Controles en la propiedad intelectual

Download PDF

 

En el post anterior hable sobre los riesgos relacionados con la propiedad intelectual, concretamente sobre las fuentes de las que pueden surgir estos riesgos. El objetivo de este post es comentar los controles que un auditor tendría que implementar para tratar los diferentes tipos de riesgos.

Como mencionamos en el post anterior los riesgos pueden proceder de varias fuentes diferentes que suelen ser internas o externas a la organización. En función de esto aplicaremos unos controles u otros.

Entre los riesgos externos encontramos como más importantes (mayor probabilidad de que ocurran y mayor impacto para la empresa) los relacionados con temas de robo de información como puede ocurrir a través de ataques cibernéticos. Para tratar estos riesgos se recomienda usar los controles del estándar ISO 27002 [1] que se encarga de temas relacionados con la protección de datos. Algunos que podemos implementar son:

  • 10.1 Controles criptográficos: asegurar el uso apropiado y efectivo para proteger la confidencialidad, autenticación y integridad de la información.
  • 11.2.4 Mantenimiento de los equipos: asegurarse de que los equipos tienen todas las ultimas actualizaciones para evitar brechas de seguridad.
  • 12.2.1 Controles contra el código malicioso:  implementar controles para la detección, prevención y recuperación ante afectaciones de malware.
  • 13.1 Gestión de la seguridad en las redes:  implantar estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones).
  • 13.2.1 Políticas y procedimientos de intercambio de información: Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la información que viaja a través del uso de todo tipo de instalaciones de comunicación.
  • 15.1 Seguridad de la información en las relaciones con suministradores: se debe controlar el acceso de terceros a los sistemas de información de la organización.

Otro conjunto de riesgos bastante importante son los que pueden provenir de dentro de la organización. Los riesgos más comunes aquí se producen simplemente por descuido y debido a la poca educación de los propios empleados en materia de seguridad. En este caso podemos implementar los siguientes controles del ISO 27002 [1]:

 

  • 7.1.1 Investigación de antecedentes: asegurarse al contratar que la persona contratada no es un posible espía de otra organización como el caso Ferrari comentado en el post anterior. [2]
  • 7.2.2 Concienciación, educación y capacitación en seguridad de la información: es importante presentar a los trabajadores una guía de buenas prácticas que deben lleven a cabo para asegurarnos la protección de la información.
  • 9.1 Requisitos de negocio para el control de accesos: establecer políticas de acceso a la información para evitar que nadie que no deba acceda a información confidencial.
  • 11.1.2 Controles físicos de entrada: evitar que personas no autorizadas accedan a lugares de acceso restringido.
  • 11.2.9 Política de puesta de trabajo despejado y bloqueo de pantalla: evita que personas sin acceso autorizado puedan visualizar en el ordenador información confidencial cuando el responsable del ordenador no está en su puesto de trabajo.
  • 12.3 Copias de seguridad: asegurar de tener siempre disponibles copias de la información en caso de que alguien borre de forma voluntaria o por accidente información.
  • 12.6.2 Restricciones en la instalación del software: evitar que los usuarios puedan instalar software malintencionado con el que puedan robar información.
  • 13.2.4 Acuerdos de confidencialidad y secreto: firmar acuerdos de confidencialidad con los empleados para evitar que puedan divulgar en el futuro información confidencial. En caso de hacerlo se podría denunciar.

Por último siempre es importante actuar de acuerdo a lo que la ley establece. En caso de empresas internacionales será necesario cumplir con la ley vigente en cada uno de los países en los que se opera, que en temas de propiedad intelectual suele variar de unos a otros. En caso de que el país está englobado dentro de una organización superior como puede ser la UE también será necesario tener en cuenta su legislación. Para este caso se pueden implementar los siguientes controles del punto 18.1 que se encarga de cumplir con los requisitos legales:

 

  • 18.1.1 Identificación de la legislación aplicable: se deberá estar al corriente de todos los cambios que se pudieran producir en la legislación.
  • 18.1.2 Derechos de propiedad intelectual (DPI): se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.
  • 18.1.5 Regulación de los controles criptográficos.

Referencias:

[1]http://www.iso27000.es/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

Gestión de riesgos en propiedad intelectual

Download PDF

En este tercer post hablaré sobre los diferentes riesgos relacionados con la propiedad intelectual que pueden surgir dentro de un entorno empresarial. Un riesgo es la probabilidad de que un peligro ocurra y tengan consecuencias negativas para la organización. Para llevar a cabo una buena gestión de riesgos como auditores, es importante conocer las diferentes fuentes de las que pueden surgir para posteriormente listar una serie de riesgos potenciales y poder actuar en consecuencia para intentar evitarlos. Algunas de las fuentes más importantes a tener en cuenta a la hora de buscar riesgos son [1]:

  • Dentro de la propia organización: esta es una de las principales fuentes de riesgo. En algunos casos es debido a la falta de educación de los empleados de la empresa en cuanto a propiedad intelectual se refiere. En otros casos es debido a actos deliberados de los propios empleados. Este último caso es el más común y suele darse al abandonar un empleado la empresa. Esto es debido a que la propiedad intelectual está en muchas ocasiones en el propio conocimiento de la gente y cuando se va hay que tener en cuenta que se puede transmitir a gente externa a la organización. Si esto ocurre, se pueden tomar acciones legales como hizo Mercedes Benz hace unos años al enterarse de que un ex-ingeniero suyo estaba transmitiendo información confidencial a un equipo de la competencia que en este caso era Ferrari. [2]
  • Entidades cercanas a la organización: en este apartado están incluidas todas aquellas entidades que tienen alguna relación con la organización pero que no pertenecen a la misma. Algunos ejemplos pueden ser distribuidores, proveedor, clientes, partners o personas subcontratadas. Todas estas entidades presentan un riesgo siempre y cuando tengan a acceso a aquello que esté protegido.
  • Competidores: cualquier empresa que se encarga de manufacturar, crear y distribuir productos o servicios similares a nuestra empresa presenta un riesgo potencial. Un claro ejemplo de este tipo de riesgos está presente en la industria de los teléfonos móviles, donde hasta la simple forma de interactuar con la pantalla está protegido por patente en algunos países. Esto suele provocar múltiples demandas por infringir la propiedad intelectual entre empresas pioneras como sucedió hace unos años entre Apple y Samsung. [3]
  • “3rd parties” independientes: en este apartado se encuentran las conocidas entidades no practicantes (NPE) [4] que se dedican a amasar una gran cantidad de patentes pero no a llevar a cabo su desarrollo. El objetivo de la mayoría de estas entidades es buscar posibles infringimientos contra la propiedad intelectual y poner demandas para así poder obtener beneficios económicos. A este tipo de patentes se las conoce como “patentes troll”. [5]
  • Entidades de gobierno: es importante tener en cuenta que la ley de propiedad intelectual no es la misma en todos los países y que esta puede cambiar. Por lo tanto hay que estar al corriente de estos cambios para evitar posibles infracciones.
  • Entidades ilegales: en este apartado se encuentra principalmente la piratería y los hackers informáticos. Un hacker puede ser una persona individual, una organización criminal o incluso entidades patrocinadas por un gobiernos con el objetivo de obtener información de rivales u otros países. Es un aspecto a tener bastante en cuenta ya que en España el 32 % de las empresas admite que ha sufrido algún ataque por hackers. [6] Como piratería nos referimos a toda copia falsa de un producto que tenga derechos de propiedad intelectual. Se estima que alrededor del 8% de productos que se obtienen en el mundo son copias falsas lo que supone una pérdida estimada de unos 512 millones de dólares en pérdidas para las entidades propietarias del producto original.
  • Proveedores de servicios y soluciones IP: en muchas ocasiones las empresas deciden subcontratar empresas especializadas para llevar a cabo la gestión de su propiedad intelectual. Hay que tener en cuenta que siempre que la propiedad intelectual pasa a entidades externas supone un potencial riesgo para la empresa.

Una vez que sabemos donde buscar los riesgos, debemos hacer un listado de todos los riesgos posibles y analizarlos en función de varias variables como pueden ser:

  • Probabilidad: probabilidad de que surja el riesgo.
  • Impacto: impacto económico que tendría en la empresa en caso de que ocurra.

En función de estas variables conoceremos aquellos riesgos que debemos tener más en cuenta. Por lo general los principales riesgos suelen provenir de imitadores, piratería y sobre todo ciberataques. [7] Como muestra la siguiente encuesta realizada por ISACA, la mayoría de las empresas considera como muy probable el riesgo de un ataque cibernético. [8]

Grafico2

La misma encuesta también nos muestra la frecuencia con la que las empresas pierden activos protegidos por propiedad intelectual.

Grafico1

Por último, aunque podemos pensar que las empresas están protegidas por la ley, la realidad es que en muchos países no se lucha activamente contra estos infringimientos lo que supone un alto coste económico para la empresa.[7]

En el siguiente post os comentaré los controles que se pueden llevar a cabo para tratar los diferentes riesgos comentados previamente.

Referencias:

[1]https://www.ipeg.com/ip-risk-management-how-to-deal-with-it-part-1/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

[3]https://www.forbes.com/sites/connieguglielmo/2012/08/23/apple-samsung-patent-war-puts-future-of-innovation-at-risk/#6f5b250d6c76

[4]https://whatis.techtarget.com/definition/non-practicing-entity-NPE

[5]https://whatis.techtarget.com/definition/patent-troll

[6]https://www.abc.es/tecnologia/redes/abci-32-por-ciento-empresas-espanolas-admiten-haber-recibido-menos-ciberataque-ultimo-201705121805_noticia.html

[7]https://info.knowledgeleader.com/bid/164620/What-is-Intellectual-Property-Risk

[8]https://www.isaca.org/cyber/Documents/state-of-cybersecurity_res_eng_0316.pdf

El futuro de las redes sociales

Download PDF

¡Buenos días/tardes/noches a tod@s una vez más!

Este va a ser mi último post en lo que espero que haya sido un recorrido agradable por el mundo de las redes sociales en el ámbito empresarial. Pero antes de todo esto, y como ya comentamos en el tercer post, hubo una serie de riesgos relacionados de los que no hablamos, sí, me refiero a aquellos relacionados con el uso de los empleados de sus redes sociales personales durante sus turnos.

¿Y cuáles son esos riesgos? Pues además de la pérdida de tiempo directamente asociada hay varios riesgos potenciales que quizá no hemos considerado [1].

  • El uso de cuentas personales para compartir información relacionada con la organización: Esto podría generar violaciones de privacidad, podría dañar la reputación o causar una pérdida de ventajas competitivas.
  • Publicar fotografías o información que relacione a los usuarios con los empleados: Lo que podría dañar la imagen y/o la reputación de la empresa.
  • El uso desmesurado de las redes en sí (como ya habíamos dicho): Por supuesto, la consecuencia directa sería la pérdida de la productividad, aumenta la exposición a viruses o malware en general y, en caso de un uso extremo, podría causar problemas de red.
  • El uso de dispositivos móviles provistos por la empresa para acceder a redes sociales: Podrían infectar los dispositivos, podría robarse/filtrarse información de los mismos o podrían ser un medio de sobrepasar la seguridad de la empresa.

Todos ellos han de ser considerados a la hora de educar a los empleados en el uso correcto de las redes sociales. Y ahí alguno de ellos se puede llegar a preguntar lo siguiente: ¿y por qué no dejamos simplemente estar a las redes sociales?¿tanta importancia van a tener en el futuro? la respuesta va más allá del sí.

