La responsabilidad penal corporativa, el Compliance Officer y el modelo integrado de GRC

compliance

Por José Luis Colom Planas

1. INTRODUCCIÓN AL MODELO GRC

GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en inglés.

Podemos decir que se plantea a partir de la necesidad de integración de las diferentes tareas en el Gobierno corporativo, la gestión de riesgos y el cumplimiento normativo y regulatorio en una misma organización.

Otra forma de verlo es como la mayor concienciación de las empresas en su conducta, con el fin de evitar sanciones y mantener su prestigio social, y la consecuente optimización y coordinación de las diferentes acciones y mecanismos de control.

El entorno en que se desenvuelven las empresas hoy en día es más complejo y difícil que antes. Incluso las PYMES y micro-PYMES se enfrentan a problemas que, históricamente, afectaban sólo a las grandes compañías multinacionales. Las partes interesadas, internas y externas, además de exigir un alto rendimiento  también exigen transparencia en las operaciones de la organización.

Los riesgos y requerimientos de cumplimiento actuales son numerosos, exigentes y varían constantemente pudiendo causar su ignorancia, deliberada o no, graves efectos en la entidad. Además, cómo si eso no fuera suficiente, los costes de abordarlos por separado son difíciles de evaluar. [5]

Una solución a este problema pude ser adoptar una visión que apunte hacia el desempeño basado en principios; un modelo de negocio que exija lograr objetivos de manera confiable teniendo en cuenta la incertidumbre (riesgo y beneficio); y actuar con integridad (respetando las obligaciones legales y los compromisos normativos voluntarios).

La OCDE en su documento “Los principios de Gobierno Corporativo” [9] considera que es una función determinante del Consejo de Administración el asegurar sistemas de control adecuados para la gestión de riesgos y el cumplimiento legal. En la actualidad se considera imprescindible que los administradores adopten las medidas necesarias para que sus organizaciones cumplan con las obligaciones exigidas por la normativa legal aplicable, implementando los modelos de control adecuados para ello.

2. RESPONSABILIDAD PENAL CORPORATIVA

2.1. Responsabilidad del administrador

Recordemos el artículo 31 CP que resuelve las situaciones en las que se produce una disociación entre quien actúa, el representante, y quien ostenta la cualidad que el tipo exige al sujeto activo del delito, el representado, ya se trate de una persona física o jurídica. El artículo 31 CP dispone: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre”.

Sirva como ejemplo, para ilustrarlo, la condición de obligado tributario en una defraudación penalmente relevante del Impuesto sobre Sociedades, que, caso de no existir el artículo 31 CP, difícilmente se podría predicar del representante pues el obligado en dicho tributo no es él sino la persona jurídica.

2.2. Actual reforma del Código Penal del año 2010

2.2.1. Responsabilidad de las personas jurídicas

Desde el punto de vista del Derecho vigente, la Ley Orgánica 5/2010, de 22 de junio,[4] por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, ha introducido en el ordenamiento jurídico Español un nuevo concepto: La responsabilidad penal de las personas jurídicas.

Se añade el artículo 31 bis CP, que dispone en su número 1: “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridadde las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.

Podríamos decir que distingue dos tipos de culpa de la persona jurídica: “In eligendo”al referirse a delitos cometidos por los representantes legales o administradores que ha designado la organización para que le representen e “In vigilando” tratándose de empleados sometidos a la autoridad de los anteriores, sin haberse ejercido el debido control.

Respecto este último grupo es de destacar que el concepto de “debido control”, es señalando como atenuante en el mismo artículo 31 bis CP, número 4, apartado d):“Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

En consecuencia, se ratifica la necesidad de establecer un adecuado “Programa de Cumplimiento” por parte de las empresas, pese a la ausencia de concreción en nuestra legislación actual al aludir al “debido control”, solo delimitado como el establecimiento y adopción de medidas eficaces de prevención y detección de delitos. El concepto “medidas eficaces” elude toda opción de simplemente maquillar un programa de cumplimiento en lo que se conoce, empleando terminología anglosajona, como “makeup compliance”.

2.2.2. Huida hacia adelante para extinguir la responsabilidad

Para los que se plantearan la venta, cesión o fusión de la persona jurídica imputada, únicamente con la finalidad de eludir o entorpecer la acción procesal posterior, existe el apartado 2 del artículo 130 CP que dispone: “La transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión. El Juez o Tribunal podrá moderar el traslado de la pena a la persona jurídica en función de la proporción que la persona jurídica originariamente responsable del delito guarde con ella.

No extingue la responsabilidad penal la disolución encubierta o meramente aparente de la persona jurídica. Se considerará en todo caso que existe disolución encubierta o meramente aparente de la persona jurídica cuando se continúe su actividad económica y se mantenga la identidad sustancial de clientes, proveedores y empleados, o de la parte más relevante de todos ellos”.

2.3. Proyecto de Ley estimada para otoño de 2014

El Proyecto de Ley Orgánica por la que se modificaría la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal [6], analizando aquí el texto de 4 de octubre de 2013 (Congreso de los Diputados), presenta una serie de concreciones adicionales:

2.3.1. El administrador responde personalmente

Hemos visto anteriormente lo que dispone el artículo 31CP, pudiendo llegar a interpretarse, a sensu contrario, como que se pasa a considerar a los administradores de una persona jurídica como sujeto activo de cualquier delito imputable a ésta, respondiendo personalmente.

Partiremos de que, en Derecho Penal, uno no puede responder de lo que haga otro, ya que la responsabilidad penal es la consecuencia jurídica derivada de la comisión de un hecho antijurídico, por un sujeto imputable, tipificado en el Código Penal. Solo puede responderse de la propia conducta antijurídica por acción u omisión. Y esto es válido para personas físicas y jurídicas. En este caso, la empresa, y el administrador como sujeto activo,  solo será culpable de lesionar un bien jurídico de forma merecedora de pena, ocasionado por cualquier empleado, si está mal organizada para evitar un delito cometido en su estructura, es decir, que según dispone el artículo 31 bis CP no ha ejercido el debido control efectivo.

Queda demostrada así la importancia capital de ir preparando la implantación en la empresa de un completo y adecuado programa de cumplimiento.  No solo para preservar a la propia organización, sino a sus representantes y administradores de posibles imputaciones penales.

2.3.2. Responsabilidad directa de la persona jurídica

Se modifica el artículo 31 bis CP, número 1, en referencia a la responsabilidad directa de la persona jurídica por la comisión de un delito por parte de cualquier persona con capacidad de decisión o de organización y control. En consecuencia no es necesario que sea el administrador sino que puede ser cualquier Directivo, mando intermedio, etc., ya sea individualmente o de forma colegiada: “En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

  1. a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica,están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

Se pretende conseguir que socios y altos directivos no solo adopten políticas empresariales que persigan el logro de objetivos económicos, sino que además adopten las medidas de gobierno y gestión necesarias para la consecución de objetivos legales. En otras palabras, se trata de que la empresa se autorregule de forma que los programas de cumplimiento, códigos de conducta, programas éticos, etc.,  se erijan en instrumentos efectivos para prevenir delitos en el seno de la empresa, más que un simple maquillaje, cara al exterior, que en el fondo no proteja de nada.

  1. b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior,han podido realizar los hechos por haberse incumplido por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

Se continúa insistiendo en la necesidad de implantar mecanismos de supervisión, vigilancia y control en los “programas de cumplimiento”.

2.3.3. Mecanismos de exención de responsabilidad

Podríamos decir que si se han adoptado las medidas de control exigibles a la empresa, conforme a criterios razonablemente adecuados, examinados desde una perspectiva ex ante, no cabe atribuir responsabilidad penal a la persona jurídica.

El artículo 31 bis CP, en su número 2, dispone: “Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1.ª) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;

El concepto “medidas idóneas” en esta 1ª condición puede interpretarse cómo que no será suficiente con la implementación de unas “medidas genéricas de vigilancia y control” sino que deben ser idóneas para cada posible naturaleza de delitos,  es de suponer que en base a su riesgo real de materialización en la estructura concreta de la persona jurídica. Como se indica en el que equivale al preámbulo del RD 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2012, de 28 de abril, de prevención de blanqueo de capitales y de la financiación del terrorismo “Un enfoque orientado al riesgo que, no solamente, incrementará la eficiencia de las medidas a aplicar, sino que se presenta, igualmente como un elemento de flexibilidad de la norma, dirigida a un colectivo muy heterogéneo de sujetos”.

En relación a la exención, cuando se dice “ha adoptado y ejecutado con eficacia, antes de la comisión del delito (…)” no se refiere únicamente a haber implantado, con un contenido  claro y ajustado a los requerimientos de la empresa,  modelos de prevención y control. Deberían existir unos requisitos de prueba que lo demuestren como puede ser la recogida de evidencias de los controles implementados, con su correspondiente timestamp o “sello de tiempo”, que deberían ser custodiadas en un repositorio específico y seguro.

2.ª) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;

Esta 2ª condición se refiere a la necesidad de una figura, o un órgano, independientes dentro de la persona jurídica, para supervisar y controlar el modelo de prevención. A este respecto recordaré otra vez el RD 304/2014, de 5 de mayo, de PBCyFT, que en su artículo 35.2 dispone también que “los sujetos obligados establecerán un órgano de control interno responsable de la aplicación de los procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo”, con las consideraciones de ese mismo artículo 35.2 in fine.

3.ª) los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;

4.ª) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b).

2.3.4. Régimen de atenuación

Se establece un peculiar y diferenciado régimen de atenuación previsto en el número 4 del artículo 31 bis CP. Se concreta como una lista cerrada con un numerus claususde circunstancias atenuantes. El legislador lo debe haber establecido así al ser impracticable, dada la especial naturaleza de las personas jurídicas,  aplicarles la lista general de circunstancias atenuantes que se recoge en el artículo 21 CP legislada pensando en las personas físicas. Se concretan en una circunstancia de previsión para futuros casos y otras de confesión y colaboración para la investigación del delito: “Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

  1. a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, aconfesar la infracción a las autoridades.
  2. b)Haber colaborado en la investigacióndel hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.
  3. c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral areparar o disminuir el daño causadopor el delito.
  4. d) Haber establecido, antes del comienzo del juicio oral,medidas eficaces para prevenir y descubrir los delitosque en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Vemos según el apartado d) que siempre favorece la implantación en la empresa de medidas eficaces de prevención y control, lo que es lo mismo, un programa de cumplimiento efectivo. La inversión económica que representa ese programa se justifica en que las circunstancias atenuantes son siempre carga de prueba de aquel al que favorecen, en este caso la persona jurídica. Cabe recordar que los seguros deresponsabilidad civil (RC) no cubren la responsabilidad penal, ni la responsabilidad civil derivada de la comisión de un delito.

2.3.5. Penas por incumplimiento del debido control

Se introduce en el capítulo XI del título XIII del libro II una nueva sección cuarta bis, con la rúbrica “Del incumplimiento del deber de vigilancia o control en personas jurídicas y empresas”.

También un nuevo artículo 286 seis CP, con la siguiente redacción: “1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida (…).

3. ANALIZANDO LOS ÁMBITOS DE GRC

3.1. Introducción

Hemos visto que GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en inglés y se plantea a partir de la necesidad de integración de las diferentes tareas en el Gobierno corporativo, la gestión de riesgos y el cumplimiento normativo y regulatorio en una misma organización.

3.2. Gobierno corporativo

La razón de ser de una empresa es crear valor para sus partes interesadas (stakeholders). En consecuencia, esa creación de valor será un objetivo de gobierno para cualquier empresa. La creación de valor significa lograr unos objetivos, normalmente concretados en obtener beneficios, a un coste óptimo de recursos, mientras se minimiza el riesgo. Como las empresas suelen tener diferentes partes interesadas, el gobierno trata sobre negociación y conciliación entre ellas en lo referente a las diferentes percepciones en el valor. El sistema de gobierno debería así tener en cuenta a todas las partes interesadas cuando se tomen decisiones relacionadas con la evaluación de beneficios, riesgos y recursos. Las necesidades de las partes interesadas tienen que transformarse en estrategia corporativa practicable y consensuada. [1]

Gobernar es asegurar unos objetivos, en base a la estrategia empresarial acordada, a partir de la administración de unos recursos determinados y manteniendo el riesgo a niveles aceptables.

3.3. Gestión del riesgo

Cada vez más, ya sea en marcos legales de obligado cumplimiento o en normativas de libre adscripción representadas mediante estándares y mejores prácticas internacionales, el “riesgo” a que se presenten circunstancias adversas que impliquen un impacto en el objeto protegido por la norma será sustantivo para poder determinar qué medidas deberían aplicarse (ya sean jurídicas, organizativas o técnicas) para mitigarlo a niveles aceptables para la organización en base a su “apetito de riesgo” acordado.

El riesgo empresarial es la probabilidad de que se materialice, por causas internas o externas,  alguna amenaza aprovechando cualquier vulnerabilidad en la estructura de la organización que provoque cierto impacto, directo o indirecto, en la consecución de los objetivos fijados.

Como se cita en la introducción de la norma UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices: [2] “Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto saber si y cuando conseguirán sus objetivos. La incidencia que esta incertidumbre tiene sobre la consecución de los objetivos de una organización constituye el “riesgo”.

Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas, realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional del riesgo”.

3.4. Cumplimiento normativo y regulatorio

3.4.1. Generalidades

El cumplimiento normativo y regulatorio es el que persigue en una organización el aseguramiento de que sus empleados y accionistas se adhieran y actúen de conformidad a las reglas adoptadas por el negocio y los requerimientos legales.

Debe contemplarse desde el punto de vista jurídico y organizativo. La razón es la habitual convergencia, en una misma organización, de  diferentes obligaciones corporativas sabiendo que sus fuentes pueden ser diversas. Pueden incluir las que nacen de la Ley, las que surgen de los diferentes contratos suscritos, normativas sectoriales o normas auto-impuestas:

  • Normas de adscripción voluntaria (como pueden ser las normas internacionales ISO, normas sectoriales…).
  • Regulación de obligado cumplimiento según la legislación aplicable (en España el CP, LOPD, LPBCyFT…).

Como hemos visto, la introducción de la responsabilidad penal de las empresas por la LO 5/2010, de 22 de junio, viene a corroborar las tesis de este artículo. En consecuencia, se ratifica la necesidad de establecer un adecuado “Programa de Cumplimiento” por parte de las empresas que acredite “debido control”, estableciendo y adoptando medidas de prevención y detección de delitos. Estas medidas de carácter general deberán aplicarse siempre sin menoscabo de las medidas específicas que pudieran concurrir como consecuencia de ser considerada la persona jurídica “sujeto obligado” por otra Ley, como puede ser la LPBCyFT.

3.4.2. Compliance Management Systems (CMS)

Un paso más allá de establecer un Programa de Cumplimiento es llevarlo a constituir un completo Sistema de Gestión del Cumplimiento (CMS – Compliance Management System – por sus siglas en inglés). [7]

Después de varios estándares nacionales, entre ellos el Australian Standard AS3806:2008, se está desarrollando la Norma ISO/DIS 19600 – International Guideline Standard on Compliance Management Systems. Ha estado publicado el borrador para la recepción de comentarios hasta el 21 de abril 2104.

El objeto de las normas standard para CMS es proporcionar directrices o requisitos mínimos para todas las organizaciones, públicas y privadas, para diseñar, implementar, mantener y mejorar sistemas eficaces de gestión de cumplimiento.
Una comparación de estas normas en esencia muestra que hay poca diferencia con respecto a los principios de gobierno del cumplimiento, la organización y los procesos de un CMS efectivo. Por ejemplo, el gobierno del cumplimiento como norma incluye funciones de acceso directo de la función de cumplimiento al Consejo de Administración, su independencia de la dirección operativa de la compañía, autoridad organizativa adecuada y disponer de  los recursos necesarios.

