ANTERIORES CIBERATAQUES PROCEDENTES PRESUNTAMENTE DE RUSIA HAN DEJADO FUERA DE SERVICIO ADMINISTRACIONES PUBLICAS MUY DESTACADAS, COMO ES EL SEPE, AYUNTAMIENTOS Y UNIVERSIDADES.
SE ESPERA QUE CON LAS SEVERAS SANCIONES ECONOMICAS Y PERSONALES ADOPTADAS POR OCCIDENTE CONTRA RUSIA Y SUS OLIGARCAS, LOS CIBERATAQUES SE INCREMENTARÁN NOTORIAMENTE.
En los últimos días diferentes medios de comunicación han difundido noticias donde se expone la recomendación que ha difundido el CCN para que se aumenten de forma significativa las medidas de ciberseguridad en administraciones e instituciones, ya que es muy posible que se aumenten los ataques a estas organizaciones.
En efecto, las severas medidas económicas que se han adoptado como sanciones se prevé que tengan un gran impacto en la economía rusa, e incluso las medidas personales contra ciertos oligarcas hace más que previsible la posibilidad de “intentar devolver el golpe” con ciber ataques de diverso tipo e intensidad en los sectores estratégicos de todos los países que estén el sector occidental, especialmente los que pertenecen a la OTAN.
En principio, está bastante claro que se están aplicando sanciones insólitas a Rusia (p.e. la expulsión del sistema bancario SWIFT), que a buen seguro van a tener una fuerte consecuencia en la economía y la competitividad de sus empresas y banca. Por tanto, está prácticamente asegurado que uno de los objetivos de Rusia será el complicar la economía y la administración de los países de la OTAN, y más si es de forma “oscura”, oculta o más o menos impune y en muchos casos con un alto beneficio económico por los rescates de datos o fraudes como el del “hombre interpuesto” que tendrán que pagar las empresas occidentales víctimas de los ciber ataques.
Las recomendaciones, no por ya conocidas restan efectividad a la prevención y la respuesta ante posibles ciberataques:
SI DOY MI IDENTIDAD A QUIEN NO DEBO, LAS CONSECUENCIAS PUEDEN SER MUY DOLOROSAS, EN ALGUNOS CASOS PUEDE SIGNIFICAR EL INICIO DE LAS PESADILLAS, DE ESAS QUE NO PARECEN QUE SE ACABEN NUNCA...
En los últimos meses nos estamos encontrando con un preocupante aumento de las consultas que recibimos en el despacho sobre robos de identidad de clientes y conocidos.
La realidad es que la digitalización de servicios bancarios y de medios de pago a supuesto una gran oportunidad para los amigos de lo ajeno, generando nuevos modus operendis para cometer delitos de los de siempre como son las estafas y fraudes.
Todos en un momento de descuido hemos bajado la guardia y hemos entregado una documentación o una información a un tercero que le presuponemos formalidad y garantía, pero que no hemos contrastado, ya sea en temas de comercio electrónico, la compraventa de vehículos o inmuebles o incluso la candidatura a algún puesto de trabajo.
Existen innumerables ocasiones en las cuales entregamos nuestra copia de DNI y el resto de los datos personales sin demasiadas o ninguna pregunta. Por suerte, en la mayoría de las ocasiones se tratan de operadores honestos y la aportación de documentación no tienen más trascendencia que el buen fin de la operación. Pero en alguna ocasión la cosa se puede complicar, especialmente si nuestros datos y nuestra documentación cae en manos de los profesiones de la suplantación.
En efecto, estos profesionales son especialistas en simular entornos digitales de operadores con garantías, haciéndose pasar por empresas reconocidas, por terceros identificados, etc. Todo ello con el fin de generar confianza y obtener aquello tan preciado que andan buscando: nuestra identidad.
Pero ¿para qué sirve mi identidad? ¿qué pueden hacer con ella? , históricamente hay un tipo de fraude muy conocido que consistía en solicitar créditos personales en base a un DNI robado o “distraído” , normalmente no solían ser créditos bancarios sino créditos al consumo tramitados por financieras, que históricamente no han sido tan puntillosas con la identificación de su cliente final como la banca, confiando en el gestor del crédito (normalmente el vendedor del bien comprado fraudulentamente) fuera diligente y comprobará que su cliente correspondía con la documentación aportada.
