Post 5: Experiencia de auditar Blockchain y reflexiones

Download PDF

Buenas de nuevo! En este último post haremos un resumen de lo aprendido para el proceso de auditar, desde el punto de vista de las TIC. En mi caso, decidí utilizar Blockchain como temática para comprender primero cómo funcionaba la tecnología y segundo (más importante), conocer de primera mano todo el ciclo de vida de un proyecto de investigación para auditar a cerca de esta temática.  Para resumir brevemente y quedarnos con la idea de un vistazo, he resumido el proceso en la siguiente imagen (figura 1), donde trato de simplificar y exponer de manera sencilla todo el proceso seguido hasta ahora. A groso modo, he realizado cuatro sprints de investigación donde en cada uno, ponía el foco en tareas y cuestiones concretas.

 

Captura

Figura 1: Proceso de auditoria.

 


Como punto de partida, dentro del objetivo de auditoría se debe definir el objetivo del proyecto. En mi caso (me repito nuevamente), decidí simular la todo el proceso con Blockchain. Los pasos se pueden resumir en cuatro: “Contextualización”, “Evidencias del sector”, “Riesgos Asociados” y “Controles”.

 

  1. Contextualización: Lo primero que hice fue investigar cómo funcionaba la tecnología. Las preguntas a las que tenía que responder eran básicamente tres:
  • ¿Qué es BlockChain?
  • ¿Cómo funciona?
  • ¿Qué arquitectura tiene?

De esta manera, me nutri de información suficiente para comprender sus beneficios, posibles casos de uso, funcionamiento y palabras clave dentro de este contexto. Básicamente, aprendí la tecnología. Lo publiqué en el post 1.

  1. Evidencias del sector: Una vez conocía la tecnología, expandí mi conocimiento a cerca del mismo. Las tareas que realicé fueron las siguientes:
  • Investigar si existen agentes reguladores
  • Ver si existen leyes, directivas o normativas acerca de Blockchain (a nivel nacional e internacional)
  • Leer noticias recientes o, en su defecto, relevantes para la rama tecnológica

 

De esta manera, lo que obtuve como resultado es no sólo la visión de la propia tecnología, sino además la perspectiva global de a día de hoy, esto es, cómo se movía en el sector. Si quereís echarle un vistazo, lo dejé redactado en el post 2. Seguramente sea el post en el que más me he entretenido y disfrutado, realicé un pequeño estudio que subí a LinkedIn y todo!


  1. Riesgos Asociados: Conociendo la tecnología y madurez dentro del sector, en esta tercera fase me metí de lleno en tratar de identificar riesgos asociados a la propia naturaleza de la tecnología. Estos riesgos, debían de ser medibles, para poder ponderarlos después y priorizar. En mi caso, decidí utilizar dos variables sencillas: el impacto (daño que causaría) y probabilidad. Cabe destacar que me sorprendió para bien el aprender además de la los riesgos inherentes que debían de tenerse en cuenta, existían otros ajenos a los mismos como pueden ser las personas o ataques de terceros. En este apartado debo sincerarme y admitir que gran parte del post fue basado en una investigación de ISACA, son pioneros en auditar y sin ellos y la información obtenida por parte de Rebeca me hubiera costado mucho más (además, estoy convencido de que no hubiera acertado para nada).

 

  1. Controles: Una vez identificamos los riesgos, quedaba la parte de pensar en la manera de cómo afrontarlos. No tiene sentido ser consciente de problemas potenciales si luego no hacemos nada. De la misma manera, en el post 4, ofrecí una tabla de riesgos (resultado de la investigación del punto 3) donde primero prioricé los mismos y después fui desgranando uno a uno para poder aplicar métodos o soluciones para poder mitigar los posibles daños, en el caso de querer implantar esta tecnología en una organización tipo.

 

Esto ha sido todo el trabajo realizado, de manera individual. A modo reflexión, me he dado cuenta de que es necesaria la tarea de auditar: por precariedad, un organización debería  realizar una investigación para cada tecnología clave del sistema. No sólo contento con esto, en un mundo tan hipercambiante como en el que hoy en día vivimos quizás deberíamos tratar de ir más allá e investigar en tecnologías innovadoras para valorar si realmente nos compensa implantarlos. Bajo mi punto de vista, las empresas deberían explotar nuevas vías, de mano con procesos iterativos de auditoria (al menos desde el punto de vista de implantación de nuevas tecnologías). Para mi ha sido todo un placer compartir este proceso de aprendizaje que espero que a su vez, haya valido para aportar mi granito de arena.

¿Cómo nos afecta la nueva ley de copyright?

Download PDF

En este último blog os voy traer una noticia reciente que me ha parecido bastante interesante relacionada con la propiedad intelectual y que nos afecta a todos, tanto como consumidores como creadores de contenido en Internet.

Hace unos meses saltaba la noticia cuando el parlamento europeo aprobaba una reforma de la ley de copyright actual. Los artículos más polémicos han sido el 11 y 13 que ponen en peligro la libertad de expresión y el acceso a la información como lo conocemos hoy en día. [1]

Con el artículo 11 se pretende proteger a los medios de comunicación y creadores de contenido. Dentro de este artículo se contempla los siguientes puntos:

  • Los usuarios de redes sociales u otras plataformas de Internet no podrán compartir fragmentos de noticias y ningún tipo de contenido con derechos de autor durante 20 años contando desde la creación del contenido. [2]
  • Se contempla el pago de licencias para la utilización de fragmentos protegidos por derechos de autor. [2]

Por otra parte, el artículo 13 propone regular el uso de contenidos protegidos por parte de proveedores de servicios de la sociedad de la información como pueden ser redes sociales, motores de búsqueda como Google o plataformas de contenido como YouTube. [2] Concretamente se contemplan los siguientes puntos:

  • La responsabilidad de los contenidos pasa a ser de quien los hospeda, no del que los produce. [3]
  • Se contempla también el pago de licencias a los propietarios de los derechos para permitir el uso de su contenido en la plataforma. [2]

Con esta medida plataformas como YouTube serán responsables de los vídeos subidos y deberán implementar sistemas que se encargan de detectar y eliminar todo aquel contenido que se suba a la plataforma y este protegido por derechos de autor. [3]

Con la instalación de estos sistemas surge un nuevo problema ya que no son del todo fiables. Si tomamos como ejemplo YouTube, su sistema hace lo siguiente: [4]

  1. Los propietarios de los derechos envían a YouTube archivos sonoros y visuales sobre sus contenidos.
  2. YouTube crea una huella digital del contenido y la almacena en su base de datos.
  3. Un sistema se encarga de comparar los vídeos subidos con las huellas almacenadas con el objetivo de detectar si se ha utilizado contenido protegido. En caso positivo el contenido será eliminado inmediatamente.

