relación de trabajo sin responsabilidad para el patrón, revelar los secretos de fabricación o dar a conocer asuntos de carácter reservado, asimismo, dicho ordenamiento dispone que es obligación de los trabajadores guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa, quedando prohibido usar los útiles y herramientas suministrados por el patrón, para objeto distinto de aquél a que están destinados.

En razón de lo anterior, podemos determinar que cualquier conducta que llegue a realizar un trabajador y que viole o ponga en peligro la confidencialidad de la información y/o utilice las herramientas de trabajo para un uso distinto al que se le asignaron, será causa justificada para dar por terminada su relación laboral con causa justa para el patrón.  Por ejemplo: Un trabajador da de alta en la computadora que se le asignó para el desempeño de sus actividades –propiedad de la empresa– su correo electrónico personal para sustraer, enviar o almacenar información privilegiada y confidencial de la empresa. En este caso el empleado está vulnerando la confidencialidad de la información mediante el uso distinto a una herramienta que por motivo de trabajo se le asignó.

No omito señalar que este tipo de conductas son incluso violatorias de la Ley de Propiedad Industrial, la cual protege los secretos industriales y las bases de datos, sancionando a quienes atenten en contra de esto, con penas que van de dos a seis años de prisión, así como multas de cien a diez mil días de salario mínimo.

A tal efecto, es sumamente recomendable que el personal de nuestros negocios sepa de las consecuencias de realizar dichos actos. Esto se puede transmitir a través de capacitaciones y programas de concientización continua, lo que hará que quien esté dispuesto a cometer este tipo de conductas, lo piense dos veces.

Es indispensable implementar una estricta Política de Protección de Datos Personales y de Seguridad de la Información, que sea congruente una con otra y que su incumplimiento tenga consecuencias.  Por otra parte, se recomienda implementar un programa de prevención de delito y/o “compliance pogram” para evitar una responsabilidad pena para la empres, así como medidas de seguridad físicas, técnicas y administrativas que tengan como propósito proteger la información al interior del negocio.  Es fundamental que se asignen y firmen contratos de confidencialidad, lineamientos, responsivas por las herramientas que se les asignan a los trabajadores, para que, si ocurriese un incidente, podamos asociar la herramienta con la persona, así como documentación de prevención desde el proceso de contratación y documentos de salida en caso de renuncia o despido para proteger la información.

Resulta de vital importancia cuidar la información al interior de nuestro negocio, no hacerlo pudiera tener graves consecuencias tanto para la empresa, como para las personas que cometieron alguno de los actos referidos a lo largo del presente análisis.

En conclusión, este tipo de conductas para el trabajador esto puede constituir un delito, una causal de rescisión laboral, así como una violación a la Ley de la Propiedad Industrial, teniendo como consecuencia la prisión, multas económicas, jornadas de trabajo a favor de la comunidad, así como la pérdida de la profesión, sin embargo, la divulgación, pérdida y/o uso indebido de la información privilegiada y/o confidencial puede constituir responsabilidad penal para la empresa, así como un impacto reputacional y económico considerable, que incluso puede traer como consecuencia la quiebra de esta.

Fuente: forojuridico.mx

Saludos

Mario Meneses

mario@c2csmartcompliance.com

Construcción de capacidades espaciales para México estratégico en la cuarta transformación.


“Que la gente se dé cuenta de la importancia del tema espacial”: Secretario Jiménez Espriú • “El espacio es un bien social”: Mendieta Jiménez

Con el propósito de impulsar en la Cuarta Transformación la construcción de capacidades en el tema espacial en nuestro país y en las nuevas generaciones, el Secretario de Comunicaciones y Transportes (SCT), Ing. Javier Jiménez Espriú, recibió al Director General de la Agencia Espacial Mexicana (AEM), Dr. Javier Mendieta Jiménez, y a su equipo cercano de colaboradores.

Con la presencia de la Subsecretaria de Comunicaciones y Desarrollo Tecnológico de la SCT, Mtra. Salma Jalife Villalón, el Secretario Jiménez Espriú, pionero del tema espacial-satelital en México, y quien fuera actor clave para dotar a nuestra nación de su histórica primera generación de satélites Morelos I y II en 1985, destacó la relevancia de “Que la gente se dé cuenta de la importancia del tema espacial”.

“En la Cuarta Transformación vamos a hacer lo que se necesita para desarrollar al país, conectar a la gente, construir infraestructura y comunicaciones, así como, a través de este rubro espacial, atraer las vocaciones de nuestros jóvenes hacia ciencia, tecnología, ingeniería y matemáticas (STEM) para construir capacidades tecnológicas para nuestro país”, expresó el Secretario.

Por su parte, Mendieta Jiménez refrendó el compromiso de la AEM, organismo descentralizado de la SCT, para impulsar el concepto de “el espacio como bien social”, sobre todo en beneficio de los más vulnerables, y de continuar este desarrollo con austeridad presupuestal como toda una filosofía y convicción, pues la AEM siempre ha sido pionera en hacer más con menos.

La gente debe saber que el espacio es importante porque sirve para conectar a la población con la tecnología de telecomunicaciones y satélites, mismos que contribuyen para la protección de la población (sobre todo la más vulnerable) ante desastres naturales, la educación a distancia, apoyo a agricultura, llevar servicios de salud a comunidades apartadas, o hasta hablar por celular, mensajear, o llegar a nuestros destinos por satélite vía GPS, entre otros beneficios, explicó.

“Por todo ello, es de gran orgullo para nuestro país, que nuestra juventud mexicana aparezca cada vez más en los medios ganando competencias internacionales del tema espacial, así como el que nuestros ingenieros satelitales mexicanos estén al nivel de los mejores del mundo, y objetivamente todo eso comenzó con los Morelos I y II, en aquel 1985, con los esfuerzos titánicos de tan respetados pioneros como el Ingeniero Javier Jiménez Espriú”, destacó Mendieta.

Dado que en esta era de Internet y las tecnologías de la información, el impulso en la construcción de las capacidades STEM y en materia espacial de nuestro país serán estratégicas para beneficio del país, de allí el gran compromiso de la AEM para redoblar esfuerzos y contribuir a inspirar e impulsar a nuestra juventud, de la que será todo el mérito, a hacer historia en el Gobierno del Presidente López Obrador, concluyó.

Fuente: www.gob.mx/aem

Muy interesante tema en esta transformación digital, si necesitas asesoría en Seguridad Informática, quedamos a tus ordenes.

Saludos

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

¿Sabías que las Smart-homes son cada vez más populares?


En la película “Odisea en el espacio” el Hal 9000 era un superordenador que funcionaba como unidad central, monitorizando y controlando todas las funciones de la nave espacial. Salvando las diferencias, existe una similitud con las Smart-homes que permiten controlar todos los aparatos y monitorizar su actividad al estar conectados a una misma Red.

¿Cómo ha evolucionado el concepto de domótica?

Seguro que te suena o habrás oído hablar del concepto conocido como el Internet de las cosas o Internet of Things (IoT), es decir, el conjunto de dispositivos y sensores conectados entre sí que se encargan de recoger y enviar datos de su entorno a un servidor centralizado o en la nube. Cuando nos referimos a aquellos dispositivos que intercambian información dentro de nuestros hogares, estamos hablando de domótica, y como la máxima expresión de ésta, encontramos las Smart-homes.

La invención del concepto de domótica se le atribuye al físico e inventor Jhoel Spira, quien en la década de los cincuenta trabajaba para una compañía aeroespacial donde empleaba un transistor (tiristor) para uno de sus proyectos. Entonces, se le ocurrió la idea de que éste podía ser utilizado para variar la intensidad de la luz, y fue así como inventó un atenuador para su hogar, capaz de captar el estado de ánimo y usarlo como recurso a la hora de graduar la intensidad de la luz.

El objetivo de Jhoel era que todas las personas pudieran disponer de uno en sus hogares, lo cual era una idea muy revolucionaria para la época. El sector de la domótica continúa en constante crecimiento. Los últimos datos obtenidos por CEDOM (“Asociación Española de Domótica e Inmótica”) revelan que el volumen de facturación de los sistemas de control y automatización fue de 50,5 millones de euros en 2016, lo que supone un incremento del 12% con respecto al registrado en el año anterior.

Estudio de mercado del sector de la domótica en el quinquenio 2012 - 2016

En los últimos años, cada vez más constructoras apuestan por la transformación del hogar tradicional al hogar domotizado, llegando incluso a crear edificios o urbanizaciones totalmente conectadas entre sí.

En España, a diferencia de otros rincones del planeta donde la implantación de la domótica podrá llegar al 50% en la próxima década, es posible que no alcancemos el 30%. Según los expertos, esta diferencia puede estar relacionada con la asociación de este tipo de hogares con el lujo y los altos precios. No obstante, esto ha cambiado mucho y ya disponemos de una gran variedad de dispositivos inteligentes a precios muy asequibles, con los que domotizar nuestro hogar.

Este tipo de viviendas pueden ser controladas por sus propietarios mediante pantallas táctiles programables a modo de panel de control, o a través de aplicaciones desde los smartphones o tabletas con conexión a Internet.

¿Cuáles son las ventajas de una Smart-home?

Diferencias entre hogar tradicional y smart home

Con el incremento de los costes en la energía y la necesidad de una mejora en la eficiencia energética, la demanda para los sistemas de control y automatización de los hogares ha crecido significativamente.

Precisamente, la gestión de la energía es el principal beneficio que pueden ofrecernos las Smart-homes y la domótica en general. Concretamente, las instalaciones más demandadas son el control de los sistemas de iluminación y climatización. La sociedad está cada vez más concienciada con la eficiencia energética y el ahorro que proponen este tipo de hogares, entre el 25 y el 30% en el consumo energético, según el CEDOM.

Imagina todas aquellas veces donde has dudado si dejaste las luces encendidas o la calefacción. Una vivienda inteligente se encargará de controlar estos dispositivos y monitorizar su actividad. Por ejemplo, apagando los sistemas de iluminación cuando no haya nadie en casa o activando los sistemas de calefacción cuando detecta que estamos volviendo del trabajo.

Una Smart-home aprende además nuestros hábitos y se adapta para satisfacer nuestras necesidades. De este modo, puede informarnos automáticamente de las noticias y el tiempo cuando nos levantamos al identificar esta rutina.

¿Y los riesgos?

Como toda tecnología conectada a Internet, corremos el riesgo de sufrir ataques a manos de ciberdelincuentes. Dentro del Internet de las cosas, el mayor de sus riesgos es la falta de seguridad que presentan estos dispositivos. En la mayoría de los casos, éstos se conectan a nuestro smartphone a partir de una aplicación, sin mayor seguridad que un usuario y contraseña, y ya conocemos la cantidad de tácticas de las que disponen los ciberdelincuentes para obtener esta información.

Ejemplo de amenaza

Un ejemplo son las Smart-TV, que en 2017 tenían presencia en el 14,4% de los hogares españoles y que son vulnerables a ataques de forma remota, en los que un ciberdelincuente puede tomar el control de éstas mediante ataques del tipo “Drive-by-download”, donde visitando una web, abriendo un correo electrónico o haciendo clic en el lugar equivocado, podríamos descargar un software malicioso sin darnos cuenta.

Con el acceso y el control de este aparato, nuestro atacante ya podría acceder al resto de dispositivos conectados a la misma red, y con ello a toda nuestra información.

Esta situación se agudiza si tenemos en cuenta que cuantos más dispositivos tengamos conectados a Internet, existirán más posibilidades de sufrir un ciberataque y una mayor cantidad de información correrá el riesgo de ser filtrada.

También existe un riesgo relacionado con el uso que hacen las empresas con toda la información que compartimos sobre nuestros hábitos de consumo, gustos, rutinas e información personal como los miembros que viven en el hogar familiar, planos, etc. Estos datos pueden llegar a manos de terceros sin que nosotros, los usuarios, seamos conscientes de su difusión. Por ejemplo, la empresa fabricante de nuestros dispositivos IoT puede vender información que éstos recogen y almacenan (sin nuestro consentimiento explícito), como la incorporación a la familia de una nueva mascota, y venderla a empresas que nos harán llegar ofertas, promociones y demás publicidad para mascotas.

A priori, puede parecernos útil pero la realidad es que están en posesión de mucha más información sobre nosotros de la que sabemos, y se están lucrando al comerciar con ella.

No se trata de demonizar el IoT, sino de conocer sus riesgos para actuar en consecuencia:

  1. Hacer una búsqueda sobre el dispositivo y sus posibles vulnerabilidades: los expertos están continuamente poniendo a prueba las vulnerabilidades de estos dispositivos. Es muy probable que ya se hayan detectado problemas en el dispositivo de moda, por lo que lo mejor sería informarnos sobre si estas vulnerabilidades ya han sido parcheadas.
  2. Entender las políticas de privacidad del fabricante y el dispositivo: debemos informarnos, en el punto de venta y con el fabricante, sobre las opciones de privacidad y seguridad del dispositivo, es decir, ¿qué información recoge el dispositivo?, ¿qué hace la empresa fabricante con esa información?, ¿es compartida con terceras empresas?, ¿dónde y cómo se guarda esta información, y por cuánto tiempo?, ¿el consumidor tiene control sobre qué información desea compartir? Esta serie de preguntas hará que el consumidor tome una decisión más segura.
  3. Mantener el dispositivo al día con las actualizaciones: debemos mantener el dispositivo actualizado. Ya que de esta manera las vulnerabilidades encontradas se irán parcheando. En el caso de que el fabricante no siga dando soporte al dispositivo, lo mejor será desconectarlo o actualizarlo a una versión soportada.

¿Qué te parecen las Smart-homes? ¿Conocías sus riesgos o ventajas? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Fuente: www.osi.es

En C2CSmartCompliance te ayudamos con la implementación de un Sistema de Gestión de Seguridad de la Información, para el control y la disminución de los riesgos, así como el cumplimiento de la legislación vigente en los activos de la información.

Contacto e informes

Mario Meneses

mario@c2csmartcompliance.com

+521 7711871152

“Hemos llevado nuestro modelo de seguridad de la parte física a la parcela informática”


Alejandro Las Heras, director de operaciones y Ciso de Grupo Eulen, explica en qué consiste la responsabilidad de llevar la seguridad de una multinacional que lleva más de 60 servicios externos al mercado.

Lleva al mercado más de 60 servicios gestionados y, entre ellos, es pionero en España de la seguridad física. Con la llegada de la transformación digital, Grupo Eulen también quiere destacar en la parcela de la ciberseguridad, tanto en sus estructuras internas como en su oferta. Pero, tiene una visión bastante particular de ésta; como evolución del mundo de las operaciones. Por ello, Alejandro las Heras aglutina tanto los cargos de Ciso como de director de operaciones en la compañía. “La disponibilidad y el rendimiento son los parámetros que están cambiando las reglas del tablero en que jugamos”, espeta.

Acceda a la entrevista completa haciendo clic aquí

Fuente: cso.computerworld.es

En esta transformación digital, las empresas de seguridad están enfocando la protección de activos con la seguridad lógica.

Esta convergencia es una realidad que se esta dando entre la Seguridad Física y lógica, si necesitas información o asesoría para la implementación de un Sistema de Gestión de Seguridad de la Información, nosotros te podemos ayudar para lograr una certificación en ISO 27001.

Contactanos,

Mario Meneses

mario@c2csmartcompliance.com

movil +521 7711871152

La ciberseguridad es cada vez más importante para los megaproyectos.


Ya sea que esté construyendo una instalación nuclear, una represa o creando los próximos Juegos Olímpicos, el aumento de la tecnología significa que la importancia de contar con una tecnología segura no puede ser subestimada. Éireann (se pronuncia Aaron) Leverett, CEO de Concinnity Risks, es un experto en riesgo cibernético y un hacker ético que recientemente fue coautor de Solving Cyber ​​Risk . Lo entrevisté para averiguar más sobre cómo el riesgo cibernético puede afectar a los megaproyectos.

Karlene Agard: ¿Cuáles son los riesgos cibernéticos emergentes a los que los líderes de megaproyectos deberían estar atentos?

Éireann Leverett: Si tiene nuevos diseños o innovaciones, su propiedad intelectual puede ser un objetivo. Además, cuando administra megaproyectos, puede obtener proveedores que solo entregan una pequeña parte del trabajo y eso significa que tiene una alta tasa de cambio en sus proveedores. La complejidad de las cadenas de suministro significa que alguien con aprobación podría transferir dinero a la persona u organización equivocada de manera fraudulenta.

Al considerar los riesgos en su proyecto, a veces es difícil pensar en los riesgos que su proyecto podría estar ocultando. Si construyes una nueva embajada y un subcontratista, se incorporarán micrófonos o dispositivos que puedan piratear la red informática de la embajada, eso afectaría la reputación de las personas que construyeron esa embajada, independientemente de si estuvieron o no involucrados en el pirateo.

Agard:  Sé lo que quieres decir. El profesor asociado de la Universidad de Leeds, Giorgio Locatelli y otros académicos han informado que “la corrupción en los megaproyectos es probablemente la causa principal de sus ineficiencias”. ¿Cuáles son algunos ejemplos de problemas de riesgo cibernético?

Leverett:  un ataque cibernético arrojó una llave en las operaciones de logística y la compañía de envíos Maersk . Durante esos 10 días, hubo personas que intentaron trasladar buques portacontenedores a través de WhatsApp porque tuvieron un amigo que trabaja en la oficina de Maersk. Creo que eso es increíble, pero no debería suceder. Una de las lecciones para los megaproyectos es que es muy fácil enfocarse en los riesgos que nos impone la tecnología, pero es difícil pensar en los riesgos de los socios comerciales que son pirateados. ¿Y qué pasa si te hackean? 

Considere todos los megaproyectos en el mundo que deben usar Maersk Shipping. ¿Podrías haber predicho que todos tus envíos llegarán dos días tarde? ¿Qué tipo de impacto tendría eso en ciertos tipos de megaproyectos?

Agard:  ¿Qué está cambiando en la ciberseguridad?

Leverett: la promesa de una empresa solo puede ser tan buena como su seguridad.  Estamos entrando en una nueva era de seguridad informática donde las personas comienzan a comprender que el trabajo de seguridad a veces tedioso se está haciendo por nuestro bien en conjunto, no solo para que la organización esté segura por sí misma.

No puede simplemente tener una visión lateral de que solo protegerá a su organización benéfica, ONG o empresa. La seguridad debe hacerse en un nivel social donde entendamos que “no me sirve de nada, si es inseguro porque quiero hacer negocios con usted”. Lo que sea que gaste en seguridad también debería beneficiar a otros . De la misma manera que nos inoculamos contra la gripe y eso ayuda a ricos y pobres por igual: beneficia a toda la sociedad. Creo que ese es el problema. Pensamos que la seguridad podría ser realizada solo por las grandes empresas, pero no creo que eso sea cierto.

Agard:  Hemos hablado mucho sobre seguridad. ¿Cómo influye el factor de seguridad en esto?

Leverett:  Para esta discusión es increíblemente importante que la seguridad todavía se estudie como una búsqueda intelectual separada de la seguridad. Podemos usar tanto la palabra seguridad como la seguridad de muchas maneras diferentes dependiendo de los factores que afectan la disciplina que estamos abordando. Por ejemplo, la seguridad en el sector energético es completamente diferente de la seguridad informática o física.

Resulta que la seguridad física y la seguridad de la computadora están interrelacionadas en el sentido de que es muy difícil asegurar una computadora si alguien peligroso puede ponerla en sus manos en cualquier momento del proyecto. Las personas de seguridad están más acostumbradas a preocuparse por la ley de Murphy y no por la maldad. Mientras que el profesional de la seguridad informática está acostumbrado a tratar de proteger los servidores de las personas.

Creo que una de las muchas cosas importantes que se deben hacer es lograr que las personas de seguridad y protección tengan diálogos juntos. Porque si construyo un sistema que es completamente seguro pero no es seguro, eso no es útil para nadie. Y si construyo un sistema que es completamente seguro, pero alguien puede manipularlo para que no sea seguro, entonces eso no es bueno. Entonces, este aislamiento falso de estas dos cosas está empezando a ser problemático.