[Read more…]

Un análisis a los riesgos del uso de drones

Download PDF

Una vez más, continuo con la serie de posts en la temática de drones. Así como en la anterior entrada hablé sobre casos reales de uso, sus implicaciones y la legislación actual, esta vez analizaré los riesgos que conlleva el uso de los drones en diferentes situaciones. Aunque seguramente solo conozcamos la cara conocida de los drones, como las innovaciones que supone y las posibilidades que ofrece, el desarrollo de estos aparatos también ha contribuido a la aparición de nuevos riesgos para la seguridad ciudadana.

Por este motivo, me dispongo a analizar los diferentes riesgos que conllevan los drones para finalmente determinar el nivel de importancia de cada uno de ellos y clasificarlos como riesgos altos, medios o bajos. Para realizar esta clasificación, me basaré en dos criterios: probabilidad de ocurrencia y severidad del daño. Para el primer indicador asignaré valores del 1 al 5, siendo el 5 el de mayor peso. Para el segundo, asignaré valores de la A a la E, siendo la E el de más peso. Después de concatenar ambos indicadores, determinaré el grado de importancia del riesgo en base a la siguiente matriz:  [Read more…]

Blockchain: Riesgos asociados (3/5)

Download PDF

Buenas de nuevo! Si eres un nuevo lector y no has leído mis anteriores entradas, te invito a que te acerques a las anteriores entradas. En la primera entrada [enlace], hablé de qué era Blockchain; la arquitectura que tenía, cómo funcionaba y sus respectivos beneficios. Después, en el segundo artículo [enlace] (anterior a este) realicé una reflexión para primeramente comprender los riesgos y después ver qué directivas e iniciativas regulativas existían para proteger y guiar a toda organización que estuviera interesada en incluir estas “cadenas de bloques”; además hice un pequeño análisis donde ya identificábamos algunas cuestiones que planteaban si realmente existía una compatibilidad con la ley RGPD.

Volviendo al presente, el objetivo de este post será identificar los riesgos potenciales asociados a Blockchain. Pero antes de nada, veamos qué es un riesgo:

“Contingencia o posibilidad de un daño” [1]

Entonces, todo aquello que pudiera ser un problema por el daño que supone se define como eso mismo. Dentro del contexto empresarial, más concretamente en Sistemas de Información, me gustaría hacer especial hincapié en que los riesgos no sólo están en la tecnología como buenamente se suele pensar.
Es obvio asumir que utilizar una tecnología concreta debes aceptar que esta puede fallar. Sin embargo, existen más actores rodeando no sólo a las tecnologías sino que también a las propias organizaciones y sociedades a las que forman y donde están. Por otra parte, ya en 2016 ISACA había identificado riesgos potenciales, de los que hablaré a continuación. Muestra de ello, se expone la figura 1[2], que básicamente es un Heatmap donde en función de la probabilidad y el impacto se muestran los riesgos para Blockchain:

ISACA Blockchain Risks

Figura 1: Tabla de riesgos para Blockchain en función de la probabilidad e impacto.

 

La tabla se interpreta de la siguiente manera: “cuanto más rojo, mayor cuidado” hay que tener, mayor riesgo e impacto implican. Como si fuera un semáforo de riesgos.

Según ISACA, podríamos ponderar en varios niveles estos riesgos. En un primer nivel (en color rojo), se encuentran el control de cambios, las vulnerabilidades y la gestión y control del cambio. En un segundo nivel (en color “ámbar”), se encuentran los riesgos asociados a la pérdida de control y cumplimiento legislativo. En un tercer nivel, riesgos asociados a la privacidad y retención de la información además de la encriptación, entre otros.

Es algo lógico; primeramente, hay que gestionar el cambio de paradigma que implicaría dentro de una organización. Después, ¿Sirve para toda la infraestructura de la que se nutre la organización?¿O sólo en parte? Desde luego, son preguntas que al menos, deben ser planteadas. Después, al ser una tecnología tan vanguardista, desconocemos por donde flaquea. ¿Y si se detectase una vulnerabilidad? ¿Estaríamos dispuestos a asumir este riesgo?

 

Desde un punto de vista legislativo, se deben tener en cuenta las directivas y leyes. Las tecnologías, pertenecientes a corporaciones, deben cumplir sus responsabilidades legales. Ejemplo de reglamento lo es la RGPD (por nombrar una, no por ello única). Si esta cambia, la manera en la que Blockchain está diseñada para nuestro caso de uso debe ser al menos analizada y ver si realmente no tiene implicaciones; en caso contrario, se debería abordar todo un proyecto de adecuación (como ya se ha ido viendo con el boom de los cookies). La incorporación de Blockchain ya tendrá un ROI bastante alto y la Empresa deberá tener especial interés en mantenerlo en producción, esto es, mucho valor tendrá que aportar BlockChain para asumir este riesgo tan alto.


Por último, discutamos los riesgos de color verde. Es evidente que habría que plantearse la generación de claves y cómo gestionarlos. ¿Quien se responsabilizará de eso?¿Cada cuanto se generarían nuevas claves, si es que se hacen?¿Qué pasaría si la clave pública se fuga?[3] Además, ¿Quienes serían los agentes verificadores?¿Por qué ellos?¿Tendrían más responsabilidades?¿Serían personas o sólo máquinas, de manera automática? A todo esto, habría que añadirle una serie de cuestiones en torno a la capa de persistencia: ¿De qué manera persistimos esta información?¿Bajo qué condiciones validamos? En definitiva, existen muchísimos riesgos que, desde luego, hay que tratar de abordarlos antes de dar pie a la implantación de esta tecnología. Hay que valorar si realmente merece la pena invertir en esto mismo, si realmente aporta valor y utilidad directa. Hay que mantener la prudencia, no vaya a ser que demos un paso en falso.

En el próximo post hablaré de los controles que se pueden aplicar para los riesgos en esta tecnología. Hemos identificado varias cuestiones que deberán ser abordadas, intentaremos minimizar o al menos mitigar los mismos.