El problema de estos algoritmos es que no son capaces de entender muy bien el contexto. Por ejemplo, si una persona sube un cover de una canción protegida por derechos de autor, el sistema es probable que detecte que está incumpliendo la propiedad intelectual del autor de la canción, ya que puede pensar que la está cantando el propio autor. Evidentemente un cover es totalmente legal, aunque se pueden dar casos de vídeos con un cover que quedarían eliminados por este motivo. Del mismo modo, también es posible que el algoritmo no detecte correctamente los casos realmente ilegales. [5]

Hasta ahora, la baja fiabilidad de estos sistemas no era problema para las plataformas como YouTube ya que no eran responsables del contenido subido por terceros y hay muchas otras plataformas que ni siquiera utilizan este tipo de sistemas. Con la llegada de la nueva ley, todas las plataformas se van a ver obligadas a implementar sistemas mejorados de este tipo para evitar que se suba ningún contenido protegido. Estos algoritmos mejorados probablemente sean capaces de detectar al 100% los casos de infringimiento de la propiedad intelectual. Sin embargo, el número de veces que el sistema detecta contenido legal como ilegal también aumentará.

Evidentemente, en los casos que el algoritmo detecte como ilegal un contenido totalmente legal, se puede enviar una reclamación a la plataforma (si tiene los recursos y cuenta con este tipo de servicios) para demostrar que el contenido es legal. Esto implica más trabajo y recursos tanto para la plataforma como para los usuarios. Al fin y al cabo, ¿quién va a perder el tiempo enviando una reclamación para intentar recuperar un “meme” que publicó en Twitter por ejemplo? Y en caso de hacerlo, lo más probable es que se tarde horas o incluso días en poder tener tu contenido publicado de nuevo cuando ya probablemente no tenga ningún sentido.

Aparte de los propios usuarios, los principales perjudicados de todo esto serían las pequeñas plataformas que no cuentan con los recursos económicos necesarios para poner en marcha sistemas de monitorización que permitan comprobar que contenido infringe la ley y cuál no, por lo que probablemente tengan que cerrar. [3]

En definitiva, la nueva ley de copyright propone un aumento de la persecución de los delitos contra la propiedad intelectual, pero a mi parecer a un coste demasiado elevado, limitando nuestro derecho a la libertad de expresión en Internet.

 

Referencias:

[1]https://www.elconfidencial.com/tecnologia/2018-09-12/ley-copyright-parlamento-europeo-link-tax-upload-filter_1614760/

[2]https://www.adslzone.net/2018/09/12/articulos-11-13-directiva-derechos-autor/

[3]https://hipertextual.com/2018/07/articulo-13-reforma-derechos-autor-afecta-internet

[4]https://marketing4ecommerce.net/lo-debes-saber-la-politica-copyright-youtube/

[5]https://www.youtube.com/watch?v=ilEsBgbm7Fo

Gestion de riesgos y Auditoria del Outsourcing de TI

Download PDF

En el último post se reflejaban los posibles riesgos y los diferentes tipos y clases de estos que podrían aparecer al realizar servicios de Outsourcing. Es fundamental el hecho de que una empresa tenga la habilidad para reducir esos riesgos de tal manera que sean insignificantes para la empresa. Para ello, en un proceso de Outsourcing, se debería de tener en cuenta las siguientes consideraciones [1]:

  1. Revisar y evaluar los procesos de la compañía para monitorear la calidad de las actividades del Outsourcing. Habrá que determinar cómo se van a monitorear los cumplimientos de los SLA y otros requisitos fundamentales del contrato. Es primordial definir en el contrato las expectativas y los objetivos a cumplir, ya que serían afectadas tanto la disponibilidad, eficiencia y eficacia de las operaciones contratadas como la seguridad de los sistemas y de los datos.

Para evitar todo esto, será necesario revisar el contrato, y establecer métricas, cuadros de mando, etc. para comparar los requisitos estipulados con los resultados en tiempo real. Todo esto se hablará dentro de la administración interna para determinar los procesos que se irán a monitorear.

En caso de no plasmar en el contrato los requisitos, se tendrá que acordar como se supervisara la calidad de los servicios y de que manera se va ha responsabilizar el proveedor en caso de insatisfacción o errores. Por eso, hay que asegurarse de plasmar los siguientes temas en el contrato:

  • Disponibilidad y tiempo de actividad esperado.
  • Rendimiento esperado del servicio.
  • Tiempo de respuesta del proveedor.
  • Tiempo de resolución de problemas.
  • Requisitos tanto de cumplimientos de los servicios como de seguridad.
  • Métricas e indicadores de rendimiento.

 

  1. Asegura de que haya procesos adecuados de recuperación de desastres para garantizar la continuidad del negocio en caso de un desastre en su proveedor.

La misma empresa deberá tener también procedimientos documentados sobre la forma en que se recuperarán sus datos en caso de desastre, donde se incluirán procesos de notificación y escalamiento, cualquier transferencia necesaria entre la empresa y el proveedor durante la recuperación, y posibles soluciones. También deberá especificarse un plan de contingencia. Por ello, se solicitará la información al proveedor sobre donde ubica sus datos, y si tiene cualquier replica de la arquitectura.

  1. Revisar y evaluar los planes de la compañía en caso de una terminación esperada o inesperada de la relación de subcontratación. Para que esto no ocurra, la empresa debería exigir al proveedor que le entregue una copia de los datos periódicamente. Los sistemas desarrollados seran flexibles y fáciles de implementar en diferentes entornos.
  1. Revisar los procesos del proveedor para garantizar la calidad del personal y minimizar el impacto de la rotación.