Agard: Con el rápido ritmo de la tecnología, ¿cómo pueden los líderes de proyectos evitar que sus resultados se vuelvan obsoletos rápidamente?

Leverett: Hace poco me encontré con un gran concepto: “Diseño para diseño tras diseño”. Una vez que diseñe y construya un sistema, debe dejar espacio para el siguiente titular que usa su sistema para alterar el diseño y adaptarlo a los nuevos problemas del día.

La conversación ha sido editada y condensada para mayor claridad.

Mi guía para obtener recursos adicionales al inicio de un proyecto está disponible en guide.ARAVUN.com/businesscaseresources . Visite ARAVUN.com para obtener información sobre cómo iniciar megaproyectos para el éxito.

Fuente: www.forbes.com

En C2CSmartCompliance podemos ayudarte en la identificación y administración de nuevas amenazas. Realizamos la planificación, la implantación y las auditorias para un Sistema de Gestión de Seguridad de la Información. Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC).

Contacto

Mario Meneses

Account Manager

mario@c2csmartcompliance.com

El Abogado Digital es un Líder que Construye Puentes entre la Tecnología y el Derecho


La Maestra Janet Huerta es Mercadóloga de profesión, pero ha dedicado la mayor parte de su trayectoria profesional al desarrollo de contenidos y educación especializada para abogados.

Actualmente es Directora Ejecutiva del Grupo Editorial Foro Jurídico y Directora de la Universidad Ius Semper, institución educativa que tiene como objetivo desarrollar programas de actualización que difundan el conocimiento y prácticas actualizadas del Derecho en México. Es conferencista sobre temas digitales. A continuación presentamos su entrevista.

¿Cómo ha cambiado la tecnología a la práctica de los abogados?

Claro que la ha cambiado y de una manera tan rápida que no logramos darnos cuenta de la dimensión de este cambio. Si entendemos que el Derecho, en cualquiera de sus ramas, no hace más que establecer los sistemas normativos de las interacciones sociales, obviamente siempre al Derecho le va a afectar el cómo y a través de qué medio interactúa la sociedad, ya sea para hacer negocios o relacionarse y comunicarse entre sí.

Todos sabemos que las nuevas tecnologías han cambiado el quehacer humano, los modelos de negocios, la forma en la que nos educamos, compramos y nos transportamos. Entender todos estos cambios es entender cómo y porqué cambia la práctica del abogado.

El abogado es un profesional que ayuda a los humanos a solucionar sus conflictos, y cada vez más los conflictos que surgen cuentan con una vertiente tecnológica, ya sea porque se envió información a través de un medio electrónico (correo, mensaje, etcétera), se pagó con un medio electrónico o se interactuó mediante una red social. Por ello, el abogado tiene que saber qué es lo que está pasando en esta interacción y cómo la herramienta tecnológica incidió en este conflicto.

Para los abogados postulantes, el 60% de los casos que se llevan a cabo en los tribunales son civiles, familiares y mercantiles, esto quiere decir, que son conflictos que se dan entre socios, empresas y familiares; resolver estas controversias ante un juez implica usar pruebas digitales, demostrar un mensaje a través de WhatsApp, comprobar firmas o consentimiento de una acción a través del uso de una cuenta o usuario digital.

El Derecho y las normas tradicionalmente son locales y la tendencia de la globalización a veces hace que los sistemas normativos ya no sean eficientes para solucionar las controversias que se suscitan. El abogado debe de salir de la mentalidad local y limitativa porque pensar en un mundo digital es pensar global.

Por otra parte, es importante entender cómo la Inteligencia Artificial (IA) ha llegado a revolucionar el mundo. Debemos aprender cómo usar la IA no sólo para estructurar el sistema normativo sino para poder incorporarla en la práctica del Derecho y poder eficientar los procesos. Un gran porcentaje de despachos de abogados en países avanzados ya usan softwares con IA para analizar contratos y elaborar estrategias legales tomando en consideración leyes, sentencias similares, antecedentes del despacho, entre otros. Asimismo, algunos poderes judiciales también usan ya algoritmos para predicción de conductas delictivas, para procesos de gestión judicial e incluso para propuestas de elaboración de sentencias.

¿En qué campos consideras que la tecnología ha cambiado más a la profesión?

En primer lugar, ha impactado al abogado de empresas ya que son éstas las que están a la vanguardia de los cambios, son corporativos que pertenecen a organizaciones internacionales y las que ya están haciendo negocios de una manera diferente, utilizando la tecnología, tanto local como internacionalmente. Estas empresas ya registran algoritmos como parte de su secreto industrial, los comercializan, solucionan conflictos entre usuarios con sus propios mecanismos de autorregulación, analizan los datos y metadatos de sus clientes como estrategia de negocios, usan criptomonedas como forma de pago, entre otros.

Siempre han existido cambios tecnológicos, sin embargo, cada vez es mayor la velocidad de los cambios. Considero que el internet es una de las herramientas que más ha contribuido a esta transformación, pero aún más lo ha sido la llegada de los dispositivos móviles y del cómputo en la nube, incorporando así la posiblidad de la portabilidad de la información y el aumento exponencial en la capacidad de almacenamiento. Si nos ponemos a analizar, tenemos relativamente poco tiempo usándolos, sin embargo, algunos ya no podríamos imaginar nuestra vida sin estas tecnologías.

Esta situación nos abre un umbral de nuevas posibilidades para que surga el conflicto, ya que hoy te pueden hackear en cuestión de segundos una cuenta de banco y vaciarla, robarte tu identidad y hacer pagos con tu tarjeta o acceder a información confidencial.

Surge además un conflicto de jurisdicción ya que una transacción se puede hacer a una empresa estadounidense, que tiene la información en servidores en Irlanda cuya oficina operativa está en Alemania. En tal caso la pregunta sería, ¿a quién le reclamo, y si demando qué legislación aplica? El Derecho y las normas tradicionalmente son locales y la tendencia de la globalización a veces hace que los sistemas normativos ya no sean eficientes para solucionar las controversias que se suscitan. El abogado debe de salir de la mentalidad local y limitativa porque pensar en un mundo digital es pensar global.

¿Ante los cambios que describes consideras que los abogados deben sólo conocer las nuevas tecnologías y leyes o consideras que tienen que cambiar su forma de pensar, de educarse y su forma de actuar?

Yo estoy de acuerdo con aquellos que dicen “regula la conducta y no el medio”. Existe un debate sobre si las leyes se deben de modificar o si podemos adaptar los conceptos del Derecho actual a conductas que se llevan a cabo en internet.

Creo que en algunos casos y materias sí es necesario hacer ligeras adecuaciones a las leyes, sin embargo, en su mayoría no se requiere modificar, sino sólo entender y diferenciar entre la conducta y el medio usado, para ver cómo las figuras del derecho aplican en cada caso. Todos sabemos que si alguien irrumpe con un acceso no autorizado en tu domicilio y se lleva muebles, está incurriendo en una conducta delictiva. Lo mismo pasa en el mundo digital. Tu casa/domicilio es tu computadora o tu dominio y si alguien irrumpe a través de la tecnología de manera no autorizada y se lleva o te retiene tu información a cambio de un pago, está incurriendo en exactamente la misma conducta.

En la actualidad, un abogado que quiera adaptarse a la nueva realidad que estamos viviendo, debe de entender cuáles son los conceptos y cómo se está modificando la conducta humana. De esta forma podrá transformarse en lo que yo llamo un Abogado Digital, aquel profesionista del Derecho que entiende que hoy un algoritmo puede dirigir más la conducta de las personas que una ley.

El desconocimiento de la tecnología lleva a la sobrerregulación. No entender qué está pasando o tener miedo a qué puede pasar si los desarrollos tecnológicos se nos “salen de las manos” nos lleva a querer controlarlos. Sin embargo, esas medidas no siempre son las mejores ni mucho menos eficientes.

La sociedad digital y exponencial se necesita regular con la propia tecnología, es por eso que las mayores plataformas del mundo invierten mucho en desarrollar sus propios mecanismos de autorregulación o solución de controversias. Tal es el caso de Audible Magic que protege los derechos de autor en los videos de YouTube, Rights Manager en Facebook, o los mecanismos que han incorporado estas dos redes, así como Google y Mozilla para contrastar datos e información errónea con el objetivo de combatir las fake news. Con la inmensa cantidad de información que se publica, se comparte en internet y las millones de operaciones y transacciones que se llevan a cabo por segundo es imposible pretender solucionarlas con las leyes o en los tribunales. Por ejemplo, el año pasado se solucionaron más conflictos en la herramienta de autorregulación de eBay que en todas las cortes de Estados Unidos.

El internet y las tecnologías de la información sólo son un medio y las conductas siempre vienen de una persona. Atrás de una computadora, de un algoritmo, o de un delito cibernético siempre habrá una conciencia humana, y considero que ahí es en donde nos tenemos que enfocar, en la apertura al cambio, la adaptabilidad y sobre todo en la ética de los profesionales del Derecho.

En la actualidad, un abogado que quiera adaptarse a la nueva realidad que estamos viviendo, debe de entender cuáles son los conceptos y cómo se está modificando la conducta humana. De esta forma podrá transformarse en lo que yo llamo un Abogado Digital, aquel profesionista del Derecho que entiende que hoy un algoritmo puede dirigir más la conducta de las personas que una ley.

¿Los avances y la velocidad con la que se mueven los humanos y la tecnología han creado una gran brecha digital en el mundo de los abogados, cómo ves el futuro de la práctica profesional de los abogados?

Primero me gustaría hablar del presente, la brecha digital es un asunto generacional, las nuevas generaciones ya traemos nato el entendimiento y uso de la tecnología, contra la generación anterior que son los que actualmente están en las posiciones de liderazgo de las empresas, del gobierno o de los despachos, y quienes en ocasiones no alcanzan a dimensionar la importancia de aplicar la nueva tecnología.

Para esos líderes, yo les recomendaría que aunque los sistemas y creencias que tengan les hayan servido toda la vida, se abran a los beneficios de eficiencia y transparencia que genera la tecnología y que confíen en los nuevos talentos que poseen una mentalidad fresca para proponer nuevas formas de crecer las empresas y solucionar conflictos a través del uso de la tecnología.

Respecto al futuro, considero que en aproximadamente unos 5 o 10 años, una vez que los millenials ocupen las posiciones de liderazgo, será cuando estemos dentro de la verdadera transformación de las empresas o instituciones.

A los abogados, yo les diría que va a cambiar la práctica del Derecho, el abogado del futuro no va a ser mejor porque conozca las leyes porque esas ya cualquiera las tiene disponibles en un clic. El abogado exitoso será quien sepa solucionar conflictos, lo que implica no sólo tener conocimientos de Derecho y digitales, como hemos visto, sino habilidades de negociación y hasta psicológicas para comprender la conducta humana.

Como ya mencioné, los problemas que se suscitan en el mundo digital deben tener soluciones digitales, por lo que deben de ser los abogados los que estén detrás del desarrollo de la tecnología necesaria para mediar entre las partes. El abogado exitoso va a ser aquel que sepa gestionar los sistemas de tecnología aplicados al Derecho.

Pongo un ejemplo, en Estados Unidos el 40% de los despachos de abogados y de los departamentos jurídicos de las empresas ya están usando sistemas de inteligencia artificial para análisis de contratos. Y está comprobado que este tipo de sistemas artificiales son mucho más eficientes y pueden presentar una estrategia interna en una hora, una actividad que tardarían hasta 10 horas en realizarla 10 abogados.

Es importante decir que la IA no sustituye al abogado, porque en algunos ámbitos se ha dicho que esto puede causar que desaparezca la profesión, y no es así. Aunque es conocido el caso del robot que le ganó al campeón mundial de ajedrez, los expertos concluyen que a pesar de que un sistema de IA pueda aprender a jugar ajedrez en menos de cuatro horas, cosa que a una persona le llevaría años o décadas, la mejor estrategia de ajedrez hoy en día no es la del robot, sino aquellas que han construido en conjunto el robot con la mente humana.

Esta es la misma posición que debemos de adoptar en el mundo jurídico. No alejarnos por miedo a lo desconocido sino participar con una visión entusiasta hacia la posibilidad. El desarrollo de los softwares y tecnología que mejorará la práctica de esta profesión requiere de abogados que diseñen los procesos jurídicos y analicen los datos necesarios.

En resumen, debemos dejar las labores repetitivas jurídicas que no generan valor a las máquinas y robots y esto permitirá al abogado ser más estratégico en su quehacer y en su pensar. El mejor abogado será aquel que sepa cómo implementar las herramientas tecnológicas para mejorar los procesos legales y jurídicos en donde sea necesario.

¿Qué es un abogado digital?

Un abogado digital es un líder que genera transformación en cualquier sector o actividad que tenga que ver con el mundo jurídico o la aplicación del mismo. Es aquel que construye puentes entre el paradigma legal y la realidad tecnológica, así como entre personas. La digitalización nos está cambiando a todos y aún nos enfrentamos a mucha desinformación y resistencia, por lo que considero que este liderazgo necesita no sólo adquirir conocimientos sino desarrollar inteligencia emocional, autoconciencia, y adaptabilidad que son habilidades y competencias que no tienen que ver con el derecho.

Nos estamos enfrentando a un rompimiento general con las viejas estructuras empujadas en gran parte por la tendencia a la descentralización. Los mecanismos de autorregulación, el blockchain y la tecnología en general abren más la información y los datos, trayendo consigo transparencia, dándonos poder como usuarios, consumidores y ciudadanos y dejando atrás la necesidad de contar con autoridades o medios centrales para vigilar o “guiar” nuestro camino como sociedad. Claramente este cambio trae mucha incomodidad. El abogado digital será quien lidere estos cambios y hará la transición hacia contar con un verdadero gobierno abierto, construirá los procesos de justicia y parlamento abierto. Será quien garantice la seguridad de la información en las empresas e instituciones que usen medios digitales y electrónicos. La tecnología nos permite tener una verdadera rendición de cuentas y medición de resultados.

Asimismo, el abogado digital es el profesional del Derecho que tiene y/o desarrolla una inteligencia digital. Es aquel abogado que además de tener una inteligencia analítica para poder analizar o interpretar las leyes individuales, debe tener una inteligencia sistémica, que entienda cómo se interconectan y cuál es la interdependencia de todos los elementos y sus partes. Porque al final de cuentas internet nos permite conectarnos y entender a la persona como un organismo, al sistema judicial como un organismo, a la empresa como un organismo. La inteligencia digital entiende la interconexión de la información y la multifactorialidad de las controversias, presentando así soluciones colaborativas.

¿Qué es una solución colaborativa?

Estamos sumergidos en una era y una economía colaborativa. Este fue un paradigma que se transformó con la transición de la era industrial a la era del conocimiento o de la información. En la primera, el paradigma de producción estaba basado en la escasez, mientras más capacidad de producción yo usaba en una máquina, menos capacidad me quedaba, por lo que si un lado de la balanza ganaba, el otro perdía. Sin embargo, en la era del conocimiento es al revés, pasamos a un paradigma de abundancia ya que ahora mientras yo comparto más conocimiento, lo que pasa es que se produce aún más. Esto nos lleva a un ganar-ganar y para mí esta es la mentalidad que a muchos todavía les está costando cambiar.

Yo vería la creación de soluciones colaborativas en dos vertientes. Primero en la generación de sinergias entre abogados. En “cambiar el chip” y dejar de ver al abogado de al lado como una contraparte o como rival, por el contrario, es un colaborador que junto contigo persigue un mismo objetivo, solucionar un conflicto de tal forma que ambas partes puedan salir satisfechas con el resultado. De hecho es reciente pero ya existe en México la práctica del abogado colaborativo que es una etiqueta que se le da a los abogados que se comprometen a llegar a acuerdos evitando el litigio.

Por otro lado, llegar a soluciones colaborativas en el ámbito jurídico implica también salirnos de la caja del Derecho y colaborar con otras disciplinas. Los abogados de antes eran como llaneros solitarios y pensaban: “sólo trato con abogados y sólo sé de Derecho”, su mundo era sólo de casos y leyes. Justo en la inteligencia sistémica entra el nuevo paradigma de la multidisciplinariedad. Si junto a las finanzas y la tecnología surgen las empresas Fintech, o de tecnología financiera. Si junto a un abogado con un informático nace Max, el primer robot que da asesoría legal gratuita. Si junto a un abogado con un politólogo y un biólogo nace el Observatorio de la Corrupción y la Impunidad que hoy analiza los avances de la corrupción con el mismo enfoque que un médico analiza el esparcimiento del cáncer.

¿Qué recomendarías a los abogados para convertirse en abogados digitales?

México necesita más abogados digitales, las empresas e instituciones necesitan que ellos abanderen esta transformación. Te cuento un ejemplo de los retos que enfrenta el país en este aspecto: una empresa muy grande en México adquirió un sistema de Inteligencia Artificial llamado Ross para hacer estrategias de litigio en su área jurídica, sin embargo, decidieron abortar el proyecto bajo el argumento de que no funcionó. Entender la IA nos llevaría a ver que ese sistema fue desarrollado en Estados Unidos, por abogados norteamericanos y que probablemente sus algoritmos hayan sido alimentados con datos de casos de ese país, por lo que no necesariamente está adaptado al sistema legal mexicano.

Mi pregunta entonces sería ¿si empresas grandes como ésta no asumen el liderazgo para desarrollar los sistemas que puedan aplicar para México, o no cuentan con los profesionales aptos para poder hacerlo, entonces quién lo hará?

Se necesitan líderes para crear un sistema de inteligencia artificial para despachos de abogados mexicanos, donde se empiecen a meter casos de nuestro país, que se programe con las leyes mexicanas y entonces toda esta información pueda, el día de mañana, ser compartida con otros despachos.

Yo invitaría, en primer lugar, a todos los abogados a que abanderen el cambio, a que la gente que tiene posibilidades, que son líderes en cualquier sector que tenga que ver con temas jurídicos, se eduque, investiguen y vean de qué forma pueden tomar los beneficios de la tecnología y aplicarlos en sus propias áreas.

En segundo lugar, creo que debemos de trabajar en el desarrollo de competencias y habilidades personales que nada tienen que ver con el Derecho, como la inteligencia emocional, el liderazgo, la negociación, la gestión del cambio, sobre todo porque adaptarse a la tecnología es un factor de capacidad humana.

Y finalmente hay que dedicar tiempo a estudiar los detalles de cómo funciona la digitalización, sus alcances y las nuevas aplicaciones tecnológicas, unos para manejarlas y desarrollarlas y otros para ser usuarios de sus beneficios.

“Un abogado digital es un líder que genera transformación en cualquier sector o actividad que tenga que ver con el mundo jurídico o la aplicación del mismo. Es aquel que construye puentes entre el paradigma legal y la realidad tecnológica, así como entre personas. La digitalización nos está cambiando a todos y aún nos enfrentamos a mucha desinformación y resistencia, por lo que considero que este liderazgo necesita no sólo adquirir conocimientos sino desarrollar inteligencia emocional, autoconciencia, y adaptabilidad que son habilidades y competencias que no tienen que ver con el Derecho.”

Fuente: forojuridico.mx

Todos estos cambios en el ámbito legal nos dejan muy claro que tenemos que prevenir los fraudes y el robo de nuestros datos personales y empresariales. Te invito a que conozcas nuestras soluciones integrales en la Gestión de Riesgos. Solicita información.

Mario Meneses

mario@c2csmartcompliance.com

WA +52 1 7711871152

El Foro Económico Mundial instaura un Centro para la Ciberseguridad


Cuenta con Fortinet como primera compañía en adherirse y socia fundadora.

El Foro Económico Mundial (WEF, de sus siglas inglesas) ha instaurado su Centro para la Ciberseguridad (Centre of Cibersecurity) y tiene a Fortinet como primera espada y socia fundadora del organismo.  El motivo de la creación es el crecimiento de ciberamenazas globales para la economía digital. “Lo cual requiere una respuesta también global”, aseguran. El centro tratará de convertirse en una red mundial de partners que incluya a empresas, gobiernos, organizaciones internacionales, instituciones académicas y la sociedad civil.

