Está en la página 1de 56

Análisis de Riesgos Informáticos

Profesor de la asignatura:
MASTI. Maricarmen García de Ureña

Clase 4
Contenido de la sesión
• Tema 2. Análisis de riesgos legales.

2.1 ¿Cómo estudiar este tema?


2.2 Introducción a la seguridad jurídica y los riesgos legales
2.3 Legislación relevante y reglamentaciones sectoriales
2.4 Riesgos del comercio electrónico. Factura electrónica
2.5 Riesgos en materia de privacidad de datos
2.6 Riesgos de la propiedad intelectual
2.7 Control interno en los sistemas de información

CONTENIDO DEL TEMA 1.


Profesora: Maricarmen García de Ureña
MASTI, CBCP, LA ISO27001, LA BS25999, LA ISO22301
2.1. ¿Cómo estudiar éste tema?

Lo + recomendado:
Lecciones magistrales
– Gestión de riesgos legales. En esta lección magistral, el profesor
Ricardo Rejas indicará cuál es el sentido del proceso de gestión de
riesgos legales aplicado a proyectos TIC
No dejes de leer...
–Manual de outsourcing informático: (análisis y contratación)
–Contratos Electrónicos y la Protección de los Consumidores

Profesora: MASTI. Maricarmen García de Ureña 3


2.1. ¿Cómo estudiar éste tema?
Lo + recomendado:

Webgrafía

–Derecho TIC

–Informática y derecho

–Derecho y nuevas tecnologías

–Agencia Española de Protección de Datos

–DNI Electrónico

–LSSI (Ley de Servicios de la Sociedad de la Información)

–Factura electrónica

Profesora: MASTI. Maricarmen García de Ureña 4


2.1. ¿Cómo estudiar éste tema?

Foro:
1. ¿Es legal que un empresario acceda al correo electrónico
corporativo de un empleado para investigar un delito o fraude
interno? – 15 de enero – 1.25 puntos

Actividad:
1. Gestión de riesgos legales: seguridad jurídica de proyectos
de los programas informáticos. 29 de enero – 2.5 puntos
2. Legislación aplicable a una aplicación de contratación de
seguros por internet e identificación de sus riesgos. 12 de
Febrero – 1.25 puntos

Profesora: MASTI. Maricarmen García de Ureña 5


2.2. Introducción a la Seguridad
Jurídica y los riesgos legales.

Profesora: MASTI. Maricarmen García de Ureña 6


2.2. Introducción a la seguridad jurídica y
los riesgos legales
 Necesidad de regular a las TICs.

 Tecnologías de la Información y las Comunicaciones.

 Era del Conocimiento

 Tercera Revolución Industrial, cimentada en una absoluta y


global dependencia tecnológica.

Profesora: MASTI. Maricarmen García de Ureña 7


2.2. Introducción a la seguridad jurídica y los
riesgos legales

Este nuevo escenario hace que la seguridad jurídica deba situarse


como uno de los elementos claves en la planificación y gestión de los
proyectos, que se debe cubrir bajo una óptica global e integrada de
análisis/gestión de los riesgos legales.

Profesora: MASTI. Maricarmen García de Ureña 8


2.2. Introducción a la seguridad jurídica y los
riesgos legales

Riesgo legal:

Son aquellos riesgos derivados de lo prescrito por la ley o de su conformidad,


como inherentes a conductas o comportamientos contrarios,
desviados o disconformes a esa misma legalidad.

Profesora: MASTI. Maricarmen García de Ureña 9


2.2. Introducción a la seguridad jurídica y los riesgos legales

“El riesgo legal incluye, pero no se limita, a la


potencial exposición a multas, sanciones, o
pago de daños punitivos resultantes de
acciones de supervisión, así como de
arreglos privados”

Comité de Basilea para la Supervisión Bancaria 2006

Profesora: MASTI. Maricarmen García de Ureña 10


2.2. Introducción a la seguridad jurídica y los
riesgos legales
Clasificación:

Se pueden definir dos riesgos legales, directo e indirecto.

•El riesgo legal directo se puede presentar debido a perdidas por


incumplimiento de la legislación sobre contratos financieros o la
imposibilidad de hacer cumplir un contrato de forma legal.