En caso de que los empleados de la empresa proveedora no estén calificados para desempeñar su trabajo de forma correcta o la proveedora tiene un índice alto de rotación, la calidad de los servicios desarrollados se ve afectada. Por ello, hay que revisar el contrato para asegurarse de que las descripciones tanto de los puestos de trabajo como las calificaciones necesarias para cada uno de ellos estén bien definidas y documentadas. En caso de que el proveedor realice cambios frecuentes en los puestos de trabajo, se deberá especificar y garantizar la continuidad de los servicios.

Relacionado con el tema de la auditoria de Outsourcing, cabe destacar que ISACA publico un programa de auditoria para optimizar las relaciones, selección de proveedores, la incorporación y los controles en los servicios de Outsourcing, el cual incluye [2]:

  • Procesos de gobernabilidad y evaluación de riesgos.
  • Análisis del costo-beneficio.
  • Controles internos y requisitos para el proceso de selección de los proveedores.
  • Los pasos apropiados para gestionar la transición de los proveedores internos de servicios a terceros.
  • Monitoreo clave y los controles cuantitativos de la prestación de servicios del proveedor subcontratado.

La parte del proceso de selección del proveedor incluye pasos detallados como:

  • Garantizar que el proveedor cumple con los requisitos reglamentarios de los clientes
  • Que el proveedor es un líder de la industria en el espacio de Outsourcing
  • El proveedor ha establecido un plan de continuidad comercial
  • Los códigos de la conducta entre el cliente y el proveedor están alineada
  • Que los términos del contrato son apropiados.

A continuación, reflejare un modelo de checklist elaborado para los procesos de Outsourcing de IT:

Checklist para Auditar operaciones y servicios de Outsourcing
1. Revisar los contratos aplicables para asegurar que identifiquen adecuadamente todos los productos entregables, requisitos y responsabilidades pertinentes al compromiso de su empresa.
2. Revisar y evaluar el proceso utilizado para seleccionar el proveedor de outsourcing.
3. Determine cómo sus datos se segregan de los datos de otros clientes.
4. Revisar y evaluar el uso de la encriptación para proteger los datos almacenados de la compañía
5. Determinar cómo los empleados y los proveedores acceden a sus sistemas y cómo se controlan los datos.
6. Revisar y evaluar los procesos para controlar el acceso lógico de los no empleados a su red y sistemas internos.
7. Asegúrese de que los datos almacenados en las ubicaciones del proveedor estén protegidos de acuerdo con sus políticas internas.
8. Revisar y evaluar los controles para prevenir, detectar y reaccionar ante los ataques.
9. Determinar cómo se realiza la gestión de la identidad para los hosts basados en Cloud Computing.
10. Determinar cómo el cumplimiento de las leyes de privacidad aplicables y otras regulaciones es asegurado.
11. Revisar y evaluar los procesos para asegurar que la empresa cumple con licencias de software aplicables para cualquier software.
12. Garantizar que las prácticas de retención y destrucción para los datos almacenados fuera del sitio cumplen con la política interna.
13. Revisar y evaluar la seguridad física del proveedor.
14. Revisar y evaluar los procesos de su empresa para monitorear la calidad de operaciones externalizadas. Determinar cómo se monitorea el cumplimiento de los SLAs.
15. Asegurar que existan procesos adecuados de recuperación ante desastres.
16. Determinar si los procesos de gobernanza apropiados están en marcha
17. Revisar y evaluar los planes de su empresa en caso de espera o inesperada terminación de la relación de outsourcing.
18. Si los servicios de TI se han obtenido mediante Outsourcing, revise los procesos del proveedor de servicios para garantizar la calidad del personal y minimizar el impacto del volumen de negocios.
19. Revisar y evaluar el derecho y la capacidad de su empresa de obtener información de la empresa proveedora.
20. Revisar los requisitos para la notificación de violación de seguridad. Garantizar que los requisitos están claramente definidos respecto a Cuándo y cómo el proveedor debe notificar a su empresa en caso de una brecha de seguridad y que su empresa tenga una respuesta claramente definida procedimientos cuando reciban dicha notificación.

Como conclusión, es imprescindible realizar un buen proceso de auditoría para evitar posibles problemas para la empresa, tales como gastos innecesarios, entorpecer o romper la confianza en la relación empresa-cliente, etc. Importantísimo un plan de gestión de riesgos antes de cualquier proceso de vinculación con el proveedor y establecer métricas para medir el rendimiento de los servicios y actividades proporcionadas por la parte proveedora de forma periódica, y dejar plasmado en el contrato todos los requisitos y objetivos al más mínimo detalle

REFERENCIAS:

[1] Chris Davis, Mike Sheller y Kevin Wheeler (IT Auditing Using Controls To Protect Information Assets 2nd edition, 2011), edicion PDF, Capitulo 14

[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_proquest1905430789&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,OUTSOURCING%20AUDIT&sortby=rank&offset=0

 

Controles en la propiedad intelectual

Download PDF

 

En el post anterior hable sobre los riesgos relacionados con la propiedad intelectual, concretamente sobre las fuentes de las que pueden surgir estos riesgos. El objetivo de este post es comentar los controles que un auditor tendría que implementar para tratar los diferentes tipos de riesgos.

Como mencionamos en el post anterior los riesgos pueden proceder de varias fuentes diferentes que suelen ser internas o externas a la organización. En función de esto aplicaremos unos controles u otros.

Entre los riesgos externos encontramos como más importantes (mayor probabilidad de que ocurran y mayor impacto para la empresa) los relacionados con temas de robo de información como puede ocurrir a través de ataques cibernéticos. Para tratar estos riesgos se recomienda usar los controles del estándar ISO 27002 [1] que se encarga de temas relacionados con la protección de datos. Algunos que podemos implementar son:

  • 10.1 Controles criptográficos: asegurar el uso apropiado y efectivo para proteger la confidencialidad, autenticación y integridad de la información.
  • 11.2.4 Mantenimiento de los equipos: asegurarse de que los equipos tienen todas las ultimas actualizaciones para evitar brechas de seguridad.
  • 12.2.1 Controles contra el código malicioso:  implementar controles para la detección, prevención y recuperación ante afectaciones de malware.
  • 13.1 Gestión de la seguridad en las redes:  implantar estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones).
  • 13.2.1 Políticas y procedimientos de intercambio de información: Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la información que viaja a través del uso de todo tipo de instalaciones de comunicación.
  • 15.1 Seguridad de la información en las relaciones con suministradores: se debe controlar el acceso de terceros a los sistemas de información de la organización.