Asimismo, entre los primeros compromisos que ha adquirido destaca el establecimiento, la activación y coordinación de alianzas entre el sector público y privado para fomentar el intercambio de información de inteligencia y elaboración de normas de seguridad. También pretenden desarrollar, probar e implementar colectivamente conocimientos y herramientas innovadoras para prever y protegerse frente a las amenazas. Además, tratará de crear y coordinar un grupo de trabajo mundial sobre ciberseguridad de reacción rápida compuesto por los expertos de la comunidad de socios e implementar programas globales de capacitación y formación para impulsar la próxima generación de profesionales de ciberseguridad.

Para Ken Xie, fundador, presidente y CEO de Fortinet, “el Centro para la Ciberseguridad del Foro Económico Mundial es importante para la colaboración global entre múltiples organizaciones, y ser socio fundador del mismo supone otro paso más en nuestra misión por garantizar la seguridad de las mayores empresas, proveedores de servicios y organizaciones gubernamentales del mundo”.

Fuente: cso.computerworld.es

En la protección de datos podemos asesorarte con los riesgos de ciberseguridad que pueda tener tu empresa.

Solicita informes

Mario Meneses

mario@c2csmartcompliance.com

WA +52 1 7711871152

C2C SmartCompliance and IBM Software Integrated to Deliver Advanced Compliance and Risk Capabilities


ALEXANDRIA, VA, 31 de diciembre de 2018 – C2C SmartCompliance (C2C), un proveedor líder de software de gestión de riesgo y cumplimiento, anunció hoy una nueva solución de Gestión de cumplimiento y alerta reglamentaria (RACM) que aprovecha las capacidades de gestión de cumplimiento del software Compliance Mapper de C2C. y la plataforma OpenCages GRC de IBM.

La solución integrada Compliance Mapper / OpenPages brinda información única sobre los riesgos de cumplimiento, y el cumplimiento regulatorio y la administración de cambios a través de la gran inversión de IBM en OpenPages y la experiencia incomparable de C2C en el desarrollo de soluciones de cumplimiento y gestión de riesgos forjadas en el campo.
“Esta potente solución integrada brinda a la administración de nivel superior un sistema de alerta temprana para mitigar los problemas de cumplimiento y normativos que potencialmente pueden interrumpir las operaciones comerciales”, explicó Steve Crutchley, fundador y CEO de C2C SmartCompliance. “La ventaja competitiva es clara para las organizaciones pequeñas con recursos limitados y las grandes corporaciones con sistemas complejos que a menudo se distribuyen en las divisiones corporativas que operan de manera independiente”.
Compliance Mapper proporciona el contenido avanzado y las capacidades de mapeo, mientras que OpenPages ofrece un conjunto robusto de herramientas que cubren políticas de gestión de cumplimiento, gobierno de TI, auditoría, problemas / eventos y gestión de riesgo operacional. La integración de Compliance Mapper con OpenPages brinda a las empresas lo mejor de ambas plataformas para administrar el cumplimiento, el riesgo regulatorio, los cambios regulatorios, las políticas y los controles.

El Mapeador de Cumplimiento de C2C proporciona a las organizaciones con visión de futuro un sistema de alerta temprana en tiempo real de cumplimiento y amenazas reglamentarias durante meses, trimestres o incluso más.
“Nuestra solución combinada le permite a la gerencia superior realizar ajustes comerciales según sea necesario para evitar resultados negativos”, dijo Brian Alexander, CLO de C2C. “Imagine un GPS que puede detectar peligros en la carretera a lo largo de la carretera para su negocio. Esa es la ventaja competitiva de la solución RACM impulsada por Compliance Mapper y OpenPages de IBM “.

La solución combinada desbloquea los datos críticos de riesgo y cumplimiento que a menudo se ocultan dentro de las organizaciones. Esto permite a los gerentes de alto nivel controlar y administrar los riesgos de cumplimiento y regulatorios en lugar de verse envueltos en un enfoque caótico y práctico después de que se manifiestan las amenazas. La solución pone los datos correctos con respecto a los requisitos regulatorios, los cambios y las relaciones en manos de los profesionales de cumplimiento y riesgo que más necesitan esta información.

Sobre C2C SmartCompliance
C2C SmartCompliance es un proveedor de software y servicios de Gobernanza, Riesgo y Cumplimiento de empresas especializado, fundado por profesionales de seguridad de la información, riesgos y cumplimiento con más de 25 años de experiencia en consultoría y auditoría de GRC. La metodología C2C alinea la estrategia de cumplimiento de una organización con objetivos comerciales específicos. Los productos de C2C automatizan los costosos procesos manuales asociados con las iniciativas de cumplimiento, realizando tareas en horas que normalmente toman días. Proporcionamos a las partes interesadas un marco de cumplimiento operativo común, centrado en el negocio y sostenible.

C2C SmartCompliance y su logotipo, y Compliance Mapper son marcas comerciales de C2C SmartCompliance LLC. IBM y OpenPages son marcas registradas de IBM.


Contacto:
Mario Meneses

mario@c2csmartcompliance.com

+52 1 7711871152

Especialistas prevén año complicado para ciberseguridad.



Las crecientes amenazas que enfrentan los consumidores y las organizaciones se ven agravadas por un mundo cada vez más conectado.

Los cibercriminales aumentarán este año la efectividad de sus ataques con elementos más sofisticados, para aprovechar el constante cambio en la tecnología y las vulnerabilidades ya conocidas que permanecen en las empresas, destacó Trend Micro.

En el informe “Mapeo del futuro: Cómo lidiar con amenazas omnipresentes y persistentes”, la empresa de ciberseguridad destacó en un comunicado las crecientes amenazas que enfrentan los consumidores y las organizaciones que se ven agravadas por un mundo cada vez más conectado.

El vicepresidente de Ciberseguridad de Trend Micro, Greg Young, señaló que “a medida que vamos entrando en el año 2019, las organizaciones deben comprender las implicaciones de seguridad de una mayor adopción de la nube, la convergencia de TI y OT, y el aumento del trabajo remoto”.

“Los cibercriminales continuarán con una fórmula ganadora: explotar las fallas existentes, la ingeniería social y las credenciales robadas para generar ganancias”, advirtió.

Argumentó que a medida que aumentan las amenazas corporativas y cibernéticas desconocidas, es más importante para las organizaciones poner más recursos en la concientización de los empleados para ayudar a protegerse contra estos ataques crecientes.

Trend Micro predijo que los atacantes aprovecharán estos métodos en contra de la creciente adopción de la nube, en donde encontrarán un mayor número de vulnerabilidades en este tipo de infraestructura, al igual que en las medidas débiles de seguridad.

Además, es probable que los ataques se dirijan a empleados que reporten a ejecutivos de los más altos niveles, lo que resultará en pérdidas globales continuas.

El SIM swapping y el SIM-jacking serán una amenaza creciente para aprovecharse de los empleados remotos y los usuarios cotidianos, que permite por ejemplo a los delincuentes secuestrar un teléfono celular sin el conocimiento del usuario, lo que dificulta a los usuarios recuperar el control de sus dispositivos.

Además, los hogares inteligentes serán un objetivo cada vez más atractivo para los ataques que aprovechan los routers domésticos y los dispositivos conectados, advirtió la empresa de ciberseguridad.

Fuente: forbes.com.mx

En C2CSmartCompliance podemos ayudarte en la identificación y administración de estas nuevas amenazas. Realizamos la planificación, la implantación y las auditorias para un Sistemas de Gestión de Seguridad de la Información. Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC).

Somos Partners de Trend Micro, seguridad de datos empresariales y soluciones de ciberseguridad para empresas.

Solicita información a mario@c2csmartcompliance.com

Mario Meneses

Account Manager

Symantec recomienda estudiar detalladamente los ciberataques ocurridos durante 2018.


Los ciberataques más utilizados durante el 2018 seguirán presentes en el 2019.

Symantec recomienda estudiar detalladamente los ciberataques ocurridos durante 2018 para afrontar los retos en ciberseguridad en 2019. Entre las distintas formas de ataque familiares, los ciberataques a los principales sistemas corporativos y sitios web continuaron en 2018 e inevitablemente formarán parte de la escena de ciberseguridad de 2019. Muchas organizaciones conocidas en todo el mundo sufrieron brechas significativas este año. La mayor pérdida potencial de datos, que afecta a la empresa de comercialización y agregación de datos Exactis, supuso la exposición de una base de datos que contenía casi 340 millones de registros de información personal.

El despliegue y adopción de la red 5G comenzará a expandir el área de superficie de ciberataques

Más allá de los ataques corporativos demasiado comunes, 2018 fue testigo de una actividad creciente contra una amplia gama de objetivos y víctimas. En el ámbito de las redes sociales, Facebook aseguró que hackers robaron información de casi 30 millones de personas. Diferentes gobiernos utilizaron sondeos y ataques cibernéticos para acceder a todo, desde secretos corporativos, hasta sistemas gubernamentales e infraestructuras. A nivel personal, una violación de las cuentas del rastreador de salud MyFitnessPal de Under Armour fue víctima del robo de datos privados de aproximadamente 150 millones de personas.

Entonces, ¿qué podemos esperar en el frente de seguridad cibernética el próximo año? Estas son algunas de las tendencias y actividades que probablemente afecten a organizaciones, gobiernos y personas en 2019 y después.

  1. Los cibercriminales explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques
  2. Los defensores dependerán cada vez más de la IA para contrarrestar los ataques e identificar las vulnerabilidades
  3. El despliegue y adopción de la red 5G comenzará a expandir el área de superficie de ciberataques
  4. Los eventos basados en IoT irán más allá de los asaltos masivos de DDoS a nuevas formas de ataque más peligrosas.
  5. Los grupos de ataque capturarán cada vez más datos en tránsito
  6. Los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto.
  7. Las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad regulatoria

Fuente: revistabyte.es

En C2C SmartCompliance te podemos ayudar con la implementacion de SGSI.

Mario Meneses

C2CSmartCompliance es una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC),  ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

Account manager at C2C SmartCompliance

mario@c2csmartcompliance.com

+52 1 7711871152

10 maneras en que el aprendizaje automático está revolucionando las ventas


  • Los equipos de ventas que adoptan AI están viendo un aumento de clientes potenciales y citas de más del 50%, reducciones de costos de 40% a 60% y reducciones en el tiempo de llamadas de 60% a 70% según el artículo de Harvard Business Review ¿Por qué los vendedores necesitan desarrollar una máquina? inteligencia .
  • El 62% de los vendedores de más alto rendimiento pronostican que la adopción de ventas guiadas se acelerará según su capacidad para clasificar las oportunidades potenciales por valor y sugerir los siguientes pasos según el último estudio de investigación de Estado de ventas de Salesforces .
  • Para 2020, el 30% de todas las empresas B2B emplearán AI para aumentar al menos uno de sus procesos de ventas primarios según Gartner .
  • De acuerdo con el Estado de ventas publicado por Salesforce, los equipos de ventas de alto rendimiento tienen 4.1 veces más probabilidades de usar aplicaciones de aprendizaje automático y de inteligencia artificial que sus compañeros .
  • El pronóstico inteligente, la información de oportunidades y la priorización de clientes potenciales son los tres principales casos de uso de aprendizaje automático e inteligencia artificial en ventas.

La inteligencia artificial (AI) y el aprendizaje automático muestran el potencial de reducir las tareas manuales que consumen más tiempo y que evitan que los equipos de ventas pasen más tiempo con los clientes. Automatizar el soporte de marketing basado en la cuenta con análisis predictivos y apoyar la investigación centrada en la cuenta, realizar pronósticos, informar y recomendar qué clientes vender primero son todas las técnicas que liberan a los equipos de ventas de tareas manuales intensivas.

La carrera por las patentes de aprendizaje automático e inteligencia artificial centradas en las ventas está en marcha

Los proveedores de CRM y Configure, Price & Quote (CPQ) continúan desarrollando y ajustando a sus asistentes digitales, que están diseñados específicamente para ayudar al equipo de ventas a obtener el máximo valor de AI y el aprendizaje automático. Einstein de Salesforces admite comandos de activación por voz de Amazon Alexa, Apple Siri y Google . Salesforce y otras compañías de software empresarial continúan invirtiendo agresivamente en Investigación y Desarrollo (I&D). Para los nueve meses finalizados el 31 de octubre de 2018, Salesforce gastó $ 1.300 millones o 14% de los ingresos totales en comparación con $ 1.100 millones o 15% de los ingresos totales, durante el mismo período del año anterior, un aumento de $ 211M según el10Q de la compañía. Con la Comisión de Bolsa y Valores .

La carrera por la IA y las patentes de aprendizaje automático que agilizan las ventas es cada vez más competitiva. Espere ver florecer la carrera de inteligencia artificial centrada en las ventas y las patentes de aprendizaje automático en 2019. La Oficina Nacional de Investigación Económica publicó un estudio en julio pasado del Instituto de Investigación de Políticas Económicas de Stanford,  titulado Some Facts On High Tech Patenting . El estudio encuentra que las patentes en el aprendizaje automático han experimentado un crecimiento exponencial desde 2010 y que Microsoft tuvo el mayor número de patentes en el período 2000-2015. Utilizando el análisis de patentes de PatentSight y la búsqueda ip , IAM  publicó un análisis el mes pasado mostrandoMicrosoft como el líder mundial en patentes de aprendizaje automático con 2.075 . El estudio se basó en el Índice de Activos de Patentes de PatentSight  para clasificar a los creadores y propietarios de patentes de aprendizaje automático, revelando que Microsoft y Alphabet dominan hoy. Salesforce que invierte más de $ 1B al año en I + D refleja cuán competitiva es la carrera por las patentes y la propiedad intelectual.

10 maneras en que el aprendizaje automático está revolucionando las ventas

Impulsado por la proliferación de patentes y la integración de AI y el código de aprendizaje automático en CRM, CPQ, Servicio al cliente, Análisis predictivo y una amplia variedad de aplicaciones de Habilitación de ventas, los casos de uso están floreciendo hoy en día. A continuación se presentan las diez formas en que el aprendizaje automático está más revolucionando las ventas hoy en día:

  1. La inteligencia artificial y las tecnologías de aprendizaje automático sobresalen en el reconocimiento de patrones, lo que permite a los equipos de ventas encontrar los potenciales nuevos prospectos más altos al hacer coincidir los perfiles de datos con sus clientes más valiosos. Casi todas las aplicaciones de CRM habilitadas para AI están proporcionando la capacidad de definir una serie de atributos, características y sus valores específicos que señalan las perspectivas más altas posibles. La selección y la priorización de nuevos prospectos utilizando este enfoque ahorra a los equipos de ventas miles de horas al año.
  2. El liderazgo y la formación de líderes basados ​​en la IA y los algoritmos de aprendizaje automático ayudan a guiar a los equipos de ventas y marketing a convertir los Leads calificados de marketing (MQL) en Leads calificados de ventas (SQL), fortaleciendo las líneas de ventas en el proceso. Una de las áreas más importantes de colaboración entre ventas y mercadotecnia es liderar estrategias que muevan prospectos a través de la tubería. La inteligencia artificial y el aprendizaje automático están enriqueciendo la colaboración con información de datos de terceros, la actividad de los clientes potenciales en los eventos y en el sitio web, y de conversaciones anteriores con los vendedores. El puntaje y la crianza del plomo dependen en gran medida de la generación de lenguaje natural (NLG) y del procesamiento del lenguaje natural (NLP) para ayudar a mejorar la puntuación de cada plomo.
  3. La combinación de datos históricos de ventas, precios y compras en un solo modelo de aprendizaje automático mejora la precisión y la escala de los pronósticos de ventas . Tener en cuenta las diferencias inherentes a cada cuenta dado su historial anterior y los ciclos de compra de productos y servicios es invaluable para predecir con precisión sus futuros niveles de compra. Los algoritmos de aprendizaje automático e inteligencia artificial integrados en las aplicaciones de CRM, gestión de ventas y planificación de ventas pueden explicar las variaciones en los pronósticos, siempre que tengan los datos disponibles. El pronóstico de la demanda de nuevos productos y servicios es un área donde la inteligencia artificial y el aprendizaje automático reducen el riesgo de invertir en estrategias de venta completamente nuevas para nuevos productos.
  4. Saber la propensión de un cliente dado a la rotación frente a la renovación es invaluable para mejorar el Valor de vida del cliente. El análisis de una serie diversa de factores para ver qué clientes van a ceder o irse en comparación con los que se renovarán es una de las ideas más valiosas que ofrece AI y el aprendizaje automático. El hecho de poder completar un Análisis del valor de la vida útil del cliente para cada cliente que una empresa tiene proporciona una hoja de ruta priorizada en la que la salud de las relaciones con los clientes es excelente en comparación con las que necesitan atención. Muchas compañías están usando el Análisis del valor de la vida útil del cliente como un proxy para una puntuación de salud del cliente que se revisa mensualmente.
  5. Conocer las estrategias, las técnicas y la gestión del tiempo se acerca al 10% superior de los vendedores con quienes contar para sobresalir mucho más allá de la cuota y escalar esas prácticas en todo el equipo de ventas en base a información impulsada por AI. Todos los gerentes de ventas y líderes piensan sobre esto a menudo, especialmente en los equipos de ventas donde los niveles de rendimiento varían ampliamente. Conocer las capacidades de los vendedores de mayor rendimiento y luego reclutar selectivamente a los candidatos del equipo de ventas que tienen capacidades comparables ofrece resultados sólidos. Los líderes en el campo de la aplicación de la inteligencia artificial a la gestión del talento incluyen Eightfold, cuyo enfoque de la gestión del talento es el perfeccionamiento del reclutamiento y cada fase de la gestión del potencial de un empleado. Por favor, vea la característica reciente del New York Times de ellos aquí .
  6. La venta guiada está progresando rápidamente de una estrategia de ventas orientada a la personalización a una que capitaliza las ideas basadas en datos, revolucionando aún más las ventas. La venta guiada basada en el aprendizaje automático y la IA se basa en un análisis prescriptivo que ofrece recomendaciones a los vendedores sobre qué productos, servicios y paquetes ofrecer al precio. El 62% de los vendedores de más alto rendimiento pronostican que la adopción de ventas guiadas se acelerará según su capacidad para clasificar las oportunidades potenciales por valor y sugerir los siguientes pasos según el último estudio de investigación de Estado de ventas de Salesforces .
  7. Mejora la productividad del equipo de ventas utilizando la inteligencia artificial y el aprendizaje automático para analizar las acciones y comportamientos más efectivos que conducen a ventas más cerradas. La inteligencia artificial y el contacto de ventas basado en el aprendizaje automático y el análisis predictivo del cliente tienen en cuenta todas las fuentes de contactos con los clientes y determinan cuáles son las más eficaces. Al conocer qué acciones y comportamientos se correlacionan con las tasas de cierre más altas, los gerentes de ventas pueden usar estos conocimientos para escalar sus equipos de ventas a un mayor rendimiento.
  8. Las ventas y el marketing pueden definir mejor una estrategia de optimización de precios utilizando el análisis de todos los datos disponibles utilizando la IA y los algoritmos de aprendizaje automático. Los precios siguen siendo un área en la que la mayoría de los equipos de ventas y marketing aprenden a hacerlo a través de prueba y error. Al poder analizar los datos de precios, el historial de compras, los descuentos, la participación en los programas promocionales y muchos otros factores, la inteligencia artificial y el aprendizaje automático pueden calcular la elasticidad del precio para un cliente determinado, lo que hace que sea más asequible un precio optimizado.
  9. La personalización del contenido de ventas y marketing que mueve las perspectivas de MQL a SQL mejora continuamente gracias a la inteligencia artificial y el aprendizaje automático. Las aplicaciones de Marketing Automation, incluyendo HubSpot y muchas otras, durante años han podido definir qué contenido de contenido debe presentarse ante un posible cliente en un momento dado. Lo que ha cambiado es la naturaleza interactiva y personalizada del contenido en sí. Al combinar análisis, personalización y aprendizaje automático, las aplicaciones de automatización de marketing ahora pueden personalizar el contenido y los activos que impulsan las oportunidades.
  10. Resolver los muchos desafíos de la programación de ingeniería de ventas, el soporte de habilitación de ventas y dedicar la mayor cantidad de tiempo a las cuentas de mayor valor se resuelve con el aprendizaje automático . Las aplicaciones de CRM, incluida Salesforce, pueden definir el cronograma de un vendedor en función del valor de la venta potencial combinado con la solidez del liderazgo de ventas, en función de su puntaje de plomo. La inteligencia artificial y el aprendizaje automático optimizan el tiempo de un vendedor para que puedan ir de una reunión de clientes a la siguiente, dedicando su tiempo a los prospectos más valiosos.