Adoptar un CMS, basado por ejemplo en la estructura de la Norma ISO/DIS 19600, es una buena forma de preparar la integración con otras Normas ISO de la empresa y facilitar la transición del cumplimiento hacia un modelo global de GRC.

Las nuevas Normas ISO están basadas en el Anexo SL, por lo que disponen de una estructura homogénea que les permite integrarse entre ellas. Este Anexo SL se aplicará a todas las normas que vayan apareciendo nuevas y, paulatinamente, a todas las actualizaciones de las existentes.

NOTA DEL EDITOR: Para profundizar en las implicaciones en las Normas ISO, tras la aparición del Anexo SL, puede consultarse: Integrar diferentes Normas ISO gracias al Anexo SL en este mismo blog.

Basándome en esa estructura, muestro a continuación una tabla provisional con las diferentes cláusulas de la Norma ISO/DIS 19600.

Estructura de alto nivel para ISO MSS Guía sobre cumplimiento en la norma ISO/DIS 19600
Contexto de la organización – Análisis del entorno en el que opera la organización (contexto, problemática, partes interesadas ​​y sus requerimientos, necesidades y expectativas).- Ámbito de aplicación del sistema de gestión del Cumplimiento.- Identificación de las obligaciones de cumplimiento.

– Evaluación de los riesgos de cumplimiento

Liderazgo – Política, compromiso, liderar con el ejemplo.- Roles, responsabilidades y autoridades con respecto al cumplimiento, para el Consejo de Administración, la Alta Dirección y Dirección operativa, los empleados y un Compliance Officer independiente.
Planificación  – Planificación de las medidas para controlar los riesgos de cumplimiento.- Establecimiento de objetivos de cumplimiento.
Soporte – Concienciación, competencia y capacitación en el cumplimiento.- Comportamiento y cultura.- Comunicación y documentación.
Operación – Implementación de controles para el cumplimiento (técnicos, procedimentales, dirigiendo la actitud y el comportamiento del personal).
Evaluación del desempeño – Monitorización del cumplimiento. Aplicación de indicadores.- Análisis de la información (interna y externa) y  comunicación de los resultados.- Auditoría interna y revisión por la Dirección.
Mejora – Acciones sobre el incumplimiento de los requisitos y el escalado a los niveles de Alta Dirección cuando sea necesario.- Acción correctiva.- Actividades de mejora.

3.5. Buscando una definición  de GRC

Podemos definir GRC como la capacidad que tiene la organización de lograr unos objetivos, administrando los recursos, en base a la estrategia acordada[GOBIERNO], gestionando el riesgo dentro de niveles aceptables [RIESGO] y respetando las obligaciones regulatorias y los compromisos normativos voluntarios[CUMPLIMIENTO]. [3]

En consecuencia se pretende alcanzar la seguridad razonable de lograr los objetivos mediante el compromiso de llevarse a cabo las acciones necesarias, para alcanzar conformidad con los requerimientos de cumplimiento establecidos (internos y externos), teniendo en cuenta el riesgo.

Es una realidad el que las regulaciones globales y locales están creciendo en volumen, en frecuencia de las revisiones o reformas legislativas y en complejidad. Como resultado, la exigencia de responsabilidad legal a los Consejos de Administración, y a otros órganos de gobierno corporativo, y directamente a los Directivos, se ha intensificado.  Sin olvidar que la contención de los costes asociados a la gestión del riesgo y cumplimiento continúa siendo un reto para los Directores Financieros (CFO) que les obliga a velar para que no se produzca una redundancia de esfuerzos en esas áreas.

4. LA COMPLEJIDAD DEL ENTORNO DE CUMPLIMIENTO

La transición en la que nos encontramos inmersos desde la era industrial a la era de la información y últimamente a la era del conocimiento, implica una serie de cambios que llevan aparejados:

  • La aparición de nuevos riesgos
  • Un ambiente de negocios más inestable
  • La aparición de responsabilidades de cumplimiento
  • Las ineludible concreción de esas responsabilidades
  • La conveniencia de instaurar un modelo GRC

4.1. Aparición de nuevos riesgos

  • Redes sociales con sus riesgos potenciales en la privacidad y en la reputación de las organizaciones. Todo dentro de un modelo de propagación viral.
  • Riesgos generados por la globalización de los mercados, de la información y de los estándares.
  • Riesgos relacionados con la diferencia de valores de las personas del siglo XXI con las del siglo anterior.
  • Riesgos asociados a Internet y la ciberdelincuencia.
  • Riesgos consecuencia de las nuevas tecnologías emergentes (Cloud Computing, Big Data, IoT…) y la escasa experiencia en su control.
  • Riesgos de contagio entre los mercados.
  • Riesgos relacionados con los socios de negocios (Third-parties), y cumplimiento de acuerdos contractuales, en un entorno cada vez más externalizado.
  • Etc.

4.2. Ambiente de negocios más inestable

  • Alta velocidad del mercado (TTM – “time to market” más corto; LC – “Lifecycle” menos duradero…).
  • Mayor complejidad en todos los ámbitos.
  • Nuevas estrategias más agresivas por parte de los competidores que se traducen en presiones dentro de la organización.
  • Mayor gradiente de obsolescencia en los modelos de negocio.
  • Necesidad de innovación permanente para poder contrarrestar las desbordantes ofertas, habitualmente desde otros países,  que compiten únicamente por precio.
  • Necesidad de formación continuada y de valor, o disponer de asesoramiento externo experto en múltiples ámbitos, debido al entorno cambiante.
  • Aumento de la regulación, y la consecuente presión por parte de las autoridades de control y la propia sociedad, donde la empresa interactúa. Efecto multiplicador si la organización opera en sectores regulados o en mercados internacionales con diferentes legislaciones y normativa aplicable que posiblemente no está armonizada.
  • Etc.

4.3. Algunas responsabilidades de cumplimiento

  • Gestión de Riesgos
  • Prevención del fraude
  • Prevención de responsabilidad penal corporativa
  • Prevención de sanciones administrativa
  • Compromisos legales como sujeto obligado
  • Seguridad de la información
  • Certificaciones exigidas por proveedores
  • Privacidad y protección de datos personales
  • Seguridad física de personas e instalaciones
  • Continuidad del negocio
  • Etc.

4.4. Algunas concreciones de cumplimiento

Requerimientos legales generales. Por ejemplo: CP (LO 10/1995, de  23 de noviembre – reformada por la LO 5/2010, de 22 de junio); (LOPD y su reglamento (LO 15/1999, de 13 de diciembre – RD 1720/2007, de 21 de diciembre); LSSI-CE (LEY 34/2002, de 11 de julio)…

  • Requerimientos legales sectoriales. Por ejemplo: LPBCyFT y su reglamento, para sujetos obligados (LEY 10/2010, de 28 de abril – RD 304/2014, de 5 de mayo); Sanidad (LAP – Ley 41/2002, de 14 de noviembre; LGSP – Ley 33/2011, de 4 de octubre, etc.)…
  • Otros requerimientos sectoriales. Por ejemplo: Certificación GMP (laboratorios de cosmética); PCI-DSS (Tarjetas de crédito)…
  • Estándares o mejores prácticas externas. Por ejemplo: ISO 38500 (Gobierno); ISO 31000 (Riesgo); COSO; ISO 27001 (Seguridad de la información); ISO 22301 (Continuidad del negocio); COBIT; ISO 20000 (Gestión de servicios); ITIL…
  • Prácticas internas. Por ejemplo: Políticas promulgadas por los órganos de gobierno; Procedimientos definidos por los órganos de gestión; Plan de auditorías y control…
  • Interacción con terceros. Por ejemplo: Proveedores, prestadores de servicios, asesores y expertos externos; Autoridades de inspección y control (En España la AEPD, SEPBLAC, etc.)…

4.5. Consecuencias del enfoque aislado sin GRC

La falta de integración y coordinación entre las diferentes áreas de cumplimiento y gestión de riesgos hace aflorar los problemas propios de la fragmentación empresarial en silos inconexos:

  • Adopción, por parte de las áreas funcionales, de criterios o enfoques diferentes que en ocasiones pueden ser opuestos.
  • Esa falta de criterio corporativo desaprovecha las sinergias y, habitualmente, las mejores prácticas internas ya que las diferentes áreas funcionales pueden utilizar diferentes procesos y herramientas para efectuar tratamientos equivalentes.
  • Duplicación de esfuerzos con una carga superflua para determinadas áreas funcionales, o desempeños individuales, habitualmente faltos de recursos.
  • Falta de estandarización de estas actividades a nivel corporativo.
  • Ausencia de colaboración entre áreas funcionales y personal asignado.
  • Inconsistencia en criterios, métricas e indicadores, dificultando un análisis predictivo global.
  • Se encuentra a faltar una visión de conjunto para la toma de decisiones de gobierno.
  • Esfuerzos de cumplimiento regulatorio aislados, reactivos y sin valor añadido para el conjunto de la organización.
  • Como consecuencia de la duplicidad de esfuerzos, aumentan los costes para el cumplimiento global corporativo.

5. REQUISITOS PARA IMPLANTAR UN MODELO GRC

Un modelo GRC pretende la unificación de criterios  coordinando esfuerzos y la colaboración entre los diferentes involucrados en la dirección de la organización mediante:

  • El apoyo unánime de la Alta Dirección y los órganos de gobierno.
  • Medios adecuados (Asignación de los recursos necesarios al modelo).
  • Estructura organizativa bien definida.
  • Acceso a la información empresarial y a todas las funciones y procesos.
  • La integración de los órganos/responsables del gobierno, la gestión de riesgos, el control interno y el cumplimiento normativo y regulatorio.
  • La asignación de roles, responsabilidades y autoridades del personal clave.
  • Establecimiento de un plan de formación para todo el personal.
  • La formalización de adecuados canales de comunicación.
  • La aplicación generalizada de un enfoque basado en riesgos, diseñando, implementando y manteniendo un programa eficaz.
  • La implementación global de un programa de cumplimiento corporativo.

6. IMPLEMENTACIÓN DE UN MODELO DE GRC

6.1. Transición al modelo

Para adoptar un proyecto de implantación de un modelo de GRC deben considerarse, adaptadas a la realidad de la organización, unas cuantas fases. Por ejemplo, podemos definir estas nueve:

  • Definir los objetivos y el alcance: En esta primera fase se consensuarán los objetivos deseados, y una primera definición del alcance, para el  modelo de GRC en la organización.
  • Estudiar la normativa aplicable: Regulaciones internacionales, nacionales y locales que le afecten como empresa, por ser sujeto obligado, mercados regulados, normativas sectoriales, específicas, de libre adscripción,frameworks adoptados, códigos de conducta existentes, códigos deontológicos que obligan a determinado personal, mejores prácticas adoptadas…
  • Análisis de riesgos: Se evaluará un completo mapa de riesgos, en base al alcance previamente determinado. Las mejores prácticas consisten en efectuar un inventario previo de los bloques normativos que aplican a la organización [alineados con los objetivos de cumplimiento del primer punto], para luego identificar las conductas de riesgo asociadas a cada uno de ellos (Que impliquen la responsabilidad penal de la persona jurídica, que ocasionen daños de reputación, que comprometan la seguridad de la información, que atenten a la continuidad del negocio, que violen la privacidad…).
  • Diagnóstico de la situación actual: En esta fase se evaluará el grado de madurez actual de la organización, dentro del alcance definido, por ejemplo respecto de los ocho componentes definidos por la OCEG en su modelo [el modelo se extracta al final de este artículo], y de las medidas ya implantadas. A partir del grado de madurez actual y de los objetivos específicos de la empresa, se obtendrá el grado de madurez deseado que determinará el GAP inicial.
  • Planificación: En la fase de planificación, se determinarán las actuaciones necesarias para llevar a la empresa al nivel de madurez deseado. Contando con los órganos de gobierno y el equipo directivo se elaborará el Plan Rector, creándose las estructuras organizativas necesarias y asignándose roles, responsabilidades y autoridad para llevarlo a cabo.
  • Desarrollo del plan: Se diseñará con detalle el modelo de GRC y se elaborarán los programas de cumplimiento, Concreción y promulgación de las políticas necesarias [ex novo o adaptando alguna de las existentes] empezando por las fundamentales [Éticas o de conducta empresarial] y vertebrando después hacia las demás políticas [ya más concretas], un sistema efectivo de controles de cumplimiento y reporte que garantice la aplicación práctica de las políticas, canales de comunicación y whistleblowers, los protocolos de actuación por evidencias o por indicios, confección de códigos éticos o de buena conducta, procesos de due diligence, concretar el plan de formación e información periódica a trabajadores y directivos, desarrollar el plan de auditorías…
  • Implantación y formación: Durante la implantación del modelo de GRC, deben realizarse talleres y reuniones con el equipo directivo, con quienes han de implementar y verificar los controles, con los auditores, con todo el personal de la empresa…  para que vayan conociendo y asumiendo el modelo, así como concienciándose del valor del mismo para la organización y todas sus partes interesadas.
  • Monitorización y evaluación: Después de haber implementado el modelo GRC es capital el seguimiento del desempeño, mediante protocolos y procedimientos que aseguren la eficacia del propio modelo. Se evaluarán los controles periódicamente en base a auditorías que permitan evidenciar el diferencial entre lo establecido y lo realmente  llevado a la práctica y, si es posible, mediante monitorización. Se analizarán los fallos de cumplimiento para sacar conclusiones y poder así rectificar esa situación. Se mantendrá informado al consejo de administración.
  • Mejora continua: Debe contemplarse un proceso de actualización permanente en función de: Lo aprendido de la experiencia con el propio modelo, los cambios en la empresa (internos), en el entorno en que opera y la normativa y regulación que le es aplicable (externos). El modelo de GRC debe ser algo vivo o pierde su valor.

6.2. El modelo en funcionamiento

Un modelo de GRC ya instaurado y en pleno funcionamiento debe contemplar en primer lugar los medios necesarios para la prevención. No hace falta mencionar las ventajas de evitar un ilícito frente  a tener que afrontar las responsabilidades y penas derivadas del mismo.

Caso de que no hayan funcionado con la debida eficacia esas medidas de prevención, el modelo debe contemplar controles adecuados de detección.

Una vez evidenciado el ilícito deberá actuarse con un plan de respuesta, con las acciones necesarias para su remediación, y con su correspondiente seguimiento.

El proceso debe ser cíclico de forma que se base en la mejora continuada a partir de la propia ejecución del modelo.

7. VENTAJAS DE IMPLANTAR UN MODELO DE CUMPLIMIENTO

El diseño e implantación de un sistema de control efectivo, tiene una serie de ventajas para la empresa:

  • Permite prevenir las infracciones ya que la implantación de controles efectivos actuarán como elemento disuasorio frente a la comisión de ilícitos. Si a pesar de todas estas medidas el hecho antijurídico se produjera, sería más fácil detectarlo o contenerlo.
  • Otorga beneficios indirectos al negocio, ya que representa un mayor control sobre la empresa. Muchas medidas pueden utilizarse adicionalmente como un sistema de captar información de interés sobre la marcha de los procesos de negocio o para rediseñar circuitos de información obsoletos.
  • Logra evitar sanciones al haber cada vez más normativa que obliga a lossujetos obligados a implantar medidas de control. El mero hecho de no hacerlo puede suponer importantes sanciones administrativas, con independencia de las exenciones penales para la persona jurídica, que ya hemos visto, que le proporcionan unas medidas de vigilancia y control efectivo.
  • Mantiene el prestigio al ayudar a preservar la reputación ya que el poder demostrar que se posee un estricto sistema de verificación y control, en época de corrupción y escándalos, implica un valor añadido para la empresa en relación a clientes, proveedores, entidades financieras… que absorbe parte del presupuesto de la inversión necesaria. A sensu contrario permitir un daño reputacional debido a un escándalo, que con medidas de control efectivo se hubiera podido evitar, en un mundo cada vez más interconectado socialmente, a través de Internet, es una auténtica temeridad.