1. Real Academia de España, Buscador de RAE, http://dle.rae.es/?id=WT8tAMI, acceso el 22 de noviembre de 2018.

2. Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf., acceso el 22 de noviembre de 2018.

3. “Seguridad de contactos inteligentes basados en Blockchain II – Vulnerabilidades y riesgos” (Stefan Beyer, marzo de 2018), https://www.securityartwork.es/2018/03/20/seguridad-de-contratos-inteligentes-basados-en-blockchain-ii-vulnerabilidades-y-riesgos/, acceso el 22 de noviembre de 2018.

Gestión de riesgos en la identidad digital

Download PDF

La probabilidad de que ocurra un contratiempo o de que alguien o algo sufra algún tipo de perjuicio o daño es algo inevitable. Esta ineludible posibilidad se denomina “riesgo”. Una vez comprendemos que el riesgo 0 es imposible, nuestra labor es tratar de reducir la probabilidad de que el contratiempo ocurra, disminuir sus efectos y saber qué hacer en caso de que pase. Y es de esto de lo que voy a hablar en este tercer post, dentro de la secuencia que estoy realizando sobre la identidad digital.

Primero de todo, mencionar que se debe actuar sobre 3 elementos diferentes a la hora de gestionar una buena reputación online y son los siguientes: el contenido online que yo genero, el contenido que se genera sobre nosotros por parte de terceros y el contenido que se genera en el marco de las relaciones con los demás.

Otra cosa que debemos tener en cuenta es que la identidad es contextual. Esto significa que puede generar un impacto negativo si se emplea en un contexto erróneo. Es por ello que mantener las identidades analógica y digital separadas entre sí es positivo [1].
Captura

Es el momento de volver a mencionar conceptos previamente citados en la introducción realizada en el primer post sobre Identidad Digital, pero esta vez explicando a fondo dichos riesgos.

  1. Suplantación de identidad digital. Esto ocurre cuando una persona se hace pasar por otra con el fin de obtener un beneficio [2]. Una posible aplicación de este hecho delictivo podría ser que alguien se hiciera pasar por la organización COMIDA y que bombardeara a clientes habituales de esta empresa por email o RRSS. Estos emails o mensajes pedirán al cliente que done una cantidad simbólica a un número de cuenta determinado para colaborar con un comedor social. De esta forma, la entidad COMIDA se vería afectada a pesar de posiblemente no ser consciente del suceso.
  2. Utilización de derechos de propiedad industrial por terceros no autorizados. Los derechos de propiedad industrial tienen una doble dimensión; permitir a su propietario su utilización e impedir a terceros usarlo. Si se infringe esto por un tercero, la entidad propietaria se convierte en víctima y deben denunciar a las autoridades. Esto puede ser cometido debido a la falsa sensación de que en Internet “todo vale” o por terceros malintencionados para divulgar elementos del negocio como patentes o secretos industriales.
  3. Amenazas a la reputación online. Esta amenaza se refiere a las acciones que pueden crear una opinión negativa en el target sobre una determinada organización o persona. Esto puede ser producido por diferentes entes:
    1. Por la empresa o persona en sí.
    2. Por terceros que publican información del sujeto.
    3. Por los internautas con los que nos relacionamos.

Estos tres puntos son los que he mencionado anteriormente que se debe actuar para lograr una buena reputación online, pero que también pueden hacernos lograr justo lo opuesto.

  • Registro abusivo del nombre de dominio. Hoy en día, la mayoría de las empresas cuenta con una página web. Esta página suele tener como nombre el de la marca en sí o el de sus productos. De esta forma, los usuarios pueden identificar de forma rápida la organización detrás de la página web. El problema está en que no existe ningún control a la hora de registrar el nombre del dominio. Por lo tanto, terceros pueden registrar de manera malintencionada nombres de dominio que coincidan con entidades reconocidas para confundir a los internautas. Esto se conoce como cybersquatting en el caso de que se extorsiona a la entidad target para vender el dominio por un valor mayor al real. Si el objetivo es que los usuarios entren por escribir mal el dominio (como por ejemplo, “facebok” en lugar de “facebook”) se denomina typosquatting. Este último ataque se realiza como base de phising.
  • Fuga de información. La imagen de una organización puede verse comprometida debido a una fuga de contenido sensible. El objetivo principal de esta práctica por parte del atacante suele ser extorsionar a la entidad. El origen de esta dañina fuga puede ser interno (insider threats) o externo (mediante malware o técnicas como la mencionada y popular phising) [3].
  • [Read more…]

    ¿Riesgo? Elemento crítico de un dispositivo médico

    Download PDF

    Por ponernos de nuevo en contexto para una nueva entrada de los dispositivos médicos, en el anterior capitulo, he tratado el tema de la relevancia que tienen los dispositivos médicos en la industria. En este, en cambio, hablaré sobre los riesgos que traen estos mismos.

    Bien, antes de seguir adelante con este tema, me gustaría dar la definición de “riesgo” por parte del diccionario de la Real Academia Española (RAE). ¿Qué es un riesgo?

    “Riesgo: Contingencia o proximidad de un daño” [1]

    Como podemos ver en la definición, es la proximidad de un daño y en las instituciones médicas, la tecnología de información puede mitigar ese riesgo. En caso de que no se tenga una gestión adecuada del riesgo operativo, la gestión de riesgo de TI fracasará.

    Los factores de riesgos en las instituciones médicas no solo incluyen factores médicos (por ejemplo, errores médicos, infecciones hospitalarias…) como todos pensamos, si no también errores financieros (entre otros, pagos no cobrados, estancias hospitalarias más cortas, administración de costos) y regulatorios (entre las cuales, aceptación de internos, estados de cuenta electrónicos) [2].

    Asimismo, en la siguiente imagen podemos ver como es un proceso de gestión de riesgos en dispositivos médicos.