Actualmente me desempeño como Director, IQMS. Las posiciones anteriores incluyen gestión de productos en Ingram Cloud, mercadotecnia de productos en iBASEt, Plex Systems, analista senior de AMR Research (ahora Gartner), mercadotecnia y desarrollo de negocios en Cincom Systems, Ingram Micro, un inicio de SaaS …MÁS

Louis Columbus es un estratega de software empresarial con experiencia en análisis, computación en la nube, CPQ, Customer Relationship Management (CRM), comercio electrónico y planificación de recursos empresariales (ERP).

Fuente: forbes.com

Mario Meneses

Account Manager at C2C SmartCompliance

Somos una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC), ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

mario@c2csmartcompliance.com

Saludos

Una nueva rectificación evidencia la división en el Supremo sobre el ‘compliance’



El ‘error’ cuestiona el sistema de atribución de responsabilidad a la empresa

Una nueva rectificación de una sentencia sobre responsabilidad penal de las personas jurídicas ha vuelto a evidenciar la profunda división que en torno a esta materia existe en la Sala de lo Penal del Tribunal Supremo. La resolución original, cuyo ponente es el magistrado Andrés Martínez Arrieta, afirmaba, en contra del criterio mayoritario sostenido hasta ahora por sus compañeros, que la responsabilidad de las empresas “es vicarial”. Es decir, que una vez constatado el delito cometido por un empleado o directivo, se produce una transferencia automática de la culpa a la organización.

La sentencia confirmaba la absolución del Banco Mare Nostrum y de dos de sus empleadas, a quien la acusación particular atribuía los delitos de estafa procesal, falsedad documental y falso testimonio.

El debate, sin embargo, no afecta al sentido del fallo, sino a la argumentación empleada. La posición de Martínez Arrieta chocaba frontalmente con la sostenida hasta ahora por el alto tribunal, que defiende el criterio de la autorresponsabilidad. O lo que es lo mismo, la culpa de la persona jurídica es independiente de la de las personas jurídicas que intervienen en el delito.

La rectificación ha tardado en llegar dos semanas y media. En un auto firmado por el propio Martínez Arrieta, se asevera que se ha producido un “error en la argumentación” al hablar de responsabilidad vicarial. “Lo procedente es afirmar la autonomía de las responsabilidades y, por lo tanto, no supeditada a la condena de una persona física”, explica el texto que, sin embargo, no ordena suprimir término “vicarial” de la sentencia original.

Lejos de tratarse de un error puntual, se da la circunstancia de que es la segunda vez que el mismo magistrado firma, como ponente, una sentencia que afirma que la responsabilidad penal de las organizaciones es “vicarial”. La anterior, de 2016, también fue corregida en un auto posterior.

Fuentes jurídicas descartan que se trate de la repetición de un fallo involuntario y enmarcan estos hechos dentro de la “pelea” que existe entre los magistrados de la Sala de lo Penal por la interpretación del artículo 31 bis del Código Penal(que regula esta figura). Una fractura que se puso de manifiesto en la sentencia más relevante que, hasta la fecha, ha dictado el alto tribunal sobre este asunto. El fallo, de febrero de 2016, contó con el voto particular de siete de los quince magistrados que componían el Pleno de la Sala. A esta disputa también se suma la Fiscalía General del Estado que, en su Circular 1/2016 defiende el mismo criterio que los magistrados discrepantes: que la responsabilidad penal de las empresas es vicarial o automática.

Efectos prácticos

Este intenso debate gira en torno a una cuestión que ni es menor ni es únicamente teórica. Cómo se determina la culpabilidad de la empresa tiene una incidencia clave en el devenir de los procesos en los que se ven envueltos las empresas. La razón es que modifica la carga de la prueba de la eficacia o ineficacia de los programas de prevención de delitos (o compliance), que, según el artículo 31 bis Código Penal, son la vía para que la empresa alcance la absolución.

“Con el sistema de la autorresponsabilidad, es la fiscalía o la acusación particular quien debe probar los defectos organizativos o estructurales de la empresa; si la responsabilidad es automática, será la defensa quien deba acreditar que cumple las exigencias del 31 bis”, explica Juan Antonio Frago, fiscal especializado en delitos económicos.

Además de las disputas internas, Frago también apunta otro factor relevante en la aplicación judicial del artículo 31 bis del Código Penal. A su juicio, la judicatura y algunos fiscales dan “muy poca importancia” a esta figura. Así, frente a “empresas y bufetes que sí se lo están tomando en serio”, él detecta en la mayoría de los jueces cierto desinterés o falta de convicción en torno a una figura que, por ser importada del ámbito anglosajón, tiene un difícil encaje en nuestra legislación.

FALLOS EN LOS TRIBUNALES

Desconocimiento. El fiscal Frago también detalla una larga lista de resoluciones judiciales que ponen de manifiesto que en muchos tribunales aún se desconocen aspectos básicos de la responsabilidad penal de las personas jurídicas.

Riesgos laborales. Uno de los casos más llamativos proviene de la Audiencia Provincial de Soria que, en enero de este año, confundió el plan de prevención de delitos con el manual de prevención de riesgos laborales, sirviendo este para librar a la compañía de su responsabilidad.

Error en los delitos. Otro fallo es la condena a empresas por delitos que no se encuentran dentro del catálogo por los cuales pueden ser condenadas. Así, por ejemplo, la Audiencia Provincial de Sevilla y la Audiencia Provincial de Pontevedra han dictado condenas por apropiación indebida, una conducta que el Código Penal no permite atribuir a las personas jurídicas.

Fechas. Otro problema proviene del error en las fechas. La Audiencia Provincial de Valencia, por ejemplo, afirmó que la responsabilidad penal de las personas jurídicas fue introducida en el Código Penal en 2015, en lugar de en 2010.

Fuente: cincodias.elpais.com

Saludos

Mario Meneses


C2CSmartCompliance es una empresa premium dentro del nicho de Gobernabilidad, Riesgo y Cumplimiento (GRC),  ofrecemos soluciones, contenido y servicios de gestión del cumplimiento para soportar prácticamente cualquier cuerpo de requerimientos normativos que las empresas comerciales y gubernamentales puedan  enfrentar.

mario@c2csmartcompliance.com

+52 1 7711871152

El Senador Pedro Haces, promete para enero iniciativa de la Ley de Seguridad Privada.


Tomarán medidas para poner orden en la seguridad privada.

Ante la competencia desleal que enfrentan los empresarios de seguridad privada, el senador Pedro Haces se comprometió a modernizar la legislación en la materia “porque la que opera actualmente está rebasada”.

En el marco de la reunión de trabajo con empresarios de las distintas asociaciones de seguridad privada, el legislador de Morena prometió que en enero próximo arrancarán mesas de trabajo temáticas para analizar cada una de las necesidades del sector y trasladarlas a la legislación que se encuentra congelada en la Cámara de Diputados.

El senador admitió que este ramo enfrenta un serio problema de competencia desleal, pues dijo  “de un total de seis mil empresas de seguridad privada, sólo mil 226 cuentan con registro federal, lo que les permite operar en dos o más entidades”.

Ante esta situación, el legislador Haces Barba se pronunció por la creación de un solo permiso que regule todas las empresas de seguridad privada nacionales y por adecuar la ley con base en las necesidades de los actores del ramo, siempre escuchando a todos los involucrados en dicha industria.

“Los empresarios son el motor para el desarrollo de la Nación, porque generan empleos. Los legisladores vamos a trabajar de la mano con ustedes y buscar beneficios que impulsen el desarrollo y bienestar de todos”, manifestó.

“Vamos a tener mano dura para castigar a las empresas patito y para sancionar también a los usuarios de éstas, porque solo así evitaremos que sigan operando”, apuntó.


El senador Pedro Haces Barba y el diputado federal Raúl Sánchez, tras una reunión con empresarios de seguridad privada

Pedro Haces, acompañado de los senadores Raúl Paz Alonzo (PAN) y Arturo Bours Griffith  (Movimiento Ciudadano), así como del diputado federal Raúl Sánchez (Morena),  se comprometió a que en el próximo periodo ordinario de sesiones que se inicia en febrero, la Ley General de Seguridad Privada será una de las prioridades de la agenda legislativa.– COMUNICADO DEL SENADO.

Fuente: www.yucatan.com.mx

Saludos

Mario Meneses

mario@c2csmartcompliance.com

El Tribunal Supremo fija los límites del compliance officer en el uso de los emails


Hace pocos días pudimos leer que la Sala 2ª del Tribunal Supremo se había pronunciado acerca de los límites de los compliance officers en la investigación interna de los delitos empresariales.

En el presente artículo abordaremos la cuestión desde nuestra perspectiva, como despacho de abogados que ha asumido la defensa en el procedimiento.

Pues bien, el TS ha dictado la STS nº 489/2018, Sala 2ª, de 23 de octubre (Ponente: Exmo. Sr. D. Antonio del Moral García)que estima parcialmente el recurso de casación interpuesto por nuestro despacho URRAZA, MENDIETA & ASOCIADOS frente a la sentencia nº 23/2017 de 1 de junio dictada por la Sección 1ª de la Audiencia Provincial de Bizkaia.

La sentencia del Tribunal Supremo supone un éxito ya que acuerda anular la sentencia anterior de la AP y retrotraer las actuaciones hasta el auto de acomodación pero, además, ofrece un riguroso análisis de los márgenes empresariales para la fiscalización de los medios tecnológicos utilizados por los empleados, fijando así los parámetros sobre los que los compliance officerspueden investigar.

La AP de Bizkaia condenó al acusado como autor de un delito continuado de apropiación indebida a 5 años de prisión y 11 meses de multa, así como al pago en concepto de responsabilidad civil de un importe que superaba los cinco millones de euros.

En el motivo segundo del recurso de casación propugnábamos la nulidad del examen efectuado en el ordenador del acusado y, en consecuencia, la prohibición de utilizar las pruebas derivadas del escrutinio de correos electrónicos de éste ya que se tratarían de pruebas afectadas por la prohibición del art. 11.1 de la LOPJ.

Tal y como entiende la sentencia comentada (FJ3º) “la extensión que debe conferirse a las facultades de supervisión del empresario, en el marco de una relación laboral, respecto a los dispositivos informáticos puestos a disposición de los trabajadores, es una cuestión salpicada de matices que cuenta, además, con pronunciamientos distintos de diferentes ámbitos jurisdiccionales que han marcado una Doctrina no siempre lineal“. Pues bien, en orden a determinar la legitimidad de la medida intrusiva de investigación es necesario identificar los derechos fundamentales implicados ya que el nivel de protección y los requisitos para una injerencia legítima varían según cuál sea el derecho afectado (secreto de las comunicaciones, intimidad o autodeterminación informativa). En este sentido, para entrometerse en las comunicaciones ajenas resulta necesaria autorización judicial, no obstante dicha afirmación ofrece matices:

  • La fiscalización de las comunicaciones “en marcha” está condicionada a autorización judicial por vincularse al Derecho al secreto de las comunicaciones.
  • La fiscalización de las comunicaciones “cerradas” no están necesariamente sometidas a autorización judicial por estar vinculadas al Derecho a la intimidad, privacidad o autodeterminación informativa. No obstante, ello no conduce a un escenario de absoluta libertad para el empresario ya que, como decimos, están concernidos Derechos Fundamentales.

Tras un admirable análisis de la jurisprudencia de la Sala 4ª del TS y del TC, la sentencia comentada centra su atención (FJ9 y 10) para apoyar la estimación del recurso, en el reciente hito jurisprudencial del TEDH que invocamos en el recurso. Se trata de la STEDH de 5 de septiembre de 2017 dictada por la Gran Sala en el ASUNTO BARBULESCU II. Esta sentencia concreta los parámetros de inexcusable respeto por el empresario a la hora de realizar la injerencia orientada a descubrir conductas desleales o ilícitas del trabajador. Dichos estándares se conocen como “Test Barbulescu”. Precisamente AQUÍ SE ENCUENTRA LA CLAVE del asunto ya que según la Doctrina fijada por el TEDH (en la que se apoya ahora el TS), no cabe un acceso inconsentido al dispositivo si el trabajador no ha sido previamente advertido de esa posibilidad de fiscalización y/o, además, no ha sido expresamente limitado el empleo del dispositivo o herramienta a las tareas atribuidas exclusivamente dentro del ámbito de funciones del trabajador dentro de la empresa. De forma que, el resto de factores de ponderación (necesidad y utilidad de la medida, inexistencia de otras vías menos invasivas, presencia de sospechas fundadas, etc.) entrarán en juego para inclinar la balanza en uno u otro sentido siempre que se cuente con ese presupuesto, es decir, siempre que SE HAYA ADVERTIDO AL TRABAJADOR.

Aplicando dicho criterio, el TS nos estima el recurso de casación al considerar que “podrían existir razones fundadas para sospechar y entender que el examen del ordenador era una medida proporcionada y, además, se buscó una fórmula lo menos invasiva posible pero, faltaba el presupuesto inexcusable“, esto es, faltaba la advertencia al trabajador.

Por tanto, en el supuesto que nos ocupa, lo que vicia la prueba es el acceso no legítimo, con independencia de que se hayan obtenido o no elementos sensibles desde el punto de vista de la privacidad ya que la valoración de la legitimidad de la actuación inicial (el acceso al ordenador del empleado) no puede hacerse más que mediante un juicio ex ante. Esto quiere decir que la vinculación con la privacidad o intimidad solo será dilucidable en un juicio ex post y ello no puede cambiar la valoración de lo que se hace ex ante. En este sentido, señala acertadamente el TS que “limitar los perjuicios de la intromisión a elementos estrictamente necesarios consiguiendo así no afectar la intimidad del usuario no sirve para revertir en legítima la intromisión ab initio ilegítima“.

Una vez detectada la violación de derechos fundamentales, procede dotarle de consecuencias porque, aunque estemos ante una ilicitud atribuible a particulares (en este caso, la empresa), rige el mandato del art. 11.1 de la LOPJ, toda vez que la empresa realizó esas indagaciones con el propósito de hacer valer como prueba en un proceso judicial los datos obtenidos. Llegados a este punto, a la hora de explorar la solución pertinente, nos encontramos tres escenarios distintos:

  • Si la prueba indebidamente valorada por ser ilícita es prescindible, de forma que, el pronunciamiento de condena no pierde sustento pese a ser suprimida, se mantendrá la condena.
  • Si por el contrario, la prueba indebidamente valorada resultaba esencial, de manera que, suprimida ésta, el pronunciamiento condenatorio pierde todo su apoyo, procede la absolución.
  • Mientras que, si no puede deducirse de manera indubitada la influencia que puedo tener dicha prueba anulada en el pronunciamiento condenatorio, habrá que reenviarse la causa al Tribunal a quo para que dicte nueva sentencia o celebre nuevo juicio, en ambos casos, sin contar con esa prueba.

Merece especial consideración el argumento que, desde su posición, utilizaron las acusaciones, nos referimos a la Doctrina relativa a la “Excepción de Buena Fe” (aplicada por el Tribunal Supremo americano que se abrió paso en nuestro ordenamiento jurídico a través de la STC 22/2003 de 10 de febrero) en virtud de la cual, no sería “ilícita” a estos efectos la acción, ni por tanto la prueba, cuando se ha actuado de buena fe, con la convicción de que la conducta se ajustaba al ordenamiento y sin indiligencia, indiferencia o desidia reprobables. Pese a ello, dicha excepción finalmente no ha prosperado por considerar el TS que a la vista de la jurisprudencia existente en el momento de los hechos, la empresa debía y podía haber extremado la cautela.

En el caso estudiado, el TS opta por la última de las alternativas y acuerda reenviar la causa a la Audiencia Provincial para un nuevo enjuiciamiento partiendo de que el examen del ordenador vulneró derechos fundamentales, debiendo determinar el Tribunal de enjuiciamiento qué pruebas no están afectadas por la conexión de antijuricidad y cuales sí, así como, si las mismas pueden apoyar o no un pronunciamiento de culpabilidad. A mi juicio, la prueba anulada es el eje sobre el que pivotan el resto de elementos probatorios que están unidos a ella de forma “refleja”, “contaminadas”  por la antijuricidad y por tanto, se carece de sustento probatorio para la condena.

Pero el TS va más allá, estima también el primer motivo del recurso (FJ18) extendiendo así la nulidad a lo actuado a partir del auto de transformación del art. 779.1.4ª de la LECrim, al entender que no se actuó correctamente desde el punto de vista procesal por haberse introducido hechos relevantes sobre los que no se había escuchado al acusado.

En definitiva, se trata de una sentencia muy útil en la medida que delimita los márgenes de actuación en la intrusión y fija los parámetros a seguir por el empresario en el marco de la investigación interna por ejemplo, dotando, a su vez, a los compliance officers de estándares al respecto.

No puedo concluir la publicación sin antes felicitar al Socio Director del despacho y compañero, Jesús Urraza Abad, por el éxito conseguido, enhorabuena. 

Oihane Bilbao Fernández,

Fuente: legaltoday.com

Mario Meneses 

Account manager at C2C SmartComliance 

mario@c2csmartcompliance 

XXXII Trofeos Internacionales de la Seguridad


Durante el encuentro, al que asistirán más de 500 profesionales de la Seguridad Pública y Privada de España, serán condecorados públicamente los méritos y actuaciones de las personas, entidades e instituciones que han fomentado el desarrollo del sector en 2018.

El 14 de diciembre en el salón, “Los Tapices” del Hotel Meliá Castilla de Madrid será el marco y lugar donde se reconocerá públicamente a las empresas y profesionales del sector más destacados del año.

La ceremonia estará presidida por destacados representantes de la Administración y de las Fuerzas y Cuerpos de Seguridad, así como numerosos profesionales del sector estarán presentes en la entrega de los trofeos que representan un ejemplo de compromiso, profesionalidad y servicio a la Seguridad.

Son los premios indipendientes más importantes del sector de la Seguridad y que son elegidos por un jurado independiente constituido por el consejo técnico asesor de la revista.

Para ver el reportaje de la 31 edición del año pasado pinche aquí

Para ver el vídeo homenaje de las 30 ediciones de los trofeos pinche aquí

Gestión de Riesgos de Seguridad de la Información. 

Mario Meneses

Account manager at C2C Smart Compliance

Contactanos +52 1 7711871152

mario@c2csmartcompliance.com 

Saludos 

La tecnología y el cumplimiento penal, como en toda relación de amor-odio, no pueden vivir el uno sin el otro


Compliance & Blockchain

Aunque el concepto de las criptomonedas parece que acaba de surgir, la tecnología blockchain nació en 2009 y, en estos nueve años, ha ido captando cada vez más adeptos en el mundo de los negocios y finanzas por las facilidades que conlleva operar con ellas. Y es que con estas monedas digitales se pueden realizar transacciones y transferencias sin posibilidad de que ninguna entidad, pública o privada, pueda controlarlo. Esta descentralización tiene lugar debido a que las criptomonedas son producidas anónimamente, algo que no todas las organizaciones utilizan de manera ética.

El uso de las criptomonedas y, por ende, de la tecnología blockchain, supone un auténtico reto para los compliance officers y los departamentos de cumplimiento normativo de las empresas, ya que algunas organizaciones las utilizan para la especulación, estafas millonarias y, sobre todo, blanqueo de capitales, pudiendo incluso ser empleadas para fines más graves, como el tráfico de drogas o la financiación del terrorismo. Prácticas que, precisamente, intentan evitar los profesionales del compliance en sus empresas y socios.

