Caso práctico de Auditoría en el mundo del Cloud

Download PDF

How-to-safeguard-your-business-against-future-audits-846x564Como ya adelanté en el anterior post, este cuarto post lo centraré en exclusiva en analizar un caso práctico de auditoría aplicado al mundo del Cloud Computing [1]. Si que me gustaría destacar, que a pesar de que la resolución del caso es correcta, ISACA ha realizado una serie de cambios importantes en las últimas versiones de COBIT, la quinta en particular. Por lo tanto, este post ha sido elaborado con la información que ISACA ha publicado con fin divulgativo pero es necesario acceder a los manuales más recientes si se desea elaborar una auditoría de sistemas alojados en la nube completa y elaborada mediante los estándares más recientes. [Read more…]

Insider Threats: Derechos del empleado y del empleador

Download PDF

 

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

En las entradas anteriores, he tratado de acercar al lector una visión general de las amenazas internas. También hemos podido observar cuál es la situación actual en las organizaciones con respecto a este tema, donde comprobamos que genera preocupación pero todavía no alcanzan la suficiente concienciación en algunos ámbitos. En la tercera entrada tratamos cuáles eran los principales riesgos asociados a las amenazas internas, es un tema muy extenso ya que existen multitud de riesgos que se pueden derivar de una amenaza interna, ya sea intencional o de forma involuntaria. Por último, en el anterior post quise traer diferentes frameworks metodológicos que permiten crear un plan contra las amenazas internas que permite crear políticas y controles para prevenirlas o bien para mitigarlas.

[Read more…]

Blockchain y los Controles en los Riesgos (Parte 4/5)

Download PDF

gestion-de-riesgos

Buenas nuevamente! En esta entrada siguiendo con el post anterior (y a modo continuación), quisiera seguir desarrollando los riesgos que íbamos identificando. Esta vez, se han escogido los diez riesgos más relevantes (bajo mi criterio y discutibles). Después,  se proponen soluciones con objetivo de minimizar los riesgos mediante controles; de tal manera que una vez identificados el impacto y probabilidad de los riesgos se exponen cuestiones, ideas e iniciativas para saber cómo abordar el riesgo en cuestión.

 

Partiendo de la tabla expuesta en la entrada anterior, a continuación se muestran diez riesgos en la tabla 1:

ID Riesgo Probabilidad Impacto
R1 Vulnerabilidad de la plataforma MUY ALTO MUY ALTO
R2 Malware Dirigido MUY ALTO MUY ALTO
R3 Falta de Escalabilidad MEDIO MEDIO
R4 Responsabilidades poco definidas MEDIO MEDIO
R5 Fallo en cumplimiento tecnológico MUY ALTO MEDIO
R5 Pérdida de gobierno MUY ALTO MEDIO
R6 Implementación de claves MUY ALTO BAJO
R7 Compromiso de Claves ALTO BAJO
R8 Gestión de tiempos de espera ALTO NAJO
R9 Brecha de privacidad MUY ALTO MEDIO
R10 Retención de la información BAJO BAJO

A continuación, pasaremos a la explicación de los significados los riesgos, así como las medidas que se sugieren para controlar/mitigar el problema.

 

[R1] Vulnerabilidad de la plataforma: Al ser nueva tecnología, es posible que se diese la situación de que una vez en producción, se detectase una vulnerabilidad de tal manera que pusiese en jaque a toda la organización. Se propone primero invertir fondos para conocer las noticias y novedades desde este punto de vista y después establecer un plan de contingencia a modo preventivo.

 

[R2] Malware Dirigido: Si la organización fuese objetivo de ataque e intentan atacar de forma intencionada nuestro sistema operacional de Blockchain, hay que tener acciones previamente diseñadas para afrontar este riesgo. Primeramente, se deben establecer protocolos de acción para cada tipo de ataque conocido. Después, se deberían de comprobar periódicamente estas pautas; de tal manera que garanticemos que el sistema es robusto y se defiende [1].

 

[R3] Falta de Escalabilidad:  La escalabilidad está estrictamente vinculada a la velocidad de procesamiento de las transacciones que ocurren dentro de una blockchain específica. Las medidas que pueden tomarse son la medición de tiempos de espera y realizar periódicamente pruebas de carga, para ver si la infraestructura desarrollada sirve para el día a día dentro de la organización [1].

[R4] Responsabilidades poco definidas: Nuevamente, la organización deberá realizar un trabajo previo a la implementación para saber quien se debe responsabilizar de la administración y roles de la plataforma; quienes serán los incluidos y excluidos de la topología… es decir, será necesario realizar todo un análisis de responsabilidades donde se deberán acotar las funcionalidades para cada actor/rol identificado y dejarlo documentado.