    En primer lugar, se estima y analiza el riesgo del dispositivo médico, una vez analizado, se evalúan los riesgos con diferentes criterios. En el caso de los niveles que se hayan definido como inaceptables, se debe analizar las opciones de control de riesgo. Por último, durante las etapas de producción y post producción se debe analizar periódicamente toda la información que pueda indicar nuevos peligros o incremento en los niveles de riesgo, para tomar las medidas de mitigación necesarias [3].

     

    post3

    Hasta ahora sabemos cómo es la gestión de riesgos en los dispositivos médicos, pero…, ¿Cómo se consigue definir la clase de riesgo de un dispositivo médico? Los dispositivos médicos se clasifican según su complejidad y el potencial riesgo para el paciente [4] y de la siguiente manera. Mencionar también algunos ejemplos de cada tipo.

     


    Tipo de clase:      

    Descripción:     

    Ejemplos:


    Clase I

    Son aquellos dispositivos médicos de bajo riesgo, sujetos a controles generales, no destinados para proteger o mantener la vida o para un uso de importancia especial en la prevención del deterioro de la salud humana y que no representan un riesgo potencial no razonable de enfermedad o lesión.

    Vendajes, camas clínicas, frascos para recolectar orina, estetoscopios, entre otros.


    Clase II a

    Son los dispositivos médicos de riesgo moderado, sujetos a controles especiales en la fase de fabricación para demostrar su seguridad y efectividad.

    Guantes quirúrgicos, prótesis dentales removibles, lentes de contacto, entre otros.


    Clase II b

    Son los dispositivos médicos de riesgo alto, sujetos a controles especiales en el diseño y fabricación para demostrar su seguridad y efectividad.

    Preservativos, bombas de infusión, máquinas de anestesia, equipos de diálisis, equipos de radioterapia, entre otros.


    Clase III

    Son los dispositivos médicos de muy alto riesgo sujetos a controles especiales, destinados a proteger o mantener la vida o para un uso de importancia sustancial en la prevención del deterioro de la salud humana, o si su uso presenta un riesgo potencial de enfermedad o lesión.

    Válvulas cardíacas, dispositivos intrauterinos, implantes, entre otros.


     

     

    Una vez sabemos que tipos de clases hay, informaré sobre los riesgos top 10 de la tecnología médica para el 2018. Se han seleccionado acuerdo a los siguientes criterios:  [5]

    • Severidad: ¿Cuál es la probabilidad que el riesgo ocasione daños serios o la muerte?
    • Frecuencia: ¿Cuál es la probabilidad que el riesgo pueda ocurrir a menudo?
    • Expansión: En caso de que el riesgo ocurra, ¿Las consecuencias puedan afectar a un gran número de pacientes ya sea dentro o fuera de la institución?
    • Percepción: ¿El problema es difícil de reconocer? ¿Puede el problema conducir a una serie de problemas antes de ser identificado o corregido?
    • Perfil: ¿El riesgo es propenso a recibir publicidad significativa? ¿Puede ser reportado en los medios de comunicación y puede afectar negativamente a la institución? ¿El riesgo puede ser foco de atención de las agencias reguladoras?
    • Prevención: ¿Se pueden tomar acciones que prevengan el problema o que disminuyan el riesgo? ¿Dar a conocer el riesgo ayudaría en un futuro a reducir las ocurrencias?

    Para finalizar con este post, nombraré los riesgos top 10 de los dispositivos médicos, ¿imagináis cuáles pueden ser?

    1. Ransomware (Secuestro de datos).
      1.  En este riesgo, mencionar el reciente y masivo ataque de WannaCry, como la interconexión de los sistemas  de salud y las débiles practicas de seguridad pueden poner en riesgo tanto a las organizaciones como a los pacientes. Los atacantes se aprovecharon de las vulnerabilidades conocidas en el software de los dispositivos[6].
    2. Fallos en el reprocesamiento de endoscopios
    3. Colchonetas y protectores pueden ser infectados por fluidos corporales y contaminantes microbiológico
    4. Alarmas perdidas como resultado de dispositivos y sistemas de notificación secundaria configurados inadecuadamente.
    5. La limpieza incorrecta.
    6. Electrodos activos electroquirúrgicos pueden provocar quemaduras en el paciente.
    7. Uso inadecuado de herramientas de imagen.
    8. Uso inadecuado del sistema de código de barras para la administración de medicamentos.
    9. Fallos en las redes de dispositivos médico.
    10. Adopción lenta de conectores de alimentación enteral más seguros deja a los pacientes en riesgo.

     

    ¿Tienen alguna duda sobre los riesgos de los dispositivos médicos?

    Continuará…

     

    Referencias:

    [1] Riesgo. Acceso el 17 de noviembre del 2018.

    http://dle.rae.es/srv/fetch?id=WT8tAMI

    Fuente obtenida por el uso de ISACA:

    [2] Using COBIT to Aid in Hospital Risk Management. Acceso el 17 de noviembre del 2018.

    http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Using-COBIT-to-Aid-in-Hospital-Risk-Management.aspx

    [3] 8 elementos de Gestión de Riesgos en dispositivos médicos. Acceso el 18 de noviembre del 2018.

    https://blog.pxsglobal.com/2016/03/14/8-elementos-de-gestion-del-riesgo-en-dispositivos-medicos/

    [4] ¿Cómo se consigue definir la clase de riesgo de un dispositivo médico? Acceso el 18 de noviembre del 2018.

    http://www.thema-med.com/es/como-consiguo-definir-la-clase-de-riesgo-del-dispositivo-medico/

    [5] Top 10 Riesgos de la tecnología Médica para el 2018. Acceso el 19 de noviembre del 2018

    https://www.ingbiomedica.com/blog/top-10-riesgos-tecnologia-medica-2018/

    Fuente obtenida por el uso de Knowledge Leader:

    [6] Life Sciences, Pharmaceutical and Medical Device Companies Need to Trust Less and Question More to Keep High-Value Data Safe

    https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/hotissuekeephighvaluedatasafe

     

    Riesgos PCI DSS

    Download PDF

     