Teniendo en cuenta que su misión es proteger a sus empresas y salvaguardar su prestigio y reputación, es natural que la tecnología blockchain pueda parecer una amenaza. Así, no sorprende que el tema más sensible en el mundo del blockchain sea la regulación penal del dinero virtual con el objetivo de prevenir y sancionar los diferentes delitos que pudieran producirse al amparo de esta tecnología. Con especial atención a los relacionados con el blanqueo de capitales, que obligan a adoptar medidas reforzadas de due diligence, tal y como establece el artículo 16 de la Ley de Prevención de Blanqueo de Capitales.

Como hemos comentado, las criptomonedas entrañan una serie de riesgos, pero también presentan grandes oportunidades, al garantizar la autenticidad de las transacciones. Es decir, aunque no debemos obviar los peligros de su uso ilegal, tampoco debemos dejar que esos elementos nos impidan ver todas las posibilidades que la tecnología blockchain ofrece al compliance.

De entre ellas, destacan las siguientes:

1. Gestionar y proteger datos de manera más segura a través de la red de nodos (equipos/conjuntos de información). El blockchain, gracias a la criptografía, permite blindar los datos de posibles manipulaciones ya que, para modificarlos, el resto de la red debe validar los cambios.

2. El blockchain permite optimizar la integración de los socios comerciales y la cadena de suministro de una empresa con el uso de un portal común en el que la organización conserva registros inmutables de las actividades de due diligence de cada proveedor.

3. Llevar a cabo la due diligence y la verificación de identidad de manera más eficiente gracias a una base de datos de conocimientos compartida, característica principal del blockchain. Cuando se incorpora a un tercero a la cadena de suministro, las empresas pueden acceder a los datos y no necesitan repetir la due diligence si esta ya se ha completado.

4. Validación de los datos a través de dos opciones. En primer lugar, el hashing (huella digital) para cada bloque: si los datos se cambian en un bloque, el hashtambién se cambia, invalidando todos los bloques posteriores. Y, en segundo término, la validación de datos mediante distribución: los cambios en los datos en un bloque deben ser verificados por todos los demás nodos.

Indudablemente, el blockchain prospera en el sector empresarial. La inmutabilidad en las operaciones y su auditabilidad, la optimización de los recursos y la alta seguridad combinada con la máxima transparencia hacen que, aunque la tecnología esté todavía madurando, ya sean muchos los que apuestan por ella, previendo el gran impacto que provocará en la economía global.

Pero, como hemos visto, es una tecnología de doble filo que implica ciertos riesgos, aunque la paradoja es que, como en todas las relaciones de amor-odio, ni el compliance ni el blockchain pueden vivir el uno sin el otro.

Scott Lane es CEO de The Red Flag Group

Fuente: cincodias.elpais.com

Mario Meneses 

Account Manager at C2C SmartCompliance 

mario@c2csmartcompliance.com 

Mexico City +52 1 7711871152

Saludos 

Algoritmos que desafían a las leyes


La generalización de estas fórmulas automáticas de toma de decisiones puede producir resultados perjudiciales para los afectados

CARLOS B. FERNÁNDEZ Madrid 14 NOV 2018 – 00:05 CET

El uso de algoritmos para la toma de decisiones automatizadas por parte de las empresas e instituciones es cada vez más frecuente. Y va a más. Ante esta expansión, a la que de momento no se le adivinan límites, se multiplican los expertos que alertan de los resultados injustos o perjudiciales que pueden producir para quienes se ven afectados por su aplicación. Consecuencias a las que la legislación debe dar respuesta.

El objetivo de los algoritmos es predecir situaciones futuras en forma de probabilidades, aplicando determinadas fórmulas a grandes conjuntos de datos. Sin embargo, como pone de manifiesto la matemática Cathy O’Neil en el libro Armas de destrucción matemática (Capitán Swing), este sistema plantea dos problemas. En primer lugar, que es muy habitual que los diseñadores del modelo no dispongan de los datos relativos a los comportamientos que más les interesan y que, para solventar esta carencia, acudan a otros datos sustitutivos. Por ejemplo, que se emplee para determinar el riesgo de que una persona devuelva o no un préstamo información tan poco fiable como su código postal o sus patrones de uso de lenguaje.

¿UN JEFE ESCONDIDO?

En el conflicto entre las plataformas Glovo o Deliveroo con sus riders o repartidores se cuestiona el valor que debe darse a las decisiones que un algoritmo. En estos casos, la fórmula sirve para ajustar muy eficazmente oferta y demanda de prestación de servicios. La pregunta es si las órdenes que transmite automáticamente la app pueden equipararse a las que adopta un empresario como manifestación de su poder de dirección o si, por el contrario, este puede esconderse detrás de la máquina. La respuesta es determinante para considerarles, o no, falsos autónomos y, en consecuencia, delimitar el grado de protección que tienen como trabajadores.

El segundo problema es que las fórmulas utilizadas, a pesar de su reputación de ser imparciales, reflejan los objetivos e ideología de quien las diseña. Y lo hacen, además, de una manera opaca y, por ello, incontestable para los afectados. De esta forma, los modelos pueden adoptar decisiones muy injustas o dañinas sin que, quienes las padecen, sepan los motivos ni puedan presentar oposición.

Quizás el caso más llamativo sea el del sistema informático Compas que, como explica Moisés Barrio, letrado del Consejo de Estado y abogado experto en tecnología, es una herramienta de inteligencia artificial utilizada por tribunales estadounidenses para evaluar la probabilidad de que un convicto reincida (lo que condiciona la probabilidad de que le sea otorgada la libertad condicional). El modelo no utiliza la raza del sujeto en su evaluación, pero sí considera otros criterios sesgados como su código postal de residencia. El resultado “puede ser racista”, señala Barrio, porque, en la práctica, atribuye mayores índices de peligrosidad a los afroamericanos que a los blancos.

Evaluación de solvencia

Según Paloma Llaneza, consejero delegado y responsable de información tecnológica de Razona, estos algoritmos predictivos “sesgados, no transparentes y no sujetos al escrutinio del afectado o un tercero” suelen utilizarse para establecer un rating o clasificación de los particulares que pretenden realizar algún tipo de negocio. Así, al intentar obtener un crédito o contratar un seguro, su evaluación algorítmica determina la posibilidad de acceder al dinero o el coste de contrato.

A este respecto, la catedrática de Derecho civil y vicepresidenta de la Fundación Hay Derecho, Matilde Cuena, destaca como un importante factor de riesgo para el mercado crediticio español el hecho de que en nuestro país solo se comparta información negativa sobre la morosidad. La central de Información de Riesgos del Banco de España (CIRBE) sí comparte información positiva con entidades declarantes, pero solo de operaciones cuyo riesgo acumulado supere los 9.000 euros. En opinión de Cuena, ello provoca baja calidad de los datos del modelo, lo que puede favorecer que se produzcan correlaciones espurias que conduzcan a una incorrecta evaluación de la solvencia de los clientes. Algo que puede afectar negativamente a la estabilidad del sistema financiero y llevar a otra burbuja crediticia, o cerrar el grifo del dinero a buenos pagadores.

La utilización de los algoritmos ha irrumpido de lleno en el ámbito laboral, en donde, según destaca Jesús Mercader, catedrático de Derecho del Trabajo de la Universidad Carlos III, tiene ya una proyección actual y un futuro de enorme alcance. En su opinión, el uso de estas fórmulas se puede convertir en fundamental en la gestión de los recursos humanos, lo que afectará a aspectos tan sustanciales de la vida de los trabajadores como su promoción o los sistemas de evaluación del desempeño.

Por el momento, los algoritmos ya se emplean en los procesos de selección de personal. Pero, como advierte el experto, su uso como instrumento para la definición de perfiles profesionales puede provocar resultados indeseables. Basta recordar el reciente caso del modelo utilizado por Amazon que, por haber sido entrenado con currículos de candidatos mayoritariamente hombres, penalizaba a las mujeres con independencia de su formación y experiencia.

Por el momento, la legislación no ha entrado a fondo a resolver todos estos conflictos que, por otro lado, requieren revisar algunas de las estructuras tradicionales del Derecho. El Reglamento General de Protección de Datos (RGPD) proporciona una primera línea de defensa. La norma prevé que, en el caso de las decisiones automatizadas que afecten a las personas, el interesado tiene “como mínimo” el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. Paloma Llaneza recuerda que el RGPD también establece la obligación de informar sobre la lógica de los algoritmos utilizados, pero sin precisar el modo en que debe facilitarse esta información. Aunque se muestra escéptica: “Me temo que las empresas no quieren ser transparentes sobre dicho uso, ni sobre la fuente de los datos que los alimentan”.

Por eso Moisés Barrio propone la creación de un organismo público independiente e interdisciplinar “que vigile el buen funcionamiento de los algoritmos para asegurar que el comportamiento de las aplicaciones es correcto y es legal”. Y todo ello sin olvidar, como subraya Cathy O’Neil que “en cada caso deberemos preguntarnos no solo quién diseñó el modelo, sino también qué es lo que la persona o la empresa en cuestión intentan lograr con él”.

Fuente: elpais.com

Mario Meneses

Account manager at c2cSmartCompliance

Pregunta por nuestros servicios y herramientas para la Gestión de Seguridad de la Información. 

mario@c2csmartcompliance.com

movil  +52 1 7711871152

Mexico City Office Campeche 233 Condesa. 

Saludos

La figura del compliance officer y la responsabilidad penal de la empresa desde una perspectiva estratégica: teoría de juegos


4 de Diciembre de 2018

El objetivo general de la ponencia ha sido mostrar la necesidad de integrar en el ámbito del Compliance Penal y la responsabilidad criminal corporativa postulados de teorías que provienen de otras ciencias sociales y experimentales (Criminología, Sociología, Economía, etc.), como el Nuevo Institucionalismo de la Elección Racional o la Teoría de Juegos, pues gozan de acreditada validez para explicar las dinámicas de actuación, estrategias y procesos de toma de decisiones en las organizaciones. Por tanto, permiten erigir una noción de Responsabilidad Penal de la Persona Jurídica actualizada y de base científica contrastada.

Además, el doctor Rafael Aguilera expuso cómo estas teorías vienen acompañadas de una metodología y herramientas de análisis extraordinariamente útiles para mejorar los propios Compliances y comprender la situación estratégica a la que se enfrena el Compliance Officer. La modelización que traen consigo estas teorías posibilitan un conocimiento más profundo del delito corporativo y facilitan enormemente las labores prospectivas y predictivas.

Entre otros aspectos, explicó cómo -desde una perspectiva de la Teoría de Juegos- el Estado ha promovido la inclusión del Compliance Officer en la organización como si de un «caballo de Troya» se tratase. Esta promoción, a través de una de las exigencias para permitir la exoneración, obedece a aquello que se denomina «solución externa al dilema».  Este extremo evidencia cómo se trata de un órgano que causa la ruptura de la tendencia predominante -matemáticamente demostrada- a la desconfianza y al incumplimiento, pues se aminoran de manera notable las posibilidades estratégicas de que puedan cometerse delitos en el seno de las personas jurídicas.

Todas estas cuestiones, insiste el profesor Aguilera, no son meros aspectos teóricos, pues tienen un claro alcance pragmático en la configuración del Compliance, en aquello relativo a la carga probatoria y como nociones tendentes a probar su idoneidad; como paradigma de ello, se destaca la reconocida eficacia en la predicción de conductas de riesgo desde un plano estratégico. Igualmente, durante la sesión, se argumentó cómo estas propuestas permiten establecer un valioso nexo lógico de raíz socio-jurídica entre el Derecho Penal y la algoritmia, el big data y la inteligencia artificial, campos que vienen asumiendo un protagonismo cada vez mayor.

PROFESOR DE COMPLIANCE PENAL Y SEGURIDAD INTERNACIONAL EN LA UNIVERSIDAD LOYOLA ANDALUCÍA.

Fuente: legaltoday

Cibercrimen, la amenaza


Los recientes capítulos de ciberataques a distintas instituciones financieras, colocaron al tema de la ciberseguridad en la atención de la opinión pública nacional.

Sin embargo, los ciberataques en México son una realidad creciente desde hace tiempo con un impacto económico, cuyas cifras son sorprendentes.

El número de ataques cibernéticos ya es impresionante: 19 millones de ciberataques.

El director general de Fortinet —la empresa de seguridad cibernética más importante, por ingresos en Latinoamérica—, Eduardo Zamora, asegura que es necesario ampliar la cultura de la ciberseguridad en todos los ámbitos gubernamentales y entre todos los segmentos de las unidades productivas.

El ejecutivo revela que México es el país número uno por el número de ciberataques que recibe en Latinoamérica y, el número seis del mundo.

Lo relevante del tema de la ciberseguridad es que en México todavía hay mucho camino por recorrer para que se entienda que ya alcanzó el grado de riesgo equivalente al riesgo de mercado o riesgo de capital.

Hoy las empresas tienen que considerar al cibercrimen como un riesgo tecnológico que tiene implicaciones económicas muy importantes, pero también de reputación y pérdida de confianza que se traducen en la pérdida del valor de las acciones o de capitalización de las empresas.

Zamora asegura que el cibercrimen llegó para quedarse y en consecuencia los gobiernos, las empresas y los individuos deben tomar conciencia de que no podrán eliminar el riesgo de ser víctimas de un ciberataque o un ciberdelito, pero sí pueden reducir y minimizar el riesgo si lo previenen y se protegen.

A nivel internacional los ciberataques son la segunda o tercera causa de impacto económico negativo para las empresas, luego de los desastres naturales y las quiebras.

Secuestro de datos

Uno de los ciberdelitos que se registran en México, con una tendencia de aumento, es el secuestro de datos.

México es el segundo lugar a nivel mundial en secuestro de datos.

De acuerdo con datos de la plataforma de e-commerce OFI, en el país 54% de las empresas han sido víctimas del secuestro de datos, generando pérdidas de 2.5 millones de pesos en promedio por ataque y recuperación de información.

Para evitar estos problemas 40% de las compañías a nivel internacional ya están utilizando la inteligencia artificial en procesos de ciberseguridad y logran detectar 85% de los golpes.

Según la misma plataforma, la prospectiva indica que la inteligencia artificial en el mercado de la seguridad alcance cuotas de más de 15,000 millones de euros para el 2023.

Pymes, potenciales víctimas

Sólo 6% de las pymes mexicanas están protegidas contra ciberdelitos.

El más reciente documento Global Risk Report 2018 del Foro Económico Mundial, revela que el robo de información es la principal preocupación de 62% de las pequeñas y medianas empresas (pymes) mexicanas.

En la actual era digital, donde los datos son el activo más importante de las empresas, la ciberseguridad es una de las estrategias de negocio que cada vez se observa como un diferenciador importante de los negocios.

Tan sólo en México, durante el primer trimestre del 2018, los fraudes cibernéticos crecieron 63% respecto al mismo periodo del año anterior, representando un monto aproximado de 2,340 millones de pesos en pérdidas para las empresas según la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), que encabeza Mario Di Constanzo. Ante el gran avance de la tecnología y la posibilidad de utilizar soluciones basadas en la nube, las pymes han encontrado una oportunidad para optimizar sus operaciones y proteger sus modelos de negocio ante secuestro de información, robo de identidad y de datos.

Alberto Urquiza, director general de la empresa proveedora de soluciones de seguridad de información Tecno XXI, asegura que los ataques más comunes son los que persiguen un lucro, “y son realizados por criminales muy bien organizados que cada vez más se fijan en actores pequeños y medianos”.

De acuerdo con datos de la Encuesta Nacional sobre Productividad y Competitividad de las Micro, Pequeñas y Medianas Empresas, en nuestro país existen más de 4 millones de pymes, de este universo, 28% utiliza Internet para poder operar.

Conclusión

En un mundo cada vez más interconectado, la ciberseguridad es indispensable para gobiernos, empresas e individuos. Lo recomendable es que no veamos el tema como algo lejano a nuestra realidad como nación, como empresas o como personas. Todos estamos expuestos y somos vulnerables al cibercrimen.

ATISBOS

F1. En el contexto de la inminente revisión por parte del próximo gobierno de la ciudad de México, sobre las renovación del contrato de la Fórmula 1, el secretario de Turismo, Enrique de la Madrid, advierte con realismo aplastante: lo que preocupa es que todo indica que en el próximo gobierno la intención es desaparecer al Consejo de Promoción Turística Mexicana y reorientar el presupuesto del Derecho de No Residente (DNR), y frente a ello, lo de menos es lo que pase con la F1. Y la verdad es que sí preocupa que pudiera desbaratarse una estructura que ha sido efectiva para colocar a México en el sexto lugar del top 10 de destinos turísticos. Al tiempo.

Marco A. Mares

Marco A. Mares

Periodista Ricos y Poderosos

Ha trabajado ininterrumpidamente en periódicos, revistas, radio, televisión e internet, en los últimos 31 años se ha especializado en negocios, finanzas y economía. Es uno de los tres conductores del programa Alebrijes, Águila o Sol, programa especializado en temas económicos que se transmite por Foro TV.

Fuente: eleconomista

Convocatoria Constitución Moral


AMLO convoca a  construir la “constitución moral”

CIUDAD DE MÉXICO (apro).- El presidente electo, Andrés Manuel López Obrador, convocó hoy, junto con un comité organizador, a crear una guía de valores que sirva como “pacto colectivo” para rescatar valores y estimular mejores patrones de conducta.

El mensaje, retomó hoy la reiterada oferta de renovar la vida pública que enarbola el presidente electo desde hace una década, con la idea de que el código de conducta sea lo mismo para servidores públicos que para empresarios y la sociedad, de acuerdo con Verónica Velasco, integrante del comité organizador del proceso.

Además de Velasco, incluida con carácter “ciudadano”, el consejo está integrado por el columnista Enrique Galván Ochoa y Francisco Ortiz Pinchetti, este último, participante en las tres campañas presidenciales de López Obrador.

En un mensaje sobre la necesidad de realizar esta iniciativa, el presidente electo consideró que una transformación como la que se propone “requiere de valores morales y espirituales”.

Además, sostuvo que, si bien se trata de un gobierno integrado por personas honestas, precisan “predicar con el ejemplo” y demostrar que son diferentes.

El nombre se someterá a consulta

Aclaró que le dio el nombre de constitución moral para alentar el debate y la discusión, pero anunció que el nombre del documento —inspirado en la Cartilla Moral de Alfonso Reyes— será sometido también a consulta.

La convocatoria es a participar en una plataforma digital donde se podrán cargar documentos con una extensión máxima de cuatro cuartillas, a partir del 3 de diciembre y hasta el 30 de abril.

Los seis temas base, son: respeto a la persona, a la familia, a la sociedad, a la patria, a la especie humana y a la naturaleza.

El ejercicio concluirá con una convención el 31 de julio de 2019, en el que se aprobará el texto final

Fuente: proceso

Saludos 

Mario Meneses 

Account Manager 

mario@c2csmartcompliance.com 

Las empresas contarán en 2019 con el primer estándar de Compliance fiscal para prevenir riesgos tributarios


14 de Noviembre de 2018

El pasado mes de mayo de 2017 la Asociación Española de Normalización publicó la norma UNE 19601, el primer estándar nacional sobre compliance penal, cuyo principal objetivo era fijar unas bases homogéneas de entendimiento sobre lo que es un sistema de gestión de compliance penal efectivo.

No va a transcurrir ni tan siquiera dos años para que vea la luz otra norma de similar relevancia; se trata de la UNE 19602, avalada por la Agencia Tributaria y que se configura como un estándar para ayudar a las organizaciones a prevenir y gestionar los riesgos tributarios. Aunque aún no existe una fecha concreta para su publicación, todo apunta a que tendrá lugar a principios de 2019.