 

[R5] Fallo en cumplimiento tecnológico: ¿Qué sucede si la tecnología deja de funcionar?¿En cuanto tiempo es posible reiniciar todo el sistema o, en su defecto, poner en marcha el respaldo correspondiente? Para ello, habrá que diseñar un plan de contingencia donde tengamos garantías de que este riesgo no va a suponer un problema. Los controles que se proponen son 1) tener un sistema respaldo en marcha (aunque de manera pasiva) y 2) someter a simulacros eventualmente para poder medir los tiempos de espera.

 

[R6] Implementación de claves: ¿Cada cuanto cambias las claves?¿Quién lo hace? Esas responsabilidades y periodos temporales en un documento. Además, se debería de gestionar periódicamente si ha habido vulnerabilidades de, por ejemplo, la metodología implementada.

 

[R7] Compromiso de Claves: Debemos asegurarnos de que las claves que preparamos y asignamos, efectivamente, se utilizan y se guardan de manera efectiva.

 

[R8] Gestión de tiempos de espera: ¿Qué sucede si el sistema tarda demasiado en responder, verificar y respaldar todo el proceso?

 

[R9] Brecha de privacidad: ¿Qué pasa si la clave se externaliza y se publica? Para ello

 

[R10] Retención de la información: ¿Cómo garantizamos que la información es efectivamente guardada sólo por nuestro sistema?¿Qué servicios pueden almacenar/acceder?

 

En resumen, hemos identificado y explorado muchos de los riesgos ya identificados en el post anterior. Sabemos que Blockchain tiene muchos quebraderos de cabeza iniciales, pero una vez desarrolladas estas cuestiones y sabiendo cómo mitigar los riesgos que tiene podremos gozar de los beneficios de esta tecnología (la posible exención de autoridad digital, la auditabilidad y trazabilidad entre otros [2]).

[1] https://www.iproup.com/blockchain/182-blockchain-bitcoin-ethereum-Los-tres-retos-de-la-tecnologia-Blockchain-escalabilidad-interoperabilidad-y-sustentabilidad

[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_acm3225619&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,blockchain&sortby=rank

Tipos de sistemas de control industrial

Download PDF

En las anteriores publicaciones hemos analizados los riesgos, los controles para mitigar los riesgos y la relevancia en la industria de los sistemas de control industrial (SCI), además de que también realizamos una breve introducción a estos sistemas. En esta ocasión me gustaría indagar un poco más en los distintos tipos de SCI que existen actualmente, para ello analizaremos los diferentes sistemas, veremos cómo funcionan y además mostrare unos esquemas que ilustraran la arquitectura de los diferentes SCIs.

Como vimos en la primera publicación un SCI es un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados[1]. Sin embargo existen diferentes maneras de realizar esta tarea, por diferentes maneras me refiero a diferentes tipos y configuraciones de SCIs que serían los siguientes: Sistema de Control Distribuido (SCD),  Sistemas de Supervisión, Control y Adquisición de Datos (SCADA), Controladores Lógicos Programables o Autómatas Programables (PLC).

Comenzaremos hablando de los SCD que son los encargados de controlar procesos industriales dentro de la misma zona geográfica. Se utilizan ampliamente en industrias basadas en procesos, además de que estos sistemas están interconectados con la red corporativa para proporcionar a las operaciones de negocio una visión de la producción. En la siguiente imagen se muestra la implementación de un SCD:

CapturaPost51

Por su parte los sistemas SCADA están altamente distribuidos y se utilizan para controlar activos dispersos geográficamente donde la adquisición y control de datos son críticos para la operación o funcionamiento del sistema. Los sistemas SCADA están diseñados para recoger información de campo y transferirla a una instalación informática central de modo que un operador pueda supervisar o controlar centralizadamente un sistema completo en tiempo real. Estos sistemas están diseñados para ser tolerantes a fallos con gran redundancia integrada en la arquitectura del sistema. La diferencia principal entre sistemas los SCD y los sistemas SCADA es que es que los primeros distribuyen los componentes de control mientras que los segundos son centralizados. Para ilustrar cual sería el diseño de un sistema SCADA se muestra la siguiente imagen:

Post52

 

Por último encontramos los controladores lógicos programables o PLCs, los cuales son dispositivos informáticos de estado sólido que controlan equipos y procesos industriales. Como se puede ver en las imágenes anteriores los PLCs se utilizan bastante en sistemas SCADA y SCD, sin embargo en muchas ocasiones son los componentes primarios de configuraciones de sistemas de control más pequeños más pequeños que proporcionan control operativo sobre los diferentes procesos. Los PLCs se utilizan en la gran mayoría de los procesos industriales. A continuación se representa la arquitectura de un PLC:

 

Captura53

Antes de finalizar me gustaría aclarar ciertos términos que vemos en los esquemas pero que quizá no se conozcan y no se sepa la función que realizan dentro del sistema:

  • Servidores de control: El servidor de control aloja el software de control de supervisión de SCD o PLC que se comunica con los dispositivos de control de nivel inferior.
  • Servidor SCADA (MTU): Se trata de un dispositivo que actúa como el maestro en un sistema SCADA.
  • Unidad terminal remota (RTU): Es una unidad de adquisición y control de datos de propósito específico diseñada para apoyar las estaciones remotas SCADA.
  • Dispositivo electrónico inteligente (IED): Es un sensor/mecanismo “inteligente” que contiene la inteligencia necesaria para adquirir datos, comunicarse con otros dispositivos, y realizar procesamiento y control local.
  • Interfaz hombre maquina (HMI): Un HMI es el software y el hardware que permite a los operadores humanos supervisar el estado de un proceso bajo su control, modificar las configuraciones de control para cambiar el objetivo de control y anular manualmente las operaciones de control automático en caso de una emergencia.
  • Histórico de datos: La información almacenada en esta base de datos puede ser accedida para apoyar diversos análisis, desde el control estadístico de procesos hasta la planificación a nivel empresarial.
  • Servidos de entrada/salida (ES): El servidor ES es un componente de control responsable de la recogida, el almacenamiento en memoria intermedia (buffer) y la provisión de acceso para procesar la información de los subcomponentes de control, tales como PLCs, RTUs e IEDs [2].

 

Por ultimo me gustaría señalar que los SCI son sistemas complejos con muchos componentes pero que desempeñan su función de forma eficiente y correcta. Gracias a ellos la industria actual se encuentra en una muy buena posición, permitiendo producir productos de alta calidad a un precio razonable. Su uso es crítico y como he señalado a lo largo de las cinco publicaciones su seguridad es crucial para la empresa, por ese motivo siempre deberían de tenerse en cuenta, además deberíamos concienciarnos de que su labor es crucial para el bienestar de la empresa.

 

Referencias:

 

[1]PublicaTIC. <<Una vista global a los sistemas de control industrial>>. Acceso 27 de noviembre de 2018. https://blogs.deusto.es/master-informatica/una-vista-global-a-los-sistemas-de-control-industrial/

[2] ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 27 de noviembre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

 

Controles y auditoria para los sistemas de control industrial

Download PDF

En el anterior post estudiamos los riesgos que afectan a los sistemas de control industrial. Pudimos ver que el mayor problema que rodea a los sistemas de control industrial es su tecnología anticuada y por lo tanto que estos resultan vulnerables a ataques, es decir van atrasados en materia de ciberseguridad. Esto se debe a que en un principio fueron diseñados para usarse en lugares que no estuviesen expuestos a una red externa, sin embargo los tiempos cambian y han obligado a estos sistemas a estar conectados tanto con otros sistemas de la empresa como con la red global debido a la cuarta revolución industrial.

Hay muchos desafíos que enfrentan la protección de sistemas de control industrial, que van desde técnicas, tales como protocolos de comunicación débiles (en su mayoría sin cifrar) o la larga vida útil de estos sistemas, a organizativos (por ejemplo, la falta de colaboración y coordinación entre los departamentos involucrados) y gubernamentales, por ejemplo la falta de una política de seguridad en operadores de infraestructura crítica.

Un problema muy importante que ha sido incluido entre los ocho mayores desafíos en la seguridad de sistemas de control industrial es que los miembros de alta dirección de las empresas que utilizan sistemas de control industrial no están suficientemente involucrados en la seguridad del sistema de control industrial [1].

Comenzaremos identificando los controles necesarios teniendo en cuenta los riesgos estudiados anteriormente. Debido a que el riesgo que identificamos hace referencia a la ciberseguridad y esta está estrechamente relacionada con la seguridad de la información tomaremos como referencia el estándar ISO 27002. Sin embargo solo haremos uso de aquellos controles que tengan que ver con nuestro tema, que son los siguientes:

RIESGO NIVEL DE RIESGO CONTROL
Conexión remota a los sistemas

Alto

6.2.1 Política de uso de dispositivos para movilidad.

 

6.2.2 Teletrabajo.

 

9.1.2 Control de acceso a las redes y servicios asociados.

 

9.2.1 Gestión de altas/bajas en el registro de usuarios.

 

9.2.2 Gestión de los derechos de acceso asignados a usuarios.

 

9.2.3 Gestión de los derechos de acceso con privilegios especiales.

 

9.4.1 Restricción del acceso a la información.

 

9.4.2 Procedimientos seguros de inicio de sesión.

 

12.4.1 Registro y gestión de eventos de actividad.

Integración con otros sistemas TI de la empresa

Alto

5.1.2 Revisión de las políticas para la seguridad de la información.

 

12.3.1 Copias de seguridad de la información.

 

12.7.1 Controles de auditoría de los sistemas de información.

Uso de dispositivos portátiles

Medio

8.3.1 Gestión de soportes extraíbles.

 

8.3.2 Eliminación de soportes.

 

8.3.3 Soportes físicos en tránsito.

 

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.