    Como ya se ha comentado en el post anterior, existen empresas que han sufrido vulnerabilidades referentes al pago mediante tarjeta online. Según M.V. Kuzin[1] un estudio realizado por el equipo de riesgos de Verizon en conjunto con el Servicio Secreto de los Estados Unidos de América observaron que:

    • Se habían comprometido 3,88 millones de elementos de datos
    • El 96% de esos datos datos comprometidos se refiere a los datos de las tarjetas de pago
    • En cuanto a los ataques descubrieron que el 43% no requirieron herramientas especiales para piratear, otro 49% se asoció con el uso de ciertos métodos y herramientas, y solo en el 8% de los casos se usaron conocimientos especiales y recursos de computación significativos
    • El 89% de las organizaciones que procesaron y almacenaron datos de tarjetas de pago en el momento de la piratería no cumplían con los requisitos del estándar de la industria de datos de tarjetas PCI DSS (Norma de seguridad de datos de la industria de tarjetas de pago), y el 11% sí.

    Además, el estudio reveló ciertos datos que pueden resultar curiosos como poco. En primer lugar, el haber pasado la auditoría de PCI DSS no quiere decir que se sigan cumpliendo las normativas del mismo, solo informa que en el momento sí que las cumplían.

    Por otro lado mostró que las empresas ya no cumplían con los requisitos de PCI DSS, aunque sí que lo habían hecho en el momento de pasar la auditoría.

    Finalmente, extrajo las siguientes dos conclusiones principales:

    1. La norma o estándar no es suficiente para proteger los datos del titular de la tarjeta, y cumplir con sus requisitos no proporciona actualmente una seguridad adecuada;
    2. La norma o estándar desplaza la carga de responsabilidad por fraude en lugar de evitar que los datos se vean comprometidos.

    Una vez vistos datos reales creados por instituciones con credibilidad, te paras a pensar ¿cuáles son entonces los riesgos a los que te enfrentas al pagar con tarjeta?

    Si bien la mayoría de los riesgos de la implementación de PCI DSS son generados en al implementación de código que las empresas realizan, según se puede leer en el artículo de Danial Clapper y William Richmond[2], existen varios  otros riesgos relacionados con PCI DSS, muchos de ellos generados por el no cumplimiento del mismo. Uno de los  riesgos que mencionan en el artículo es el riesgo al robo de la información del usuario que realiza una transacción. Para reducir este riesgo, proponen adherirse al Payment Card Industry Data Security Standard (PCI DSS). En general, las empresas pequeñas no entienden la seguridad de la tecnología de la información y, por tanto, algunas de ellas suelen tener brechas de seguridad.

    Además, no solo puede haber robos de datos, también podría darse el caso de acabar con pérdida de datos de los clientes, lo que no solo acabaría con una mala reputación de la empresa si no que acarrearía en compromisos legales por no haber contemplado esos casos con anterioridad.

    Para poder tener una mayor control de los riesgos que puedan ser generados con PCI DSS, desde la página oficial de PCI [3] dentro de los requisitos que proponen, más concretamente en el punto 6.1, obliga a las organizaciones a establecer un proceso para identificar vulnerabilidades de seguridad, utilizando fuentes acreditadas e información actualizada sobre vulnerabilidades, es decir, organizaciones deben llevar a cabo una exploración de vulnerabilidades, al menos en los servidores que están en el ámbito de la regulación PCI. Para ello, habrá que hacer una gestión de riesgos siguiendo los siguientes puntos:

    • Establecer un contexto. El equipo de riesgos tiene que comprender los parámetros internos y externos para poder hacer una evaluación de los riesgos.
    • Identificación de activos. Los activos pueden ser algo de valor para la organización. En cuanto a PCI DSS, los activos incluyen las personas, procesos y tecnologías que participan el el procesamiento, almacenamiento transmisión y protección de los datos.
    • Identificación de las amenazas. Las amenazas pueden incluir personas, los sistemas que utilizan y las condiciones en las que éstos se encuentran. La organización deberá ayudar al evaluador de riesgos a mostrarle dónde se encuentran potencialmente las amenazas.
    • Identificación de las vulnerabilidades. Una vulnerabilidad es una debilidad que puede ser explotada por una amenaza y puede venir tanto de la tecnología, la organización, el medio ambiente o una empresa. En la evaluación de riesgos todas las vulnerabilidades deben de ser consideradas (p.ej. vulnerabilidades que pueden ocurrir como resultado del desarrollo, diseño y/o implementación software)

    Este post lo voy a finalizar mostrando una imagen. En ésta se recoge un resumen más exhaustivo de las amenazas, vulnerabilidades, riesgos e impactos.Captura de pantalla 2018-11-11 a las 22.27.21

     

    Referencias:

    [1] M. V. Kuzin. (2011). PCI DSS: Security Standard and Security in Fact. Bezopasnostʹ Informacionnyh Tehnologij, 18(4), 120-125

    [2] Clapper, Danial, and William Richmond. “Small Business Compliance with PCI DSS.” Journal of Management Information and Decision Sciences 19, no. 1 (2016): 54-67. [pdf carpeta ACCSI_Volumes]

    [3] PCI Security Standard Council, Information Supplement: PCI DSS Risk Asessment Guidelines, noviembre 2012, acceso el 11 de noviembre de 2018, https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf

    Riesgos de los pagos móviles

    Download PDF

    Tras los dos posts anteriores en los que hemos tratado aspectos generales acerca de los pagos móviles, en este nos vamos a centrar en uno de los temas que más nos pueden llegar a afectar, los posibles riesgos a los que estamos expuestos a la hora de utilizar dicha tecnología. Por ello, algunas de las preguntas a las que vamos a poner respuesta son las siguientes: ¿cuáles son los riesgos a los que estamos expuestos?, ¿qué tipo de pérdidas podemos sufrir en caso de ser hackeados? Es obvio que, tal y como yo hago, estamos constantemente adquiriendo productos vía móvil, de hecho, según informan algunos medios de comunicación, más de la mitad de los ciudadanos realizamos compras de manera semanal o incluso diaria. Es por esa razón que el uso de la banca móvil ha sufrido un gran incremento con el paso de los años, según una encuesta realizada por ISACA en 2015, el 87% de los 900 encuestados practicantes de la seguridad estimaron un aumento del uso de esta tecnología, y debemos concienciar y alertar a los usuarios de los posibles riesgos que pueden producirse [1].