Otro conjunto de riesgos bastante importante son los que pueden provenir de dentro de la organización. Los riesgos más comunes aquí se producen simplemente por descuido y debido a la poca educación de los propios empleados en materia de seguridad. En este caso podemos implementar los siguientes controles del ISO 27002 [1]:

 

  • 7.1.1 Investigación de antecedentes: asegurarse al contratar que la persona contratada no es un posible espía de otra organización como el caso Ferrari comentado en el post anterior. [2]
  • 7.2.2 Concienciación, educación y capacitación en seguridad de la información: es importante presentar a los trabajadores una guía de buenas prácticas que deben lleven a cabo para asegurarnos la protección de la información.
  • 9.1 Requisitos de negocio para el control de accesos: establecer políticas de acceso a la información para evitar que nadie que no deba acceda a información confidencial.
  • 11.1.2 Controles físicos de entrada: evitar que personas no autorizadas accedan a lugares de acceso restringido.
  • 11.2.9 Política de puesta de trabajo despejado y bloqueo de pantalla: evita que personas sin acceso autorizado puedan visualizar en el ordenador información confidencial cuando el responsable del ordenador no está en su puesto de trabajo.
  • 12.3 Copias de seguridad: asegurar de tener siempre disponibles copias de la información en caso de que alguien borre de forma voluntaria o por accidente información.
  • 12.6.2 Restricciones en la instalación del software: evitar que los usuarios puedan instalar software malintencionado con el que puedan robar información.
  • 13.2.4 Acuerdos de confidencialidad y secreto: firmar acuerdos de confidencialidad con los empleados para evitar que puedan divulgar en el futuro información confidencial. En caso de hacerlo se podría denunciar.

Por último siempre es importante actuar de acuerdo a lo que la ley establece. En caso de empresas internacionales será necesario cumplir con la ley vigente en cada uno de los países en los que se opera, que en temas de propiedad intelectual suele variar de unos a otros. En caso de que el país está englobado dentro de una organización superior como puede ser la UE también será necesario tener en cuenta su legislación. Para este caso se pueden implementar los siguientes controles del punto 18.1 que se encarga de cumplir con los requisitos legales:

 

  • 18.1.1 Identificación de la legislación aplicable: se deberá estar al corriente de todos los cambios que se pudieran producir en la legislación.
  • 18.1.2 Derechos de propiedad intelectual (DPI): se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.
  • 18.1.5 Regulación de los controles criptográficos.

Referencias:

[1]http://www.iso27000.es/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

Gestión de riesgos en propiedad intelectual

Download PDF

En este tercer post hablaré sobre los diferentes riesgos relacionados con la propiedad intelectual que pueden surgir dentro de un entorno empresarial. Un riesgo es la probabilidad de que un peligro ocurra y tengan consecuencias negativas para la organización. Para llevar a cabo una buena gestión de riesgos como auditores, es importante conocer las diferentes fuentes de las que pueden surgir para posteriormente listar una serie de riesgos potenciales y poder actuar en consecuencia para intentar evitarlos. Algunas de las fuentes más importantes a tener en cuenta a la hora de buscar riesgos son [1]:

  • Dentro de la propia organización: esta es una de las principales fuentes de riesgo. En algunos casos es debido a la falta de educación de los empleados de la empresa en cuanto a propiedad intelectual se refiere. En otros casos es debido a actos deliberados de los propios empleados. Este último caso es el más común y suele darse al abandonar un empleado la empresa. Esto es debido a que la propiedad intelectual está en muchas ocasiones en el propio conocimiento de la gente y cuando se va hay que tener en cuenta que se puede transmitir a gente externa a la organización. Si esto ocurre, se pueden tomar acciones legales como hizo Mercedes Benz hace unos años al enterarse de que un ex-ingeniero suyo estaba transmitiendo información confidencial a un equipo de la competencia que en este caso era Ferrari. [2]
  • Entidades cercanas a la organización: en este apartado están incluidas todas aquellas entidades que tienen alguna relación con la organización pero que no pertenecen a la misma. Algunos ejemplos pueden ser distribuidores, proveedor, clientes, partners o personas subcontratadas. Todas estas entidades presentan un riesgo siempre y cuando tengan a acceso a aquello que esté protegido.
  • Competidores: cualquier empresa que se encarga de manufacturar, crear y distribuir productos o servicios similares a nuestra empresa presenta un riesgo potencial. Un claro ejemplo de este tipo de riesgos está presente en la industria de los teléfonos móviles, donde hasta la simple forma de interactuar con la pantalla está protegido por patente en algunos países. Esto suele provocar múltiples demandas por infringir la propiedad intelectual entre empresas pioneras como sucedió hace unos años entre Apple y Samsung. [3]
  • “3rd parties” independientes: en este apartado se encuentran las conocidas entidades no practicantes (NPE) [4] que se dedican a amasar una gran cantidad de patentes pero no a llevar a cabo su desarrollo. El objetivo de la mayoría de estas entidades es buscar posibles infringimientos contra la propiedad intelectual y poner demandas para así poder obtener beneficios económicos. A este tipo de patentes se las conoce como “patentes troll”. [5]
  • Entidades de gobierno: es importante tener en cuenta que la ley de propiedad intelectual no es la misma en todos los países y que esta puede cambiar. Por lo tanto hay que estar al corriente de estos cambios para evitar posibles infracciones.
  • Entidades ilegales: en este apartado se encuentra principalmente la piratería y los hackers informáticos. Un hacker puede ser una persona individual, una organización criminal o incluso entidades patrocinadas por un gobiernos con el objetivo de obtener información de rivales u otros países. Es un aspecto a tener bastante en cuenta ya que en España el 32 % de las empresas admite que ha sufrido algún ataque por hackers. [6] Como piratería nos referimos a toda copia falsa de un producto que tenga derechos de propiedad intelectual. Se estima que alrededor del 8% de productos que se obtienen en el mundo son copias falsas lo que supone una pérdida estimada de unos 512 millones de dólares en pérdidas para las entidades propietarias del producto original.
  • Proveedores de servicios y soluciones IP: en muchas ocasiones las empresas deciden subcontratar empresas especializadas para llevar a cabo la gestión de su propiedad intelectual. Hay que tener en cuenta que siempre que la propiedad intelectual pasa a entidades externas supone un potencial riesgo para la empresa.