 

12.3.1 Copias de seguridad de la información.

Falta de renovación de la tecnología

Alto

12.1.2 Gestión de cambios.

 

12.1.3 Gestión de capacidades.

 

12.1.4 Separación de entornos de desarrollo, prueba y producción.

 

14.2.2 Procedimientos de control de cambios en los sistemas.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

 

14.2.7 Externalización del desarrollo de software.

 

14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.

 

14.2.9 Pruebas de aceptación.

Falta de concienciación y comunicación sobre la seguridad

Alto

6.1.1 Asignación de responsabilidades para la seguridad de la información.

 

6.1.2 Segregación de tareas.

 

6.1.4 Contacto con grupos de interés especial.

 

7.2.2 Concienciación, educación y capacitación en seguridad de la información.

 

16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.

 

16.1.5 Respuesta a los incidentes de seguridad.

Inadecuada gestión del cambio

Medio

12.1.2 Gestión de cambios.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

Conexión con una red global

Alto

9.4.1 Restricción del acceso a la información.

 

10.1.1 Política de uso de los controles criptográficos.

 

11.1.6 Áreas de acceso público, carga y descarga.

 

12.2.1 Controles contra el código malicioso.

 

13.1.1 Controles de red.

 

13.2.1 Políticas y procedimientos de intercambio de información.

 

14.1.3 Protección de las transacciones por redes telemáticas.

 

Como podemos observar los riesgos relacionados los sistemas de control industrial están altamente relacionados con la seguridad de la información, con la conexión de estos sistemas a la red los datos quedan expuestos a atacantes en la red o incluso que se encuentran dentro de la empresa. Por ese motivo utilizando todos los controles mencionados anteriormente somos capaces de controlar y mitigar los riesgos [2].

En pocas palabras me gustaría mencionar que los controles para asegurar la información de los sistemas de control industrial son totalmente necesarios. Por ese motivo las empresas deberían tenerlas muy en cuenta a la hora de implantar estos sistemas o incluso renovarlos. La auditoría sobre los sistemas de control industrial es más que necesaria para la adecuación de estos sistemas a las nuevas demandas de la industria, además de asegurar su continuidad mientras la empresa siga realizando sus labores dentro del sector en el que esta se desenvuelve.

Referencias:

[1] Deusto Océano. <<Approaching secure industrial control systems>>.Acceso 27 de noviembre de 2018. https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0

[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018. http://www.iso27001security.com/html/27000.html

Dispositivos médicos: tendencias futuras

Download PDF

Hemos llegado a la última entrega de los posts sobre los dispositivos médicos. A lo largo de esta serie de articulos, he hablado e intentado dar una visión general sobre estos, sobre la relevancia que tienen en el sector de la industria, sobre los riesgos que pueden tener y, por último, como minimizar el impacto y la probabilidad de estos riesgos mediante procesos de auditoría. Ya que conocemos todos estos aspectos, me gustaría hablar de como será el futuro de estos y volúmenes de datos.

Los avances en medicina y atención clínica están cada vez más ligados a las tecnologías informáticas. Esto explora las nuevas tendencias en la salud inteligente y el beneficio que aportan al paciente individual y a la sociedad en su conjunto [1].

El mercado de dispositivos médicos y tecnología alcanzará muchas ventas en varios años, por lo tanto, no es de extrañar que tanto las empresas como las nuevas empresas consideren la tecnología médica como una industria lucrativa que puede ayudar al sector a evolucionar y cambiar la calidad de vida [2].

La innovación está impulsando cambios significativos en todo el sector de la salud y está llamada a transformar la salud en los próximos años. En la actualidad, por ejemplo, están en desarrollo microimplantes que permitirán regular la actividad de los órganos para que tengan un mejor funcionamiento. Entre otros, para tratar la diabetes, el microimplante permitiría regular la cantidad de insulina producido por el páncreas.

Asimismo, actualmente, la impresión 3D para los dispositivos médicos es más frecuente sobre todo en piezas dentales e implantes ortopédicos ya que estos se adaptan a la medida que el paciente requiere. Los científicos ahora están enfocados en que las maquinas se puedan utilizar para desarrollar miembros vivos como el hígado y el corazón. También, a día de hoy, ya se pueden practicar implantes artifíciales de piel, cartílagos o vasos sanguíneos.

Otro caso es el de los diagnósticos moleculares. A partir de una muestra de tejido y de sangre, se extrae el material genético mutado que está asociado a los cambios celulares que se relacionan con distintas enfermedades. La integración de la información medida y parámetros que se calculan, permiten lo siguiente: predecir la efectividad de una intervención terapéutica, calcular el riesgo de mortalidad, identificar la necesidad de un procedimiento posterior, evaluar y dar seguimiento a una cirugía [3].