     

    grafico

    En primer lugar, todos nuestros dispositivos móviles cuentan con una serie de sistemas de seguridad que nos protegen de los distintos riesgos que nos rodean, ya sean los sistemas de seguridad de pagos, usuarios, comunicación o de puntos finales, sin embargo, se han dado ciertos casos en los que hackers han podido traspasar esas barreras y causar graves problemas en la ciudadanía. De hecho, tal y como afirma el 47% de encuestados en la investigación de ISACA, los pagos móviles no son 100% seguros, estamos totalmente expuestos a diversos riesgos tanto controlables como no controlables por nosotros mismos que procederé a enumerar más adelante. Algunos de los sistemas de seguridad más importantes son la autenticación de dos factores, la tokenización, concepto que hace referencia al envío de señales aleatorias al punto de venta y la red de pago y los criptogramas, encargados de garantizar que los pagos móviles sean únicamente utilizados desde el propio dispositivo del usuario [2].

     

    Algunos de los riegos de los pagos móviles:

    Como bien os he comentado en reiteradas ocasiones, el uso de los dispositivos móviles para realizar pagos ha supuesto un incremento de los robos debidos a los riesgos que estos conllevan. Entre ellos encontramos dos claros tipos de objetivos que son frecuentemente perseguidos. A continuación, mostraré una ilustración donde se muestran los tipos de amenazas y riesgos que tienen lugar cuando hacemos uso de dicha tecnología, así como la escala (del 1 al 3) de probabilidad e impacto de estos:

    Tipo de objetivo perseguido Amenazas Riesgos Probabilidad Impacto
    Usuario Intercepción del tráfico Robo de identidad Baja 3
    Usuario Intercepción de datos de autenticación Robo de parámetros de autenticación, divulgación de información confidencial Moderada 3
    Usuario Enmascaramiento del usuario Transacciones fraudulentas Moderada 2
    Usuario Configuración y complejidad de configuración Reducción en la adopción de la tecnología Baja 1
    Usuario Infección del dispositivo móvil Divulgación de datos y violación de la privacidad Moderada 2
    Proveedor de servicio Ataques enmascarados Robo de servicios y modificación de mensajes Baja 2
    Proveedor de servicio Distribución ilegal de contenido como videos o juegos. Robo de contenido, piratería digital. Baja 2
    Proveedor de servicio Modificación de mensajes, respuesta de transacciones. Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos Moderada 3

    Riesgos de la tecnología empleada

    A todo lo anterior se le suman los riesgos producidos por el uso de tecnologías como NFC, tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia. Conocemos a NFC como una de las más cómodas y seguras de la actualidad, no obstante, éstos no son invulnerables y la seguridad depende, como en la mayoría de las cosas, del uso que hagamos de ello. Por ello, viene bien que os comenté los peligros de estos sistemas de pago de manera que todos hagamos un correcto y seguro uso de ello.

    Las escuchas de piratas informáticos son una de las principales amenazas a tener en cuenta ya que, a pesar de que sea complicado de que se den esos casos, nuestro smartphone se encuentra constantemente intercambiando datos bancarios, lo que podría ser interceptado por este tipo de personas y utilizarla para averiguar información de los usuarios.

    Otro de los riesgos a los que estamos sometidos y que no dependen de nosotros reside en los posibles fallos de seguridad de los que disponen algunas de las aplicaciones de pago existentes en el mercado. Exactamente igual que en el caso anterior, si eso ocurre podría suponer un grave peligro para nuestra seguridad.

    El uso del PIN del propio dispositivo móvil es uno de los mecanismos que más nos pueden ayudar a disipar los riesgos. En caso de carecer de ello, cualquier persona que se apropie de nuestros smartphones podrá acceder a las aplicaciones y obtener nuestra más personal y confidencial información. Por esa razón, muchas aplicaciones bancarias relacionadas con los pagos móviles ya implementan el uso de la propia huella digital como mecanismo para controlar este tipo de riesgos.

    La activación constante del NFC en nuestros dispositivos también puede suponer que un hacker intercepte nuestro chip y se comunique con el haciéndose pasar por un sistema de pago normal y corriente para conseguir nuestros datos bancarios.

    El último de los riesgos que procedo a comentar tiene una probabilidad de ocurrencia media, no obstante, el impacto que éste supone es increíble (podríamos tratarlo como nivel 3). Hablo sobre el robo de los dispositivos móviles, acción que vemos como aumenta de manera considerable con el paso del tiempo y que, ya que ahora es posible el pago sin contacto, se convierten en interesantes objetivos para los ladrones [3].

     

    Me gustaría concluir el presente post animando a todos los usuarios a que lean la siguiente entrada que se publicará en el blog dado que trataré algunas de las mejores técnicas para poder disipar los riesgos existentes al utilizar estas técnicas. Asimismo, trataré de completar el cuadro adjuntado en la parte superior de manera que se listen todos los planes de contingencia pertinentes a los riesgos indicados. Espero que os haya servido para concienciaros acerca del tema y que lo tengáis en cuenta ya que están en juego nuestras tarjetas bancarias e información más privada.