•El riesgo legal indirecto aplica cuando hay cambio de normatividad por
parte de autoridades competentes a nivel local, nacional o internacional.

Nota: El riesgo legal crece conforme a la incertidumbre de las leyes,


normatividad y actos legales aplicables.

Profesora: MASTI. Maricarmen García de Ureña 11


2.2. Introducción a la seguridad jurídica y los
riesgos legales

Entorno del riesgo legal

Procesos
Sistemas
Internos
Riesgo
operacional

Riesgo
Legal

Sucesos
Personas
Externos

Profesora: MASTI. Maricarmen García de Ureña 12


2.2. Introducción a la seguridad jurídica y los
riesgos legales

Importancia del riesgo legal

 El riesgo legal es natural a cualquier actividad económica o


negocio, donde las consecuencias de su no mitigación u
observación puede provocar el cierre o intervención de la
entidad.
 El punto anterior aplica debido a que cualquier transacción o
relación que exista entre empresa y consumidores se realiza
bajo en marco legal, ya sea de carácter interno o estatal.

Profesora: MASTI. Maricarmen García de Ureña 13


2.2. Introducción a la seguridad jurídica y
los riesgos legales

Además, existen otros costes o pérdidas asociadas que pueden agruparse en


las siguientes categorías:

Pérdidas asociadas o daños, pueden agruparse en las siguientes


categorías:

 Costes de litigación

 Costes de oportunidad

 Daño a la imagen corporativa

Profesora: MASTI. Maricarmen García de Ureña 14


2.2. Introducción a la seguridad jurídica y los riesgos
legales

 Carencias de un procedimiento estandarizado

 La administración de riesgos legales actualmente presenta


considerables carencias.

 La administración de riesgos legales adolece, en la actualidad,


de reactividad y falta de proceso estandarizado definido a
priori.

Profesora: MASTI. Maricarmen García de Ureña 15


2.2. Introducción a la seguridad jurídica y los riesgos
legales

Gestión de riesgos legales

Preparación para la gestión de riesgos legales:

La preparación para la gestión de riesgos legales estará


dirigida al desarrollo y mantenimiento de planes cuyo
objeto será eludir o, en su caso, minimizar los riesgos
de carácter legal a los que el proyecto se halle expuesto.

Profesora: MASTI. Maricarmen García de Ureña 16


2.2. Introducción a la seguridad jurídica y
los riesgos legales

Estrategia de gestión de riesgos legales

Selección de opciones estratégicas para tratar riesgos de índole empresarial.

Desechar estrategias reactivas

Optar por estrategias proactivas

Evitar pérdidas, multas, sanciones.

Profesora: MASTI. Maricarmen García de Ureña 17


2.3. Legislación relevante y
reglamentaciones sectoriales
El 17 de mayo de 1999, el contenido del Diario
Oficial de la Federación, incluyó nuevas figuras
jurídicas para prever dentro de su marco jurídico
la figura de “Acceso Ilícito a Sistemas y equipo de
Legislación informática”.
en En dicha fecha, dos clases de público (tecnológico
México: y jurídico) reciben una reforma integral en
materia penal, misma que se orienta
principalmente a dos temas específicos: la
protección de la propiedad intelectual, así como
la protección de los usuarios de la TI.
Profesora: MASTI. Maricarmen García de Ureña 18
2.3. Legislación relevante y
reglamentaciones sectoriales

 Crecimiento de la sociedad de la Información.

Qué  La detección oportuna en la posibles brechas


protege digitales.
la
Legislación  El acceso a la información.
en México:
 El protección en el uso de las tecnologías de la
información.

Profesora: MASTI. Maricarmen García de Ureña 19


2.3. Legislación relevante y
reglamentaciones sectoriales

http://www.diputados.g
Legislación
en México: ob.mx/LeyesBiblio/index.
htm

Profesora: MASTI. Maricarmen García de Ureña 20


2.3. Legislación relevante y
reglamentaciones sectoriales

Profesora: MASTI. Maricarmen García de Ureña 21


2.3. Legislación relevante y
reglamentaciones sectoriales

Otras más específicas:

 Declaración de Principios para el fortalecimiento de


Legislación en México: la ciberseguridad para la estabilidad del sistema
financiero mexicano 

 Estrategia Digital Nacional 

 Estrategia Nacional de Ciberseguridad

Profesora: MASTI. Maricarmen García de Ureña 22


2.3. Legislación relevante y
reglamentaciones sectoriales
¿Existe la figura del delito informático en
México?

¿Qué tipo de sanciones existen?