La realidad era que la pobre víctima recibía una notificación que estaba en una lista de morosos y tenia un montón de créditos pendientes por consumo de cosas que ni conocía ni había comprado.
En la actualidad, este tipo de fraude se sigue dando, pero corregido y aumentado con l irrupción del comercio electrónico, tanto B2C como B2B. Es decir, entre empresas y entre empresas y particulares. Por ejemplo, hemos detectado que algún comprador de una conocida web de venta de segunda mano solicita antes de realizar el pago que se le envíe copia del DNI del vendedor “como garantía” del dinero que va a ingresar…es evidente que se trata de una posible trampa ya que existen métodos más sencillos y seguros de garantizar el cobro en la misma aplicación.
En resumidas cuentas, nuestras recomendaciones para evitar este tipo de situaciones son:
LAS DUE DILIGENCE PREVIAS A UNA FUSIÓN O ADQUISICIÓN NO SIEMPRE CONTEMPLAN EL CUMPLIMIENTO DEL RGPD Y DICHA OMISIÓN PUEDE COMPORTAR CARGAS OCULTAS Y RESPONSABILIDADES AL AUDITOR.
En estos tiempos tan convulsos estamos viendo como gran número de compañías van cambiando de manos, ya sea por compras de fondos de inversión o por compra de otras empresas del sector e incluso por fusiones entre compañías afines o complementarias.
En todo caso, es muy habitual que de forma previa a la compra o transmisión de la empresa ofertada se realice una auditoría de Diligencia Debida o due diligence.
El objeto de dicha auditoria no es otro que dar la imagen fiel de la compañía objeto de compra y suele abarcar todas las áreas de actividad de la empresa y no sólo la financiera, como son las áreas: comercial, Propiedad Industrial, recursos humanos, prevención de riesgos laborales, operaciones, logística, producción, etc.
Por ese mismo motivo, la multitud de áreas a auditar, el equipo de trabajo que realice la due diligence y analice la situación real empresarial no puede ser exclusivamente compuesto por personal del área financiera, ya que en numerosas ocasiones la imagen financiera no corresponde con la imagen real operativa de la empresa, siendo imprescindible la participación de un equipo multidisciplinar de profesionales, con conocimientos específicos de cada área.
Consciente de esa realidad, el legislador ha establecido la obligación para un tipo de empresas de realizar un informe de situación de estados no financieros, con la idea de acreditar esos otros parámetros de gestión no cuantificables en un balance o en una cuenta de explotación al uso (p.e. Medio
Ambiente, compliance, igualdad, etc).
En materia de protección de datos, los riesgos empresariales tienen una probabilidad estadística baja, pero un impacto sobre el negocio severo, las posibles consecuencias catastróficas en caso de incidente grave o muy grave pueden comportar sanciones que pueden llegar a los 20.000.000 de euros o el 4% de la facturación mundial.
En este sentido el auditor que realice una due diligence, tendrá que identificar y valorar la existencia de conductas de riesgo en materia de protección de datos personales como son: prácticas comerciales agresivas, falta de ciberseguridad, carencia de DPD, la falta de documentación adecuada, la existencia de requerimientos de la autoridad de control competente o de clientes, etc. Todas las conductas anteriores pueden ser indicativo de la existencia de un severo problema en la gestión de la compañía.
En el caso de una compra o fusión (M&M), la probabilidad del riesgo y el impacto en el negocio tendrían que constar y cuantificar de forma clara y concreta en el informe de Diligencia Debida (Due Diligence), siendo el comprador el que determine si es de interés continuar con la adquisición o no. También en el mencionado informe se pueden proponer medidas de transferencia o aseguramiento del riesgo como puede ser la subscripción de una póliza de seguros que cubra la ciberseguridad o las posibles repercusiones en materia de protección de datos.
En todo caso, la conclusión es que una correcta auditoria de due diligence deberá identificar y valorar los riesgos en materia de protección de datos, y en su caso proponer medidas paliativas o de transferencia del riesgo, con las consiguientes repercusiones económicas en el precio de adquisición.
Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de la auditoria de Diligencia Debida, el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD) así como para atender los requerimientos de información que el responsable de fichero les solicite dentro de sus funciones..
Os seguiremos informando.
Un saludo.
--
Jorge Ortega
El PLAN DE RECUPERACIÓN, TRANSFORMACIÓN Y RESILENCIA (PRTR) DE LA U.E. es el instrumento creado para mitigar los impactos de la pandemia COVID-19.