8. ROLES RELACIONADOS

Ambos roles que presento a continuación podrían recaer en la misma persona en función del tamaño y de los los requerimientos de la organización, de las competencias del sujeto que ostentará los roles, o incluso llegar a ser externalizados en un tercero en calidad de experto externo si la legislación lo permite.

8.1. El Chief Compliance Officer (CCO)

El rol de oficial jefe de cumplimiento corporativo (CCO) hay quién lo contempla únicamente desde la óptica de focalizar en la prevención y detección de delitos penales de la persona jurídica.

No es del todo mi particular parecer ya que existen otros incumplimientos regulatorios en el marco de la empresa que no necesariamente implican, en casos concretos, una ratio legis de tipo penal y, en consecuencia, inicialmente no se usará esa vía. Algunos de ellos, por ejemplo, pueden sancionarse administrativamente o por la vía civil obligando al resarcimiento de los daños causados e ineludiblemente también requieren o se beneficiarían de un programa de control efectivo sujeto a coordinación y supervisión.

Lo ilustraré diciendo que amplia legislación, de aplicación habitual en la empresa, puede llegar a tener su correspondencia en el CP aunque su incumplimiento, como se sabe,  no implica necesariamente la apertura de un proceso por la vía penal (vid. Procedimiento administrativo sancionador por infracciones leves en LPBCyFT).

 Legislación  específica  Artículos relacionados del CP
 Protección de Datos Personales  LOPD    (LO 15/1999)RLOPD (RD 1720/2007) 197 CPDescubrimiento y revelación de secretos.
 Blanqueo de Capitales LPBCyFT    (Ley 10/2010)RLPBCyFT (RD 304/2014) 301 a 303 CPDe la receptación y el Blanqueo de Capitales
Propiedad Intelectual LPI (RD Legislativo 1/1996) 270 CPDe los delitos relativos a la Propiedad Intelectual

Ejemplo de otros ámbitos legislativos habituales en la empresa

En lo que solemos estar todos de acuerdo es en que se trata de un perfil eminentemente jurídico, conocedor del Derecho Penal y otras especialidades, como las citadas anteriormente, aunque yo le añadiría  conocimientos multidisciplinares como pueden ser organizativos, financieros, técnicos…, según el caso. Esto es así porque debe conocer, no solo la regulación nacional y local de los países en los que está presente la empresa, sino saber con detalle cómo opera ésta y el sector donde se desenvuelve, regulado o no, para determinar con la mayor precisión dónde enfocar sus esfuerzos.

Debe tener una mentalidad analítica. Cuando se produce un fallo de cumplimiento dentro de la empresa, el CCO debe auditar mirando de cerca, de forma detallada, lo que ocurrió y su por qué.  Involucrará, de ser necesario, a especialistas de las diferentes áreas funcionales para comprender mejor lo acaecido y evitar que pueda pasarse por alto algún indicio. Deberá velar por la cadena de custodia de las posibles pruebas obtenidas caso de descubrir algún ilícito.

El CCO debe considerarse por la empresa como un garante de cumplimiento. Para ello podrá actuar solo o dirigiendo un órgano colegiado de control interno, en función del tamaño, complejidad y jurisdicciones dónde actúa la empresa, aplicando siempre el principio de proporcionalidad.  En cualquier caso deberá quedar garantizada su independencia.

Sobre el oficial jefe de cumplimiento recae una gran responsabilidad, especialmente desde la óptica penal, dado su perfil de “experto conocedor” e independencia de actuar.

Debe tenerse en cuenta que la asignación del deber específico de supervisión actúa como una delegación del deber de control, que corresponde a los administradores de la empresa, y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría llegar a contemplarse la intervención delictiva del CCO pudiendo imputársele comisión por tolerancia dolosa (complicidad) o por omisión imprudente.

Podría impugnarse la aplicación del principio “in dubio pro reo” sobre los posibles hechos delictivos, apoyándose en un supuesto de ignorancia deliberada, en base a los conocimientos y competencias especializados del sujeto en el ámbito del delito a considerar. Es indudable que el CCO los tiene o debería tenerlos.

De ahí que sea muy importante, en su desempeño profesional, el mantener rigurosamente documentado:

  • Prueba de un análisis continuado de riesgos.
  • Prueba de la existencia de controles en base a los análisis anterior.
  • Prueba de la eficacia de esos controles para mitigar los riesgos.
  • Recabado de evidencias, si puede ser con timestamp o sellado de tiempo y garantía de integridad, garantizando su autenticidad y el memento en que se obtuvieron.
  • Custodia de las evidencias en un repositorio seguro.

8.2. El Coordinador de GRC

Es un perfil de espectro mucho más amplio que el del CCO. Su perfil será simultáneamente Jurídico, organizativo y técnico y deberá disponer de un amplio abanico de competencias multidisciplinares. No importa desde donde se acceda a este rol puesto que el conocimiento requerido, dentro de su desempeño, deberá ser global.

Pensemos que no solo coordinará el cumplimiento legal, sino también el cumplimiento normativo de adscripción voluntaria (por ejemplo las posibles normas ISO). Coordinará también el análisis y gestión de riesgos en diferentes ámbitos de la empresa, intervendrá en los planes de auditoría, interactuará con RR.HH. buscando la “Collective Action”, etc.

Conocer las singularidades legales de todas las áreas funcionales, y unidades de negocio en la organización, no sólo le proporcionará un valioso conocimiento de la estructura operativa de la organización sino que le permitirá, también, conocer detalladamente los riesgos legales que les afectan. El rol de  coordinador de GRC tiene una clara dimensión corporativa ya que para desarrollar su eficaz desempeño es necesario que conozca bien e interactúe con la totalidad de áreas funcionales y unidades de negocio.

Debe cumplir una serie de requisitos inherentes a su desempeño profesional:

  • Perfil jurídico/organizativo/técnico. Por la naturaleza de su trabajo debe conocer la legislación aplicable al ámbito de la empresa (no solo la penal) así como la posible normativa de adscripción voluntaria y estándares adoptados por la empresa.
  • Proactivo más que reactivo. Significa dotar al coordinador de GRC de legitimidad para actuar de forma autónoma frente a las áreas funciones y unidades de negocio, de modo que no precise ser requerido para focalizar hacia dichos ámbitos y poder desarrollar así sus funciones de prevención de ilícitos y/o de no-conformidades en relación a la regulación y las normas voluntarias respectivamente.
  • Visión circular (360º). Debe saber mirar desde perspectivas diferentes. Los coordinadores de GRC deben ver las situaciones y propuestas no solo desde el punto de vista del área funcional corporativa que propone o actúa, también desde el punto de vista del cliente, del regulador, del auditor externo, de las autoridades de control y agencias gubernamentales…
  • Basarse en evidencias. El coordinador de GRC debe buscar evidencias de todo. Sabemos que las suposiciones deben quedar al margen del ámbito jurídico ya que solo es probatorio lo que puede demostrarse. Una cosa es lo que dispongan las políticas promulgadas por los órganos de gobierno, o detallen los procedimientos operativos redactados por los órganos de gestión, y otra lo que ocurre en realidad.

8.3 Sobre el secreto profesional

El secreto profesional de los abogados de empresa [8] es un tema polémico tras la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 14 de septiembre de 2010 (TJCE 2010/275), asunto Azko Nobel Chemicals Ltd. Y Arkros Chemicals Ltd., que niega al abogado el secreto profesional por el asesoramiento legal que haya podido prestar a la empresa básicamente porque indica que el abogado interno carece de independencia para asesorar a la empresa. Por ello, todas las comunicaciones que haya enviado a su empresa en el desempeño de sus funciones, como asesor legal, no estarán amparadas por el secreto profesional.

NOTA DEL EDITOR: La denominación del Tribunal de Justicia de la Unión Europea (TJUE) hasta la entrada en vigor  del Tratado de Lisboa, el 1 de diciembre de 2009, era la de Tribunal de Justicia de las Comunidades Europeas (TJCE).

Anteriormente, en la Sentencia del TJCE, de 18 de mayo de 1982, en el asunto 155/79, AM & S Europe Limited, se falla desestimando el recurso demandante:

 “21 Más allá de estas diversidades, los Derechos internos de los Estados miembros revelan, no obstante, la existencia de criterios comunes, por cuanto protegen, en condiciones similares, la confidencialidad de la correspondencia entre los Abogados y sus clientes, siempre que, por un lado, se trate de la correspondencia mantenida en el marco y en interés de los derechos de defensa del cliente y, por otro lado, se trate de Abogados independientes, es decir, no vinculados a su cliente mediante una relación laboral”.

En aras de la imparcialidad diré que el Ilustre Colegio de Abogados de Madrid (ICAM) manifestó en su momento que la Sentencia no aprecia en toda su dimensión la capacidad real que tienen las empresas para dotarse internamente de medidas, procedimientos y garantías que salvaguarden la independencia de sus abogados internos.

Previas a la sentencia, las conclusiones de la Abogada General Julianne Kokott, de 29 de abril de 2010, manifiestan que “Existe el riesgo real de que los abogados internos, en su afán por obedecer al empresario, den de motu propio al asesoramiento legal el contenido que complazca al empresario(…) En cambio, en principio el abogado externo dispone de varios clientes, con lo que sí existe una discrepancia, dispone de la libertad suficiente para renunciar por iniciativa propia a la propia representación del cliente y así mantener su independencia”

Para acabar, y en relación al Derecho vigente en España, recordaré el artículo 23 de la LPBCyFT (Ley 10/2010, de 28 de abril, de Prevención de Blanqueo de Capitales y Financiación del Terrorismo), que establece: “Exención de responsabilidad. La comunicación de buena fe de información a las autoridades competentes con arreglo a la presente Ley por los sujetos obligados o, excepcionalmente, por sus directivos o empleados, no constituirá violación de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, y no implicará para los sujetos obligados, sus directivos o empleados ningún tipo de responsabilidad”.

El abogado no está sometido a las obligaciones contenidas en los artículos 7.3,18 y 21 de la LPBCyFT respecto a la información que reciban de sus clientes que se utilice para la defensa del cliente en el marco de un procedimiento judicial, resultando acorde y encaja con la normativa sobre secreto profesional. El artículo 22 de la LPBCyFT establece lo siguiente: “No sujeción. Los abogados no estarán sometidos a las obligaciones establecidas en los artículos 7.3, 18 y 21 con respecto a la información que reciban de uno de sus clientes u obtengan sobre él al determinar la posición jurídica en favor de su cliente o desempeñar su misión de defender a dicho cliente en procesos judiciales o en relación con ellos, incluido el asesoramiento sobre la incoación o la forma de evitar un proceso, independientemente de si han recibido u obtenido dicha información antes, durante o después de tales procesos”.

Sin perjuicio de lo establecido en la presente Ley, los abogados guardarán el deber de secreto profesional de conformidad con la legislación vigente”.

La conclusión inmediata que se desprende es que si el Compliance Officer o elCoordinador de GRC forman parte de la plantilla de la empresa dejan de estar protegidos, pese a que fueren abogados y como norma general, por el secreto profesional. En cuanto a la Ley de PBCyFT ni tan siquiera así, salvo que se limiten a asesorar a su cliente en relación a un posible proceso judicial, algo que podría ocurrir con un asesor legal externo, pero no con un Compliance Officer o un Coordinador de GRC que, por su desempeño y funciones asignadas al rol, no se limita a ese único menester.

9. RECABADO Y CUSTODIA DE EVIDENCIAS

Para el recabado y la inmediata custodia en repositorios seguros de las evidencias en forma de documentos, en formato electrónico, que se considere ir obteniendo y conservando procedentes de informes, controles, notificaciones, eventos…, será imprescindible recurrir a algún método que acredite el preciso instante en que se obtuvo y garantice su integridad.

9.1. Sellado de tiempo o “timestamp”

El sellado de tiempo es un método que permite probar que un documento electrónico existe a partir de un momento determinado y que no ha sido modificado (conserva su integridad) desde entonces. El sellado de tiempo proporciona, como valor añadido a la utilización de la firma digital,  información acerca del momento de creación de la firma mediante una marca de tiempo proporcionada por una tercera parte de confianza.

El sellado de tiempo está definido en el standard RFC-3161 y recogido en la Norma ISO-18014-1:2008, -2 y -3.

9.2. Fuentes de Tiempo Seguras

Para poder asociar los documentos electrónicos con un instante de tiempo determinado es necesario utilizar una Autoridad de Sellado de Tiempo (TSA – Time Stamp Authority, por sus siglas en inglés) como tercera parte de confianza. Dicho instante será obtenido por parte del TSA de una fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora legal en todo el territorio nacional español según el RD 1308/1992, de  23 octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español de Metrología.

Actúan como TSA la Fábrica Nacional de Moneda y Timbre (FNMT) y otros muchos facilitadores.

9.3. Diferencia entre “sello de tiempo” y “marca de tiempo”

En el “sello de tiempo” la asignación de la referencia temporal se realiza por un tercero de confianza, independiente y ajeno al procedimiento o documento concreto, mediante un proceso de firma electrónica verificable que asegura la exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza fehacientemente que una serie de datos, preparados por el solicitante del sello, han existido y no han sido modificados desde un momento determinado.

En cambio, la “marca de tiempo” es la asignación por medios electrónicos de la fecha y hora a un documento electrónico. No garantiza necesariamente la integridad del documento. Normalmente es la propia empresa interesada la que debe generar la referencia temporal. La marca de tiempo puede ser generada por cualquier aplicación y no tiene por qué ser menos precisa que un sello de tiempo. Habitualmente la referencia temporal se obtiene a través de la fecha y hora de un servidor informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y precisa.

MODELO INTEGRADO DE CAPACIDAD GRC

Introducción

En 2008 el Open Compliance and Ethics Group (OCEG) definió un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.

Su publicación “GRC Capability Model” define un marco para el diseño, desarrollo, implementación y seguimiento de un modelo de GRC.

Debido a su popularidad he creído oportuno exponer, de forma abreviada, ese modelo concreto en este artículo.

Desempeño basado en principios

El desempeño basado en principios se logra integrando y organizando áreas o funcionalidades que, en muchas entidades, se encuentran fragmentadas y aisladas, como por ejemplo:

  • El gobierno corporativo
  • La gestión del desempeño
  • La gestión de riesgos
  • El control interno
  • El cumplimiento normativo y regulatorio
  • La auditoría

Aunque todas estas funciones, que aportan al Desempeño Basado en Principios, son más de tres, tiende a generalizarse el uso de las siglas GRC (Gobierno, Riesgo y Cumplimiento) para abreviar el conjunto.

En algunas empresas, estas funcionalidades se manejan en múltiples departamentos diferentes y existe, de haberla, poca comunicación de carácter transversal. En algunas organizaciones estas actividades no se administran en absoluto y, literalmente, no son gobernadas usando técnicas actuales de mejora de procesos de negocio. [5]

Componentes integrados del modelo de capacidad GRC

  • CONTEXTO (C). Comprender la cultura y contexto actual del negocio para que la organización pueda abordar e influir, de manera proactiva, en las condiciones para apoyar los objetivos.
  • ORGANIZAR (O). Organizar y supervisar capacidades integradas que le permite a la entidad lograr, de manera confiable, sus objetivos y, al mismo tiempo, abordar la incertidumbre y actuar con integridad.
  • ANALIZAR – EVALUAR (A). Identificar amenazas, oportunidades y requerimientos; evaluar el nivel de riesgo, beneficio y cumplimiento; y alinear un modelo para lograr, de manera confiable, los objetivos, abordando la incertidumbre y actuando con integridad.
  • PRO – ACTUAR (P). Incentivar condiciones y hechos deseables y evitar los que no lo son, con acciones de gestión y control.
  • DETECTAR (D). Detectar avances en el logro de los objetivos, y de igual manera, detectar condiciones y hechos no deseados, usando acciones de gestión y control.
  • RESPONDER(R). Reaccionar a las condiciones y hechos que son deseables con retribuciones, y corregir los que no lo son, de tal manera que se recupere de estos, se resuelven de inmediato y mejore el desempeño futuro.
  • MEDIR (M). Monitorear, medir y modificar las capacidades de GRC, en forma periódica y continua, para asegurar que contribuya a lograr los objetivos del negocio y, al mismo tiempo, ser eficaz, eficiente y reaccionar frente al ambiente de negocios cambiante.
  • INTERACTUAR (I). Capturar, documentar y manejar la información relativa a GRC, para que fluya de forma eficiente y exacta hacia los niveles superiores e inferiores y de manera transversal por toda la empresa, y hacia las partes interesadas –stakeholders- externos.