Legislación
¿A quienes protegen?
en México:
¿Cómo compruebo que fui víctima de un
delito?
Libro delitos informáticos:
Ivone Muñoz
Edit UBIJUS, 2009

Profesora: MASTI. Maricarmen García de Ureña 23


2.3. Legislación relevante y
reglamentaciones sectoriales
Derechos de propiedad intelectual:
•Reconocimiento a los creadores.

•Retribución económica que les corresponde por la realización de


sus obras y prestaciones.

•Protección de sus derechos de autor.

•Propiedad intelectual: Derechos morales y derecho patrimonial


(derechos de explotación y derecho compensatorio).
Profesora: MASTI. Maricarmen García de Ureña 24
2.3. Legislación relevante y
reglamentaciones sectoriales
Ley federal de la propiedad industrial (LFPI)
•Publicada en el Diario Oficial de la Federación el día 27 de Junio de 1991 por el
presidente Carlos Salinas de Gortari.

•Esta ley tiene por objeto principalmente promover y fomentar la actividad inventiva de
aplicación industrial, las mejoras técnicas y la difusión de conocimientos tecnológicos
dentro de los sectores productivos. Proteger la propiedad industrial mediante la
regulación y otorgamiento de patentes de invención; registros de modelos de utilidad,
diseños industriales, marcas, y avisos comerciales; publicación de nombres comerciales;
declaración de protección de denominaciones de origen, y regulación de secretos
industriales.

•El Instituto Mexicano de la Propiedad Industrial, (IMPI), autoridad administrativa en


materia de propiedad industrial, es un organismo descentralizado, con personalidad
jurídica y patrimonio propio,

Profesora: MASTI. Maricarmen García de Ureña 25


2.3. Legislación relevante y
reglamentaciones sectoriales
IMPI,
Ley Federal de Derechos de Autor INDAUTOR
Bases de datos LFDPPP, INAI
Código Penal
Delitos informáticos Federal
Ley de Firma
Legislación Contratos electrónicos Electrónica
en México: Avanzada, SAT
Derecho a la Información LFTAIPG, INAI
Ley Federal de Telecomunicaciones COFETEL

Ley Federal de Competencia Económica COFECO

Profesora: MASTI. Maricarmen García de Ureña 26


2.4. Riesgos del comercio electrónico.
Factura electrónica.
2.4. Riesgos del comercio electrónico.
e-comerce

Originalmente el término se aplicaba a la realización


de transacciones mediante medios electrónicos tales
como el intercambio electónico de datos.

A mediados de la década de 1990 comenzó a


referirse principalmente a la venta de bienes y
servicios a través de Internet, usando como forma de
pago medios electrónicos, tales como las tarjetas de
crédito.

Profesora: MASTI. Maricarmen García de Ureña 28


2.4. Riesgos del comercio electrónico.
e-comerce
•Puede utilizarse en cualquier entorno en el que se
intercambien documentos entre empresas:
– Compras o adquisiciones.
– Finanzas.
– Industria.
– Transporte.
– Salud,
– Legislación y recolección de ingresos o
impuestos.

Profesora: MASTI. Maricarmen García de Ureña 29


2.4. Riesgos del comercio electrónico.
e-comerce
•Creación de canales nuevos de marketing y ventas.
•Acceso interactivo a catálogos de productos, listas de precios y
folletos publicitarios.
•Venta directa e interactiva de productos a los clientes.
•Soporte técnico ininterrumpido, permitiendo que los clientes
encuentren por sí mismos, y fácilmente, respuestas a sus problemas
mediante la obtención de los archivos y programas necesarios para
resolverlos.

Profesora: MASTI. Maricarmen García de Ureña 30


2.4. Riesgos del comercio electrónico.
e-comerce
MARCO JURÍDICO EN MÉXICO

•El ciberconsumidor mexicano está protegido cuando realiza compras


por internet mediante la Ley Federal de Protección al Consumidor.