En efecto, los fondos que vendrán de la UE en concepto del PRTR (Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo por el que se establece un Mecanismo de Recuperación y Resiliencia) , no van a ser fáciles de obtener, ya que la reticencia de los países del Norte de Europa a dar cantidades importantes de dinero a fondo perdido a los países de sur de Europa ha añadido nuevas reglas con el fin de limitar y acotar en todo lo posibles esta aportación, especialmente cuando se trata de estas partidas a fondo perdido.
En este sentido, lo trámites administrativos y de control son especialmente duros, exigiendo la implantación efectiva en cada proyecto bonificable de un riguroso sistema de gestión mediante la fijación de hitos y eventos, con puntos de control periódicos y reportes continuos a la superioridad sobre desviaciones sobre el cronograma fijado (Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia).
En todo caso, el mencionado Sistema de Gestión implantado en los fondos derivados del PRTR, está orientado a definir, planificar, ejecutar, seguir y controlar los proyectos y subproyectos que formen parte del Plan de Recuperación, Transformación y Resiliencia. Una de los elementos estrella del mencionado sistema de gestión propuesto es el «Plan de medidas antifraude», el cual deberá cumplir los siguientes requerimientos mínimos:
a) Aprobación por la entidad decisora o ejecutora, en un plazo inferior a 90 días desde la entrada en vigor de la presente Orden o, en su caso, desde que se tenga conocimiento de la participación en la ejecución del PRTR.
b) Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución.
c) Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.
d) Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable.
e) Prever la existencia de medidas de detección ajustadas a las señales de alerta y definir el procedimiento para su aplicación efectiva.
f) Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude.
g) Establecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.
h) Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.
i) Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés conforme a lo establecido en los apartados 1 y 2 del artículo 61 del Reglamento Financiero de la UE. En particular, deberá establecerse como obligatoria la suscripción de una DACI por quienes participen en los procedimientos de ejecución del PRTR, la comunicación al superior jerárquico de la existencia de cualquier potencial conflicto de intereses y la adopción por este de la decisión que, en cada caso, corresponda.
En todo caso la mencionada norma exige cierta independencia en la auditoria e implementación de dicho Plan Antifraude, teniendo especial relevancia la no existencia de conflicto de intereses entre la organización interna o externa que propone las medidas antifraude y la Administración Local que deberá implantar el mismo.
Según la Secretaria General de Fondos Europeos, el Plan incluye disposiciones relativas a medidas para prevenir, detectar y corregir la corrupción, el fraude y los conflictos de intereses en la utilización de los fondos proporcionados en el marco de dicho Reglamento, para evitar la doble financiación, así como para garantizar el pleno respeto a la normativa reguladora de las Ayudas de Estado.
Por tanto, no es nada recomendable que sea la empresa o el departamento que se encarga de gestionar la llegada y supervisión de las ayudas públicas el que sea el encargado del desarrollo e implementación del mencionado Plan Antifraude.
También conviene destacar la necesidad de implicación de las más altas instancias de la Administración donde se pretenda implantar el Plan Antifraude, ya que en todo momento deberá ser validado y refrendado, si pretendemos cumplir fehacientemente con lo expuesto en la norma.
o.
Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).
Os seguiremos informando.
Un saludo.
--
Jorge Ortega
El pasado martes día 9 de noviembre El Consorci de Serveis Universitaris de Catalunya (CSUC) homologó a ATGROUP como uno de sus proveedores oficiales en servicios de asesoramiento e implementación de RGPD y LOPDGDD.
El CSUC es una entidad de derecho público que agrupa a la mayor parte de las universidades catalanas, tanto públicas como privadas, para la realización de acciones conjuntas. El proceso de homologación tiene como objetivo garantizar que los servicios de los principales proveedores cuenten con un conjunto de servicios de consultoría, auditoría y soporte de naturaleza tanto técnica como jurídica, necesarios para conseguir, y mantener durante la vigencia de la contratación, la adecuación, cumplimiento de la normativa asociada al Esquema Nacional de Seguridad (ENS), ISO 27001 y al Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
A continuación los tres servicios por los que hemos sido homologados:
LOTE 2. Servicios de Protección de Datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación de un servicio concreto y que tienen como objetivo la realización de una tarea concreta y la entrega de un informe resultante de su ejecución.