Una vez que sabemos donde buscar los riesgos, debemos hacer un listado de todos los riesgos posibles y analizarlos en función de varias variables como pueden ser:

  • Probabilidad: probabilidad de que surja el riesgo.
  • Impacto: impacto económico que tendría en la empresa en caso de que ocurra.

En función de estas variables conoceremos aquellos riesgos que debemos tener más en cuenta. Por lo general los principales riesgos suelen provenir de imitadores, piratería y sobre todo ciberataques. [7] Como muestra la siguiente encuesta realizada por ISACA, la mayoría de las empresas considera como muy probable el riesgo de un ataque cibernético. [8]

Grafico2

La misma encuesta también nos muestra la frecuencia con la que las empresas pierden activos protegidos por propiedad intelectual.

Grafico1

Por último, aunque podemos pensar que las empresas están protegidas por la ley, la realidad es que en muchos países no se lucha activamente contra estos infringimientos lo que supone un alto coste económico para la empresa.[7]

En el siguiente post os comentaré los controles que se pueden llevar a cabo para tratar los diferentes riesgos comentados previamente.

Referencias:

[1]https://www.ipeg.com/ip-risk-management-how-to-deal-with-it-part-1/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

[3]https://www.forbes.com/sites/connieguglielmo/2012/08/23/apple-samsung-patent-war-puts-future-of-innovation-at-risk/#6f5b250d6c76

[4]https://whatis.techtarget.com/definition/non-practicing-entity-NPE

[5]https://whatis.techtarget.com/definition/patent-troll

[6]https://www.abc.es/tecnologia/redes/abci-32-por-ciento-empresas-espanolas-admiten-haber-recibido-menos-ciberataque-ultimo-201705121805_noticia.html

[7]https://info.knowledgeleader.com/bid/164620/What-is-Intellectual-Property-Risk

[8]https://www.isaca.org/cyber/Documents/state-of-cybersecurity_res_eng_0316.pdf

Cómo integrar la propiedad intelectual en una empresa

Download PDF

En el post anterior hablé sobre los diferentes derechos de protección que contempla la propiedad intelectual actualmente. En este me centraré en explicar la influencia que esta tiene en el negocio y cómo se debería integrar dentro de la empresa.

Debido al entorno competitivo en el que se mueven las empresas hoy en día, la innovación se hace casi imprescindible. Identificar, desarrollar y el aprovecharse de nuevos productos o servicios innovadores es lo que llevará a la empresa a alcanzar el éxito. [1] Es aquí donde entra la utilidad de la propiedad intelectual a través de la protección mediante patentes, marcas u otras formas para tener protegidos estos nuevos servicios o productos de la competencia.

La creación de una nueva empresa comienza tras una idea innovadora sobre un producto o servicio. Tras esto tienen lugar numerosos procesos (diseño, desarrollo, pruebas) hasta la comercialización del mismo. El uso de la propiedad intelectual es imprescindible en cada una estas fases si se quieren obtener los mejores resultados económicos. [2] Por ejemplo, en la fase de diseño es probable que se diseñe el logo del producto, el cual habría que proteger.

Una vez que empecemos a desarrollar nuestros productos o servicios nos deberíamos hacer la siguiente pregunta, ¿cómo podemos implementar la propiedad intelectual? Para dar respuesta a esta pregunta la OEPM (Oficina española de patentes y marcas) ofrece una interesante guía de buenas prácticas para integrar la propiedad intelectual en la empresa a través de 10 consejos [3]:

1.Sea consciente de su capital intelectual: haga una lista con todos los activos que considere que deben estar protegidos.

2.Conozca qué es la propiedad intelectual: conocer las diferentes categorías en las que se divide la propiedad intelectual como pueden ser patentes, marcas y diseños industriales.

3.Proteja sus activos intangibles: indispensable proteger tus activos para evitar que terceros se beneficien de tu trabajo.

4.Elija la mejor protección para sus activos intangibles: elegir cuidadosamente aquellos activos a proteger. Hay que evaluar los diferentes países en los que se quiere obtener protección y tener en cuenta el coste económico de obtenerla.

5.Obtenga la protección: rellenar la solicitud y enviarla a la oficina nacional de registro oportuna. En caso de que se desee comercializar en otros países será necesario enviar una solicitud a la oficina de registro de cada país o hacer uso de los tratados acordados por la OMPI.

6.Integre la propiedad intelectual en su estrategia: una buena estrategia debería al menos poner en marcha un mecanismo para identificar los activos de la empresa que pueden ser protegidos, analizar su valor y decidir si protegerlos o no en función de esto.

7.Utilice la información sobre propiedad intelectual: conocer las diferentes patentes registradas por los competidores puede ser una fuente valiosa de información para tu empresa, ya que permite conocer el nuevo producto que van a  sacar a la venta antes de que se produzca. Del mismo modo, es necesario antes de diseñar un nuevo producto llevar a cabo una comprobación de que no infringe la ley de propiedad intelectual para evitar posibles demandas y pérdida de tiempo. La mejor manera de comprobar esto es a través de las siguientes cuatro reglas [5]:

  • No existe ningún otro producto del mismo tipo con la misma marca registrada.
  • El producto no hace uso de una patente registrada.
  • No se infringen derechos de autor o de indicación geográfica.
  • No se utiliza ningún diseño ya registrado.

8.Cree valor con sus derechos sobre propiedad intelectual: es imprescindible obtener un retorno económica tras la inversión económica realizada para obtener la protección. Una forma podría ser la venta de licencias para la explotación de la propiedad intelectual.

9.Haga valer sus derechos sobre su propiedad intelectual: buscar a posibles infractores y buscar una solución. En primer lugar se puede intentar negociar con el infractor con el objetivo de que remueva sus productos, los cambie o obtener una suma de dinero a través de la venta de una licencia de uso. Si esto no tiene éxito, el siguiente paso es acudir a los tribunales y exigir la retirada del producto así como una compensación económica. [5]

10.Consulte a expertos: debido a la complejidad de la ley y sus constantes cambios es necesario contar con abogados expertos en la materia. En caso de que la empresa opere en varios países, es necesario tener en cuenta que la ley no es igual en todos, por lo que es recomendable contar con asesoría legal dentro de cada uno de ellos. Cabe destacar también otras organizaciones a las que se puede consultar como las Oficinas de la Propiedad Intelectual o Centros de información sobre la Propiedad Intelectual.