•LFPC, contiene disposiciones generales sobre comercio electrónico


en su capítulo VIII bis (De los derechos de los consumidores en las
transacciones efectuadas a través del uso de medios electrónicos,
ópticos o de cualquier otra tecnología).

Profesora: MASTI. Maricarmen García de Ureña 31


2.4. Riesgos del comercio electrónico.
e-comerce
LINEAMIENTOS INTERNACIONALES

•La Organización para la Cooperación y el Desarrollo Económicos


(OCDE) desarrolló, en 1999, las Directrices para la Protección de los
Consumidores en el Contexto del Comercio Electrónico.

•Se trata de una serie de recomendaciones encaminadas a lograr que


los proveedores de bienes y servicios a través de internet cumplan con
las disposiciones de las leyes de protección al consumidor. Así se
garantiza que el consumidor reciba adecuados niveles de protección
cuando realiza sus transacciones comerciales por internet.

Profesora: MASTI. Maricarmen García de Ureña 32


2.4. Riesgos del comercio electrónico.
e-comerce
OTROS LINEAMIENTOS EN MÉXICO

Consideraciones antes de realizar transacciones comerciales electrónicas.

Universidad Nacional Autónoma de México


(UNAM/CERT). https://www.seguridad.unam.mx
Asociación Mexicana de Internet (AMIPCI). http://www.amipci.org.mx
Microsoft México. https://www.microsoft.com/es-
xl/MicrosoftFilantropia/navegaprotegidomexico/default.aspx
Comisión Federal de Comercio (FTC) de los Estados Unidos de América.
https://www.ftc.gov/bcp/menus/consumer/tech/online_es.shtm
http://www.alertaenlinea.gov/ https://www.consumidor.ftc.gov/destacado/destacado-
s0038-alerta-en-linea

Profesora: MASTI. Maricarmen García de Ureña 33


2.4. Riesgos del comercio electrónico.
Factura electrónica.

•Es el equivalente digital y evolución lógica de la tradicional factura en papel. A


diferencia de esta, se emplean soportes informáticos para su almacenamiento
en lugar de un soporte físico como es el papel.

•En los países en los que la legislación lo admite, la validez de una factura
electrónica es exactamente la misma que la de la tradicional factura en papel y
gracias a la firma digital que incluye se garantiza su integridad y un alto nivel
de trazabilidad.

•Judicialmente es un documento considerado como vinculante y que no


necesita de mayor prueba o confirmación que su propia existencia.

Profesora: MASTI. Maricarmen García de Ureña 34


2.4. Riesgos del comercio electrónico.
Factura electrónica en otros países.

•España
•Chile
•Colombia
•Ecuador
•Guatemala
•Perú
•República Dominicana
•Costa Rica
•Panamá
•Uruguay
•Argentina

Profesora: MASTI. Maricarmen García de Ureña 35


2.4. Riesgos del comercio electrónico.
Caracterísiticas de una Factura electrónica.

1.Se crea la factura tal y como se ha hecho siempre y se almacena en un


fichero de datos.
2.Posteriormente se procede a su firma con un certificado digital o electrónico
propiedad del emisor que cifra el contenido de factura y añade el sello digital a
la misma.

• Al terminar obtenemos una factura que nos garantiza:

a. que la persona física o jurídica que firmó la factura es quien dice ser
(autenticidad) y
b. que el contenido de la factura no ha sido alterado (integridad).

Profesora: MASTI. Maricarmen García de Ureña 36


2.4. Riesgos del comercio electrónico.
Fintech.

Aglutina aquellas empresas financieras tecnológicas que tratan de


aportar nuevas ideas y que reformulan gracias a las nuevas
tecnologías de la información, las aplicaciones móviles o el big
data, la forma de entender y prestar los servicios financieros.