Resultados esperados del modelo de capacidad GRC

  • U1. Lograr los objetivos del negocio. Las entidades existen y se sostienen mediante el logro de sus objetivos de negocio deseados. GRC debe contribuir a ello.
  • U2. Mejorar la cultura organizacional. Inspirar y promover una cultura de alto desempeño, responsabilidad, integridad, confianza y comunicación.
  • U3. Aumentar la confianza de las partes interesadas. Aumentar la seguridad y confianza de las partes interesadas -stakeholders- de la entidad.
  • U4. Preparar y proteger a la entidad. Preparar a la entidad para enfrentar riesgos y requerimientos y protegerla de consecuencias negativas de hechos adversos, incumplimientos y conductas antiéticas.
  • U5. Evitar, detectar y reducir la adversidad. Disuadir, evitar y establecer consecuencias de conductas negativas. Disminuir los daños tangibles e intangibles causados por eventos de riesgo adversos (los que pueden controlarse y los que no), incumplimiento, comportamientos poco éticos y la probabilidad de que hechos similares sucedan en el futuro.
  • U6. Motivar e inspirar las conductas deseadas. Entregar incentivos y retribuciones motivando la ocurrencia de conductas deseadas, en especial frente a circunstancias difíciles.
  • U7. Mejorar la capacidad de respuesta y eficiencia. Mejorar continuamente la capacidad de respuesta (oportunidad y agilidad) y eficiencia (velocidad y calidad) de todas las actividades de GRC, al mismo tiempo de optimizar la eficacia (capacidad de cumplir los objetivos y requerimientos).
  • U8. Optimizar valor económico y social. Optimizar la asignación de capital humano y financiero a las actividades de GRC para maximizar el valor generado, lo que beneficia a la entidad y la sociedad en la que funciona.

Acciones y controles del modelo de capacidad GRC

Existen en este modelo tres tipos de acciones y controles, y resulta indispensable que las entidades utilicen una combinación apropiada para gestionar el riesgo y cumplimiento, como parte de las capacidades de GRC de alto rendimiento.

Los controles proactivos

Incentivan proactivamente condiciones o hechos que son deseables y evitan los que no lo son.

  • Las acciones y controles de incentivo aumentan la probabilidad, efecto o velocidad de las condiciones o hechos que son deseables.
  • Las acciones y controles preventivos disminuyen la probabilidad, efecto o velocidad de las condiciones o hechos que no son deseables.

3.5.2. Los controles de detección

Detectan la ocurrencia real o potencial de condiciones y hechos que son deseables o no.

3.5.3. Los controles de respuesta

Recompensan las condiciones o hechos que son deseables y corrigen los que no lo son.

  • Las acciones y controles de retribución reconocen la ocurrencia de condiciones o hechos deseables, y aumentan la probabilidad, efecto y velocidad actual de otras condiciones o hechos deseables.
  • Las acciones y controles correctivos acaban con la confusión causada por la ocurrencia de condiciones o hechos que no son deseables, y disminuyen la probabilidad, efecto y velocidad actual de otras condiciones o hechos que no son deseables.

En resumen, GRC debe sustentar el gobierno, gestión y aseguramiento del desempeño, riesgo y cumplimiento con una combinación de acciones y controles proactivos, de detección y de respuesta, para lograr el desempeño basado en principios. Según la OCEG, el modelo de capacidad de GRC aporta la estructura para lograrlo.

10. BIBLIOGRAFÍA CONSULTADA

[1] ISACA. “Cobit 5: Procesos catalizadores – Capítulo 2. La Cascada de Metas y Métricas para Metas Corporativas y Metas TI”. 2012.

[2] AENOR. “UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices”. Julio 2010.

[3] Fernando Izquierdo Duarte. “Latinoamérica CACS – Sesión 244 Gobierno Riesgo Cumplimiento”. Octubre 2013. PowerPoint. Slides 9,12,13 y 14. ISACA.

[4] BOE. “Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 23 de junio de 2010.

LO 5/2010, modificación CP

[5] Scott L Mitchell & Carole Stern Switzer. “Red Book Modelo de Capacidad GRC”. Versión 2.1. OCEG GRC Series. Se le ha otorgado la Creative Commons Attribution-ShareAlike 3.0 Unported License (licencia genérica de atribución por partes iguales de Creative Commons 3.0). Se utilizan algunos fragmentos e imágenes a lo largo de este artículo.

www.oceg.org
[6] BOLETÍN OFICIAL DE LAS CORTES GENERALES. CONGRESO DE LOS DIPUTADOS. “Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 4 de octubre de 2013.

Proyecto de Ley de reforma CP

Alain Casanovas. “Control Legal Interno”. Madrid 2012. Ed. La Ley (Grupo Wolters Kluwer). (Libro).

[7] Daniel Lucien Bühr. “From compliance programme to compliance management system: reaching the next level of effective compliance management”. Criminal Law and Business Crime Newsletter. Volume 7 – Number 1 – April 2014. Páginas 18 y 19.International Bar Association Legal Practice Division.

[8] Juan Antonio Andino López. “Efectos de la vulneración del secreto profesional del abogado en el proceso civil”. Barcelona, mayo de 2013. Facultat de Dret – Universitat de Barcelona (UB). (Tesis Doctoral).

Vicente Gimeno Sendra y Jordi Gimeno Beviá. “Código de buena conducta de las personas jurídicas”. Consejo General de la Abogacía. Madrid, 18 de Abril de 2012. (Documento).

[9] OCDE (Organización para la Cooperación y el Desarrollo Económicos). “Principios de Gobierno Corporativo de la OCDE”. 2004.

Principios de Gobierno Corporativo

Los USB tienen una vulnerabilidad muy peligrosa y casi invisible

usb_seguros

Por Álvaro Andrade Sejas

Ya se conocía lo sencillo que podía ser contaminar una unidad de almacenamiento que se conecte a través de puertos USB a los ordenadores. Pero ahora han encontrado que cualquier dispositivo con USB, bien sea un ratón o un teclado puede ser utilizado por los hackers para acceder a los ordenadores personales con ataques que pueden evadir todo tipo de protecciones de seguridad conocidas.

Esto es lo que ha desvelado Karsten Nohl, investigador de SR Labs, una firma de seguridad de Berlín. Nohl apuntó que los hackers pueden cargar software malicioso en los firmware de los USB a través de pequeños chips que vienen en los dispositivos con USB. Lo peor de este es que no se detecta porque a ese nivel no hay escudos de protección.

«No puedes saber de dónde ha venido el virus. Es casi como un truco de magia», ha dicho dijo Nohl. Este hallazgo demuestra que los errores de software de estos pequeños componentes, invisibles para el usuario promedio, son extremadamente peligrosos si los cibercriminales logran cómo explotarlas.

Nohl ha realizado ataques escribiendo códigos maliciosos en los chips de control de USB unidades de memorias y de smartphones. Una vez que se conecta el dispositivo al ordenador, el software «malvado» puede registrar las pulsaciones del teclado, espiar comunicaciones y eliminar datos.

El investigador, que describirá todo el proceso de hallazgo y ataque en su conferencia en el Black Hat de las Vegas la semana próxima, apunta que los equipos no detectan estos virus porque los antivirus están diseñados sólo para analizar malware escrito en memoria y no en el firmware que controla el funcionamiento de estos dispositivos.

Nohl ha dicho que no estaría sorprendido si las agencias de inteligencia como la Agencia de seguridad nacional (NSA) ya hayan averiguado cómo lanzar ataques utilizando esta técnica. El investigador ha podido en sus pruebas tener acceso remoto a un ordenador, cambiar la configuración DNS de la red, y eneseñar a la máquina a enrutar el tráfico de internet a través de servidores de internet maliciosos. Una vez que el ordenador se infecta puede ser utilizado para infectar todo los dispositivos USB que se conecten a ese equipo.

¿Es delito el hacking ético?

hacking-etico

Por Lorenzo Martínez Rodríguez

Últimamente, y con cierta periodicidad, leemos en El Mundo artículos relacionados con Seguridad Informática y Hacking, de la mano de Mercè Molist, reconocida periodista focalizada en el sector desde hace muchos años, con iniciativas tan interesantes como la recopilación de la Historia del Hacking y sus protagonistas en el proyecto Hackstory.

La última de las entregas que he podido leer, y que ha generado gran controversia en listas de correo como RooteCon y NoConName, tiene que ver con una entrevista realizada a tres profesionales del derecho en “¿Es Delito el Hacking Ético? (II)

El artículo, que habla por sí mismo, presenta tres visiones diferentes ante cómo enfocar el mismo problema, con más dureza en el caso de Ángel Vallejo, que considera que: “Quien quiera que le hagan un “pentest” (de “penetration testing”, auditoría de seguridad) ya lo pedirá” e instando a que nadie meta la nariz donde no le llama, aunque se descubra la vulnerabilidad por “accidente”, o aunque sea un servicio que utilizas y gestiona tus datos personales, y no te tiene que importar qué medidas de seguridad se han tenido en cuenta para su protección.

Me gustaría aportar mi opinión a lo que se indica en este artículo, de forma independiente a las valoraciones que he leído en ambas listas de correo.

El artículo al que se hace referencia es el 197.3 del código penal, también llamado “ley del hacking”, está ‘tan bien redactado’ como sigue: 

“El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.”

Hago hincapié en lo de “bien redactado” (de forma irónica) porque dice que quien vulnere las medidas de seguridad, acceda a datos de un sistema…  Ehm… un momento, si puedo acceder a datos no deseados es que NO HAY medidas de seguridad que protejan ese acceso. Es el clásico ejemplo de que haya medidas de seguridad para no exponer a Internet el servicio MySQL, pero hay un frontal web que tiene un SQL Injection que me permite extraer la base de datos completa. 

En algún juicio me ha tocado, en el papel de perito, demostrar que un cliente no ha vulnerado “las medidas control de acceso a un sistema” para copiar información a otra localización, puesto que su usuario tenía permiso para ello. Es decir, que no ha tenido que explotar una vulnerabilidad en un servicio para acceder a datos a los que con su usuario no podría.   

En el caso del formulario que hace una consulta a una base de datos, en el que si le dices “Dame la base de datos entera”, éste te la da, no lo considero un delito, puesto que el sistema incorpora una funcionalidad por la que introduciendo un valor válido en un parámetro, me devuelve una respuesta. Si ésta no ha sido tenido en cuenta por el programador que diseñó la aplicación web, no es mi problema, pero según la redacción de la ley, en mi opinión (que no es la que vale, sino la del juez), no es delito. Evidentemente, en este caso, lo que hay que hacer es reportarlo convenientemente e indicar cómo se explota. Tampoco es necesario llevarse la base de datos completa para demostrar esto. Basta con hacer un “desc” a una tabla para que sirva de prueba. El problema es aguantarse el morbo de traerse las filas de cada tabla, pero eso depende de la ética de cada uno.

Por parte de la empresa u organización reportada, sólo le queda confiar en que quien le ha notificado el problema, tiene la suficiente honradez para no traficar con los datos contenidos en esa base de datos. Desde mi punto de vista, si lo notifica, es que tiene esa honradez, puesto que si no, no diría nada y utilizaría la información extraída a su conveniencia. 

Igualmente, en el caso de reportar un XSS, en mi opinión se repite el patrón: Si tu aplicación web no escapa determinados caracteres en todos los parámetros, teniendo en cuenta evasiones mediante encodings y otras técnicas, no se están evadiendo las “medidas de seguridad establecidas” puesto que NO LAS HAY!!   Aquí además me gustaría diferenciarlo entre si el XSS es persistente o reflejado, puesto que en el caso de un persistente, sí que estoy dejando un código en el servidor, por ejemplo como comentario en un post (que por cierto, lo almacena el propio servidor web en un servidor de base de datos, normalmente) de un reflejado, en el que no se modifica en ningún momento valor alguno en el servidor, sino que se referencia un fichero/imagen/recurso de otro sitio, como por ejemplo el sonado caso de la web de la Presidencia Española del Consejo Europeo. En este caso, ¿dónde está el delito? ¿Por qué acojonarse entonces al reportar esta vulnerabilidad? Pues porque cuando se trata de juicios, y que haya una interpretación personal de por medio ante la redacción de una ley, y que por hacer un favor, de forma responsable, a la organización que tiene la vulnerabilidad, puedas salir perjudicado es cuanto menos, poco justo.

Es decir, que por una parte, y vuelvo a hacer hincapié en “según mi forma de verlo”, el artículo 3 de la ley 197 está mal redactada desde el principio, para este caso, que es el ejemplo que se ilustra típicamente sobre publicar en pastebin los datos extraídos, aunque esto sí que está contemplado en el artículo 197.4 (a mí entender cubriendo el gap del punto 3 correctamente), por lo que, mientras el investigador no publique los datos extraídos del sitio, no debería estar cometiendo un delito.

“4. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.”

Por supuesto la conclusión del abogado Ángel Vallejo, sobre “Quien quiera una auditoría de seguridad, ya la pedirá” es confiar demasiado en que las normativas existentes y el miedo a las multas por incumplimiento se encargarán de que todo “esté seguro”. 

Si el derecho y la justicia fuesen por delante del fraude y el cibercrimen, éstos últimos no existirían,… y estamos hartos de ver incidentes de seguridad de forma diaria que involucran millones de euros de propiedad industrial e intelectual extraídas, así como información “imponderable” relativa a información tan sensible como los datos de salud de personas humanas

Que conste que este post no es, en ningún momento, una incitación a meter comillas, %27 o >, en cuanto formulario web nos encontremos, con la única finalidad de “ayudar”, porque yo no seré el juez que tenga que interpretar vuestros hechos contra las leyes y determinar si fue de buena fe o no.

Artículo publicado originariamente por el autor en Security by Default.

¿Crees que tu Ordenador necesita pasar por la UVI?

uvi_it

Por Manuel García Peral

En las mayoría de los casos no es necesario ser un experto en informática ni tener unos conocimientos avanzados para darnos cuenta de que algo grave le pasa a nuestro ordenador. ¿Qué porqué? pues porque no nos funciona como antes, no hace falta que venga nadie a decirnos que el ordenador va más lento, se bloquea… lo percibimos nosotros mismos.

Muchos usuarios o “asesores” de usuarios no expertos nos pueden decir que el ordenador ya está anticuado, que hay que ampliarle la memoria, el disco duro, que los nuevos programas necesitan más potencia… en parte pueden tener razón, pero podemos realizar unas tareas muy sencillas para intentar poner a punto nuestro sistema.

¿Será posible que tengamos un virus?

A veces nos referimos a los virus informáticos de nuestros ordenadores en primera persona, como si de una gripe se tratara, pero la verdad es que tener un virus en el ordenador puede causar muchos mas dolores de cabeza, estrés, ansiedad y una mezcla de desesperación malhumorada, entre otros síntomas que nos hacen sentir que esa infección se a pasado a nuestro riego sanguíneo.