La sala de cirugía inteligente es otra tendencia importante a nivel de innovación en la que se busca interconectividad de datos entre todos los dispositivos médicos dentro de la sala. El propósito es tener un monitoreo constante y especifico del paciente. Además, este tipo de instalación le da a los cirujanos mejores condiciones para maniobrar y mayor control sobre los procedimientos, lo que permitiría realizar una cirugía menos invasiva y con mayor éxito, con una recuperación más rápida del paciente. Esto será gracias a la automatización y la inteligencia artificial.

Por otro lado, con la remodelación cardiovascular, se espera cuanto antes que tanto el marcapasos sin cables como el resincronizador y los desfibriladores automáticos sean cada vez más comunes.

De la misma manera, la inteligencia artificial y el Big Data, junto con los avances de la aplicación del genoma humano a la práctica médica, permitirán ofrecer a cada paciente la terapia mas adecuada y con menores efectos secundarios [4].

Bien, finalizaré dicho post y esta serie de posts, mostrando una estadística en la cual aparece un ranking de las empresas de tecnología médica con mayor volumen de ventas a nivel mundial según las estimaciones para el 2024. Con vistas a ese año, se prevé que la empresa Medtronic llegue a facturar aproximadamente 39.000 millones de dólares estadounidenses en el sector de la tecnología médica. Asimismo, Medtronic es la mayor empresa independiente dedicada al desarrollo de tecnología médica del mundo [5].

 

post5

Se puede ver como la empresa Medtronic alcanza las 38.9 millones de ventas, en cambio, la empresa que menos ventas alcanza es General Electric, ambas en Estados Unidos, con 12.9 millones de ventas.

En conclusión, las constantes innovaciones en este sector han incrementado considerablemente la esperanza y calidad de vida, así como la asistencia sanitaria. La tecnología esta presente en nuestro día a día, desde el material de un solo uso hasta los equipos más sofisticados de diagnóstico por imagen, desfibriladores, glucómetros, test de embarazo, y otras muchas tecnologías y servicios que han mejorado de manera radical tanto la práctica médica como la salud de todos.

 

Referencias:

Fuente obtenida por el uso de Oceano Deusto:

[1] Smart Health and Well-Being. Acceso el 27 de noviembre del 2018.

https://ieeexplore-ieee-org.proxy-oceano.deusto.es/stamp/stamp.jsp?tp=&arnumber=7742279

[2] Medtech: five trends for the future. Acceso el 27 de noviembre del 2018.

https://pharmaphorum.com/views-and-analysis/medtech-five-trends-for-the-future/

[3] 5 dispositivos médicos del futuro que el profesional de la salud debe conocer. Acceso el 27 de noviembre del 2018.

https://saludiario.com/5-dispositivos-del-futuro-que-el-medico-debe-conocer/

[4] Tecnologías sanitarias: donde estamos y hacia donde vamos. Acceso el 27 de noviembre del 2018.

https://www.efesalud.com/tecnologias-sanitarias-salud-futuro

[5] Ranking de las empresas de tecnologia medica con mayor volumen de ventas a nivel mundial en el año 2024. Acceso el 27 de noviembre del 2018.

https://es.statista.com/estadisticas/601378/prevision-de-las-principales-empresas-de-tecnologia-medica-segun-ingresos/

Controles y auditoría de los dispositivos médicos

Download PDF

En el artículo anterior indicamos los riesgos que se producen con los dispositivos médicos.  ¿Cómo podríamos prever estos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará los diferentes controles de auditoría que se deberán hacer.

Los controles de auditoría, en nuestro caso de los dispositivos médicos, son procesos interdisciplinarios que permiten hacer una investigación, consulta, verificación, comprobación y generación de evidencia sobre su calidad y el funcionamiento correcto de ellos.

post4

En la entrega previa, me enfoqué en los riesgos en general de los dispositivos médicos, en cambio, en esta nueva entrega me enfocaré más en los controles de auditoría respecto a los riesgos tecnológicos de los dispositivos médicos.

En la siguiente tabla, se mostrará algunos dispositivos médicos que he elegido entre otros, con sus riesgos y controles de auditoría.

 


Dispositivo médico: Implantes.

Riesgos:

El mayor riesgo de fracaso del implante dental la constituye un diseño inadecuado de la prótesis.

En cuanto a los inconvenientes postoperatorios pueden ser los siguientes: infecciones, sensaciones de anestesia, daños o sensibilidad en otros dientes, vasos sanguíneos, nervios, encía o labios.

En el proceso de osteointegración puede haber fallos también[1] :

  • Enfermedades previas del paciente que no se han tratado debidamente antes de la colocación.
  • Hábitos del paciente que no se han tenido en cuenta a la hora de implantar el implante.
  • Baja calidad de los materiales utilizados
  • Errores de especialista.