En definitiva, la empresa debería ser capaz de usar la propiedad intelectual a su favor para obtener el máximo beneficio posible, usando los menos recursos económicos posibles. Es necesaria una estrategia que tenga en cuenta la propiedad intelectual desde la creación de la empresa hasta la venta de sus productos o servicios y la expansión internacional. [4]

Referencias:

[1]https://economictimes.indiatimes.com/small-biz/legal/relevance-of-intellectual-property-for-business/articleshow/49563911.cms

[2]http://www.innovaccess.eu/importance-of-ip-in-business

[3]http://www.oepm.es/export/sites/oepm/comun/documentos_relacionados/Publicaciones/Folletos/Guia_Buenas_practicas.pdf

[4]https://www.wipo.int/export/sites/www/sme/en/documents/wipo_magazine/01_2002.pdf

[5]http://www.innovaccess.eu/importance-of-ip-in-business?t=how-ip

¿Qué es la propiedad intelectual?

Download PDF

Para empezar la serie de blogs voy a realizar una pequeña introducción al mundo de la propiedad intelectual para que todo el mundo conozca un poco los diferentes aspectos que cubre este campo.

En primer lugar, ¿cuándo surge la propiedad intelectual? El término propiedad intelectual tiene su origen en la época romana y griega con la aparición de las obras musicales, literarias y artísticas, aunque en esta aun época no existía una protección jurídica como tenemos actualmente, sino que las obras eran de carácter público. [1] La protección jurídica a las obras literarias y artísticas se institucionalizó desde la aparición de la imprenta. [4] Hoy en día la propiedad intelectual contempla diferentes tipos de derechos:

Patentes

Una patente es un derecho exclusivo concedido sobre una invención – el producto o proceso que constituye una nueva manera de hacer algo, o propone una nueva solución técnica a un problema. El propietaria de una patente tiene garantizado los derechos exclusivos durante un tiempo limitado que normalmente suele ser de 20 años. Esta protección evita la fabricación, venta y uso sin el consentimiento del propietario. Para obtener dicha protección es necesario rellenar una solicitud indicando el título de la invención y una descripción detallada de su uso y fabricación. Dependiendo de los países en los que se desee obtener protección habrá que enviar la solicitud a la oficina de patentes correspondiente de cada uno de ellos, aunque se puede hacer uso de los diferentes tratados acordados por la OMPI [2] para solicitar protección en todos aquellos países que hayan firmado los acuerdos a la vez. [3]

Marca

La marca es un signo distintivo que indica que ciertos productos o servicios han sido elaborados o prestados por una determinada persona o empresa. Las marcas pueden ser palabras, dibujos, símbolos o la forma y el embalaje de productos. El registro de una marca garantiza a su propietario el derecho exclusivo a utilizar la marca para identificar sus productos o servicios y la venta de estos permisos a terceros a cambio de una suma de dinero pactada. A diferencia de las patentes que son de tiempo limitado, el tiempo de protección siempre se puede renovar previo pago en este caso. Para el registro de la marca se debe presentar una solicitud a la oficina nacional correspondiente especificando la forma de la marca y los productos que la van a usar. Para ser válida deberá cumplir una serie de condiciones como que sea distinguible de otras ya registradas y no induzca a engaño. Como en el caso de las patentes, también se puede hacer uso de la OMPI [2] en caso de necesidad de protección en el ámbito internacional. [3]

Diseño industrial

Un diseño industrial se refiere al aspecto estético de un objeto. Algunas características que incluye puede ser la forma o superficie de un artículo o el color del mismo. Se usa principalmente para proteger características significativas presentes en aparatos electrónicos o estructuras arquitectónicas. Para el registro de un diseño industrial es necesario que este sea nuevo, es decir, que no haya conocimiento de otro que sea similar o idéntico. En este caso, el periodo de protección máximo es de 15 años. Por último, la protección solo se hará efectiva en aquellos países donde la ley nacional lo permite ya que la legislación en este área suele variar bastante en función del país en que nos encontremos. [3]

Indicación geográfica

Una indicación geográfica es un signo utilizado para productos que tienen un origen geográfico determinado y poseen cualidades o una reputación derivadas específicamente de su lugar de origen. Por lo general, la indicación geográfica consiste en el nombre del lugar de origen del producto. El ejemplo más claro serían los productos agrícolas que poseen cualidades especiales debido a las condiciones climáticas y de la tierra del lugar del que se extraen. La protección de una indicación geográfica depende de la legislación vigente de cada país y es competencia del país garantizar que todo producto que lleve una indicación geográfica protegida proviene realmente del lugar de procedencia que se indica. [3]

Derechos de autor

La legislación sobre derechos de autor contempla la protección de las obras de los autores, artistas y demás creadores. El titular de una obra puede prohibir o autorizar a un tercero la reproducción, radiodifusión, traducción y adaptación de su obra. Este derecho es hereditario y en caso de muerte del titular, el derecho pasaría a sus hijos durante un tiempo limitado que depende de la legislación de cada país, aunque normalmente suele ser de unos 50 años. La obtención de este derecho es automático al crear una obra y no requiere de registro previo aunque siempre es aconsejable para evitar futuros problemas relacionados con la titularidad de la obra. [3]

En definitiva, la propiedad intelectual es un elemento muy importante hoy en dia para todos los inventores ya que permite la protección de sus creaciones. Es importante también tener en cuenta que esta protección y los inventos que se pueden proteger depende directamente de la legislación de cada país. También cabe destacar a la OMPI [2] que se encarga de conseguir acuerdos internacionales entre varios países con el objetivo de facilitar la protección a nivel mundial.