A continuación os indicaré una serie de síntomas o indicios que nos pueden llevar a pensar que es muy probable que tengamos algún tipo de programa maligno en nuestro ordenador, los virus no son la única amenaza por eso llamémoslos programas maliciosos que nos entorpecen nuestro trabajo y ocio (mejor pensar que solo es eso) cuando manejamos el ordenador:

  • El inicio de nuestro Windows XP, 7, 8… Mac, Linux… se convierte en una espera demasiado prolongada, y darle palmas no funciona verdad?
  • Los programas tardan más de lo normal en iniciarse. Las operaciones rutinarias se realizan con más lentitud, a veces hasta en ocasiones pensamos que no hicimos bien el click o doble click, y abrimos el Word entre 5-10 veces.
  • Programas que normalmente se comportaban bien, comienzan a funcionar de un modo anormal o dejan de funcionar. Lo que a veces pensamos que hay que reinstalarlos porque algo se estropeó.
  • Desaparecen archivos o aparecen nuevos archivos o directorios de origen desconocido. Que a veces pueden tener nombres muy familiares o cotidianos precisamente para no levantar sospechas.
  • Los archivos son sustituidos por otros desconocido, a veces cambiando el icono, la extensión… o el contenido de los archivos tiene datos falseados.
  • Nombres, extensiones, fechas, atributos o datos cambian en archivos o directorios que no han sido modificados por nosotros, antes de pensar sobre este punto se aconseja hacer un ejercicio de memoria.
  • Aparecen mensajes de error no comunes. En mayor o menor medida, todos los virus, tienen una tendencia a “colisionar” con otras aplicaciones para apropiarse de mas memoria, disco, conexión a Internet…
  • El teclado empieza a escribir lo que no le hemos tecleado. Existen algunos virus que definen ciertas teclas, las cuales al ser pulsadas, realizan acciones maliciosas y molestas en la computadora. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programó el virus ( y el corrector ortográfico se vuelve loco por no entender nuestro castellano castizo por analizarlo con otro idioma).
  • En la pantalla algo ha cambiado, no está como la dejamos personalizada. Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia. Cualquier desajuste de la pantalla o de los caracteres de ésta, nos puede notificar la presencia de un virus.
  • Se nos reduce el tamaño de la memoria RAM libre de uso. Un virus, al entrar al sistema, se sitúa en la memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria se reduce en la misma cuantía que tiene el código del virus. Este es de los principales problemas de lentitud, errores, bloqueos…
  • Aparecen programas en memoria desconocidos. El código viral puede ocupar parte de la RAM y debe quedar “colgado” de la memoria para activarse cuando sea necesario. Esa porción de código que queda en RAM, se llama residente y con un administrador de tareas o monitor de actividad que analice la RAM puede ser descubierto.
  • Nuestro disco cada vez tiene menos espacio disponible y no hemos guardado tanta información. Ya que los virus se van duplicando de manera continua, es normal pensar que esta acción se lleve a cabo sobre archivos del disco, lo que lleva a una disminución del espacio disponible por el usuario.
  • Y muchos mas síntomas como los conocidos pantallazos azules… pero creo que es suficiente para que todos nos sintamos identificados con alguno o varios de ellos.

¿Y ahora qué hacemos, lo guardamos en un cajón, lo castigamos por malo, le rezamos una oración, o lo llevamos a nuestro amigo que sabe formatear muy bien?

Nada de lo anterior por favor, antes vamos a intentar montar en nuestra propia casa un BOX VITAL para intentar solucionar el problema nosotros mismos. Un alto porcentaje de usuarios directamente se pone a formatearlo y reinstalar todo de nuevo, esto es matar moscas a cañonazos, aunque alguna vez puede ser una opción pero si no hacemos copia de nuestros archivos es probable que perdamos archivos de trabajo, fotos de vacaciones, la música que más nos relaja…. Sobre todo si no somos organizados a la hora de guardar en el disco. Mejor dejar esto para usuarios expertos, es probable perdamos mucho tiempo para que al final empeoremos todo.

Las herramientas y tareas que voy a recomendaros son totalmente gratuitas y nunca empeorarán la situación, siempre mejorará todo o parte del problema. Como Windows 7 es el más extendido sobre éste haré el ejemplo, aunque perfectamente válido para Windows XP (varía muy poco el protocolo de actuación), que no todos vais a cambiarlo por el fin del soporte de Microsoft… o alguien aún no se ha enterado?

BOX VITAL

Las Tareas planteadas a continuación se deben de realizar en el orden descrito, aunque os propongo que realicéis todas para optimizar, siempre algo mejorará.

VOLVER AL PASADO, si eso es, y sin tener que montarnos en el Delorean de Regreso al Futuro. Esta tarea se llama Restaurar Sistema para volver a un momento anterior en el tiempo, siempre que esta opción esté activada, que por defecto lo está y si el virus no ha pasado por ahí será una solución rápida para muchas de las ocasiones. Normalmente cuando se cumplen solo alguno o pocos de los síntomas antes indicados.

Hacer click en el botón Inicio . En el cuadro de búsqueda, escriba Restaurar sistema y, a continuación, en la lista de resultados de búsqueda, haga click en Restaurar sistema.  Si se solicita una contraseña de administrador o una confirmación, escribir la contraseña o confirmar. Seguir los pasos del asistente (leer todo es importante) para elegir un punto de restauración y restaurar el equipo.

Esto hará que comience un proceso automático que pasará por un reinicio de Windows, puede tardar más o menos en función de los cambios que se han realizado en ese tiempo.

ERROR AL VOLVER AL PASADO,  esto indica que no ha sido posible realizarse y tenemos varias opciones:

    1. Volver a intentarlo a una fecha más próxima.
    2. Descartar esta solución porque el sistema esta dañado y es otro síntoma frecuente de que un virus pasó por allí e incluso esté acomodado en esa opción. Para lo que es recomendable desactivarlo como se indica en la imagen siguiente. Con el método más rápido Clic derecho en Equipo -> Propiedades -> Protección del sistema, y realizar lo que indica la siguiente imagen, y reiniciar inmediatamente para seguir con los siguientes pasos.

ENTRADA AL SUBMUNDO DE WINDOWS, la siguiente tarea consiste en iniciar Windows con las funciones y procesos básicos para que podamos empezar a utilizar el instrumental de emergencia. Aprovechando el anterior reinicio del sistema, pulsamos la tecla F8, antes de que aparezca el logotipo de Windows, sin miedo a las pantallas negras y es probable que os cueste varios intentos por no pulsarla en el momento oportuno.

  1. Seleccionamos la segunda opción “Modo Seguro con funciones de red”, que nos permitirá mantener la conexión a Internet para descargar el instrumental, actualizarlo y tareas de análisis.

BISTURÍ, empezamos con la primera herramienta que nos ayudará a encontrar los posibles programas maliciosos y que es tras el análisis puede eliminar todos o parte de ellos. Se llama Malwarebytes y es una versión gratuita muy útil y fiable. Siempre descargar las herramientas de la Web del fabricante, nada de utilizar portales de descargas del tipo softonic… a veces puede ser una fuente de esos programas maliciosos, barras de herramientas, publicidad…

Si os propone actualizar el fichero de firmas de virus, hacerlo y posteriormente realizar un análisis completo como se muestra en la imagen. Si al terminar ha encontrado algo infectado, ni que decir tiene que  hay que seleccionarlo todo y pulsar el botón borrar todo. Esto nos pedirá que reiniciemos inmediatamente, lo hacemos y volvemos a entrar con la opción de F8 como se ha indicado antes.

TIJERAS Y PINZAS, otra de las herramientas que vamos a utilizar es el comando SFC para que Windows escané y repare archivos. Para ejecutar este comando siga los pasos siguientes.

  • Haga clic en Inicio
  •  Haga clic en Ejecutar
  •  Escriba “sfc /scannow” y presione Enter.

Una vez que las recomendaciones dadas más arriba hayan sido completadas, Windows verificará que todos los archivos protegidos de Windows están intactos.

CANDADO, si hemos tenido la mala suerte de infectarnos con el conocido virus de la policía (ramsonware) en alguna de sus mas dañinas variantes que cifra la información de nuestro ordenador. Podemos utilizar una buena herramienta de reparación para estos  tipos de cryptolocker y que todos nuestros archivos vuelvan a la normalidad sin tener que pagar a ninguna mafia y dejarnos estafar.

INSTRUMENTAL DE LIMPIEZA Y SUTURA, ahora nos toca realizar los últimos retoques, una limpieza del sistema para conseguir una optimización, que pasa por la eliminación de archivos innecesarios hasta la limpieza del Registro de Windows donde pueden quedar rastros de aplicaciones maliciosas u otras que ya no tenemos instaladas.

Para esta tarea utilizaremos la herramienta Ccleaner, es una utilidad que busca y elimina archivos basura y errores en Windows. Con unos pocos click, CCleaner ayuda a recuperar espacio en el disco y consigue que tu PC sea más rápido y eficiente.

Utilizaremos sólo el Limpiador y Registro, con el limpiador no puede haber ningún problema, se analiza y después se ejecuta el limpiador. Pero con la limpieza del Registro, MUY IMPORTANTEguardar un backup (copia de seguridad de la configuración actual) cuando nos lo proponga, nunca suele pasar nada,  pero…. A veces pasa.

Esta herramienta es útil para realizar una limpieza rápida, pero utilizarla sólo ante un problema grave de rendimiento o infección a nivel doméstico, no utilizar a nivel empresarial que se aconseja recurran a Servicios Informáticos Profesionales.

Y bueno ya casi hemos terminado, nos ha llevado algún tiempo pero muchos procesos de análisis que pueden durar hasta horas, no creo que nadie piense quedarse mirando a la pantalla sin pestañear… entonces si que será necesario ir a Urgencias jajaja

Realizado todo lo anterior, os animo que realicéis una importante REFLEXIÓN:

Normalmente y a veces por obligación, tenemos asegurada nuestra vivienda con una compañía de seguros, nos cubre robo, incendio, rotura de cristales, daños eléctricos….. ¿y porqué nuestro ordenador no? ¿qué no hay compañía que nos asegure nuestro ordenador?

La primera compañía somos nosotros mismos ya que somos la principal amenaza, debemos utilizar buenas prácticas en el uso tanto del ordenador, como en Internet, es tan sencillo como llevar el sentido común que utilizamos en nuestra vida cotidiana a el uso de las nuevas tecnologías. ¿o es que no forma parte de nuestra vida cotidiana?

Por último, y como mejor recomendación, es contar con las medidas de protección adecuadas que nos puede ofrecer un  buen Antivirus, que ya no son solo eso, sino un conjunto de herramientas que nos protegen de la mayoría de las amenazas de Internet.

¿Gratuito? Pensar que en Internet pocas cosas son gratuitas, aunque a veces lo parezcan y contar con un buen Antivirus cuesta pocos Euros al año que es mucho menos al valor del tiempo  que invirtáis en realizar la tareas que os he recomendado en este artículo.

Como en la vida mas vale prevenir que curar.

Hay muchos Antivirus, pero esta es mi recomendación porque lo utilizo yo y porque ha sido la primera empresa que comercializó un antivirus para Smartphone (no tenéis verdad? Pues un gran error, es tan necesario o más como en el ordenador) os lo dejo en un enlace de ESET NOD32 Smart Security, dónde podéis aprovechar para probarlo por 30 días gratis y acabar de proteger vuestro ordenador.

Vulnerabilidad en WhatsApp permitía suplantar la identidad del remitente

whatsapp_brecha

Por Álvaro Andrade Sejas

Gracias a este tipo de noticias es que cada vez me alegro mas de haber migrado a Telegram y poco a poco ir dejando la red de WhatsApp.

El pasado 8 de julio de este año, WhatsApp volvió a ser el centro de atención en materia de seguridad por una nueva vulnerabilidad que ha sido descubierta por dos hackers españoles y que permite al atacante suplantar la identidad del remitente del mensaje. Pese a todo, dijeron que es un fallo complicado de utilizar y no está al alcance del usuario medio, lo que tampoco me deja tranuilo ya que la comunidad internacional de seguridad es bastante amplia y alberga tanto a White Hats como Black Hats.

Jaime Sánchez y Pablo San Emeterio son 2 conocidos hackers españoles especializados en la búsqueda de vulnerabilidades en diferentes aplicaciones donde su último descubrimiento tiene que ver con el servicio de mensajería más utilizado del mundo, WhatsApp.

Estos dos hackers han detectado un fallo muy importante en la conocida aplicación de mensajes ahora en manos de Facebook por la que un atacante puede modificar el remitente de un determinado mensaje de WhatsApp para simular que es otra persona la que nos envía un mensaje, por ejemplo un amigo, y hacernos caer así en alguna trampa mediante el envío de un link o de un archivo que contenga software malicioso. Además, la posibilidad de modificar el remitente sin dejar rastro puede tener otras consecuencias en diferentes ámbitos, como por ejemplo si se aportan los mensajes como prueba en demandas de divorcio, acoso, calumnias, etc.

O en un caso mas serio, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera se ha tenido acceso físico. Basta con saber el número de la victima. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

Desde ya que mas allá de llevarle una broma a alguien, las implicancias jurídicas de este tipo de acciones serían las mas fuertes ya que los jueces ni siquiera podrían aceptar como evidencia o prueba admisible este tipo de mensajes electrónicos en un proceso judicial ya que existe la forma de demostrar que los mensajes pudieron haber sido plantados a propósito por un tercero para implicar al imputado y así plantear la duda razonable y ganar el juicio.

Cito a continuación algo que comento un buen amigo de la FIADI cuando lo entrevistaron en España y me gustó lo que dijo ya que es algo que lo comento siempre con mis estudiantes del Diplomado de Delitos Informáticos e Informática Forense“La justicia no está preparada, no existe a día de hoy la figura de un Juez 2.0”, (Cuando entrevistaron a Federico Bueno de Mata, profesor de Derecho Procesal de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electrónica).

Bueno ya estaremos viendo que sorpresas más nos depara esta tan usada aplicación Whatsapp. De momento y para que lo vayan pensando o para los que estén indecisos les presento algunas razones de porque deberían mudarse a Telegram.

Sobre la banalidad del mal en la seguridad de la información

security_armandoPor Armando Becerra

En 1961 la escritora, periodista y filósofa alemana Hannah Arendt fue la encargada de cubrir para el semanario The New Yorker el juicio en la ciudad de Jerusalén contra Adolf Eichmann, un criminal de guerra nazi. El minucioso trabajo de Arendt se recopiló en el libro Eichmann en Jerusalén: un estudio sobre la banalidad del mal, el cual resulta polémico hasta nuestros días debido a que utiliza el tema del Holocausto como marco de referencia para analizar la naturaleza de la maldad humana.

Uno de los temas más importantes de la tesis de Arendt es lo que la autora denomina la “banalidad del mal”. Durante su juicio, Adolf Eichmann no resulta ser un sádico criminal de guerra, sino un hombre normal, un ser obediente que solo formó parte de una maquinaria: la “burocracia del exterminio”. Para Eichmann, daba lo mismo enviar tornillos o puercos, que personas en los trenes rumbo a los campos de concentración.

Así, Arendt caracteriza un nuevo tipo de criminal que actúa bajo circunstancias que le hacen casi imposible saber que está obrando mal. En este sentido, la banalidad del mal es la irreflexión de quien comete crímenes actuando bajo órdenes, contexto o circunstancias, sin experimentar culpa por los actos cometidos.

Así, me aventuro a decir que existe banalidad del mal en la seguridad de la información; es decir, todas aquellas acciones irreflexivas de las personas basadas en órdenes, contexto o circunstancias que vulneren la seguridad de la información de una persona o una organización.

El atacante que busca defectos en la infraestructura de una organización, el empleado que copia la base de datos y se la lleva a casa, el asistente que proporciona información vital de la empresa, el profesionista que descarga software ilegal, todos ellos son víctimas de la trivialidad.

La rutina y la repetición roban esencia a nuestras decisiones, no vemos la afectación de una descarga ilegal o a la persona que existe detrás del registro de una base de datos. Creemos que se debe “quedar bien” con un jefe o cliente bajo cualquier medio necesario y en nuestro trabajo seguimos —o desobedecemos— órdenes sin cuestionar el fondo.