Controles:

Los riesgos se pueden evitar siempre y cuando se tienen en cuenta aspectos de tratamiento como:

  • Correcta planificación pre-quirurgica.
  • Utilizar una adecuada técnica quirúrgica.
  • Seguimiento pos-quirurgico.
  • Respetar el tiempo de osteointegración.
  • Realizar el diseño apropiado de la supraestructura.
  • Estudio y la correcta distribución de las cargas oclusales.

Dispositivo médico: Marcapasos

Riesgos:

  • Hacer una punción en una vena que pasa por encima del pulmón dando lugar a la entrada de aire externo.
  • Riesgos de infecciones.
  • Riesgo de lesiones en el musculo cardiaco que puedan ocasionar un sangrado del propio corazón.

Controles:

  • Hacer revisiones cardiológicas para confirmar el buen funcionamiento del dispositivo.
  • Valorar las posibles interferencias en el funcionamiento del sistema de estimulación provocadas por fármacos o por distintas técnicas.
  • Valorar el estado de la batería y los cables.
  • Valorar la eficacia de la captura de la estimulación auricular/ventricular [2] .

Dispositivo médico: Bombas de insulina

Riesgos:

  • En caso de suspensión del suministro de insulina puede aumentar rápidamente la glucemia y el riesgo de desarrollar cetoacidosis.
  • Bajada de glucosa en sangre o hipoglucemia.
  • Aumento de peso.

Controles:

  • Dosificación más sencilla: calcular las necesidades de insulina puede ser una tarea compleja en la que hay que tener en cuenta múltiples aspectos [3].

Dispositivos médico: Sistemas de ultrasonido

Riesgos:

  • Debido a la exposición por contacto directo.
  • Debido a la exposición indirecta por vía aérea.

Controles:

Para prevenir una exposición a ultrasonidos transmitidos por contacto:

  • Posibilitar en la medida de lo posible la automatización del proceso.
  • Utilización de los equipos por personal cualificado.
  • Colocación de señalización conveniente de las zonas donde existan equipos emisores de ultrasonidos.
  • Colocación de tapas a los equipos cuando no sea necesario su funcionamiento.

Para prevenir exposición por vía aérea:

  • Efectuar normas de trabajo.
  • Colocar encerramientos parciales o totales, pantallas o absorbedores para reducir los ultrasonidos.
  • Alejamiento del foto productor.
  • Reducción del tiempo de exposición [4] .

 

Por otro lado, en el ámbito de la medicina y dispositivos médicos, también existe el rol de auditor. El perfil ideal del auditor  podría ser el siguiente:

  • Conocimiento práctico de los sistemas de calidad relativos a los productos sanitarios (marcado CE, ISO 13485:2003 e ISO 9001:2008.
  • Experiencia demostrada en auditorías (internas o externas).
  • Tener título de médico Especialista en: medicina Interna, medicina Intensiva, Cirugía, ginecología, Pediatría y otras especialidades.
  • Profesional médico dedicado a la labor docente en las áreas médicas.
  • Desarrollar buenas relaciones inter-personales de los empleados y profesionales a fin de favorecer un óptimo trabajo en equipo.

Asimismo, el auditor de dispositivos médicos estará involucrado en lo siguiente [5] :

  • Planificación y realización de auditorías (ISO, IVD, MDD, FDA, MRA, Marcado CE) de los dispositivos médicos activos del cliente, instalaciones y sistemas de gestión de calidad (QMS).
  • Ensayos de productos sanitarios activos de acuerdo con las normas eléctricas pertinentes.
  • Revisión y aprobación de expedientes técnicos y de diseño, notificaciones de cambios significativos y otra documentación técnica.

Por último, hasta el momento, a lo largo de los diferentes posts, he hablado sobre el contexto de los dispositivos médicos, que relevancia tienen en la industria, los riesgos que abarcan y en este mismo post, los controles de auditoría. Bien, para finalizar esta serie, me gustaría hablar sobre las innovaciones , volúmenes de negocio y tendencias futuras en el siguiente post que vendrá pronto.

Continuará…

 

Referencias:

[1] Riesgos de los implantes. Acceso el 26 de noviembre del 2018.

https://iomm.es/implantes-dentales/riesgos/

[2] Marcapasos, ¿ cuáles son sus beneficios y riesgos? Acceso el 26 de noviembre del 2018.

https://saberdesalud.com/marcapasos/#Que_riesgos_tiene_la_implantacion_de_un_marcapasos

[3] Bombas de insulina. Acceso el 26 de noviembre del 2018.

http://www.clinidiabet.com/es/infodiabetes/bombas/33.htm

[4] Sistemas de ultrasonidos. Acceso el 26 de noviembre del 2018.

http://www.ibgm.med.uva.es/addon/files/fck/RFMOULTRAS.pdf

[5] Medical Devices Auditor Job. Acceso el 26 de noviembre del 2018.

https://ckscience.co.uk/medical-devices-auditor-job-active-devices-field-based/

Actualidad y futuro de la Identidad Digital

Download PDF

Tras semanas escribiendo en este blog sobre la identidad digital, sus riesgos, los controles que implantar y hasta noticias de actualidad, ha llegado el día en el que escribo este, mi último post. Para la ocasión he elegido varios temas con los que me gustaría terminar que iré desglosando poco a poco.