Los servicios contemplados en este lote requieren de la participación de un equipo por parte del proveedor en el que se pueden requerir competencias jurídicas, técnicas o de gestión.
LOTE 3: Servicios profesionales en protección de datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la colaboración con los equipos de protección de datos de las universidades para el desarrollo de una actividad concreta y principalmente por parte de una persona altamente calificada de la empresa adjudicataria donde las competencias personal de la persona asignada son el elemento relevante en la ejecución de la misma.
LOTE 4: Oficina técnica de apoyo al DPD:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación del servicio de oficina técnica de soporte al Delegado de Protección de Datos de cada centro.
La Ley de Secretos Empresariales… esa gran desconocida
¿TENGO PROTEGIDOS LOS SECRETOS DE MI EMPRESA?, ¿PUEDO DEFENDERME EN CASO DE ROBO O SUSTRACCIÓN?¿QUE RECURSOS LEGALES TENGO?
Cuando hablamos de información de la empresa podemos hablar de todo tipo de datos, ya sean personales como estrictamente mercantiles. En todo caso la información en las organizaciones es vital para su funcionamiento, y alguna información en concreto deviene en estratégica y vital para la supervivencia de la empresa.
Existe una protección legal para cierto tipo de contenidos como son las patentes, las marcas comerciales, e incluso la obra artística, técnica o literaria. La Ley de Propiedad Intelectual y la Ley de Patentes y Marcas contemplan la protección de la invención, la imagen de marca, la obra artística entre otras obras humanas aplicables al mundo empresarial.
Pero la realidad es que no toda la información de valor estratégico para la empresa tenia una protección legal directa. En efecto, por ejemplo un listado de proveedores clave, es un documento interno sin mayor singularidad, ya que no se puede patentar, ni es una marca, ni es una obra artística ni nada semejante, por tanto su protección ante terceros mediante las anteriores normas quedaba en la mayoría de las ocasiones fuera de lugar y tenían que refugiarse en los tipos generales de la Ley de Competencia Desleal, que de forma genérica recogía algunas conductas de captación y uso no autorizado de información empresarial como ilícitas.
En todo caso, para solventar este déficit de protección y en transposición de la Directiva 943/2016 sobre protección de los conocimientos técnicos empresariales, el legislador promulgó la Ley 1/2019, de 20 de febrero, la llamada Ley de Secretos Empresariales. Dicha norma, no ha tenido un gran impacto mediático por motivos diversos, como es la crisis COVID, pero es una norma vigente, y bajo nuestro punto de vista, de gran interés para la empresa.
Dicha norma establece que es información secreta empresarial, como hay que protegerla y como se puede defender contra el acceso, uso y distribución ilegal de la misma.
La recomendación en todas las auditorias de servicios que realizamos desde ATGROUP es que se protejan los activos intangibles incluyendo los sistemas y formas que establece la normativa sectorial aplicable (p.e. RGPD, CP, etc.), en coordinación y yuxtaposición a lo que establece la Ley de Secretos Empresariales.
Con esta configuración mixta, la información empresarial podrá gozar de varias capas de protección jurídica ( según los casos, administrativa, penal, civil y mercantil).
También hay que tener presente, que en los procesos de auditoría, tanto de RGPD como de COMPLIANCE PENAL, es necesario realizar un inventario de activos, análisis de seguridad de la información, revisión de procesos, control de accesos, etc. Todos esos trabajos son esenciales también para la implementación de la Ley de Secretos Empresariales en la organización.
Por tanto, desde ATGROUP recomendamos la implementación de la Ley de Secretos Empresariales en todas las organizaciones, y si la hacemos coincidir con una auditoria de otra materia, es más que posible que se generen sinergias que puedan hacer que el presupuesto para este tipo de proyectos sea considerablemente más reducido.
Un saludo.
Mas información: info@atgroup.es
EN QUE ME PUEDE AFECTAR LA CAJA NEGRA AUTOMOTRIZ EN MI VEHÍCULO PARTICULAR.
Paco con su coche nuevo de alta gama, circulaba por la N II, de madrugada, prácticamente sólo en la carretera, a una velocidad algo elevada, cruzando poblaciones, pero sin reducir velocidad a sabiendas que en esa zona no hay radares fijos ni móviles, por eso estaba muy tranquilo, ya que era prácticamente imposible que fuera detectado su exceso de velocidad.