Atacamos sistemas con una bandera competitiva y arrogante ignorando que, a veces, detrás de una página web no hay corporaciones malvadas o Gobiernos opresivos, sino personas de carne y hueso.

No pretendo dar solución a la banalidad, me parecería infame siquiera hablar de la posibilidad de resolver un brete de carácter casi “supra-natural” en las personas —a Arendt le tomó casi 200 páginas el planteamiento del problema—. Sin embargo, me queda claro que la cura general a la banalidad es la sensatez, esa cualidad de los individuos de mostrar buen juicio, prudencia y madurez en sus actos y decisiones.

Pero la sensatez no viene por sí sola, deriva del interés, de la afición, de la entrega por una idea en su sentido más amplio. Si las personas y organizaciones no se apasionan por su información, siempre serán susceptibles a la banalidad, si un atacante no se interesa por las personas a las que puede afectar —o incluso por él mismo—, todo daño colateral será trivial.

En tradiciones antiguas, el credo de la sabiduría dice que “pienses antes de hablar, y escuches antes de pensar” y la raíz de este pensamiento no es solo la prudencia y la mesura. El combate a la banalidad implica tener conciencia del valor de nuestras decisiones y, de manera muy particular para este artículo, en el valor de la información que pasa por nuestras manos.

DRaaS: la recuperación de desastres como servicio en el cloud

DRaaS

Por José Luis Colom Planas

La DRaaS (Recuperación de Desastres como servicio en el CLOUD) es un componente de un DRP (Plan de Recuperación de Desastres) que implica el mantenimiento de copias de los datos empresariales en un entorno de almacenamiento en el CLOUD, como medida de seguridad. Hay una serie de ventajas que lo hacen atractivo, en su mayoría relacionadas con la reducción de costes.

1. INTRODUCCIÓN A LA CONTINUIDAD DEL NEGOCIO.

1.1. Normativa existente.

Como consecuencia de la creciente preocupación de las empresas para preservar su continuidad en el tiempo, aparece la Norma ISO 22301:2012 sobre Gestión de la Continuidad del Negocio.

Se trata de un nuevo estándar internacional, que especifica los requisitos para configurar y gestionar de forma eficaz un SGCN o Sistema de Gestión de la Continuidad de Negocio. En inglés BCMS (Business Continuity Management System).

Hasta la fecha, solamente disponíamos dentro de la familia de Normas ISO 270xx, el objetivo 14.1 “Aspectos de seguridad de la información en la gestión de la continuidad del negocio”, que incluye los controles del 14.1.1 al 14.1.5 del apéndice A de la Norma ISO 27001:2008 y de su equivalencia en la Norma ISO 27002:2005.

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de la Seguridad de la Información y la Gestión de Servicios de TI.

Si se planifica, implementa y revisa periódicamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada, reduciendo drásticamente el daño o impacto potencial de ese incidente.

Una vez determinado el alcance del SGCN dentro del contexto de la organización, logrado el compromiso de la Dirección, definidas las políticas, contemplada la legislación vigente en materia de protección de datos, hecho un análisis de riesgos y decidido su tratamiento tras evaluarlos, ya estamos en condiciones de establecer e implementar los procedimientos necesarios para la continuidad del negocio.

Como se trata de un sistema de gestión basado en la mejora contínua (ciclo PDCA), deberán establecerse los mecanismos de revisión y mejora a lo largo del tiempo.

1.2. DRP (Disaster Recovery Plan).

Aunque no nos basemos en la Norma, lo que al menos se debería tener siempre es un BCP (Business Continuity Plan) o en su defecto un DRP (Disaster Recovery Plan).

Un desastre es un evento que hace que la continuación de los servicios y funcionalidades normales de la empresa, sean imposibles. Así, un DRP se compone de las precauciones a tomar para que los efectos de un desastre se reduzcan al mínimo y la organización sea capaz de mantener o reanudar rápidamente sus servicios y funcionalidades, al menos las de misión crítica.

Por lo general, la planificación de la recuperación de desastres no solo implica un análisis de los procesos de negocio y las necesidades de continuidad, sino que también puede incluir un enfoque significativo en la prevención de desastres.

La recuperación de desastres se está convirtiendo en un aspecto cada vez más importante de la informática empresarial. Como los dispositivos, sistemas y redes son cada vez más complejos, hay muchas mas cosas que simplemente pueden salir mal. Como consecuencia de ello, los planes de recuperación también se han vuelto más complejos.

La mediana y gran empresa suele tener los sistemas en CPDs dimensionados y complejos para tales enfoques simplistas mientras que las pymes lo que no tienen es presupuesto para implementar según qué DRP. Sin embargo, la interrupción del servicio o la pérdida de datos pueden tener un impacto financiero grave, ya sea directamente o a través de la pérdida de confianza del cliente, independientemente del tamaño de la empresa.

El DRP varía de una empresa a otra, en función de variables como el tipo de negocio, los procesos involucrados y el nivel de seguridad necesario.

Por una razón u otra, la realidad es que la mayoría de las empresas todavía están mal preparadas ante un desastre. Apenas el 50 por ciento de ellas afirman tener un DRP y de las que lo tienen, muchas nunca han probado su plan, lo que equivale a no tener ninguno en absoluto.

2. DRaaS (RECUPERACIÓN DE DESASTRES EN EL CLOUD).

2.1. Generalidades.

La DRaaS (Recuperación de Desastres como servicio en el CLOUD) es un componente de un DRP (Plan de Recuperación de Desastres) que implica el mantenimiento de copias de los datos empresariales en un entorno de almacenamiento en el CLOUD, como medida de seguridad.

Algunas empresas que todavía están recelosas de ubicar almacenamiento primario en el CLOUD, son más propensas a usar copias de seguridad basadas en la Nube o incluso a implementar allí un completo sistema de recuperación ante desastres.

Hay una serie de ventajas que hacen atractivo el DRaaS, en su mayoría relacionadas con la reducción de costes. El pago por uso lo hace asequible en contraposición a la necesidad de emplear otros recursos en una concepción clásica, si pensemos en la infraestructura de TI necesaria para el centro de datos replicado o de Backup.

Tomados en conjunto, estos ahorros del DRaaS significan que las pequeñas empresas puedan contemplar planes de recuperación de desastres, que habría sido imposible implementar de otra manera.

2.2. Aspectos a tener en cuenta.

Hay cuestiones de seguridad importantes a considerar en el DRP, antes de adoptar DRaaS. Conjuntamente con el  CSP (Cloud Services Provider), debe garantizarse que:

  • Los datos se transfieren hacia el CLOUD de forma segura.
  • Los usuarios en caso de contingencia, se autentifiquen  correctamente.
  • En caso de desastre, se tendrá el ancho de banda y la capacidad de red necesaria para redirigir a los usuarios al CLOUD (Cambio de Rol a destino).
  • El DRP también debe incluir detalles de cómo se van a restaurar los datos, cuando se restablezca la situación (Cambio de Rol a origen).

2.3. Glosario de términos empleados en un DRP.

RTO (Recovery Time Objective / Objetivo de Tiempo de Recuperación): Es el tiempo dentro del cual, un proceso o procesos empresariales deben ser restituidos después de un desastre (o interrupción)  con determinado nivel de servicio, con el fin de evitar consecuencias inaceptables asociadas a una ruptura en la continuidad del negocio.

RPO (Recovery Point Objective / Objetivo de Punto de Recuperación): Es el intervalo máximo tolerable en el que pueden perderse datos de un servicio de TI, tras ocurrir un desastre. En otras palabras, es el momento en el que los datos se restauran y se obtiene una perspectiva de los datos que se perderán durante el proceso de recuperación. Suele coincidir con el tiempo transcurrido desde el último backup o desde la última replicación, si ésta no es continua.

reto_rpo

3. DIFERENTES ENFOQUES DE DRaaS.

3.1. Proceso de elección.

Al igual que con DR tradicional, no existe un modelo único para la recuperación de desastres en el CLOUD. El proceso de elaboración de un DRP se inicia con la identificación y priorización de Servicios, aplicaciones y datos, determinando para cada uno la cantidad de tiempo de inactividad que es aceptable antes de que haya un impacto empresarial significativo.

Priorizar los activos y determinar los necesarios objetivos de tiempo de recuperación (RTO), determinará el método adecuado de recuperación ante desastres.

cloud bssed

Tabla cortesía de SearchDisasterRecovery

Identificar los activos críticos y los métodos de recuperación, es el aspecto más relevante en este proceso, ya que es necesario asegurar de que todas las aplicaciones y datos así clasificados, están incluidos en el DRP. De igual modo, para controlar los costes y para asegurar la recuperación rápida y focalizada cuando el DRP debe ser ejecutado, debe asegurarse el dejar de lado las aplicaciones y los datos irrelevantes.

categorizacion

Categorización de activos  (C) ITIL:2011

Cuanto más focalizado esté el alcance de un DRP, más probable es que pueda verificarse periódicamente y ejecutarse caso de desastre, dentro de los objetivos definidos.

Con las aplicaciones identificadas y priorizadas, y definido el RTO, podrán determinarse los métodos mejores y más rentables de alcanzarlo.

Es infrecuente que se obtenga un único método DR para todas los Servicios, aplicaciones y datos. Lo más probable es terminar el proceso de análisis con varios métodos, protegiendo cada uno a grupos de aplicaciones y datos con un RTO similar.

tabla servicios DRaaS_IBM

Tabla cortesía de SmartCloud Virtualized Server Recovery de IBM

3.2. Ambos entornos, de producción y de Backup, en el CLOUD.

Una opción cada vez más popular es poner ambos en el CLOUD, tanto el entorno primario de producción, como el entorno secundario de RD, estando ambos a cargo de un MSP (Proveedor de Servicios Gestionados). De esta manera se aprovechan todos los beneficios del Cloud Computing, basado en el “pago por uso” para la eliminación de las instalaciones de infraestructura.

En lugar de hacerlo la empresa, ésta desplaza DR al CSP (Proveedor de Servicios en el Cloud).

La elección del proveedor de servicios y el proceso de negociación de las Cláusulas Contractuales y de los correspondientes acuerdos de nivel de servicio (SLAs), son de suma importancia.

NOTA DEL EDITOR: Puede consultarse un artículo sobre las Cláusulas Contractuales en entornos de Cloud Computing, en éste mismo Blog, mediante el siguiente enlace:

Cláusulas Contractuales

Al ceder parte de la Gestión al proveedor de servicios, la empresa debe estar absolutamente segura de que es capaz de ofrecer un servicio ininterrumpido dentro del SLA, definido tanto para los casos de entorno primario, como para los de entorno DR.

3.3. Solamente el entorno de Backup en el CLOUD.

Otra opción es tener como entorno primario un entorno tradicional y, realizar copias de seguridad y su restauración caso de contingencia,  en un entorno de CLOUD.

Las aplicaciones y los datos permanecen de forma local mediante este enfoque, con un proceso de copia hacia la nube y restaurándose desde ella en el hardware de las instalaciones de la empresa,  después de que se produzca un desastre.

Cuando se contempla la copia de seguridad y recuperación en el CLOUD, es crucial entender claramente ambos caminos. La copia de seguridad es sencilla, mientras que el aspecto más difícil es la  recuperación.

Con ancho de banda limitado y, quizá terabytes de datos a restaurar, lograr restaurar los datos de nuevo en las instalaciones de la empresa dentro de un RTO previamente definido, puede ser un reto.

En función de los datos que se van a restaurar, funcionalidades como la compresión y, más importante aún, la deduplicación, pueden facilitar y hacer viable las restauraciones de datos desde la nube, hacia la infraestructura en las instalaciones de la empresa.

3.4. Backup en el CLOUD, con restauración intermedia en VMs del CLOUD.

Otra opción en caso de desastre, es utilizar mientras duren sus efectos VM (Máquinas Virtuales) en el CLOUD, ya que con deduplicación, prácticamente sólo se tiene que restaurar una copia de máquina virtual completa y las diferencias de las demás. En este enfoque, los datos no se restauran inmediatamente en las instalaciones de infraestructura de la empresa, sino que se restablecen en las máquinas virtuales de la nube. Esto requiere tener pre-contratado almacenamiento en la nube y un pool de recursos.

La restauración a la situación original se puede hacer inmediatamente, después que la empresa recupere la infraestructura tras un desastre, o bien de manera “suave” y continuada hasta conseguir el nivelado, mientras se sigue trabajando con VMs en el CLOUD.

La “crianza” o mantenimiento previo de máquinas virtuales DR, consiste en mantenerlas relativamente puestas al día a través de replicaciones o restauraciones programadas. Es crucial en los casos en que RTO agresivos deban cumplirse.

replicacion_EMC_NetApp

3.5. Réplica de VMs en el CLOUD.

Para aplicaciones que requieran RTO (Objetivo de Tiempo de Recuperación) y RPO (Objetivos de Punto de Recuperación) agresivos,  la replicación es la mejor elección de movimiento de datos.

La replicación de máquinas virtuales en el CLOUD, se puede utilizar para proteger datos, tanto de VM a VM ambas en la nube, como de VM en las instalaciones hacia la nube.

Para éste método, el CSP normalmente proporciona puntos de recuperación consistentes con las aplicaciones. Suelen proveerse para las principales, como Exchange, SQL Server, Oracle, SharePoint, etc.

3.6. Resumen.

El CLOUD nos proporciona una serie de ventajas en relación al DR tradicional:

  • Amplía enormemente las opciones de recuperación ante desastres.
  • Los ahorros de costes son significativos.
  • Permite métodos de DR en pymes, que anteriormente estaban reservados a las grandes organizaciones.
  • No cambia, sin embargo, los fundamentos del DR:
  • Tener que elaborar un DRP (Plan de Recuperación de Desastres) sólido.
  • Tener que probarlo periódicamente.
  • Los usuarios deben estar concienciados y preparados adecuadamente.

4. ¿ESTÁ EL CLOUD PREPARADO PARA OFRECER UN SERVICIO DE DR?

Es importante para decidir si un servicio de recuperación de desastres es viable, analizar las necesidades de la empresa, entender la arquitectura de los sistemas críticos en el entorno primario o de producción y definir los RPO (Objetivos de Punto de Recuperación) y RTO (Objetivos de Tiempo de Recuperación).

Hay muchos casos en que la nube pública o “privada en modalidad off-premise”, está mejor preparada para el servicio de recuperación de desastres y es mas económica, que las soluciones tradicionales o basadas en infraestructuras dedicadas.

4.1. El escenario adecuado.

Estos escenarios adecuados, se reconocen por presentar las siguientes características:

Ningún deseo de “poseer” o intención de invertir capital alguno en una solución de recuperación de desastres, con predisposición a alquilar todas las tecnologías necesarias (licencias, almacenamiento, tratamiento, servicios) en modalidad de “pago por uso” mensual.

Enviar las copias de seguridad replicando (esperemos que deduplicadas) a una ubicación “off-premise” o fuera del sitio.

Configurarse para estar “always-on” en una red “resiliente”, con AD (Autentificación de Directorio o equivalente) y “encaminadores” o firewalls que garanticen la reorientación inmediata de los usuarios desde un directorio principal, caso de interrupción de la red o de un desastre completo.

Emplear plataformas tecnológicas comunes que aprovechen la virtualización (virtualización x86) y/o crear particiones (por ejemplo, LPAR de Power Systems “i”) que pueden ser segregables.

Deseo de externalizar la implementación de su RDP y trasladar el riesgo de desempeño a un proveedor de servicios capaz, que será el propietario del acuerdo de nivel de servicio (SLA) para los datos de entorno secundario de la replicación, pruebas, documentación y personal para llevar a cabo la restauración.

Deseo de maximizar las reclamaciones que se puedan obtener de los seguros, en caso de desastre.

4.2. Análisis de un caso.

Analicemos un caso, basado en una empresa con dichas características, paso a paso:

Se contrató el servicio de implantar el DRP a un CSP, con un RPO de 12 a 24 horas y un RTO de 4 a 8 horas, ambos comprobables.