En el mundo físico cuando nos comunicamos con un interlocutor tenemos evidencias de quién es la persona como puede ser la voz o el aspecto físico del individuo. Cuando la comunicación es escrita se usa el concepto de “firma” para reconocer al emisor del mensaje. ¿Pero qué pasa cuando el medio es el más abierto y menos confiado del Mundo? Sí, estoy hablando de Internet. Sorprendentemente la solución es usar el concepto que acabo de mencionar pero en la era digital, es decir, “firma digital”. Esta tecnología se lleva usando décadas con la finalidad de proteger mensajes de carácter sensible como en la Guerra Fría. Pero la noción de la tecnología de clave pública permite una identificación y autenticación económica de mensajes y personas en la red. Las firmas digitales usan una infraestructura de clave pública (PKI) en la que las autoridades de certificación actúan como terceros de confianza para tanto identificarte como autenticarte [1]. [Read more…]

Una opinión personal sobre el estándar PCI DSS

Download PDF

Una vez realizados todos los posts anteriores, ya tengo una idea más amplia de lo que el estándar PCI DSS (Payment Card Industry Data Security Standard) propone y también he observado casos en los que el estar certificado con PCI DSS no ha evitado que ocurran acciones fraudulentas en una empresa. Todo esto me ha hecho pensar en lo que pasa cada vez que hago una compra online y, además, en el estado de las empresas con mayor facturación online en España. Por todo esto, me gustaría centrar este post en una opinión personal (basada en datos reales) sobre lo que ocurre en las compras del día a día.

Con la evolución del internet para poder comprar online casi todo lo que queremos, han surgido diferentes empresas dedicadas casi en exclusiva al comercio online y otras empresas que han evolucionado para vender online lo que ofrecen físicamente en tienda. Mirando diferentes artículos en internet, he encontrado uno que mostraba las empresas con mayor facturación online en España[1].

Encabezando la lista tenemos a Amazon liderando el ecommerce con unas cifras abrumadoras de 1.301 millones de euros facturados en el año 2017. Si bien es verdad que se han encontrado publicaciones[2] en las que se especifica que el servicio Amazon Web Services es PCI DSS compilant, no he llegado a encontrar ninguna publicación que asegure que la página de ecommerce lo sea. Aun así, existe un FAQ[3] en el que afirman que sí es PCI compilant aunque únicamente en los servicios  que ofrecen.

En segundo lugar nos encontramos el eccomerce de El Corte Inglés con ventas por el valor de 684 millones de euros facturados en el año 2017. Haciendo una búsqueda rápida se puede verificar que esta empresa cumple con el estándar gracias a la pasarela de pago ConexFlow que utilizan[4]. Si bien esos datos fueron recogidos en el año 2007, podemos seguir observando en diferentes páginas actualizadas de la empresa[5] que cumplen con el estándar PCI DSS y, además, con el estándar PA DSS (Payment Application Data Security Standard).

En tercer lugar tenemos PC Componentes, con una facturación de 301 millones de euros en el año 2017. Con un vistazo rápido en su web[6], ha sido fácil encontrar que cumplen con el estándar PCI DSS.

En cuarto lugar tenemos la empresa Mediamarkt, con una facturación de 227 millones de euros en el año 2017. Al igual que ha pasado con la empresa anterior, con una simple búsqueda en su página web[7] ha sido suficiente para encontrar que cumplen con el estándar.

Una vez observados estos datos, he cambiado de misión, me he puesto a buscar empresas de cualquier lugar del mundo que han tenido vulnerabilidades. Si es de esperar que estas empresas a nivel nacional cumplan con el estándar, es de esperar que empresas conocidas mundialmente lo sean y, en mi opinión, deberían tener aún más cuidado que empresas nacionales en lo que al ecomerce se refiere.

Echando un vistazo en la página gbhackers[8], ha sido muy fácil encontrar diferentes ejemplos de este problema, ¿cómo he dado con esta página? Muy sencillo, soy una persona a la que le gusta comprar maquillaje, una de las empresas americanas en las que suelo comprar es Tarte. Me he puesto a buscar fallos de esta empresa y, tras encontrarlos[9] he podido observar que este sitio guarda aun más noticias relacionadas con el estándar PCI DSS.