    Bibliografía

    [1] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 06/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

    [2] ISACA Challenges Mobile Payment Security Perceptions. Acceso el 06/10/18.  https://www.isaca.org/About-ISACA/Press-room/News-Releases/2016/Pages/ISACA-Challenges-Mobile-Payment-Security-Perceptions.aspx

    [3] Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros. Acceso el 07/10/18. https://www.smythsys.es/6369/que-es-el-nfc-que-estan-poniendo-en-las-tarjetas-de-credito-ventajas-y-peligros/

     

    Riesgos del Big Data

    Download PDF

    Volvemos a la carga, tras una pequeña pausa. Como no, continuaremos hablando del Big Data, ese término que hoy en día que seguramente si están envuelto en el mundillo de la informática, será uno de los tópicos más populares y reconocidos.

    Como no, antes de empezar hoy con el nuevo post, me gustaría aprovechar estas líneas para poder recordar a todos mis lectores que no se olviden de echar un vistazo a mi aportación anterior, donde repasé la relevancia del Big Data en la industria, y las aplicaciones que se les da en el negocio.

    Hoy en día vivimos en una situación de constante riesgo. Esto se ve muy claro en el avance tecnológico,donde a la vez de facilitarnos la realización de tareas en nuestro día a día, también ha generado una ola de nuevos riesgos. Y estos nuevos riesgos, al final, nos afectan tanto a nosotros, como las empresas; y, por supuesto, el Big Data no está a salvo de incurrir en alguno de estos riesgos. Por ello vamos a revisar unos aspectos claves para el Big Data, en relación con el riesgo que supone.

    Big Data y fraude

    Hoy en día, las compañías están expuestas a múltiples tipos de fraudes, que pueden llegarles a suponer una gran cantidad de dinero. En este punto, me viene a la mente el caso del ataque al banco central de Bangladesh, donde utilizaron el sistema de transacciones bancarias SWIFT (que son las transferencias internacionales realizadas por el sistema de mensajes del mismo nombre)[1], para poder burlar los sistema de seguridad, y así poder hacerse pasar por transferencias legales, y así poder llegar a obtener 81 millones de dólares.Y añadido a esto, se cree que los atacantes tuvieron ayuda interna, ya que, según las investigaciones, los ejecutivos del banco llegaron a cobrar de los ladrones [2].

    bangladesh-ny-702x395

    Debido a estas enormes pérdidas que supone casos como estos en las compañías, aquí es donde entra en juego el Big Data, luchando tanto contra el fraude interno, como el externo, que pueden llegar a generar a las compañías pérdidas mayores. Para ello, las empresas, al disponer de ese gran volumen de datos (como hemos mencionado ya en el apartado anterior), aprovechan todos esos datos para poder identificar ciertos, patrones, que se salen de lo habitual, para así poder analizar esos casos particulares.

    Por ejemplo, en nuestro caso de ejemplo, se evitó que este robo fuera mucho peor para ese banco, ya que los atacantes llegaron a hacer peticiones por valor de hasta 950 millones de $, pero parte de esas operaciones fallaron, ya que el sistema rechazó varias de esas órdenes por estar mal formalizadas, o por ejemplo, por ciertas características que no concuerdan, como una orden de transferencia desde Estados Unidosa una empresa iraní, país al cual el gobierno de Estados Unidos mantenía un embargo comercial.

    Big Data y privacidad

    Las empresas, al disponer de tantos datos para realizar sus análisis de Big Data, al final, corren un grave riesgo de que parte de esos datos sean filtrados, llevando a consecuencias severas como desprestigio de la marca, e incluso, consecuencias legales para esa compañía. Como por ejemplo, el primer caso de brecha de seguridad relacionada con el Big Data, que se remonta al año 2011, donde fueron robados 77 millones de registros de clientes de la PlayStation Network, la red de Sony para Playstation, lo que les supuso una multa de 250.000£ [3] a la compañía.

    Además, otro riesgo al que está expuesto es la venta de datos de consumidores, que se utilizan para crear perfiles de individuos, sin prácticamente ningún control o límites. Conocido es el caso de compañías que comenzaron a comercializar productos para una mujer embarazada, basada en sus búsquedas, antes de que se lo contara a otros miembros de su familia, descubriendo su estado un familiar por ello [4][5].

    Otros riesgos

    Aparte del mencionado riesgo en la lucha contra el fraude y el de la privacidad, el Big Data se enfrenta a otros desafíos, como pueden ser:

    • La complejidad del enorme volumen de datos que dispone hoy en día (hablamos de petabytes y exabytes), y además proceden de una gran variedad de formatos (texto, imágenes, videos…), lo cual genera una dificultad a la hora de procesar todo lo que disponemos.
    • Añadido a lo anterior, muchas organizaciones están enfrentándose al aumento exponencial de los volúmenes de datos. Para poder resolver este problema, se necesita reducir la cantidad de datos que se almacenan, y explorar las nuevas tecnologías de almacenamiento que mejoran el rendimiento.
    • Por último, el Big Data también plantea una serie de problemas legales, ya que los datos son diferentes respecto a otros activos. Por ejemplo, una parte de los datos puede duplicarse y combinarse fácilmente con otros, a diferencia de otros activos clásicos [6].

    En conclusión, parece que el Big Data también trae consigo sus propios riesgos, aunque supone una gran ventaja, por ejemplo, a la hora de detectar posibles conductas fraudulentas en el mundo. Por ello, parece que el Big Data tiene asegurado un gran futuro en este mundo de constante cambio, y generación de riesgo. Y con esto me despido hasta el siguiente post, donde espero veros ahí.

    Referencias

    1. Transfer wise. ¿Qué son los pagos swift?. Accedido el 23 de octubre del 2018
    2. El periódico. (2016). El mayor ciberataque del mundo tuvo topos en el banco. Accedido el 23 de octubre del 2018
    3. Tech world. (2018). The most infamous data breaches. Accedido el 23 de octubre del 2018
    4. Armerding, T. (2017). The 5 worst big data privacy risks (and how to guard against them). Accedido el 23 de octubre del 2018
    5. Estuate. (2017). Are you fighting the 5 biggest risks of big data?. Accedido el 23 de octubre del 2018
    6. KnowledgeLeader (2014). Big Data analysis Guide. Accedido el 23 de octubre del 2018