Lejos de configurarse como normas independientes, la UNE 19602 es una consecuencia natural de la 19601, en el sentido de que los redactores de esta se percataron de que los sistemas de gestión del compliance penal eran insuficientes para prevenir los riesgos tributarios.

Todas las empresas que adapten sus sistemas de cumplimiento con arreglo a la UNE 19602 gozarán de una presunción de veracidad, algo especialmente relevante en un ámbito como el fiscal, sujeto a constantes modificaciones legislativas y en el que no es difícil incurrir en errores que puedan ser interpretados como voluntad defraudatoria.

A falta de conocer todos los detalles, ya que en la actualidad la Asociación Española de Normalización está ultimando la redacción del estándar de compliance fiscal, todas las empresas que adapten sus sistemas y procesos de cumplimiento tributario a la UNE 19602, estarán catalogadas como contribuyentes Tipo 1. De hecho, se podrá elevar a la categoría de prueba que avale la voluntad de la empresa de cumplir con sus obligaciones tributarias.

La norma marcará las pautas de implantación del sistema de cumplimiento, pero también prevé mecanismos de detección y corrección de errores en el caso de que se incurra en infracción a pesar de las medidas adoptadas.

Cabe recordar que la UNE 19602 encuentra su referente en el Código de Buenas Prácticas Tributarias de la Agencia Tributaria, que ya incorpora una serie de recomendaciones, que se formulan “con carácter no exhaustivo y flexible, permitiendo que las empresas que las asuman puedan adaptarlas a sus propias características”. Añade que “una correcta gestión tributaria por parte de las empresas y una mayor seguridad jurídica en materia fiscal conlleva una mayor fortaleza en sus resultados económicos, minorando sus riesgos, incluyendo los reputacionales”.

‘Congreso de Compliance Tributario Thomson Reuters’

Nos encontramos por tanto en la antesala de una norma de enorme relevancia que va a ser tratada en el Congreso de Compliance Tributario Thomson Reuters en Madrid el próximo 7 de marzo. En este evento se analizarán de forma pormenorizada:

  • Las tendencias actuales de la práctica de Compliance Tributario, tanto en el ámbito nacional como en el internacional.
  • Las novedades más relevantes que se están produciendo en el ámbito normativo: especial referencia a la Norma UNE 19602. El impacto de la legislación sobre el cumplimiento tributario.
  • El cumplimiento cooperativo en materia tributaria.
  • Las prácticas para prevenir y minimizar los riesgos tributarios.
  • Cómo abordan las principales empresas españolas el fenómeno del Compliance Tributario, a todos los niveles: desde pequeñas y medianas empresas hasta las grandes multinacionales.
  • La posibilidad de obtener la certificación en Compliance Tributario.
  • Las prácticas de Compliance tributario comunes en otras jurisdicciones.

Programa del ‘Congreso Compliance Tributario Thomson Reuters’

Día 7 de marzo

09:00 – 09:30 h

Recepción de asistentes y entrega de acreditaciones

09:30 – 10:00 h

Apertura del Congreso y presentación institucional

10:05 – 11:05 h

PANEL 1: QUÉ ES EL COMPLIANCE TRIBUTARIO: SITUACIÓN EN ESPAÑA

Mesa Redonda

11:10 – 12:10 h

PANEL 2: CONVIVENCIA DE UN COMPLIANCE PENAL Y UN COMPLIANCE TRIBUTARIO

Mesa Redonda

12:15 – 12:40 h

Coffee Break

12:45 – 13:50 h

PANEL 3:  COOPERACION CORPORATIVA. CÓDIGO DE BUENAS PRACTICAS FISCALES.

Mesa Redonda

14:00 – 16:00 h

Almuerzo – Business lunch

16:05 – 17:05

PANEL 4: ¿ES APLICABLE LA EXENCIÓN DE RESPONSABILIDAD PENAL CON EL COMPLIANCE TRIBUTARIO?

Entrevista

17:10 – 18:10

PANEL 5:  LA NORMALIZACIÓN DEL COMPLIANCE TRIBUTARIO: UNE 19602 – 2019

Entrevista

18:15 – 18:30

Clausura

Fuente: legaltoday.com

C2C SmartCompliance LLC, a premiere GRC firm, provides compliance infrastructure management services, compliance software (Enterprise and SaaS) and mapping solutions that support international regulatory standards and best practices for commercial and government enterprises. C2C’s web-based, automated compliance platform is designed for improved business performance and audit readiness across the entire organization.

Information

Mario Meneses

Account Manager

mario@c2csmartcompliance.com 

movil / WA  +52 1 7711871152

Oficinas Campeche #233 Col. Condesa Ciudad de Mexico

Ventajas del Video IP en Empresas, para la reducción de pérdidas.


Los sistemas de Video Vigilancia son una herramienta indispensable, para el resguardo, operación y seguimiento de los acontecimientos que se dan dentro de una organización, o bien en casa para resguardar el patrimonio familiar.

Ya se trate de vigilar una sola tienda o una cadena completa de centros comerciales, el vídeo en redsupone una mejora notable de su cuenta de resultados.

La introducción del vídeo en red ha revolucionado la forma en que los profesionales minoristas trabajan con la prevención de pérdidas, optimización de la tienda, detección de fraudes, seguridad y asistencia al cliente.

En conjunto, el vídeo en red proporciona un completo nuevo grupo de herramientas para alcanzar la excelencia operativa.

Una nueva perspectiva de la vigilancia
en comercios

Imagine implementar un moderno
sistema de vigilancia que le permitiera:

  • Mejorar la rentabilidad de su tienda
  • Reducir significativamente las pérdidas de inventario
  • Mejorar la seguridad del personal
  • Brindar mejor servicio a sus clientes

Éxito Comprobado

Destacamos: Aumento de ingresos. El vídeo en red ayuda a mejorar la planificación del personal, la distribución de la tienda y la publicidad en el punto de venta. Además, es una herramienta de prevención de pérdidas de gran eficacia.

Rápido retorno de inversión

Reducción de pérdidas, menor tiempo dedicado a investigar incidentes sospechosos, disminución de la responsabilidad en caso de reclamaciones, mejora del marketing y optimización del personal, todo ello para obtener un rápido retorno de la inversión.

Integración fluida

Las soluciones de vídeo en red de Axis se ejecutan en redes Ethernet estándar y son compatibles con su infraestructura actual. Se integran fácilmente con los sistemas POS y EAS para ofrecer formas eficaces de investigar incidentes sospechosos y analizar el rendimiento del negocio. Preparadas para el futuro esta tecnología se basa en estándares abiertos.

En C2C SmartCompliance tenemos profesionales en Seguridad Física para realizar un proyecto para tus instalaciones. 

Solicita información para una atención.

Mario Meneses

Account Manager

móvil / WA  +52 1 7711871152 

mario@c2csmartcompliance.com 

Regulatory Alert and Compliance Management (RACM)


Streamlined Regulatory Compliance and Change Management Solution

RACM integrates C2C Compliance Mapper™ with IBM OpenPages™ GRC platform to streamline compliance and risk functions. RACM was developed to solve compliance management issues currently facing organizations in heavily regulated fields, organizations with global footprints and any organization that must comply with data security and privacy regulatory frameworks.

RACM offers a full menu of compliance capabilities, including custom regulatory libraries and regulatory alerts, as well as a wealth of compliance analytics tools. Many organizations currently manage compliance using diverse and ad hoc solutions and processes that only address small segments overall compliance concerns. Compliance management can now be handled in one GRC platform, that is flexible enough to accommodate any organization’s compliance program and provides increased compliance management assurances.

RACM Custom Regulatory Libraries and Intelligence

No two organizations have the same compliance needs or perspective. RACM utilizes Compliance Mapper’s powerful content capabilities and vast regulatory libraries to develop a Custom Regulatory Library that is tailored to a specific organization’s compliance program, product/service offerings, information/cyber-security framework, … RACM also leverages OpenPages’ intuitive UI, advanced analytics and reporting capabilities.

Compliance/Regulatory Risk can be evaluated using C2C’s MyRiskAssessor application or other risk assessment methodologies. Compliance/Regulatory Risk analysis (formal or informal) is the basis for any organization’s Regulatory Library Inventory. The Inventory is used to build an organization’s custom Regulatory Library in Compliance Mapper.

Regulatory Library data is seamlessly transferred to IBM OpenPages, which provides a full featured GRC platform with a wealth of governance, risk, compliance, reporting and analytics capabilities, and a powerful, intuitive UI. Data transfer to OpenPages can be made using the IBM OP API or separate upload files. Accordingly, there are numerous deployment options to satisfy any organizations security and compliance needs.

The Regulatory Library Inventory is also the starting point for determining an organization’s custom Regulatory Alert Criteria. The organization’s Alert Criteria can include rules that dictate type and frequency of Alerts to be received. C2C has built flexibility into RACM that permits responsible compliance personnel to get only relevant changes, along with change documentation and metadata necessary to chart out compliance plans – changes to controls, policies, procedures, responsibilities, … necessary to obtain compliance by the effective date.

RACM Mappings – Enhancing and Simplifying Compliance Management

RACM incorporates Compliance Mapper’s proprietary mapping/linking technology that provides multi-directional relationships via an easy-to-use interface. This allows organizations to quickly organize and manage mappings between regulatory requirements and the organization.
This also permits the organization to perform gap analysis and provide reporting on how regulatory requirements relate to controls, policies hierarchy, or any other documents or assets.

RACM Mappings provide a wealth of insight regarding compliance obligations, and simplify the regulatory change management process. Using RACM, Compliance Mapper can push mappings into the OpenPages creating associations that can be utilized for compliance assessments/audits and risk analysis, as well as providing immediate feedback on how regulatory changes impact controls, policies and lines of business.

C2C Regulatory Alert and Change Management (RACM)

IBM OpenPages-C2C SmartCompliance Integration Architecture

Regulatory Library Management/Intelligence Overview

Regulatory Alert and Change Management Overview

Compliance and Regulatory Risk Analysis

Saludos 

Mario Meneses

Account Manager

móvil / WA  +52 1 7711871152

mario@c2csmartcompliance.com

Oficinas  Calle Campeche #233  Col. Condesa   Ciudad de Mexico. 

Primer centro de entrenamiento civil de ciberseguridad. Se le conoce como el “IBM X-Force Cyber Range”


Día de entrenamiento: el lugar donde las empresas aprenden a enfrentar un ciberataque.

El Líbero visitó el “IBM Cibersecurity range” en Cambridge, Estados Unidos, donde pudo ver el lugar en que los directivos de varias de las grandes compañías del mundo se preparan para enfrentar a hackers o ciberdelincuentes. El método es como una terapia de shock: los participantes viven un ataque en tiempo real y en medio de gritos y sudor intentan evitar que el caso les haga perder millones.

Hace dos años IBM inauguró en Cambridge, Massachusetts, el primer centro de entrenamiento civil de ciberseguridad. Se le conoce como el “IBM X-Force Cyber Range” y es un centro de comando lleno de pantallas en los muros y computadores en escritorios ordenados en filas. Como si se tratara de un búnker, el lugar no tiene ventanas, puede aislarse completamente del exterior y funciona en una suave penumbra que permite fijar la atención en las imágenes de los enormes monitores, que despliegan todo tipo de información crítica.

Es igual como las películas muestran un centro de control de la NASA o una “situation room” comandada por el Presidente de Estados Unidos.

Pero la pulcritud del lugar se transforma en caos cuando se pone en marcha la misión para la que fue construido: entrenar a directivos de empresas para hacer frente a ataques cibernéticos de cualquier tipo.

El asunto se ha vuelto imprescindible para muchas compañías debido al auge de los delitos informáticos, que han dado lugar a una millonaria industria criminal. Según el Reporte Anual de Cibercrimen 2017, publicado por Cybersecurity Ventures, los ataques maliciosos de este tipo le costarán al mundo dos trillones de dólares al año 2021. Este es un crecimiento exponencial si se considera que en 2015 solo se reportaron tres millones de dólares por pérdidas a raíz de ciberataques.

Uno de los sectores más golpeados por las bandas organizadas de cibercriminales -cada vez más sofisticadas, dado el jugoso botín que logran obtener como “recompensa”- es el bancario. Un estudio reciente de la OEA indica que el 92% de las instituciones financieras de Latinoamérica sufrió algún tipo de ataque cibernético durante 2018. Varias instituciones chilenas se cuentan entre las que se consideraron para construir esa estadística.

Una última cifra. En promedio a nivel mundial, un incidente de ciberseguridad puede costarle a una compañía US$3,8 millones, considerando lo invertido en la detección, la respuesta y luego en el costo reputacional. Que es el peor de todos.

“El mayor daño de un incidente de seguridad informático se produce cuando este ya ocurrió”, asegura Caleb Barlow, vicepresidente de “Threat Intelligence” de IBM Security, durante una visita al “Ciber Range” de IBM en Cambridge, a la que asistió El Líbero.

Barlow agrega que es imposible evitar que se produzcan ataques informáticos, pero la clave está en la capacidad de respuesta que tenga la entidad que fue infiltrada por hackers. “Mientras más rápido se responda, menor será el daño causado”, acota.

El especialista -quien asesora a directorios de grandes empresas y al gobierno norteamericano- relata que IBM invirtió US$200 millones en construir una capacidad de respuesta acorde con el tipo de amenazas que existen hoy en el ámbito de la seguridad informática.

Barlow también fue clave para la construcción del “Ciber Range” o “X-Force Command” de IBM en Cambridge, como es su nombre real.

“Fuimos hackeados”

El propósito de visitar el “IBM X-Force Command” es poder participar en un simulacro de ataque informático (el video que se ve a través de este linkmuestra cómo se desarrolla la dinámica).

Lo que ocurre en el búnker es que los asistentes se organizan como si fuesen una empresa normal -o una entidad del sector público, como un ministerio o un hospital- asumiendo los roles típicos de la organización.

De pronto, una llamada telefónica quiebra la calma: es un periodista de un importante medio que alerta sobre una filtración de datos sensibles de la empresa en las redes sociales. Luego hay otro llamado que alerta sobre personas atrapadas en un ascensor del edificio inteligente de la propia compañía, y luego una pantalla muestra cómo se está llenando de reporteros en la puerta de la casa matriz de la entidad para entrevistar a los empleados que salen a la calle porque saben que algo malo ocurre. No hay duda. Se trata de un ataque informático masivo. Fuimos hackeados.

Durante las cinco horas en que dura el simulacro ocurre de todo dentro de la “situation room”, que a ratos parece más bien una “habitación del pánico”. Con toda la tecnología que IBM tiene a mano -como el sistema de inteligencia artificial Watson, que juega un rol protagónico-, logra crear un clima de realidad virtual en que los visitantes pueden ver la reacción en tiempo real de las redes sociales, los medios de comunicación, la bolsa de valores; así como monitorear las redes computacionales internas, la “deep” y la “dark” web, etc…

La experiencia es estresante al punto de la angustia. Como si se tratara de una montaña rusa extrema, pero que no dura 5 minutos sino varias horas. Los participantes en el simulacro sufren, sudan, gritan, corren. Pero luego se organizan y reciben entrenamiento para aprender a actuar cuando esto ocurra en la vida real. O vuelva a ocurrir, como ha sido el caso.

En estos dos años representantes de varias de las compañías más importantes de EE.UU. han pasado por el “IBM X-Force Command”, así como miembros de entidades encargadas de perseguir a los cibercriminales. Es tan alta la demanda por asistir a alguna de las dos sesiones diarias que se ofrecen, que hay que reservar con nueve meses de anticipación.

Por la misma razón, IBM lanzó el 15 de octubre pasado un nuevo servicio destinado a ampliar su oferta tanto de capacitación como de respuesta a incidentes reales en ciberseguridad. Se trata de un gigantesco camión equipado con el mismo tipo de tecnología del “X-Force Command”. Se le bautizó como “cyber tactical operations center”. El objetivo es que sea trasladado a Europa, para atender las necesidades de los clientes de ese continente.

Este nuevo desarrollo se suma a la red global de centros de comando IBM X-Force, que administra más de 1 billón de eventos de seguridad mensuales. “Estos centros de operaciones de seguridad cuentan con 1.400 profesionales de seguridad que utilizan tecnologías cognitivas como Watson para servicios al cliente, incluidas sesiones de chat y entrega de datos, así como Watson for Cybersecurity para abordar rápidamente los eventos de seguridad cibernética”, explican en IBM.

Fuente: ellibero.cl

C2C SmartCompliance LLC, a premiere GRC firm, provides compliance infrastructure management services, compliance software (Enterprise and SaaS) and mapping solutions that support international regulatory standards and best practices for commercial and government enterprises. C2C’s web-based, automated compliance platform is designed for improved business performance and audit readiness across the entire organization.

information

Mario Meneses

Account Manager

mario@c2csmartcompliance.com 

movil / WA  +52 1 7711871152

Oficinas Campeche #233 Col. Condesa Ciudad de Mexico. 

C2C SmartCompliance Ranked One of Top 50 Most Valuable Enterprise Tech Companies


C2C SmartCompliance, a Virginia-based company that has developed leading-edge software to help busy executives manage complex compliance issues by mapping the relationships among requirements, has been ranked by Insights Success magazine as one of the top 50 most valuable enterprise tech companies.

C2C SmartCompliance was cited for its “affordable and easy-to-use Web and enterprise-based risk management and compliance solutions” that automate the costly manual processes associated with becoming and remaining compliant to multiple regulations, standards and best practices.

“C2C SmartCompliance was born from a vision of helping companies overcome the day-to-day challenges of what can often be an adversarial legal and regulatory system,” explained Steve Crutchley, founder and CEO of the Alexandria-based C2C SmartCompliance.

“We are pleased that respected third parties like Insights Success magazine and others have validated what is widely recognized as C2C SmartCompliance’s prescient vision,” added Crutchley, who brings more than 25 years of consulting and auditing experience to the firm’s growing client portfolio.

Earlier this year, C2C SmartCompliance was selected by CIO Review magazine as one of the 20 most promising enterprise risk management solution providers.

Led by Compliance Mapper™, C2C’s affordable product suite includes MyRiskAssessor™ and Compliance Assessment Professional™ — collectively representing the next generation of compliance solutions in an easy-to-use interface that doesn’t attempt to change the way people work. The entire product suite can be tailored for organizations of all sizes across a wide spectrum of industries, but particularly in heavily regulated sectors like finance and healthcare.

In announcing its top 50 selections on Dec. 20, Insights Success noted that C2C SmartCompliance doesn’t have any direct competitors, yet continues to face the challenge of educating executives that alert services only go so far in helping their organizations remain compliant to new and changed regulations.

Insights Success is a forum where top leaders and executives talk and share their experiences.

All C2C SmartCompliance products are available in web- or enterprise-based editions that can be tailored for each company.

Compliance Mapper™ automates the tedious task of regulatory compliance, regulatory change management and intuitive mappings at various levels to ensure line-of-sight across the organization.

MyRiskAssessor™ (MyRA) is a powerful Web-based application that automates the tedious tasks of conducting an asset risk analysis or business impact analysis — whether companies need to provide a comprehensive report for their biggest customer, satisfy a specific regulatory requirement or perform due diligence as part of a merger or acquisition.

Powered by Compliance Mapper™, MyRA is easy to use yet one of the most powerful risk and impact assessment tools on the market. Compliance Mapper™ is a much more encompassing solution that also incorporates Compliance Assessment Professional™, which addresses complex and costly regulatory compliance issues by offering consistent and standardized reports to support business requirements and much more.

Autor

Steve Crutchley 

Owner, Consult2Comply/C2CSmartCompliance

Fuente: https://www.linkedin.com/pulse/c2c-smartcompliance-ranked-one-top-50-most-valuable-tech-crutchley/

Saludos 

Mario Meneses 

Account Manager at C2C SmartCompliance

mario@c2csmartcompliance.com

móvil / WA  +52 1 7711871152

C2C SmartCompliance | Campeche 233, Col. Condesa | México, CDMX

La revolución del Big Data y la Inteligencia Artificial


La tecnología Big Data (BD) supone una nueva revolución mundial de la sociedad, como lo fue en su día la máquina de vapor o la electricidad, esencialmente porque su aplicación alcanza muchos campos donde antes no llegaba la automatización inteligente. Carlos Morrás, director del Máster en Big Data de la Universidad de Comillas (ICAI), habla en esta entrevista sobre el impacto y los retos que presenta la tecnología Big Bata y la Inteligencia Artificial (IA) para las organizaciones y  el mercado laboral.