Ayudan acceder a:

Créditos.
Recursos Financieros.
Inversores externos que
apuestan por el futuro de tu
empresa.
@besair

Profesora: MASTI. Maricarmen García de Ureña 37


2.4. Riesgos del comercio electrónico.
Fintech.

El Fintech ha supuesto toda una revolución a la hora de permitir a las


empresas acceder a la financiación que necesitan. En sus distintas
modalidades:

 Crowdfunding de
recompensas.
 Donativos.
 Peer to Peer
 Equity

@besair

Profesora: MASTI. Maricarmen García de Ureña 38


2.4. Riesgos del comercio electrónico.

Recompensas Donativos Peer to Peer Equity

Se dona dinero para Se dona dinero Se pone en contacto Los inversionistas


apoyar campañas a através de la a inversionistas con pueden obtener
cambio de recibir plataforma de personas que buscan acciones de las
recompensas en campañas altruistas la obtención de algún empresas, lo que les
especie. y reciben un crédito, los permite beneficiarse
beneficio tangible a inversionistas de las futuras
cambio. adquieren un ganancias. Los
instrumento de términos de cada
deuda a través del instrumento de
cual reciben una tasa capital, incluyendo
de interés fija y el las posibles
reembolso de su estrategias de salida,
capital en un plazo varían en función del
determinado. negocio o de la
plataforma utilizada.

Algunos tipos de CrowdFunding


Profesora: MASTI. Maricarmen García de Ureña 39
2.4. Riesgos del comercio electrónico.
¿Qué generó la explosión de las FinTech?

El uso masivo de las redes Algunas cifras:

sociales y de los marketplaces Facebook tiene 1.550 millones de


usuarios mensuales (2016)
han impulsado un rápido
crecimiento de compañías Twitter tiene 320 millones de
usuarios mensuales (2016)
financieras.

– El uso de referencias y reseñas, así como


la creación de comunidades virtuales que
influencian decisiones de clientes
potenciales a gran escala, reducen los
costos de adquisición de clientes por parte
de las FinTech.
Fuente: PWC Global Fintech Report y GS Future of Finance, The Socialization of Finance

Profesora: MASTI. Maricarmen García de Ureña 40


2.4. Riesgos del comercio electrónico.
¿Qué generó la explosión de las FinTech?
Cambiaron las preferencias de los consumidores, quienes exigen:

• Servicios financieros en tiempo real y personalizados (todos


quieren tener tratamiento “VIP”).
• Acceso a servicios a través de canales interconectados
(telefonía móvil, tablets) con acceso permanente.
• Evitar al máximo el uso de las sucursales de los bancos:
61%
de los 544 operadores financieros
encuestados cree que durante los
próximos
5 años

...másde 60% de sus clientes


usarán aplicaciones móviles
Fuente: BOA, Viacom, Accenture, GS Global
investment Research (2016), CAF, Clementina
(mínimo 1 vez al mes) para
Giraldo. acceder a servicios financieros.

Profesora: MASTI. Maricarmen García de Ureña 41


2.4. Riesgos del comercio electrónico.

El comportamiento de
los millenials como
agentes de cambio.
Fuente: BOA, Viacom, Accenture, GS Global investment Research (2016), CAF, Clementina Giraldo

Millennials: Generación que nació entre 1980 y 2000. Traen cambios radicales en el
comportamiento y las expectativas. Sus preferencias se inclinan por una experiencia
técnica con mayor velocidad y comodidad. Esto acelerará aún más la adopción de
soluciones FinTech.
Profesora: MASTI. Maricarmen García de Ureña 42
2.4. Riesgos del comercio electrónico.

Aún hay mucho por explotar en conjunto con la tecnología


blockchain que permitirá operaciones financieras más rápidas y
eficientes, con costes de procedimiento muy inferiores hasta ahora
no vistos.

@besair

Profesora: MASTI. Maricarmen García de Ureña 43


2.4. Riesgos del comercio electrónico.
 Explotación del Riesgo:

 Hasta ahora para los bancos, las Fintech no son una


molestia.
 Los bancos no cuentan con una estructura de Fintech,
ellos tienen costos de operación muy elevados.

Los aplicativos y
dispositivos desde su
creación no se diseñan
para ser seguros.
@besair

Profesora: MASTI. Maricarmen García de Ureña 44


2.4. Riesgos del comercio electrónico.
Hay asuntos de seguridad que no son cubiertos por las
buenas prácticas actuales de protección de información,
protección de Internet, protección de red y protección de
TIC, puesto que existen brechas entre estos dominios así
como una falta de comunicación entre las organizaciones y
los proveedores en el Ciberespacio.