Todo se contrató en modalidad de “pago por uso” mensual (OPEX frente a CAPEX).

Debido a la deduplicación y a la “siembra inicial de los datos”, el ancho de banda actual disponible con Internet, agregando un túnel VPN seguro, pudo ser aprovechado para el tráfico de replicación. Una segunda conexión redundante de backup, se contrató por seguridad al TSP (Proveedor de Servicios de Telecomunicaciones).

Las copias de seguridad se realizan todas las noches, mediante deduplicación y replicado en el sitio de destino (CPD del proveedor de servicios en el CLOUD).

La situación del Backup es monitoreado por el proveedor, el cual administra la solución de RD.

Escritorios de usuarios fueron virtualizados y respaldados mediante una “imagen de oro”, así como todos los datos locales para ciertos usuarios clave (directivos / gerentes / otros equipos críticos) bajo sospecha de no hacer salvaguardas hacia una unidad de red.

Active Directory, autenticación y cortafuegos se configuraron para estar “siempre activos”.

En el CSP, solo se adecua la granja de servidores virtualizados y el aumento requerido de personal en el equipo que administra la recuperación, en momentos de prueba o de desastre real para realizar la recuperación. Al imputarse dichos costes solo cuando se necesitan, permite alinear los costes de recuperación con lo que realmente se está utilizando y solamente durante dicho intervalo (OPEX).

Los escritorios virtuales se pueden clonar y ampliarse a toda la plantilla en el momento de desastre para que puedan trabajar desde su casa o ir a la sala de conferencias contratada en un hotel.  Sólo tienen que acceder mediante un navegador a  un sitio de Internet y los empleados volverán a trabajar con sus aplicaciones y datos corporativos.

Los procedimientos de “Solicitud de restablecimiento” o Cambio de Rol, y los “procedimientos técnicos para la recuperación” fueron escritos por el CSP que administra la recuperación y puestos a disposición de la empresa cliente para su revisión y adaptación, y así poder incluirlos en el DRP.

El Cambio de Rol podrá ser invocado por cualquier razón, no sólo un desastre, como puede ser para una verificación o test del DRP o para proporcionar tiempo de actividad durante una migración o actualización de hardware / sistema operativo o software de aplicación.

El CSP permitirá una VTR (Validation Test of Recovery) o “prueba de validación de la recuperación” realizada por él mismo en otras VM (Máquinas Virtuales), de forma que no moleste a la empresa cliente para dichas pruebas, salvo una vez realizadas para la verificación final.

Compromiso de devolver el entorno primario a la empresa cliente desde el CLOUD, en 72 horas una vez restaurada la situación de desastre en la infraestructura del sitio del cliente, y tras la petición formal de dicha intención.

Entrega por el CSP de un “documento de rendimiento de la prueba”, sin contener ningún tipo de información técnica confidencial, para que pueda ser compartida con los grupos de interés de la empresa, como pueden ser clientes o auditores, aumentando el reconocimiento.

En el momento de producirse un desastre real, el entorno de producción cambiará de rol hacia el entorno secundario, gestionado por el proveedor de servicios en el CLOUD.

La empresa cliente puede permanecer el tiempo que sea necesario operando sobre dicho entorno secundario, siempre pagando las cuotas acordadas.

Las copias de seguridad se seguirán llevando a cabo por el CSP hasta que vuelvan a intercambiarse los roles y el control pase de nuevo al entorno productivo.

5. DR EN EL CLOUD, VERSUS DR TRADICIONAL.

El concepto de DRaaS en el CLOUD,  presenta varias ventajas competitivas respecto al servicio tradicional de recuperación de desastres, incluyendo un menor coste de operaciones y un menor tiempo de recuperación.

Analizándolo en detalle:

5.1. Ventajas de DRaaS frente a DR tradicional.

El coste es el factor clave para la elección de un DRaaS. Un sitio secundario físico DR, significa inversiones en espacio, conectividad, servidores y quizá cabinas de almacenamiento en un CPD adicional. También conduce a costos operacionales adicionales de energía y refrigeración, mantenimiento del sitio, y las necesidades asociadas de personal técnico y de apoyo.

Un servicio de recuperación de desastres basado en el CLOUD, ofrece un entorno secundario basado en máquinas virtuales, a partir de la infraestructura física o virtual en el centro de datos principal de la empresa. Se paga para almacenar las instantáneas y los datos de las aplicaciones en un estado de suspensión, y la replicación de los datos del entorno primario al secundario (Cloud DR) para la sincronización de datos entre sitios (OPEX).

Con DRaaS, la recuperación ante desastres permite poner en línea el sitio secundario en cuestión de segundos o minutos, en lugar del tiempo requerido para un sitio físico DR, que podría tardar unos minutos (si no horas). El arranque de una máquina física toma por lo menos un minuto o más, mientras que una instancia de máquina virtual puede estar en funcionamiento en cuestión de segundos. Típicamente, un sitio físico DR sólo funciona durante la replicación de datos, o en el caso de un desastre real.

Además, la pérdida de disponibilidad está directamente relacionada con el tiempo de inactividad. Un sitio DR en el CLOUD que arranca al cabo de unos pocos segundos, se traduce en una pérdida de disponibilidad de únicamente ese período de tiempo.

En caso de que la conectividad de red no esté disponible con la configuración física de DR, las operaciones manuales pueden ser necesarias para reanudar las operaciones del sitio. Sin embargo, un DRaaS se pueden activar desde cualquier sitio, incluso con un ordenador portátil dotado de una conexión 3G a Internet.

5.2. Inconvenientes de DRaaS frente a DR tradicional.

El CPD del CSP,  puede incluso estar ubicado en un continente diferente. Esto puede causar problemas de latencia para las VM (Máquinas Virtuales) de una empresa en los casos en que se utilicen aplicaciones críticas que requieran tiempos de respuesta altos y baja latencia. Suele ser el caso de controlar procesos productivos en planta, con captura de transacciones desde máquinas o PLCs (Controladores Lógicos Programables), en tiempo real.

Con un DRaaS, la empresa debe asegurarse de que sus aplicaciones son compatibles con la infraestructura de nube pública. Por ejemplo, algunas aplicaciones pueden exigir un entorno específico que puede no estar disponible en el CSP. Deben estudiarse en detalle todos los casos.

Por tanto, la elección de ir a un DRaaS se regirá exclusivamente por el imperativo del negocio. Si una empresa tiene aplicaciones importantes que deben estar disponibles en cuestión de minutos de tiempo de inactividad, se puede considerar DRaaS. Sin embargo, si una organización presenta problemas de latencia o aplicaciones poco estándares, se debe optar por la DR física tradicional.

5.3. Restricciones a tener en cuenta.

Debido a los diferentes protocolos utilizados por los proveedores de DRaaS para escribir datos en su almacenamiento en el CLOUD, la velocidad o tasa de transferencia a la que los datos se copian o replican en la nube puede diferir de un proveedor a otro. Por ejemplo, según estudios realizados, la velocidad a la que los datos se copian con un servicio de copia de seguridad de Google Cloud, difiere de la de una copia de seguridad en la nube de Amazon, incluso con el mismo ancho de banda disponible.

Además, aunque no hay ninguna limitación sobre el tipo de datos que pueden ser guardados en la nube, puede haber una restricción impuesta por el CSP en el tamaño del archivo. Por ejemplo, cierto proveedor de almacenamiento en el Cloud limita el envío de un único archivo, a un tamaño máximo de 5 GB; Sin embargo no limita la cantidad de datos que pueden ser enviados por período de tiempo.

6. LEGISLACIÓN Y PROTECCIÓN DE DATOS.

Si una organización tiene restricciones en cuanto a la ubicación geográfica donde residen los datos (Regulaciones tipo ENS y/o legislación en materia de protección de datos tipo LOPD), como pueden ser las AA.PP. (Administraciones Públicas), debe estudiarse el caso con detenimiento. Una solución pasa por elegir un proveedor nacional, o bien contratar el DRaaS en un CSP que nos de a escoger entre sus diferentes CPDs, optando por uno que esté ubicado en España, en el EEE (Espacio Económico Europeo) o en su defecto, en un país considerado por la AEPD (Agencia Española de Protección de Datos) con nivel adecuado de protección.

No hay que olvidar que el hecho de llevar datos cifrados al CLOUD, no exime de los requisitos jurídicos.

NOTA DEL EDITOR: Para ampliar conceptos en relación a la problemática legislativa de llevar datos personales al CLOUD, puede consultarse en éste mismo Blog, los siguientes artículos:

CLOUD COMPUTING Y PROTECCIÓN DE DATOS: REGULANDO EL DESORDEN

CONFLICTO ENTRE LA LOPD Y LA LEY DEL TERRITORIO DONDE SE UBICA EL CLOUD

NOTA DEL EDITOR: Para ampliar conceptos en relación a los Backups en general, puede consultarse en éste mismo Blog, el siguiente artículo:

BACKUPS: ¿QUÉ DEBEMOS TENER EN CUENTA?

7. CERTIFICACIONES.

Existen diferentes certificaciones que pueden acreditar el “buen hacer” de un proveedor de DRaaS:

ISO 22301:2012 à Certifica al CSP conforme dispone de un Sistema de Gestión de la Continuidad del Negocio.

ISO 27001:2008 à Certifica al CSP conforme dispone de un Sistema de Gestión de la Seguridad de la Información.

El comité ISO/IEC JTC1, está elaborando dos borradores sobre CLOUD SECURITY, concretamente:

  •  ISO 27017 à “Security in Cloud Computing”.
  •  ISO 27018 à “Code of pactice for data protection controls for public Cloud Computing services”.

ISAE 3402 à Marco esencial para la auditoría de servicios en la era posterior a la Ley Sarbanes-Oxley.  El SAS 70 (Statement on Auditing Standard 70) y sus antecesores, han sido la Norma de los Estados Unidos para presentar información acerca de los controles de las organizaciones de servicios, que con el ISAE 3402 evoluciona hacia una norma global.

8. BIBLIOGRAFIA CONSULTADA

TechTarget. (SearchDisasterRevovery). “Disaster recovery and business continuity tutorials”.

DR tutorials

Jacob Gsoedl. “Disaster recovery in the cloud explained”. August 2011. SearchDisasterRecovery.

DR in the Cloud

Vulnerabilidad informática y protección de datos

informatica

Por Romina Florencia Cabrera

La vulnerabilidad  informática es una de los principales desventajas, o la principal en esta época del ciberespacio, que las empresas poseen. Un incidente de vulnerabilidad informática puede no solo denegar el servicio a los consumidores, sino provocar la pérdida  de los datos confidenciales de la empresa, ante un robo de información o una maniobra maliciosa de competencia desleal en el ámbito comercial.

Estudios fundamentados han revelado que las empresas sufren, por los menos, 10.000 ataques por día a su sistema informático. Esto puede derivarse, dada mi experiencia, en fallas en el sistema operativo por falta de actualización; un antivirus deficiente ( aunque últimamente se cree que ni el mejor antivirus te protege del todo ante la serie de ataques que se perpetran y la complejidad de los mismos); una falla humana ( por ejemplo, dejar la información sensible al alcance de cualquier empelado no autorizado en su acceso).

“Los antivirus están muertos”. Así, tal cual. Son palabras textuales de quien en su día iniciara la tarea de creación de uno de los antivirus más populares del mercado, Norton Antivirus. Se trata de Brian Dye. Sin embargo, como se hace presagiar, hay algo más…

El vicepresidente senior de Symantec sorprendía a todos este fin de semana con estas palabras en el periódico The Wall Street Journal. Sin embargo, no es que Norton se dé por vencido en el mundo de la ciberseguridad y abandone, hay algo más detrás de sus declaraciones.

Lo que en realidad Dye, vicepresidente de Symantec (compañía desarrolladora de Norton Antivirus), quiere reflejar con sus palabras es que hay una nueva realidad en la seguridad de los equipos informáticos en la que ya no es suficiente con la protección “básica” y basada en que el antivirus nos protege de software malicioso que pueda llegar a instalarse en el sistema, que todavía sigue resultando importante.

Ahora hay ataques mucho más sofisticados, capaces de saltarse toda protección del antivirus para llegar a lo más hondo del sistema y causar daños. Son a estos últimos peligros a los que se refiere Dye, que advertía a The Wall Street Journal que un antivirus tradicional sólo detecta un 45 % del total de ataques.

Conscientes de la situación, en Norton, como en otras compañías de seguridad, están trabajando para que sus herramientas antivirus sean mucho más que eso. Para que ofrezcan nuevas formas de previnir el resto de ataques y así ayudarnos a combatir el spam, las estafas por phishing, el acceso a web maliciosas o incluso protegernos de los peligros que puedan llegar por las redes sociales.

Es por ello que, matizando un poco las palabras de Dye, no se trata de que los antivirus estén muertos del todo, pero sí que quedan crelegados a ser una herramienta más, que necesita complementarse con otras para ser efectiva.[1]

Con la cantidad de herramientas que existen para no ser descubiertos  en la web, y más en la llamada Deep web o web oculta, paginas que no pueden ser detectados por los motores de búsqueda tradicional de google, por ejemplo, es muy difícil soportar un ataque informático si con anterioridad no se han tomado las medidas necesarias para prevenirlo, o en su defecto, ya ocurrido el impacto tecnológico en el sistema de la empresa, minimizar las consecuencias negativas, en especial con el resguardo de los datos personales: siempre es necesario realizar copias de seguridad, por ejemplo en un pen drive, u otro dispositivo, ante una situación similar.

Por ejemplo, Tails, Tor mas Tor Browser, GPG Y PGP , Lavabit.[2]

Tails es sin duda una de las herramientas que muchas personas que manejan información sensible deberían usar sí o sí. Se trata de una distribución Linux basada en Debian Live y cuyo enfoque es la seguridad y el anonimato.

A diferencia de otros sistemas operativos, Tails está diseñado para usarse desde un USB y así nunca dejar ningún rastro de uso en las memorias de los PCs que uses para conectarte. Es el gran punto fuerte de Tails, no necesitas tener un PC, cualquier PC que encuentres con un USB y con la opción de que puedas ejecutar USB al iniciarlo, te sirve para poder usar tu propio entorno seguro de comunicaciones.

Tails usa Tor para hacer anónima la conexión a internet, pero no solo la navegación web, toda comunicación va enrutada usando esta red, evitando que cualquier aplicación que intente conectarse mediante otra red que no sea Tor, quede bloqueada.

Puedes descargar Tails desde la página del proyecto e instalarlo en cualquier unidad USB.[3]

Tor mas Tor Browser: Como decíamos antes, Tails está siempre conectada mediante la red Tor. Tor Browser es la solución para los que quieren navegar por internet sin dejar ningún rastro. Primero porque se conecta usando una red de P2P de otros usuarios usando Tor de forma anónima y segura. También porque el navegador no guarda ningún dato, evitando que contraseñas se queden guardadas en la memoria del navegador.

Tor es una red anónima y segura, que se usa tanto para lo bueno como para lo malo. Conocemos famosas webs como Silk Road que han dado una mala fama a esta red, pero es evidente que como toda herramienta, se le puede dar un buen y un mal uso.[4]

GPG Y PGP :Acrónimo de Pretty Good Privacy, PGP es la aplicación creada por Phil Zimmermann, ahora en el proyecto de Blackphone que permite cifrar contenidobasándose en criptografía de clave pública. Esto permite que para leer un correo electrónico cifrado con PGP la persona que envía tiene que tener una clave para cifrar y el destinatario tiene que tener otra clave para desencriptar el mensaje.

PGP se ha demostrado bastante seguro para compartir información mediante correos electrónicos, es el sistema que Snowden usó para comunicarse con la directora Laura Poitras y el periodista Glenn Greenwald de The Guardian.