¿Cómo ha trasformado el Big Data (BD)  y la Inteligencia Artificial (IA) el modelo de negocio?

El impacto del BD y la IA se ha dado de tres maneras. La primera y la más visible es que hay muchos más negocios basados en datos. Hemos pasado de unos pocos negocios, en general de ámbito local y no excesivo tamaño, como las guías telefónicas, ficheros de morosos o de direcciones para mailings, a su aplicación a miles de empresas, globales y enormes (Google, Facebook…), basadas en datos de personas que facturan casi lo mismo que el PIB de España, o basadas en datos de empresas, como buscadores de hoteles o vuelos, apps…

La segunda forma se da por la vía de la personalización. Al contar con abundantes datos de cada persona, el modelo de negocio cambia de una segmentación clásica de clusters a la personalización uno a uno en todos los ámbitos generando nuevas oportunidades de negocio.

La tercera manera es a través de la optimización radical de los procesos. Tanto por mejora de los ya existentes como por la automatización de procesos que antes eran manuales, como sucede con los bots (aféresis de robot, es un programa informático que efectúa automáticamente tareas repetitivas a través de Internet, cuya realización por parte de una persona sería imposible o muy tediosa), o las altas de cuentas bancarias por reconocimiento facial.

¿Qué ventaja competitiva aporta el BD?

La ventaja es tremenda: es la diferencia entre tener que salir del negocio o ser muy rentable. En un negocio o en una transacción saber qué pasa o por qué pasa, que pasará y cómo hacer que pase lo es todo.

¿Cómo condiciona la experiencia del cliente el proceso de marketing y venta?

Efectivamente la experiencia del cliente es clave. La compra como experiencia satisfactoria más allá de la simple adquisición de productos es la evolución natural de mercados con niveles de vida cada vez más altos. Ya no se trata de comprar un buen producto a buen precio, sino de disfrutar del proceso, incluso de poder presumir del proceso. Es como la diferencia entre alimentarse sin más o ir a un restaurante de alta cocina. Esta tendencia hace que se ponga al cliente en el centro y se ha visto muy favorecida e incluso revolucionada por las capacidades analíticas del BD. El ingente volumen de datos que supone analizar todos los movimientos del ratón en una tienda web, dónde y cómo se usa una app (aplicación), solo es posible convertirlo en conocimiento para mejorar esa experiencia usando BD. También se empieza a hacer en las tiendas físicas, analizando los movimientos del cliente por la tienda, sus rutas favoritas, zonas calientes y frías, si mira o no el precio, si lo compara con el de Internet, tiempo de estancia…

“El ingente volumen de datos que supone analizar todos los movimientos del ratón en una tienda web, dónde y cómo se usa una app (aplicación), solo es posible convertirlo en conocimiento para mejorar esa experiencia usando BD.”

¿Se ha pasado de un análisis descriptivo a un análisis predictivo y prescriptivo?

Sí, es la evolución natural del BD y la analítica, cada vez análisis más sofisticados y complejos; del sencillo descriptivo que computacionalmente es poco costoso y siempre se puede hacer, a predictivos primero y prescriptivos después. Estos necesitan muchísimos más datos, más capacidad de cómputo y técnicas cada vez más sofisticadas, pero ofrecen análisis muchísimo más relevantes y valiosos y, en ocasiones, sorprendentes. Es pasar de describir una situación a proponer qué hay que hacer para que ocurra más probablemente lo que deseo. El cambio es radical.

Con el uso del Big Data las probabilidades se vuelven más precisas y detalladas. ¿Esto crea más confianza o más reservas en cuanto a los resultados obtenidos?

Puede que inicialmente asuste la cantidad y detalle de las probabilidades que se pueden obtener por el aspecto intrusivo y poderoso que puede representar, pero con el uso y su fiabilidad, el temor se torna en confianza y, a veces, también en confianza ciega sin sentido crítico alguno. Esto también puede generar una confusión entre alta probabilidad y determinismo; y la verdad es que prácticamente nada es al 100% probable. Siempre hay alguna probabilidad de lo contrario, y cuando es relativo a personas, es fantástico saber que nada es seguro del todo, que puede cambiar para bien o para mal.

¿Existe una ética del BD?

Por supuesto que sí. BD es una tecnología muy poderosa que plantea múltiples retos éticos. Que la tecnología lo pueda hacer no quiere decir que sea ético y debamos hacerlo, o siquiera que debamos trabajar en ello, sea legal o no. No solo hablo de dilemas de elección de, por ejemplo, a quien debe intentar salvar un coche autónomo en caso de accidente, si a los pasajeros o a los peatones. También están aspectos del uso del conocimiento que puedes tener con el BD y su relación con la privacidad y no discriminación. ¿Dejo sin cobertura médica a una persona de por vida porque su probabilidad de tener cáncer u otra enfermedad es alta? ¿Evito dar crédito a una nacionalidad, raza o religión porque estadísticamente es problemática?… Como todo avance tecnológico no se trata de limitarlo, sino de evitar su mal uso. Hay que ponerlo al servicio del hombre, de su libertad, desarrollo y bienestar.

¿Cómo se traslada la arquitectura del BD al ámbito del negocio?

No es lo mismo hacer una prueba de concepto o de laboratorio que usar BD en la empresa. La implantación de BD supone embarcar a la empresa en una transformación digital que requiere de liderazgo y perfiles con formación experta específica. Hay que transformar procesos y modelos de negocio y son necesarios data engineers, data scientists, data architect, business analysts, etc…

“BD es una tecnología muy poderosa que plantea múltiples retos éticos. Que la tecnología lo pueda hacer no quiere decir que sea ético y debamos hacerlo”

¿Es posible un equilibrio entre datos, tecnología y talento?

El talento siempre sale adelante, aunque pueda existir un desequilibrio importante a corto plazo. Las tareas más deterministas o mecánicas van a ser automatizadas por el BD y la Inteligencia Artificial (IA), pero estas áreas demandan a su vez un volumen ingente y exponencialmente creciente de profesionales. El desafío es formar a esos profesionales con talento y la capacidad de liderar el futuro para que ayuden a la sociedad a no quedarse atrás. Por su parte los datos y la tecnología van de la mano: el volumen de datos y la capacidad de analizarlos crece con la mejora de la tecnología. Hace tiempo que ambos factores están en equilibrio.

¿Cómo transformará la IA el mercado laboral?

El mercado laboral está en continua transformación adaptándose a la cambiante realidad. Cada vez que aparece un avance tecnológico, el mercado laboral se reajusta, y así lleva por lo menos desde que se inventó la máquina de vapor. Igual que cuando apareció el coche surgieron los chóferes y los mecánicos y dejaron de existir cuadras y cocheros de carros, ocurrirá parecido con la IA. Algunos puestos ya han aparecido, como los Data Scientist y Data Engineer, y otros nuevos que aparecerán con nombres aún por definir en algunos casos, que podrían ser Configurador de AI, Supervisor de granja de robots, o mantenedor de robots.  Además, en el mercado laboral del futuro tendrán más oportunidades los puestos con más relación personal y trato humano, los más creativos y que tengan más improvisación, los de mayor valor añadido intelectual y, por supuesto, los que tengan mayor relación con la tecnología.

El profesor Carlos Morras estudió Ingeniería Superior de Telecomunicaciones en la Universidad Politécnica de Madrid y es Master en Business Administration and economics por el IESE- Universidad de Navarra. En el año 2000 inició su actividad docente en cursos de postgrado en la Universidad de Deusto (Bilbao) y diversos cursos de la Universidad San Pablo CEU donde enseñó estrategia, visión de negocio, CRM y gestión de clientes. En 2017 inició su docencia en Universidad Pontificia Comillas ICAI coordinando los TFM de Big Data e impartiendo las asignaturas de Big Data y Gobierno del dato y la de Casos de negocio del Master Big Data Technology & Advanced Analytics que también dirige.

Fuente: MAPFRE Global Risks   

C2C Smart Compliance es una empresa con presencia internacional, actualmente tenemos 3 años en la Ciudad de Mexico, contamos con plataformas para la gestión del cumplimiento y Análisis de Riesgos, nos especializamos en standares de Seguridad de la Información.
Tenemos experiencia en la implementación de ISO 9001 Calidad, ISO 20000 Gestión de servicios TI, ISO 27001 Seguridad de la Información, ISO 22301 Continuidad del Negocio, PCI DSS Seguridad de Datos de las Tarjetas de Pago, NIST 800 53 y muchas otras normas, leyes y mejores prácticas.   

Somos socios de negocio de las marcas TrendMicro y MicroFocus. Puedes darte una idea de las características de los productos entrando a los sitios:   http://la.trendmicro.com/ y https://www.microfocus.com/products/zenworks/, nosotros te ayudamos a identificar que soluciones se alinean mejor al requerimiento de tu empresa.

Saludos 

Mario Meneses 

Account Manager at C2C Smart Compliance

Ciudad de Mexico.

mario@c2csmartcompliance.com 

WA  +52 1 7711871152

Detective Privado es el único profesional legalmente autorizado para llevar a cabo la instalación de cámaras ocultas con plena validez legal, amparados por la Ley de Seguridad Privada 5/2014, de 4 de abril.


Grupo Herta se incorpora a DAAS Forensic, Asociación de Detectives Expertos en Compliance

Con su incorporación a DAAS Forensic, la agencia de detectives Grupo Herta pasa a formar parte de la más importante red de detectives especializados en Compliance y en Investigaciones Forenses Corporativas

Los Sistemas de Gestión de Compliance requieren de la asesoría experta y protegida legalmente, de la labor profesional de una agencia de detectives acreditada y con experiencia en Compliance.

En el estudio previo de cumplimiento de socios de negocio, antecedentes de riesgo y vinculaciones familiares de socios, directivos, empleados, grado de cumplimiento de clientes, especialmente en sujetos obligados, detección de fraude y actos ilícitos, investigación y tratamiento forense de las denuncias, tratamiento y protección de las pruebas, Forensic Informático, es fundamental contar con detectives acreditados expertos en esta materia.

En DAAS Forensic, red nacional de detectives privados especializados en Compliance y Derecho Penal Económico gestionada por DAAS Compliance, los asociados comparten formación, conocimientos y experiencia y los ponen a disposición de abogados y clientes para la mejor defensa de sus intereses, tanto en sus relaciones laborales y mercantiles como al afrontar la defensa penal de las organizaciones y de las personas físicas ante los Juzgados y Tribunales con garantía de éxito.

La incorporación de La agencia de detectives Grupo Herta supone un paso más para DAAS Forensic en su objetivo de crear una red de agencias de detectives especializadas en Compliance Forense que aporten valor a través de una oferta de calidad y altamente especializada.

La agencia de detectives Grupo Herta está especializada, entre otras áreas de la investigación forense, en la Área Cinegetica Y Rural incorporando esta área de especialización a DAAS Forensic, siendo el primer Despacho de Detectives Privados expertos en Investigación Privada de ámbito Cinegético y Medio Ambiente.

El sector de la caza y el medio ambiente han ido evolucionando junto a la legislación que lo regula siendo imprescindible contar con una agencia de detectives experta en esta área.

Grupo Herta también está especializado en áreas de Servicios Especiales tales como Instalación de cámaras ocultas o Contravigilancias.

Se debe tener en cuenta que el Detective Privado es el único profesional legalmente autorizado para llevar a cabo la instalación de cámaras ocultas con plena validez legal, amparados por la Ley de Seguridad Privada 5/2014, de 4 de abril. De acuerdo con los artículos (5.2 y 48.1). Artículo 5.2 “Los despachos de detectives podrán prestar, con carácter exclusivo y excluyente, servicios sobre la actividad a la que se refiere el párrafo h) del apartado anterior”. Y el artículo 48.1 “los servicios de investigación privada, a cargo de detectives privados, consistirán en la realización de las averiguaciones que resulten necesarias para la obtención y aportación, por cuenta de terceros legitimados, de información y pruebas sobre conductas o hechos privados”.

Al hilo de lo anterior, la ley en su artículo 48.6 deja claro los cuatro principios que se deben respetar “los servicios de investigación privada se ejecutarán con respeto a los principios de razonabilidad, necesidad, idoneidad y proporcionalidad”.

Se puede ampliar información a través de este enlace.

Fuente: http://www.diariosigloxxi.com/texto-diario/mostrar/1251158/grupo-herta-incorpora-daas-forensic-asociacion-detectives-expertos-compliance

Saludos 

Mario Meneses Account Manager en C2C Smart Compliance

C2C Smart Compliance es una empresa de presencia internacional con plataformas para gestión del cumplimiento, nos especializamos en la gestión de calidad, operaciones de seguridad, seguridad de la  información ,continuidad de negocio, etc. con experiencia en la implementación de ISO 9001, ISO 20000, ISO 27001, ISO 22301, BS 25999,  ISO 17025, NIST 800 53, y muchas otras normas, leyes y mejores prácticas. 

mario@c2csmartcompliance.com 

WA  +52 1 7711871152

Ingram Micro reforzará su división de Physical Security con soluciones anti intrusión


Así lo explica el director ejecutivo de Ingram Micro Madrid y responsable del Área de Valor, Alberto Pascual, quien resalta que las prestaciones que ofrece Axis “cubren todo el abanico de la seguridad física“, destacando la relevancia que sus cámaras de videovigilancia IP orientadas al business intelligence tiene para el sector retail y sus posibilidades en el campo de la Inteligencia Artificial y el Internet de las Cosas.

En el ámbito de la videovigilancia, además de Axis, el mayorista ya cuenta con los productos de Trendnet, que se suman al porfolio de software de grabación, almacenamiento NAS, control de accesos o infraestructuras de red y cableado, de la mano de fabricantes de primer nivel como WD, Seagate, Synology, ZKTeco, D-Link o MCL, entre otros.

De forma complementaria, Pascual ha anunciado la reciente incorporación del fabricante Devo, antes conocido como Logtrust, focalizado en el software de analítica de vídeo.

Con la entrada de sistemas anti intrusión solo quedaría por incorporar al porfolio de Ingram Micro soluciones de protección contra incendios, un objetivo que también persigue la compañía para reforzar una división que alcanzará este año un crecimiento superior al 20%, por encima del incremento global de la compañía.

Pascual hizo este análisis tras la celebración del Simposium 2018, que reunió en la Cúpula de las Arenas de Barcelona a más de 2.500 asistentes y más de un centenar de fabricantes, según los datos ofrecidos por la compañía.

En la misma rueda de prensa, Jaime Soler, VP & Country Chief Executive Iberia de Ingram Micro, avanzó que la compañía va a estabilizar este año su ritmo de crecimiento hasta situarse entre un 6-7%, en sintonía con la media de crecimiento del mercado, que será del 8%, según los datos de la consultora Context.

Soler explicó que se ha decidido “revisar el modelo de negocio para poner recursos en otras necesidades de la compañía” trabajando en cuatro palancas fundamentales: Valor, Mobile, Mercado tradicional del canal y Logística y Servicios.

Fuente: cuadernosdeseguridad

Saludos 

Mario Meneses Account Manager 

C2C Smart Compliance es una empresa de presencia internacional con plataformas para gestión del cumplimiento, nos especializamos en la gestión de calidad, operaciones de seguridad, seguridad de la  información ,continuidad de negocio, etc. con experiencia en la implementación de ISO 9001, ISO 20000, ISO 27001, ISO 22301, BS 25999,  ISO 17025, ISO 18788, NIST 800 53, y muchas otras normas, leyes y mejores prácticas.

mario@c2csmartcompliance.com

WA  +52 1 7711871152 

¿Qué debe contener un buen sistema de ‘compliance’ en la empresa?


Con la reforma del Código Penal, en vigor desde el pasado 1 de julio 2015, y aprobada por la Ley Orgánica 1/2015, de 30 de marzo, que incorpora la responsabilidad penal a la persona jurídica, las empresas han ido acomodando sus estructuras y sus políticas de cumplimiento a sistemas que prevengan y eviten riesgos que puedan acabar con su valor reputacional e incluso con el negocio.

Es sabido que el artículo 31 bis del Código Penal supuso la aparición del ‘compliance‘ en nuestra cultura empresarial. En estos tres años, la evolución ha sido significativa y lo que se inició en las entidades financieras ha pasado a otros muchos sectores.

Incluso ya existe un sistema de gestión de ‘compliance’ penal UNE 19601 o softwares específicos para la gestión documental diseñado para la correcta implantación de estos sistemas de prevención.

También a esta parte normativa, se le ha sumado todo un desarrollo de códigos éticos y buen gobierno corporativo. Todo con un mismo fin, trabajar hacia la transparencia alejándose de conductas corruptas en el seno de la empresa.

Diseño del sistema

Cuando la empresa como persona jurídica realiza esta puesta a punto en el cumplimiento normativo, el órgano de administración responsable del control y prevención pasa a formar parte de un sistema para evitar la comisión de delitos y, en consecuencia, que no haya responsabilidad de la persona jurídica.

Para conformar un buen sistema de prevención de delitos puede intervenir un departamento de ‘compliance’ inhouse al que no es nada desdeñable sumar el asesoramiento de un experto externo. Lo lógico es que la dotación de recursos materiales y humanos esté en función del tamaño de la empresa pero no así la preocupación por contar.

El sistema de ‘compliance’ contendrá como mínimo esta docena de puntos que, además, deberán ser supervisados en una tarea de control y seguimiento por la figura del director de cumplimiento normativo o ‘compliance officer‘.

  • Informe de riesgos: el sujeto obligado establece su estándar de cumplimiento, en función de su riesgo específico de delitos
  • Elaboración de un manual de procedimientos para la prevención que contiene las reglas y procedimientos necesarios para el cumplimiento normativo, así como para impedir que el sujeto obligado sea utilizado en la financiación del terrorismo u otras actividades delictivas
  • Nombramiento de representante ante el Servicio Ejecutivo de Prevención del Blanqueo de Capitales (SEPBLAC) con responsabilidad sobre las obligaciones de información
  • Constitución del Órgano de Control Interno (OCIC) como responsable de aplicar dentro de la empresa, las políticas y procedimientos establecidos previamente
  • Adopción de medidas adecuadas para saber quién es quién previo a establecer relación de negocios en lo que sería un sistema de identificación formal de clientes y alertas por detección temprana
  • Sistema de seguimiento continuo de la relación de negocios a través del análisis de las operaciones efectuadas a lo largo de toda la relación para detectar cualquier desviación
  • Revisión del sistema de prevención por parte de la auditoría interna que evaluará la eficacia del sistema de prevención implantado por la empresa, con vistas a su mejora continua
  • Examen del sistema por parte de un experto externo para que la empresa someta sus procedimientos y órganos de control interno a un examen anual
  • Conservación de documentos de diligencia debida por un periodo mínimo de 10 años desde la terminación de la relación de negocio o la ejecución de la operación
  • Desarrollo de la Unidad técnica de análisis, un departamento con personal especializado, en dedicación exclusiva y formación adecuada
  • Los sujetos obligados deben asegurarse que sus empleados conocen las exigencias normativas proporcionando una formación específica en la materia
  • Obligación de trasladar al SEPBLAC la comunicación por indicios o certeza de que una operación examinada está relacionado con el blanqueo

Saludos 

Mario Meneses

C2C Smart Compliance es una empresa con presencia internacional con plataformas para gestión del cumplimiento, nos especializamos en la gestión de calidad, operaciones de seguridad, seguridad de la  información ,continuidad de negocio, etc. con experiencia en la implementación de ISO 9001, ISO 20000, ISO 27001, ISO 22301, BS 25999,  ISO 17025, NIST 800 53, y muchas otras normas, leyes y mejores prácticas.

mario@c2csmartcompliance.com

movil / WA +52 1 7711871152

La carrera profesional del “compliance officer”


Compliance

Ante la actual era del Compliance, como megatendencia regulatoria mundial, es necesario contar con formales planes de estudio que permitan la creación de la carrera profesional.