Al girar una rotonda, ve un destello azul y le da el alto una patrulla de la Guardia Civil de Tráfico, en el alto policial, le solicitan la realización de test de detección de alcohol y sustancias psicotrópicas y drogas, después de unos segundos tensos, el resultado de las pruebas de detección da negativo en consumos prohibidos. Paco se siente a salvo, pero el agente se conecta mediante IoT con la caja negra del vehículo nuevo de Paco, y una vez realizada la lectura…nuestro amigo Paco acaba detenido por un presunto delito contra la seguridad del Tráfico, de los tipificados en el Código Penal… ¿Qué ha pasado?
Pues muy sencillo, la tecnología de grabación de datos de actividad de los automóviles ha ido evolucionando del muy básico EDR (Event Data Recorder) donde sólo se captan elementos básico de consumos y datos técnicos de motor, tales como presiones, temperaturas, pero las nuevas capacidades y necesidades del coche autónomo no ha llevado al DSSAD (Sistema de almacenamiento de datos para conducción automatizada) donde se recogen trayectorias, motores, etc o en futuras versiones avanzadas donde ya se permite incorporar cajas negras automotrices en todos los vehículos privados e interconectarse mediante tecnología IoT, mediante IP e incluso mediante RFID, pudiéndose realizar en tiempo real lecturas de velocidades, trayectorias GPS, datos de actividad de motor, etc.
En la actualidad sólo los talleres tienen acceso a la CPU o unidad de procesamiento o al EDR, mediante el conector de enlace de diagnóstico (DLC), estas conexiones limitadas y verticales exclusivas del taller, es previsible que en muy breve puedan ser on line mediante tecnología IoT vía IP y conexión 5G, sin necesitar contacto físico con el vehículo.
En este sentido y dado el cariz que tienen las diferentes autoridades de control en materia de Seguridad Vial y las líneas maestras marcada por la UE, esta claro que se quiere accidentes cero, y una de las herramientas que van a dotar a los agentes encargados de regulación y control del tráfico será sin duda alguna es el acceso directo a la DSSAD, tanto para investigación de accidentes como para supervisión y vigilancia del tráfico.
El paso del acceso del taller a la unidad policial en carretera es sumamente sencillo dado el estado de la técnica de IoT vinculada al 4G y 5G.
En materia de protección de datos, este dispositivo DSSAD o las versiones futuras más avanzadas, pueden tener repercusiones muy severas en materia de protección de datos de carácter personal, ya que los datos de actividad del vehículo pueden ser vinculados a una persona física identificada e identificable, y esos datos pueden incluir excesos de velocidad, salidas de vía, etc, y en algunos casos más extremos pudieran tener severas repercusiones penales, e incluso nos puede indicar la existencia de un accidente grave (p.e. reducción instantánea de la velocidad del vehículo, por ejemplo por un impacto contra un árbol por una salida de vía en una autopista…)
La Dirección General de Tráfico, esta buscando hace tiempo la reducción de la velocidad de los vehículos en la vía como la mejor herramienta para bajar los accidentes graves. La existencia de una “caja negra” en nuestros vehículos puede comportar que las autoridades puedan acceder a nuestra actividad como conductores, siendo nuestro propio vehículo el principal testigo de cargo en el caso de infracción administrativa o penal por exceso de velocidad.
También hay que tener en cuenta, que Internet of Things, o Internet de las cosas (IoT) , puede hacer que el vehículo, la vía , los fabricantes, las autoridades y otros operadores estén interconectados en tiempo real. Es evidente que estas interconexiones comportan un gran volumen de datos, de sumo interés para los diferentes operadores de la movilidad, ya que la aplicación de la Inteligencia Artificial (IA) puede aportar predicciones y prospectivas de sumo interés, tanto para fabricantes, autoridades de control de movilidad, compañías de seguros, etc. como para las autoridades de control del tráfico, tanto locales, autonómicas y estatales.
Sin duda la “caja negra” interconectada mediante IoT, puede ser un elemento de ayuda y soporte tanto en la investigación de accidentes como para el análisis y regulación de la movilidad, pero es evidente que estas acciones de supervisión y control tendrán que ser tamizadas y ajustadas a la normativa de privacidad aplicable en cada momento, especialmente el RGPD y la LOPDGDD.
.Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.