Es bastante sencillo usar PGP en tus comunicaciones. Si usas Gmail, Yahoo Mail o Outlook.com puedes usar Mailvelope. Si usas el cliente de correo de OS XGPGMail es tu herramienta a usar. Para Windows existe un plugin para usar con Outlook 2010 y 2013 junto con GPG4win.

Aunque Google parece que está investigando como implementar PGP en Gmail, por ahora no hay una solución ya integrada, aunque Yahoo cifra el contenido de tus menajes incluso entre servidores.[5]

Lavabit fue el servicio de correo electrónico seguro usado por Snowden. Creado y mantenido por Ladar Levison, el pasado 8 de agosto de 2013 decició cerrar el servicio y la empresa ante las presiones del gobierno estadounidense y leyes del Congreso de Estados Unidos provocaron que Lavabit no pudiese compartir qué estaba pasando mientras se le hacía cómplice en crímenes contra Estados Unidos.

Snowden estuvo usando la dirección “edsnowden@lavabit.com” para comunicarse con medios de comunicación mientras estuvo en el aeropuerto de Moscú. Pero este servicio se vio obligado a cerrar ante la presión de EE.UU.

Lavabit ofrecía un servicio de webmail con un enfoque en la seguridad. Usaban métodos criptográficos avanzados para cifrar las comunicaciones y los correos de tal forma que fuese imposible de romper. A mediados de 2013, Lavabit tenía más de 400.000 usuarios con servicio gratuito y de pago dependiendo del espacio necesario de almacenamiento.

Hoy en día podemos encontrar muchos servicios de email con enfoque en la seguridad, por ejemplo Hushmail o Resistemail.[6]

Digamos que la ciberdelincuencia se materializa organizadamente por estos métodos, y hay que estar atentos ante cualquier índice de ataque o mal funcionamiento del sistema. La mejor prevención es siempre estar bien asesorados y con las ultimas actualizaciones en los equipos, y realizando un seguimiento adecuado al normal funcionamiento de los mismos. La caída del la versión del sistema operativo Windows XP , provocó una serie de desajustes informáticos en todo el mundo, volviendo lentos los sistemas, sin capacidad de reacción ante ataques informáticos y antes la imposibilidad de ofrecer respuestas a los usuarios que lo seguían utilizando a pesar de su des actualización.

Damballa publicó su Informe de Estado de Infecciones del primer trimestre de 2014. Fue elaborado a partir del análisis del 50 por ciento del tráfico proveniente de los proveedores de internet  (ISP por sus siglas en inglés) de América del Norte y del 33 por ciento del tráfico móvil, además de grandes volúmenes de tráfico de los ISP mundiales y de clientes empresariales.

Los resultados revelaron que los dispositivos en la red de una empresa media están generando un promedio total de 10 mil eventos de seguridad por día, con la generación más activa en torno a 150 mil eventos por día. También descubrieron que las grandes empresas dispersadas a nivel mundial tenían un promedio de 97 dispositivos activos infectados cada día y una fuga de un promedio total de más de 10 GB de datos diariamente.

Estas cifras ilustran lo desalentador que resulta para el personal de seguridad rastrear manualmente entre montañas de alertas para descubrir cual constituye una amenaza real. También saca a la luz el por qué no fueron detectados durante tanto tiempo los últimos ataques de alto perfil en las organizaciones como Target,puesto que las alertas no igualan a los infectados. La única manera de determinar si un dispositivo está infectado es correlacionar la actividad de seguimiento, lo que lleva demasiado tiempo y muchas horas hombre.

Las técnicas avanzadas, como los Algoritmos de Generación de Dominio (DGA por sus siglas en inglés), utilizados por los intrusos para generar grandes cantidades de nombres de dominio aleatorios, pueden evadir los controles de prevención y retardar la identificación de las infecciones reales. Estas técnicas requieren equipos de seguridad que pasan a través de miles de dominios IP anómalos con el fin de encontrar la dirección IP que lleva al verdadero contenido.

En una prueba realizada por los laboratorios de Damballa, donde el tráfico “sucio” de la red se repitió pasando por más de 1,200 sitios simulados, 538 piezas de evidencia fueron recolectadas y correlacionadas para cada infección real, casi imposible de hacerlo manualmente.

Según Brian Foster, director de tecnología de Damballa, “Ya estamos enfrentando una profunda escasez de profesionales de seguridad calificados, las últimas cifras de Frost & Sullivan estimaron un equivalente a un déficit de 47 por ciento para 2017. Si rectificamos este hecho con el aumento de los datos violados y el alcance del trabajo que se requiere para identificar una infección verdadera, podemos ver por qué el personal de seguridad está luchando para hacerle frente”.

Como se dijo anteriormente, las empresas estudiadas promediaron 97 infecciones diarias. La capacidad de reducir el tiempo dedicado a encontrar estos dispositivos infectados es significativo. El Instituto Ponemon informa que le lleva a las empresas un promedio de casi tres meses (90 días) para descubrir una instrusión maliciosa y cuatro meses o más para resolverlo.

La capacidad de reducir el tiempo de descubrimiento de 90 días a 1 día, a través de esos 97 dispositivos infectados, se traduciría en un ahorro de 89 días de trabajo por dispositivo o bien, 8,633 días de trabajo (23.65 años) por empresa. Esto no sólo es un gran ahorro de tiempo, sino que se reduce significativamente el hecho de que una empresa sea vulnerable a un ataque en particular.[7]

La mejor herramienta de la seguridad es la prevención; cuanto más estemos preparados para los imprevistos, mejor nos podremos recuperar de los impactos negativos y hasta sacar provecho de ellos para mejorar los sistemas en el futuro.

[1] Computer Hoy.
http://www.computoforense.com/creador-de-norton-antivirus-los-antivirus-estan-muertos/;  Fecha de la consulta del Sitio web: 19/5/2014. .

[2] http://www.fayerwayer.com/2014/04/edward-snowden-apps-seguras-cifradas/. Fecha de consulta del sitio web: : 19/5/2014. .

[3] http://www.fayerwayer.com/2014/04/edward-snowden-apps-seguras-cifradas/. Fecha de consulta del sitio web: : 19/5/2014. .

[4] http://www.fayerwayer.com/2014/04/edward-snowden-apps-seguras-cifradas/. Fecha de consulta del sitio web: : 19/5/2014. .

[5] http://www.fayerwayer.com/2014/04/edward-snowden-apps-seguras-cifradas/. Fecha de consulta del sitio web: : 19/5/2014. .

[6] http://www.fayerwayer.com/2014/04/edward-snowden-apps-seguras-cifradas/. Fecha de consulta del sitio web: : 19/5/2014. .

[7] Help Net SecurityPC; http://www.seguridad.unam.mx. Fecha de la consulta del Sitio web: Fecha de consulta del sitio web: : 19/5/2014.

Gestión de brechas de seguridad en el futuro Reglamento General de Protección de Datos de la Unión Europea

brechaseuropeas

Por Francisco R. González-Calero Manzanares

En enero de 2012 tras varios años de estudio preliminar, la Comisión Europea presentaba su flamante propuesta de Reglamento Europeo de Protección de Datos. El nuevo sistema normativo pretende superar a la vigente Directiva 95/46/CE cuyo marco jurídico ha quedado obsoleto con el rápido desarrollo de las nuevas tecnologías y no aporta soluciones eficaces para problemas específicos de las TIC, como son la transnacionalidad de los tratamientos, el derecho al olvido, el uso de las TICS por menores o la manera de obtener los consentimientos con los nuevos dispositivos y servicios electrónicos.

Sobre la base de un gran consenso inicial sobre la necesidad de contar con un marco jurídico más acorde con los nuevos tiempos y sistemas tecnológicos, comenzaron los debates en el Consejo de la UE y en el Parlamento Europeo. Trabajos y debates que se han alargado más de la cuenta por dos motivos:

El primero consiste en que como todo texto o propuesta, es susceptible de mejora, máxime cuando trata temas tan complejos y con un alto contenido de transnacionalidad, y rápida evolución y cambio, de ahí la importancia que exista un debate constructivo que mejore la propuesta de la Comisión Europea y nos dote de un buen marco jurídico para los próximos años.

Por otro lado, desde principios del 2013 hemos podido contemplar perplejos como un Lobby como nunca antes se había visto, está intentando descafeinar ciertos aspectos de la propuesta normativa o, incluso llegar a paralizar su aprobación final. Este Lobby encabezado por empresas tecnológicas de EEUU ha logrado que se presenten más de 4000 enmiendas en el Parlamento Europeo lo que ha conllevado que la votación inicial de la Comisión de Libertades, Justicia e Interior (LIBE) del Parlamento Europeo, prevista en un principio para finales de mayo de 2013, se pospusiera primero para junio o julio y posteriormente, para la Sesión del 21 de octubre. En paralelo y desde la presidencia irlandesa del Consejo de la UE  (enero-junio 2013) un grupo de países encabezados por el Reino Unido han plantado cara a determinados aspectos de la propuesta, lo que ha provocado que esta Institución a día de hoy no haya logrado alcanzar una posición común con la que poder iniciar la negociación final a tres bandas con el Parlamento Europeo y la Comisión Europea, aunque eso sí, se han logrado grandes avances y las cuestiones sobre las que no hay acuerdo son de carácter técnico y no político.

Como decíamos anteriormente, tanto la Comisión LIBE como posteriormente el Pleno del Parlamento Europeo el pasado 12 de marzo de 2014, aprobaron por abrumadora mayoría las enmiendas aceptadas por los ponentes del Parlamento Europeo. Cabe decir que las enmiendas aprobadas en materia de seguridad de los datos y comunicación de brechas de seguridad mejoran sensiblemente la propuesta inicial de la Comisión Europea y aunque esperamos aún el texto del Consejo de la UE y el inicio de las negociaciones a tres bandas, podemos razonablemente esperar que el texto del Parlamento Europeo se parezca bastante a la versión final, ya que la comunicación de las brechas de seguridad no es de los asuntos que más expectación y acalorado debate están generando en esta reforma y se elimina la habilitación a la Comisión Europea para dictar actos delegados en desarrollo de determinadas artículos sustituyéndola por la habilitación al futuro Consejo Europeo de Protección de Datos para que lo haga dictando directrices, recomendaciones y mejores prácticas[1], salvando así uno de los puntos de fricción con el Consejo de la UE.

Y esto es así porque en el derecho de la Unión Europea ya existe esta obligación desde la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece que los proveedores de servicios de comunicaciones electrónicas tienen la obligación de informar a las autoridades de control, y en algunos supuestos a los propios abonados, de las quiebras de seguridad de los datos personales de los abonados. Por su parte, el Reglamento de la Comisión Europea 611/2013 fija las normas sobre cómo y cuándo notificar estas quiebras de seguridad.

Para finalizar las presentes líneas reproducimos literalmente las enmiendas aprobadas por el Pleno del Parlamento Europeo comparándolas con el texto inicial de la propuesta de la Comisión Europea, en lo que respecta a los artículos 30, 31 y 32 (columna de la izquierda Texto Comisión Europea, columna de la derecha Texto aprobado por el Parlamento Europeo).

Artículo 30

Seguridad del Tratamiento                                           Seguridad del Tratamiento

1.  El responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse , habida cuenta de las técnicas existentes y de los costes asociados a su implementación. 1.  El responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento, tomando en consideración los resultados de una evaluación de impacto relativa a la protección de datos con arreglo al artículo 33, habida cuenta de las técnicas existentes y de los costes asociados a su implementación.
1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su implementación, dicha política de seguridad incluirá:
a) la capacidad de garantizar que se valida la integridad de los datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento de datos personales;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos de manera oportuna en caso de un incidente físico o técnico que afecte a la disponibilidad, integridad y confidencialidad de los sistemas y servicios de información;
d) en caso de tratamiento de datos personales sensibles de conformidad con los artículos 8 y 9, medidas de seguridad adicionales para garantizar el conocimiento de la situación de los riesgos y la capacidad de adoptar medidas preventivas, correctoras y de mitigación casi en tiempo real contra la vulnerabilidad o incidentes detectados que puedan presentar un riesgo para los datos;
e) un proceso para comprobar y evaluar periódicamente la eficacia de las políticas, procedimientos y planes de seguridad establecidos para garantizar la eficacia continúa.
2.  A raíz de una evaluación de los riesgos, el responsable y el encargado del tratamiento adoptarán las medidas contempladas en el apartado 1 a fin de proteger los datos personales contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales. 2.  Las medidas contempladas en el apartado 1, como mínimo:
a) garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley;
b) protegerán los datos personales almacenados o transmitidos contra su destrucción accidental o ilícita, su pérdida o alteración accidentales y el almacenamiento, tratamiento, acceso o comunicación no autorizados o ilícitos; y
c) garantizarán la aplicación de una política de seguridad con respecto al tratamiento de los datos personales.
3.  La Comisión estará facultada para adoptar actos delegados de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables a las medidas técnicas y organizativas contempladas en los apartados 1 y 2, incluida la determinación de cuáles son las técnicas existentes, para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos por defecto, salvo que sea de aplicación el apartado 4 . 3.  Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), para las medidas técnicas y organizativas contempladas en los apartados 1 y 2, incluida la determinación de cuáles son las técnicas existentes, para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos por defecto.
4.  La Comisión podrá adoptar, en su caso, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 en distintas situaciones, en particular a fin de:
a) impedir cualquier acceso no autorizado a datos personales;
b) impedir cualquier forma no autorizada de comunicación, lectura, copia, modificación, supresión o cancelación de datos personales;
c) garantizar la verificación de la legalidad de las operaciones de tratamiento.
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.
(El apartado 2 del texto de la Comisión pasa parcialmente a ser la letra b) en la modificación del Parlamento.)

Artículo 31

Notificación de una violación de datos personales a la autoridad de control Notificación de una violación de datos personales a la autoridad de control
1.  En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada. 1.  En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada.
2.  Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales. 2.  El encargado del tratamiento alertará e informará al responsable del tratamiento sin demora injustificada después de que haya constatado una violación de datos personales.
3.  La notificación contemplada en el apartado 1 deberá, al menos: 3.  La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate; a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales; c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
d) describir las consecuencias de la violación de datos personales; d) describir las consecuencias de la violación de datos personales;
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales. e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales y mitigar sus efectos.
Si es necesario, puede facilitarse la información por fases.
4.  El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto. 4.  El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá ser suficiente para permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo y del artículo 30. Solo incluirá la información necesaria a tal efecto.
4 bis. La autoridad de control mantendrá un registro público de los tipos de violaciones notificadas.
5.   La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales. 5.   Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), a fin de constatar la violación de datos y determinar la demora injustificada contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales.
6.  La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

Artículo 32

Comunicación de una violación de datos personales al interesado Comunicación de una violación de datos personales al interesado
1.  Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales. 1.  Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales, a la privacidad, a los derechos o a los intereses legítimos del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.
2.  La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c). La comunicación al interesado contemplada en el apartado 1 será completa y utilizará un lenguaje claro y sencillo  Describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas en el artículo 31, apartado 3, letras b), c) y d), y la información acerca de los derechos del interesado, incluido el derecho de recurso.
3.  La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos. 3.  La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos.
4.  Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga. 4.  Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga.
5.  La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales contemplados en el apartado 1. Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales, la privacidad, los derechos o los intereses legítimos del interesado contemplados en el apartado 1.
6. La Comisión podrá determinar el formato de la comunicación al interesado contemplada en el apartado 1 y los procedimientos aplicables a la misma. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

[1] Algo similar a la reciente Opinión 3/2014 del Grupo de Trabajo del Artículo 29 sobre notificación de brechas de datos personales (en) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp213_en.pdf

No solucionar HeartBleed incumple a la Ley de Protección de Datos Personales

Heartbleed

Por Marcelo Temperini

La ahora conocida falla Heartbleed sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas).

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya “parcheado” (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:

“El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.”

En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:

Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que:
1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; […]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Artículo publicado originalmente el 14 de abril de 2014 en Segu-Info.