Referencias:

[1]https://international.vlex.com/vid/propiedad-intelectual-438028766

[2]https://www.wipo.int/portal/en/index.html

[3]https://www.wipo.int/edocs/pubdocs/en/intproperty/450/wipo_pub_450.pdf

[4]https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_doaj_soai_doaj_org_article_1ece0898f30a4e86a1917ff1799d8fe5&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,propiedad%20intelectual%20historia&sortby=rank&offset=0

Insider Threats: Derechos del empleado y del empleador

Download PDF

 

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

En las entradas anteriores, he tratado de acercar al lector una visión general de las amenazas internas. También hemos podido observar cuál es la situación actual en las organizaciones con respecto a este tema, donde comprobamos que genera preocupación pero todavía no alcanzan la suficiente concienciación en algunos ámbitos. En la tercera entrada tratamos cuáles eran los principales riesgos asociados a las amenazas internas, es un tema muy extenso ya que existen multitud de riesgos que se pueden derivar de una amenaza interna, ya sea intencional o de forma involuntaria. Por último, en el anterior post quise traer diferentes frameworks metodológicos que permiten crear un plan contra las amenazas internas que permite crear políticas y controles para prevenirlas o bien para mitigarlas.

[Read more…]

Blockchain y los Controles en los Riesgos (Parte 4/5)

Download PDF

gestion-de-riesgos

Buenas nuevamente! En esta entrada siguiendo con el post anterior (y a modo continuación), quisiera seguir desarrollando los riesgos que íbamos identificando. Esta vez, se han escogido los diez riesgos más relevantes (bajo mi criterio y discutibles). Después,  se proponen soluciones con objetivo de minimizar los riesgos mediante controles; de tal manera que una vez identificados el impacto y probabilidad de los riesgos se exponen cuestiones, ideas e iniciativas para saber cómo abordar el riesgo en cuestión.

 

Partiendo de la tabla expuesta en la entrada anterior, a continuación se muestran diez riesgos en la tabla 1:

ID Riesgo Probabilidad Impacto
R1 Vulnerabilidad de la plataforma MUY ALTO MUY ALTO
R2 Malware Dirigido MUY ALTO MUY ALTO
R3 Falta de Escalabilidad MEDIO MEDIO
R4 Responsabilidades poco definidas MEDIO MEDIO
R5 Fallo en cumplimiento tecnológico MUY ALTO MEDIO
R5 Pérdida de gobierno MUY ALTO MEDIO
R6 Implementación de claves MUY ALTO BAJO
R7 Compromiso de Claves ALTO BAJO
R8 Gestión de tiempos de espera ALTO NAJO
R9 Brecha de privacidad MUY ALTO MEDIO
R10 Retención de la información BAJO BAJO

A continuación, pasaremos a la explicación de los significados los riesgos, así como las medidas que se sugieren para controlar/mitigar el problema.

 

[R1] Vulnerabilidad de la plataforma: Al ser nueva tecnología, es posible que se diese la situación de que una vez en producción, se detectase una vulnerabilidad de tal manera que pusiese en jaque a toda la organización. Se propone primero invertir fondos para conocer las noticias y novedades desde este punto de vista y después establecer un plan de contingencia a modo preventivo.

 

[R2] Malware Dirigido: Si la organización fuese objetivo de ataque e intentan atacar de forma intencionada nuestro sistema operacional de Blockchain, hay que tener acciones previamente diseñadas para afrontar este riesgo. Primeramente, se deben establecer protocolos de acción para cada tipo de ataque conocido. Después, se deberían de comprobar periódicamente estas pautas; de tal manera que garanticemos que el sistema es robusto y se defiende [1].

 

[R3] Falta de Escalabilidad:  La escalabilidad está estrictamente vinculada a la velocidad de procesamiento de las transacciones que ocurren dentro de una blockchain específica. Las medidas que pueden tomarse son la medición de tiempos de espera y realizar periódicamente pruebas de carga, para ver si la infraestructura desarrollada sirve para el día a día dentro de la organización [1].

[R4] Responsabilidades poco definidas: Nuevamente, la organización deberá realizar un trabajo previo a la implementación para saber quien se debe responsabilizar de la administración y roles de la plataforma; quienes serán los incluidos y excluidos de la topología… es decir, será necesario realizar todo un análisis de responsabilidades donde se deberán acotar las funcionalidades para cada actor/rol identificado y dejarlo documentado.

 

[R5] Fallo en cumplimiento tecnológico: ¿Qué sucede si la tecnología deja de funcionar?¿En cuanto tiempo es posible reiniciar todo el sistema o, en su defecto, poner en marcha el respaldo correspondiente? Para ello, habrá que diseñar un plan de contingencia donde tengamos garantías de que este riesgo no va a suponer un problema. Los controles que se proponen son 1) tener un sistema respaldo en marcha (aunque de manera pasiva) y 2) someter a simulacros eventualmente para poder medir los tiempos de espera.

 

[R6] Implementación de claves: ¿Cada cuanto cambias las claves?¿Quién lo hace? Esas responsabilidades y periodos temporales en un documento. Además, se debería de gestionar periódicamente si ha habido vulnerabilidades de, por ejemplo, la metodología implementada.

 

[R7] Compromiso de Claves: Debemos asegurarnos de que las claves que preparamos y asignamos, efectivamente, se utilizan y se guardan de manera efectiva.

 

[R8] Gestión de tiempos de espera: ¿Qué sucede si el sistema tarda demasiado en responder, verificar y respaldar todo el proceso?

 

[R9] Brecha de privacidad: ¿Qué pasa si la clave se externaliza y se publica? Para ello

 

[R10] Retención de la información: ¿Cómo garantizamos que la información es efectivamente guardada sólo por nuestro sistema?¿Qué servicios pueden almacenar/acceder?

 

En resumen, hemos identificado y explorado muchos de los riesgos ya identificados en el post anterior. Sabemos que Blockchain tiene muchos quebraderos de cabeza iniciales, pero una vez desarrolladas estas cuestiones y sabiendo cómo mitigar los riesgos que tiene podremos gozar de los beneficios de esta tecnología (la posible exención de autoridad digital, la auditabilidad y trazabilidad entre otros [2]).

[1] https://www.iproup.com/blockchain/182-blockchain-bitcoin-ethereum-Los-tres-retos-de-la-tecnologia-Blockchain-escalabilidad-interoperabilidad-y-sustentabilidad

[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_acm3225619&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,blockchain&sortby=rank

Controles y auditoría de los dispositivos médicos

Download PDF

En el artículo anterior indicamos los riesgos que se producen con los dispositivos médicos.  ¿Cómo podríamos prever estos riesgos? La respuesta se impondrá en este artículo en el cual se mostrará los diferentes controles de auditoría que se deberán hacer.