Captura de pantalla 2018-11-25 a las 21.06.18

Actualmente, no existe ninguna ley que regule los pagos realizados en ecommerces y, se puede observar que los problemas que ocurren cuando se implementan mal estas transferencias (o, directamente, no aplicar ningún tipo de control) hace ‘quebrantar’ leyes sobre la protección de los datos de los clientes. Vivimos en un mundo en el que las ventas online incrementan todos los años de manera continuada[9] y en el que el robo de datos está a la orden del día. Estamos en el momento propicio para crear leyes que regulen las compras (y el tráfico en general) online. Hay demasiados antecedentes en este sector como para que se empiecen a tomar medidas inmediatamente.

Si bien es verdad que ‘los malos’ siempre van a existir, ¿no es hora de que ‘los buenos’ les pongan el trabajo aun más difícil? ¿No es hora de empezar a imponer leyes y acciones para proteger los datos de los ciudadanos de este mundo? ¿No es hora de empezar a controlar el tráfico online de una manera más exhaustiva? Yo creo que sí, yo creo que ya va siendo hora de empezar a tomar cartas en el asunto. Desde mi punto de vista, es hora de coger el estándar PCI DSS y redactar una ley (o las que hagan falta) sobre el mismo y obligar a las empresas a que la apliquen como es debido. Es hora de crear sanciones para todas aquellas empresas que apliquen mal el estándar y, aún más severamente, de sancionar a todas aquellas empresas que no acojan las leyes creadas.

 

Referencias:

[1] <<Las cinco tiendas online que más facturan en España>>, Statista, 24 de Noviembre de 2018, https://es.statista.com/grafico/15551/tiendas-online-con-mayor-facturacion-en-espana/

[2] <<Introducción a Amazon Web Services>>, Deloitte, 24 de Noviembre de 2018, https://www2.deloitte.com/es/es/pages/technology/articles/introduccion-a-amazon-web-services.html

[3] <<Is Amazon.com PCI compilant?>>, Quora, 24 de Noviembre de 2018, https://www.quora.com/Is-Amazon-com-PCI-compliant

[4] << Informática El Corte Inglés, primera empresa española en obtener la máxima certificación internacional de seguridad en el pago con tarjetas de crédito>>, El Corte Inglés, 24 de Noviembre de 2018, https://www.elcorteingles.es/informacioncorporativa/es/comunicacion/notas-de-prensa/informatica-el-corte-ingles-primera-empresa-espanola-en-obtener-la-maxima-certificacion-internacional-de-seguridad-en-el-pago-con-tarjetas-de-credito.html

[5] Informática El Corte Inglés, El Corte Inglés, 24 de noviembre de 2018,  https://www.iecisa.com/es/que-hacemos/soluciones/Enhanced-Commerce/

[6] <<Condiciones de tarjetas vinculadas>>, PC Componentes, 24 de noviembre de 2018, https://www.pccomponentes.com/condiciones-paytpv

[7] Atención al cliente, MediaMarkt, 24 de noviembre de 2018, https://specials.mediamarkt.es/atencion-al-cliente

[8] GBHackers on security, GBhackers, 24 de noviembre de 2018, https://gbhackers.com/

[9] <<E-Commerce In 2018: Here’s what the experts are predicting>>, Forbes, 24 de noviembre de 2018, https://www.forbes.com/sites/tompopomaronis/2017/12/15/e-commerce-in-2018-heres-what-the-experts-are-predicting/#1552ddf06deb

Controles y auditoría de las redes sociales

Download PDF

¡Buenos días/tardes/noches a tod@s una vez más!

Como ya recogimos en la pasada publicación, clasificabamos los riesgos del uso de las redes sociales en estas categorías: relacionados con quién las gestiona, con la comunicación, con los costes, con la reputación y los riesgos humanos. Ahora, una vez los hemos identificado, tenemos que pasar a la siguiente fase y recoger controles potenciales para ellos y la identificación de la mejor forma para cada uno de ellos.

Comenzaremos hablando de los riesgos reputacionales y de imagen y de cómo es la forma adecuada de controlarlos, para más adelante auditarlos. En este caso, la importancia de dicha auditoría no residirá en buscar qué es lo que se ha hecho, sino en por qué se han llevado a cabo los procesos, políticas y planes comprobando que se cubren las oportunidades que se puedan detectar y los riesgos potenciales, y sobre todo, que se actúa de manera adecuada.

 

Recogiendo los riesgos relacionados con la gestión, los que van relacionados a la comunicación y los de los costes vamos a recogerlos en un mismo sector al que llamaremos “riesgos estratégicos”. Hay que tener claro que los riesgos estratégicos surgirán cuando utilicemos de forma ineficiente (haciendo que las actividades de las redes sociales no vayan de la mano de los objetivos de la organización), lo que tendrá consecuencias económicas directamente relacionadas. Entonces, para evitarlos habrá que recoger una serie de directrices. Estas son esas directrices (y algunas herramientas para poder definirlas): [Read more…]