Profesora: MASTI. Maricarmen García de Ureña 45


2.4. Riesgos del comercio electrónico.

Riesgo de Lavado.

En México “Las actividades vulnerables de lavado en el país si están


reguladas”

La delincuencia cibernética opta por lavar dinero en el mercado libre donde


no hay una regulación clara, y ese mercado libre ofrece la oportunidad
que es da el fintech y el crowdfunding”.

@besair

Profesora: MASTI. Maricarmen García de Ureña 46


2.4. Riesgos del comercio electrónico.
Riesgo de Lavado.

”En México al año el lavado de


dinero representa entre 15,000
millones y 50,000 millones de “En México, las mayoría de las
dólares que se blanquean plataformas digitales de
principalmente por el sistema Fintech, hasta el momento
financiero y otras actividades no tienen una supervisión
como las operaciones de madurez, por lo que el
inmobiliarias y las realizadas lavado de dinero puede
en centros cambiarios”. darse en estos
mecanismos”.

@besair

Profesora: MASTI. Maricarmen García de Ureña 47


2.4. Riesgos del comercio electrónico.

Contramedidas del Riesgo de Lavado en


México:

Beneficios fiscales para los usuarios de estas


plataformas, “ya sea que éstas emitan
comprobantes de retención o pre paguen por
el propio prestamista algunos impuestos para
financiar proyectos de crowdfunding”.
@besair

Profesora: MASTI. Maricarmen García de Ureña 48


2.4. Riesgos del comercio electrónico.
 Control:

Profesora: MASTI. Maricarmen García de Ureña 49


2.4. Riesgos del comercio electrónico.
• Controles:

 Reino Unido: El equity crowdfunding y el de


• Contramedidas del préstamos están regulados; muchas
plataformas opinan que esto sólo limita el
Riesgo de Lavado alcance de estas herramientas. La limitación
es de un máximo de 10% de la renta de una
en el resto del persona.
 En España: Regula las plataformas
mundo. crowdfunding, equity y de préstamos, en la
Ley de Fomento de la Financiación
Empresarial.
 Italia: Regular las plataformas crowdfunding;
las plataformas deben ser autorizadas por la
 Reino Unido Consob.
 España  En Francia: Se creó un registro oficial
específico y, dependiendo del tipo de
 Italia crowdfunding, se limita a los inversionistas y/o
emisores.
 Francia  Estados Unidos: Entró en vigor el título II de
 Estados Unidos la Jobs, que permitía a las startups anunciar
públicamente emisiones de capital a través de
plataformas online.

Profesora: MASTI. Maricarmen García de Ureña 50


Actividad 3.
Actividad 3.

• Eres el director de seguridad de la información en una empresa de


mantenimiento de computadoras para grandes corporativos, como
parte del servicio te llevas las máquinas a tus instalaciones para
dar soporte o cambiarlas, generas respaldos de información en
diversos medios y cambias equipo obsoleto por nuevo.

• Identifica los riesgos en temas de seguridad de la información,


privacidad y propiedad intelectual que pueden llegar a suceder,
pues tus clientes no eliminan la información no necesaria y te
hacen llegar sus equipos de diversas áreas con todo tipo de
documentos.

• Crea un sistema de gestión de riesgos enfocado a su


identificación y atención.

Profesora: MASTI. Maricarmen García de Ureña 52


¿Preguntas?

UNIR México
GRACIAS
Maricarmen García de Ureña
MASTI, LA ISO27001, LA BS25999, LA ISO22301

mariadelcarmen.garcia@unir.net

@besair

UNIR México
Descargo de Responsabilidad

Las declaraciones del


profesor pueden
representar sus propias
opiniones y/o
interpretaciones.

Profesora: MASTI. Maricarmen García de Ureña 55


Profesora: Maricarmen García de Ureña
MASTI, CBCP, LA ISO27001, LA BS25999, LA ISO22301

UNIR México
Extremadura No. 8
Col Insurgentes Mixcoac, Deleg. Benito Juárez
Tels. +52 (55) 6395 1016 y 3683 3800
Mexico.unir.net
www.unir.net

www.unir.net