Los controles de auditoría, en nuestro caso de los dispositivos médicos, son procesos interdisciplinarios que permiten hacer una investigación, consulta, verificación, comprobación y generación de evidencia sobre su calidad y el funcionamiento correcto de ellos.

post4

En la entrega previa, me enfoqué en los riesgos en general de los dispositivos médicos, en cambio, en esta nueva entrega me enfocaré más en los controles de auditoría respecto a los riesgos tecnológicos de los dispositivos médicos.

En la siguiente tabla, se mostrará algunos dispositivos médicos que he elegido entre otros, con sus riesgos y controles de auditoría.

 


Dispositivo médico: Implantes.

Riesgos:

El mayor riesgo de fracaso del implante dental la constituye un diseño inadecuado de la prótesis.

En cuanto a los inconvenientes postoperatorios pueden ser los siguientes: infecciones, sensaciones de anestesia, daños o sensibilidad en otros dientes, vasos sanguíneos, nervios, encía o labios.

En el proceso de osteointegración puede haber fallos también[1] :

  • Enfermedades previas del paciente que no se han tratado debidamente antes de la colocación.
  • Hábitos del paciente que no se han tenido en cuenta a la hora de implantar el implante.
  • Baja calidad de los materiales utilizados
  • Errores de especialista.

Controles:

Los riesgos se pueden evitar siempre y cuando se tienen en cuenta aspectos de tratamiento como:

  • Correcta planificación pre-quirurgica.
  • Utilizar una adecuada técnica quirúrgica.
  • Seguimiento pos-quirurgico.
  • Respetar el tiempo de osteointegración.
  • Realizar el diseño apropiado de la supraestructura.
  • Estudio y la correcta distribución de las cargas oclusales.

Dispositivo médico: Marcapasos

Riesgos:

  • Hacer una punción en una vena que pasa por encima del pulmón dando lugar a la entrada de aire externo.
  • Riesgos de infecciones.
  • Riesgo de lesiones en el musculo cardiaco que puedan ocasionar un sangrado del propio corazón.

Controles:

  • Hacer revisiones cardiológicas para confirmar el buen funcionamiento del dispositivo.
  • Valorar las posibles interferencias en el funcionamiento del sistema de estimulación provocadas por fármacos o por distintas técnicas.
  • Valorar el estado de la batería y los cables.
  • Valorar la eficacia de la captura de la estimulación auricular/ventricular [2] .

Dispositivo médico: Bombas de insulina

Riesgos:

  • En caso de suspensión del suministro de insulina puede aumentar rápidamente la glucemia y el riesgo de desarrollar cetoacidosis.
  • Bajada de glucosa en sangre o hipoglucemia.
  • Aumento de peso.

Controles:

  • Dosificación más sencilla: calcular las necesidades de insulina puede ser una tarea compleja en la que hay que tener en cuenta múltiples aspectos [3].

Dispositivos médico: Sistemas de ultrasonido

Riesgos:

  • Debido a la exposición por contacto directo.
  • Debido a la exposición indirecta por vía aérea.

Controles:

Para prevenir una exposición a ultrasonidos transmitidos por contacto:

  • Posibilitar en la medida de lo posible la automatización del proceso.
  • Utilización de los equipos por personal cualificado.
  • Colocación de señalización conveniente de las zonas donde existan equipos emisores de ultrasonidos.
  • Colocación de tapas a los equipos cuando no sea necesario su funcionamiento.

Para prevenir exposición por vía aérea:

  • Efectuar normas de trabajo.
  • Colocar encerramientos parciales o totales, pantallas o absorbedores para reducir los ultrasonidos.
  • Alejamiento del foto productor.
  • Reducción del tiempo de exposición [4] .

 

Por otro lado, en el ámbito de la medicina y dispositivos médicos, también existe el rol de auditor. El perfil ideal del auditor  podría ser el siguiente:

  • Conocimiento práctico de los sistemas de calidad relativos a los productos sanitarios (marcado CE, ISO 13485:2003 e ISO 9001:2008.
  • Experiencia demostrada en auditorías (internas o externas).
  • Tener título de médico Especialista en: medicina Interna, medicina Intensiva, Cirugía, ginecología, Pediatría y otras especialidades.
  • Profesional médico dedicado a la labor docente en las áreas médicas.
  • Desarrollar buenas relaciones inter-personales de los empleados y profesionales a fin de favorecer un óptimo trabajo en equipo.

Asimismo, el auditor de dispositivos médicos estará involucrado en lo siguiente [5] :

  • Planificación y realización de auditorías (ISO, IVD, MDD, FDA, MRA, Marcado CE) de los dispositivos médicos activos del cliente, instalaciones y sistemas de gestión de calidad (QMS).
  • Ensayos de productos sanitarios activos de acuerdo con las normas eléctricas pertinentes.
  • Revisión y aprobación de expedientes técnicos y de diseño, notificaciones de cambios significativos y otra documentación técnica.

Por último, hasta el momento, a lo largo de los diferentes posts, he hablado sobre el contexto de los dispositivos médicos, que relevancia tienen en la industria, los riesgos que abarcan y en este mismo post, los controles de auditoría. Bien, para finalizar esta serie, me gustaría hablar sobre las innovaciones , volúmenes de negocio y tendencias futuras en el siguiente post que vendrá pronto.

Continuará…

 

Referencias:

[1] Riesgos de los implantes. Acceso el 26 de noviembre del 2018.

https://iomm.es/implantes-dentales/riesgos/

[2] Marcapasos, ¿ cuáles son sus beneficios y riesgos? Acceso el 26 de noviembre del 2018.

https://saberdesalud.com/marcapasos/#Que_riesgos_tiene_la_implantacion_de_un_marcapasos

[3] Bombas de insulina. Acceso el 26 de noviembre del 2018.

http://www.clinidiabet.com/es/infodiabetes/bombas/33.htm

[4] Sistemas de ultrasonidos. Acceso el 26 de noviembre del 2018.

http://www.ibgm.med.uva.es/addon/files/fck/RFMOULTRAS.pdf

[5] Medical Devices Auditor Job. Acceso el 26 de noviembre del 2018.

https://ckscience.co.uk/medical-devices-auditor-job-active-devices-field-based/