En las dos últimas décadas del siglo XX, muchos creíamos vivir en un mundo cuya tirantez geopolítica había llegado a un estado de equilibrio con el que afrontaríamos el actual siglo XXI. Sin embargo, en la primera década del presente siglo y lo que va de la segunda, hemos visto que tal equilibrio es demasiado frágil y enormemente vulnerable, que en cualquier momento puede romperse.

Zygmunt Bauman, sociólogo polaco que ha dejado una huella importante en el análisis de este proceso de cambio, señala como una de las características de nuestro mundo actual su naturaleza endeble, efímera, “líquida”. Señalamiento que no tiene como finalidad producir miedo o enfrentarnos al espejo eterno de las crisis. Por el contrario, entre otras cuestiones, plantea la urgente necesidad de adoptar una nueva perspectiva para gobernar este mundo cada vez más complejo.

Indudablemente no podemos continuar pensando que los problemas nuevos pueden resolverse con esquemas antiguos, ni con fórmulas que sirvieron –quizá- para otra realidad menos compleja que la actual.

Uno de los problemas que debemos enfrentar con mayor determinación, según lo hacía notar el mismo Bauman, es el de la “disipación regulatoria de los mercados”. Esto significa que, si antiguamente la vida comercial se regía por un código de comercio y dos o tres tratados internacionales, hoy las fuentes de regulación del comercio son sumamente abundantes y sistémicamente complejas, tanto como lo es la actividad misma.

Y cuando nos referimos a la regulación o normatividad comercial que ahora surge de fuentes supranacionales, públicas y privadas, locales, gremiales, contractuales, consuetudinarias, legales y jurisprudenciales, también hemos de referirnos a la necesidad de reconocer el dinamismo del conocimiento, el dominio, la interpretación, el control y la aplicación de todas esas disposiciones regulatorias.

No es suficiente con tener un área legal

Antiguamente -hasta hace dos décadas- el área legal o “el jurídico” de las empresas se encargaba de dar “seguimiento” al cumplimiento de las reglas o regulaciones que regían su administración y la actividad productiva, operacional y comercial. Si surgían casos relacionados con la responsabilidad penal de algún integrante (representante o empleado), la misma área contrataba a un Despacho externo especializado en esa materia y se encargaba de coadyuvar en la investigación y persecución del responsable.

De igual forma, tratándose de riesgos laborales, también era el área legal la que se encargaba de dar seguimiento a los controles regulatorios, generalmente asesorada por alguna empresa externa especialista en prevención de riesgos por accidentes o de seguridad industrial, que solía hacer visitas de inspección. Al paso del tiempo, se sumaron a estos esfuerzos áreas de recursos humanos, talento o capital humano.

Todo eso fue posible hasta que los niveles de complejidad han demostrado que la prevención, control y vigilancia de riesgos, incluidos los “penales”, así como la promoción del cumplimiento regulatorio organizacional, es una tarea esencial que debe ser atendida por otra área especializada, que va más allá de lo legal.

Me refiero, claro está, a las áreas generalmente denominadas “Compliance Legal, Regulatorias o de Cumplimiento”, las cuales cada vez han ido tomando mayor importancia en nuestra cultura organizacional. Lo que no hemos desarrollado aún es el perfil de un verdadero profesional, es decir, de un profesionista, en términos de las leyes de profesiones o que reglamentan el ejercicio de la actividad profesional, que se preocupe y ocupe de tales áreas desde un enfoque no solo interdisciplinario sino integrador de la labor que deben desarrollar a nivel empresarial.

Responsabilidad Penal de Empresa: Compliance Penal

Los debes, funciones y objetivos de un Oficial de Cumplimiento, en el contexto y complejidad actual, resultan fundamentales a lo largo y ancho de la actividad empresarial como organizaciones. Más allá de la encomienda de implementar en forma eficaz “programas de prevención y control de riesgos penales” con fin de excluir y, en su caso, atenuar posible responsabilidad penal a la corporación, así como para fomentar una verdadera cultura de fidelidad a la legalidad, es importante que los Oficiales de Cumplimiento sepan que las empresas pueden, como personas jurídicas, cometer delitos en relación con su objeto social o actividad empresarial, con independencia de los delitos atribuibles a sus representantes o integrantes, como personas físicas.

Al respecto, es oportuno precisar que las empresas tienen un “posición o calidad de garantes” respecto de las acciones u omisiones en que incurran sus representantes, administradores y/o empleados. Por tanto, también el Oficial de Cumplimiento tiene una posición o calidad de garante específica para implementar o evaluar la “efectividad” de tales programas de prevención y control de riesgos penales.

Recordemos que las personas físicas son penalmente responsables cuando, por ejemplo, exteriorizan o concretan una “capacidad de comportamiento individual” (acción u omisión dolosa). Sin embargo, las personas jurídicas también lo son cuando exteriorizan o concretan una “capacidad organizativa” (acción u omisión dolosa organizacional). Es decir, el “dolo penal a nivel de empresa” se traduce en el “conocimiento organizativo de su indebido control ante posibles riesgos penales”; conocimiento que exteriorizan como acción u omisión precisamente ante su defecto organizacional, por la no previsión de ciertos resultados lesivos regulados por las leyes penales. Nos referimos a la inobservancia de su debido control organizacional, como conjunto del conocimiento de sus socios o accionistas, del conocimiento de los miembros del Consejo de Administración, de los miembros del Comité de Riesgos y/o de los Comités o áreas de decisión respectivas y, por supuesto, del conocimiento del Oficial de Cumplimiento.

Así como las empresas, como personas jurídicas, pueden actuar con dolo organizacional en la comisión de delitos, también pueden actuar con “culpa, negligencia o violación a sus deberes de cuidado, a nivel organizacional”. El tema no es menor, pues estamos hablando de responsabilidad penal de la corporación, con independencia de la que pueda atribuirse a sus representantes o administradores, en caso de la comisión de un delito en el seno empresarial relacionado con sus actividades u objeto social.

Urgencia de crear una nueva profesión

En Estados Unidos y algunos países de Europa se ha desarrollado la carrera de “Compliance Officer”, que no es resultado de una amalgama ni de un “mix” de profesiones como Derecho, Administración Financiera, Negocios, Administración de Empresa, Actuaría, Filosofía, Sociología, Psicología, Contabilidad, entre otras. El Oficial de Cumplimiento, ante los retos y riesgos actuales, debe tener una visión integradora y de conjunto en favor de la efectiva cultura de la legalidad, lo cual, además de las disciplinas anteriores, requiere el conocimiento de la psicología industrial, de las tendencias reguladoras (Megatendencias vinculadas a los procesos de transformación geopolítica), de administración pública, que es donde se integran los sistemas anticorrupción, y desde luego, de ética aplicada para la elaboración de códigos y manuales de buenas prácticas. Aunado a ello, debe incluir algunas materias de Pedagogía, Informática y de Mercadotecnia pues, como es sabido, el fomento de un cambio de mentalidad y la promoción de una visión corporativa, requieren de un buen soporte de comunicación y persuasión para que en un plazo razonable aquello se transforme en una eficaz “cultura empresarial” que, además, aliente y promueva la productividad.

Desafío educativo y universitario: oficio vs. profesión

La carrera profesional de “Compliance Officer” o, mejor dicho, de “licenciado en programas de cumplimiento regulatorio” es un tema que se ha de resolver en el terreno científico, educativo y, sobre todo, universitario. Es momento de que la Secretaría de Educación Pública, la Secretaría de Economía y el sistema de Universidades públicas y privadas, retomen y anticipen la incorporación de planes de estudio a nivel de educación superior en dicha materia.

Aunque actualmente hay casos de éxito, el Oficial de Cumplimiento no puede formarse, ni capacitarse, sólo con cursos, certificaciones, diplomados, congresos, conferencias o a lo largo de la experiencia en la empresa, pues sus funciones y responsabilidades terminan siendo ejercidas, a fin de cuentas, como un “profesional” del cumplimiento regulatorio organizacional.

Efectivamente, hasta ahora, la mayor parte de los avances y descubrimientos científicos logrados en la lucha por gobernar y encausar la creciente complejidad ha encontrado respuesta en las universidades, que han debido acelerar su paso de desarrollo e incluso de modelo educativo para formar profesionistas especializados en las múltiples ramas del conocimiento que se han ido generando.

Es así como hemos visto desarrollarse en los últimos años nuevos modelos educativos y carreras profesionales que antes no existían, como Nanotecnología, Robótica y Telemática, Ingenierías relacionadas con temas de ordenación medioambiental: Agrogenómica o Hidrogeología. Pero en el terreno de las ciencias gerenciales y jurídico-legales, México va a la zaga, va retrasado. Me refiero, particularmente, a la implementación de los programas de compliance legal empresarial.

Es necesario que los estudios en materia de prevención y control de riesgos legales -incluidos los penales-, cumplimiento regulatorio y ética corporativa se integren en un formal plan de estudios para crear la licenciatura en Compliance legal o Licenciado en Programas de Cumplimiento Regulatorio. En realidad, no hemos encontrado aún la palabra acertada que signifique o colme lo que realmente quiere decir e implica el término compliance en el idioma inglés. Literalmente sería “cumplimiento”, pero “cumplir” con las reglas internas (soft law) y con las leyes de orden público (hard law) es solo una parte de las actividades que integran el “Compliance”, así como su oficio propio, conocido normalmente como “Compliance Officer”. La misión es transitar del “oficio” a la “profesión” de Oficial de Cumplimiento.

Apoyo y promoción gubernamental de la formación educativa

Desde las instancias gubernamentales deberá promoverse la apertura de esa carrera y profesión en las universidades, pues un especialista en hacer que la letra de la ley sea realidad dentro de las organizaciones, y en la vigilancia de la empresa para evitar que incurra en responsabilidad legal (civil, penal y/o administrativa, entre otras), así como para velar por el respeto en y desde la empresa de los Derechos Humanos de las personas que se vinculan a ella, al interior y desde el exterior, contribuirá sin duda a una mejora en el prestigio nacional y en el fortalecimiento del complejo Sistema Nacional Anticorrupción y de Compliance Penal.

Para dar forma a ese “oficio profesional” es necesario adoptar modelos de las universidades europeas y americanas donde ya existe la carrera o los estudios superiores a nivel licenciatura y maestría. Pero junto a la adopción de estándares internacionales debe haber una sana tropicalización nacional para que los estudios sean los adecuados a nuestra cultura organizacional mexicana.

La Secretaría de Economía del Gobierno Federal en México tiene los elementos y la información suficiente para contribuir al diseño curricular, trabajando en coordinación con la Secretaría de Educación Pública y las universidades públicas y privadas.

Reiteramos, un “Compliance Officer” o –llamémosle provisionalmente– “Oficial de Cumplimiento” en un mundo organizacional complejo, no se forma a través de improvisados cursos de capacitación que se ofrezcan a quienes realizan esa actividad de manera directa o indirecta. Tampoco dejando a la actividad jurídica, propia de los abogados, el encargo del cumplimiento organizacional. Nótese que nos referimos por organizacional, al conjunto de personas, data o información, infraestructura, instalaciones y equipamiento, procesos y subprocesos, y del sistema empresarial en general.

Insistimos, ante el Compliance como megatendencia regulatoria mundial, es necesario contar con planes de estudio ad hoc y formales que respondan a las necesidades de prevención, control, vigilancia, supervisión y seguridad en la información en materias humanistas, financieras, jurídico-legales, de regulación supranacional, de prevención de riesgos materiales y legales, así como de ética y responsabilidad social corporativa, entre otras muchas.

El debate está abierto, ojalá se convoque a una gran cruzada educativa para discutir e intercambiar reflexiones y puntos de vista pragmáticos que contribuyan a mejorar la planta productiva empresarial nacional y el régimen de cumplimiento de las personas jurídicas en México, incluidos sindicatos y partidos políticos.

Contacto:

Correo: cr@requena.org.mx

Twitter: @requena_cr

Facebook: Carlos Requena

Página personal: Carlos Requena

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

Fuente: forbes

Saludos 

Mario Meneses

C2C Smart Compliance es una empresa con presencia internacional con plataformas para gestión del cumplimiento, nos especializamos en la gestión de calidad, operaciones de seguridad, seguridad de la  información ,continuidad de negocio, etc. con experiencia en la implementación de ISO 9001, ISO 20000, ISO 27001, ISO 22301, BS 25999,  ISO 17025, NIST 800 53, y muchas otras normas, leyes y mejores prácticas.

Informes mario@c2csmartcompliance.com

movil / WA  +52 1 7711871152

HYBINT: ciberinteligencia para la protección de infraestructuras críticas


València, 4 nov (EFE).- Un nuevo sistema informático creado por investigadores valencianos permite ver en tiempo real tanto la posible emergencia física como las amenazas que lleguen del ciberespacio a infraestructuras criticas como puertos, aeropuertos y grandes instalaciones de producción y distribución de energía.

Ese es el fin de HYBINT (Hybrid Intelligence), una herramienta desarrollada desde la Universitat Politècnica de València (UPV) que se presenta como instrumento de ciberinteligencia para detectar e identificar con antelación cualquier amenaza, ya sea cibernética o híbrida con efectos físicos.

Según han informado a EFE fuentes de la institución académica, la revista Security and Communication Networks ha publicado el trabajo realizado por los investigadores de la UPV para el desarrollo de esta herramienta que permite la protección de infraestructuras criticas.

HYBINT “va un paso más allá” de los sistemas inteligentes empleados actualmente en seguridad de grandes instalaciones, ya que se trata de una plataforma híbrida que combina los sistemas de seguridad física con la detección de amenazas en el ciberespacio.

“De este modo, permite actuar ante ataques tanto físicos como cibernéticos”, asegura Manuel Esteve, investigador del Grupo de Sistemas y Aplicaciones de Tiempo Real Distribuido y catedrático de la ETS de Ingeniería de Telecomunicación de la UPV.

HYBINT facilita el proceso de decisión de distintos operadores ante una amenaza combinada y proporciona a los operadores avanzadas herramientas tecnológicas para detectar e identificar con antelación cualquier ataque y amenaza.

“Ayuda a prevenir y a tomar las adecuadas decisiones cuando se detecta la amenaza, garantizando la protección de las infraestructuras y de las personas”, destaca Esteve.

Mediante la correlación de distintas fuentes de información y aplicando técnicas de macrodatos o “Big Data”, es capaz de detectar e informar al instante de patrones de comportamiento anómalos, ya sean físicos, cibernéticos o híbridos.

Para ello, procesa datos de múltiples fuentes, desde sensores de red y físicos hasta información procedente de fuentes humanas y abiertas, como internet y noticias de medios de comunicación.

“La herramienta aprovecha los sistemas y sensores de control presentes en las infraestructuras, los integra y analiza en tiempo real”, según Manuel Esteve.

Además, añade el investigador, “es escalable, con lo que puede llegar a procesar tantas fuentes de información como deseemos. Y, lo que es más importante, garantiza una actuación rápida y eficaz frente a una amenaza”.

Otra de sus principales ventajas reside en la visualización de la información en los puestos de gestión y control de la emergencia, afirman las fuentes.

Así, HYBINT permite ver en una misma interfaz en tiempo real tanto la posible emergencia física como las amenazas que lleguen del ciberespacio y su correlación mediante el uso de avanzadas técnicas de visualización geoespacial basadas en la tecnología Luciad.

El desarrollo de esta herramienta es fruto de la investigación llevada a cabo por el Grupo de Sistemas y Aplicaciones de Tiempo Real Distribuidos, de varias tesis doctorales y de los resultados obtenidos en diferentes proyectos europeos, entre ellos Sauron, centrado en la protección de infraestructuras portuarias. EFE

Fuente: lavanguardia.com

Saludos 

Mario Meneses Account Manager

mario@c2csmartcompliance.com 

movil / WA  +52 1 7711871152

Conviértase en un Auditor Certificado del Sistema de Gestión de PECB.


PECB está encantado de organizar su próximo evento de Técnicas de Auditoría de Certificación en uno de los destinos más vibrantes e históricos de América del Norte. Nos complace anunciar que este evento se llevará a cabo en Montreal, Canadá, del 26 al 28 de noviembre.

RESUMEN DEL CURSO

El curso de Técnicas de Auditoría de Certificación está diseñado para participantes que deseen desarrollar los conocimientos necesarios para planificar y realizar auditorías de sistemas de gestión de acuerdo con las mejores prácticas conocidas, incluidas 19011 (Directrices para la auditoría de sistemas de gestión) e ISO 17021 (Evaluación de la conformidad). Este curso lo preparará para futuros desafíos profesionales al mejorar su desarrollo profesional, crear oportunidades de red y lograr un reconocimiento mundial.

¿POR QUÉ DEBES ASISTIR A ESTE EVENTO DE ENTRENAMIENTO?

El evento de capacitación en Técnicas de Auditoría de Certificación ofrece una oportunidad excepcional para que profesionales y líderes de todo el mundo obtengan las habilidades y conocimientos necesarios para avanzar o comenzar una carrera en auditoría de sistemas de gestión. Los participantes obtendrán el título de Auditor del sistema de gestión certificado, que les permitirá realizar auditorías del sistema de gestión.

AGENDA

LUNES

Auditoría previa a la planificación y actividades de planificación.

Auditoria de Riesgo y Materialidad

Planificación de la auditoría

MARTES

Pruebas de Auditoría: Pruebas de Control y Pruebas Sustantivas

Ética y responsabilidad

Documentando la Auditoria

MIÉRCOLES

Redacción de no conformidades

Acciones correctivas

Examen de certificación (de 2 pm a 5 pm)

El curso se completa con un examen de tres horas el último día (miércoles de 2 a 5 p. M.), Un requisito para la credencial del auditor certificado por PECB MS.

Conoce al entrenador

marisol valenzuela

MARISOL VALENZUELA

Marisol Valenzuela, presidenta de INTIQ LLC., Tiene más de 20 años de experiencia trabajando con los estándares del sistema de gestión ISO en las áreas de certificación, capacitación y acreditación.

La Sra. Valenzuela ocupó cargos de ventas senior en BSI e Intertek, dos de los organismos de certificación de sistemas de gestión más grandes de América del Norte y América Latina. Se ha desempeñado como miembro del Grupo Asesor Técnico de los EE. UU. Del Comité Técnico 176 de la Organización Internacional para la Estandarización (ISO TC 176), encargada de mantener la familia de documentos ISO 9000.

La Sra. Valenzuela ha participado en los comités del Foro Internacional de Acreditación (IAF) y en la Cooperación Internacional de Acreditación de Laboratorios (ILAC). Anteriormente miembro del Grupo Asesor ISO 9000 (IAG), también fue directora de la Asociación de Certificación de Auditoría y Capacitación (IATCA) y ocupó un puesto de director en la American Welding Society (AWS). Es auditora líder de PECB ISO 9001 y formadora de PECB AAT.

DETALLES

Los lugares son limitados y se espera que se llenen rápido, así que asegúrese de registrar su asistencia para esta oportunidad enriquecedora lo antes posible comunicándose con nosotros a support@pecbnorthamerica.com .

La tarifa incluye el curso de capacitación de 3 días, el material de capacitación, el examen y la certificación para el primer año.

Al registrarse, le informamos que este Curso de Técnicas de Auditoría de Certificación es el mismo curso de capacitación que las Técnicas Avanzadas de Auditoría (AAT) organizadas por PECB en todo el mundo.

* Tenga en cuenta que los participantes son responsables de reservar sus propias habitaciones en el hotel de su elección.

¡Nos vemos en Montreal!

Fuente: https://media.pecb.com/aat/index.php/montreal-canada/

Para INTI.Q México, es una gran satisfacción la participación de nuestra Presidenta Marisol Valenzuela. 

Quedamos a sus ordenes en México. 

Contacto: Lic. Mónica Soto +52 1 55 7586 7574 • E-mail: monicas@intiq.biz 

A %d blogueros les gusta esto: