CidesCides

By beatriz balmaceda

La Auditoría Operativa de Proyectos y Procesos – Un Abordaje Integrador

La Auditoría Operativa de Proyectos y Procesos – Un Abordaje Integrador

La primera consideración es que, en principio, toda organización, pública o privada, es concebida inicialmente como un proyecto, el cual se debe administrar de acuerdo con ciertos criterios de buena práctica, pero, así como un inicio definido, debe tener una finalización.

Si el proyecto resulta exitoso, puede dar lugar al establecimiento de una empresa o institución, según sea el caso. La cual, a diferencia del proyecto, no necesariamente tiene una fecha preestablecida de finalización. Sin embargo, debería ser la prolongación en el tiempo del proyecto, cobrando vida propia, pero en armonía con los propósitos de los fundadores.

Esa continuidad entre el proyecto y la organización que de él deviene es una parte importante del Gobierno Corporativo, y, como tal, debería ser enfocada por la Auditoría Interna de la nueva organización. Desafortunadamente, al ser el proyecto y su organización derivada entes diferentes, también suelen tener auditorías operativas o internas diferentes, lo cual no contribuye a esta continuidad.

Toda organización, pública o privada, se inicia como un proyecto

Comencemos por el inicio: ¿qué es un proyecto? El diccionario de la Real Academia Española, en su tercera acepción, define proyecto como el “Designio o pensamiento de ejecutar algo”. Sumamente amplio, pero de todas maneras útil a nuestro propósito.

Pensemos en el caso más extremo: un país. En algún momento, un grupo de personas se identifica como una nación, perciben que tienen una cultura y el deseo de vivir en comunidad y deciden establecer un nuevo Estado. Como eso puede implicar independizarse o producir una secesión, tienen que establecer un proyecto de cómo llevar a cabo su propósito.

 En otras circunstancias no tan simpáticas, es un Estado ya existente y normalmente poderoso el que decide dar origen a un nuevo país para responder a sus propios intereses geopolíticos. Son los llamados ¨Estados tapón¨.

En cualquier caso, un nuevo Estado nace de la voluntad de un grupo de personas que se propone establecerlo, planificando y ejecutando las acciones necesarias para llevar a cabo su proyecto.

Así también nacen las organizaciones públicas, ya sean las centralizadas como las descentralizadas. Establecer un Poder Judicial, por caso, requiere proyectar en el inicio cómo se estructurará, cuantos integrantes tendrá, qué tipo de sistema se usará en los procesos judiciales, etc.

Establecer una empresa comercial, pública o privada, requiere determinar cuál será su propósito (misión), su proyección a futuro (visión) y los valores éticos y morales con los que se regirá. Algo más prosaico: cómo se fondeará inicialmente la nueva organización, cuales serán sus estructuras de gobierno/operativas y cómo operará y se sustentará a lo largo del tiempo. ­

Conceptualmente, los procesos de una organización son (o deberían ser) la continuidad en el tiempo de lo que previamente fue un proyecto

Cuando la organización se establece, comienza a desarrollar actividades, en procura de lograr sus objetivos. Advierte también que enfrenta riesgos, para mitigar los cuales establece controles. Para lograr que sus actividades y controles se realicen en un contexto eficiente, asigna las actividades a personas, y les instruye sobre la forma en que deben llevarse a cabo. Lamentablemente, es posible que en cierto momento los procesos se conviertan en fines en sí mismos y no en medios para que la organización logre sus propósitos. De modo que podemos visualizar tres instancias de madurez en cuanto a organizaciones y sus procesos:

  1. Impredecible. En una primera instancia, las tareas (actividades y controles) dependen más de quien las realiza y del azar, que de una evaluación rigurosa. Es típicamente el caso en que los clientes, si piden fiado al negocio del barrio por la mañana se obtienen la cerrada negativa de uno de los hermanos que atiende en ese horario, pero si regresan por la tarde se encuentran con una amable sonrisa del otro hermano y el otorgamiento del crédito solicitado.
  2. Estabilización. Seguidamente, la organización logra estabilizarse y evitar que sus tareas resulten impredecibles como anteriormente. Se logra esto a través de capacitación del personal, establecimiento de estructuras operativas y de control y documentación de procedimientos
  3. Parálisis burocrática. Lamentablemente, en cierto momento, los procesos dejan de servir a los fines de la organización y se orientan a servir otros propósitos:
    1. Por la puja entre áreas o departamentos que operan procesos para su propio beneficio y no cooperan entre sí.
    2. Por la proliferación de tareas de control que se establecen para mitigar la anarquía derivada de lo anterior pero que agobian a la operación con requerimientos excesivos de información y recomendaciones disfuncionales.

Los auditores internos auditan menos proyectos de los que debieran

Aquí hay varias consideraciones, tanto respecto del deber ser como de lo que en realidad es. En primer lugar, la auditoría interna u operativa, como auxiliar de la dirección de la empresa, debería contribuir a asegurar que el proyecto empresarial se plasme en una operación estable cuanto antes. PARA ESO SE REQUERIRÍA QUE LA ORGANIZACIÓN CUENTE CON AUDITORÍA INTERNA DESDE SU INICIO, INCLUSO EN LA ETAPA EN QUE LA ORGANIZACIÓN ES TODAVÍA UN PROYECTO. Infortunadamente, no suele ser el caso, porque en sus inicios las organizaciones son generalmente demasiado pequeñas como para contar con una función de auditoría interna.

En segundo término, para lograr el propósito anterior, el auditor interno debería contar con un bagaje de conocimientos que le permitieran evaluar, tanto proyectos desde su etapa temprana, como el diseño de procesos. Asociado a esto, la función debería tener un peso en la organización como para enfrentar exitosamente los intereses de los gerentes más poderosos cuando éstos procuran orientar la operación hacia sus propias preferencias e intereses y no hacia las metas corporativas.

Ulteriormente, la auditoría de proyectos requiere que la metodología misma de formulación de proyectos incluya el involucramiento de auditoría interna en etapas precisas del mismo, bajo una modalidad de “parar o seguir”, en la cual la auditoría interna provea evaluación y recomendaciones en momentos del proyecto claramente identificados, sin comprometer su independencia mezclándose en decisiones gerenciales, y sin entorpecer la gestión con objeciones prematuras.

Por último, al auditar procesos, la auditoría interna debe tener permanentemente en mente dos aspectos:

  1. Que todo proceso tiene sus propios objetivos y riesgos asociados, pero que lo relevante es que la gestión del proceso añada valor a los objetivos y riesgos de la organización y no se subordine a los intereses y preferencias de las áreas integrantes de la misma
  2. Que optimizar la gestión no necesariamente implica minimizar los riesgos, sino adecuarlos al apetito o tolerancia al riesgo establecido por la organización. Por caso, para un Banco puede ser necesario aceptar un grado mayor de morosidad e incobrabilidad en su cartera de créditos, en aras de alcanzar un incremento de operaciones que permita alcanzar una mayor rentabilidad final

CONCLUSIONES

Integrar la transición de las organizaciones desde su formulación original como proyecto hacia una temprana gestión por procesos eficientes, es un imperativo que puede ser la diferencia entre la supervivencia o el fracaso.

La auditoría interna puede constituirse en una herramienta valiosa en este propósito, siempre que:

  • El equipo de auditoría interna, y especialmente su conductor/a se integre con profesionales debidamente formados en la gestión de la actividad de que se trate
  • Se involucre a la auditoría interna desde las etapas más tempranas de la organización, cuando esta es todavía un proyecto que puede ser ajustado y corregido
  • La metodología de gestión de proyectos ulteriores incorpore a la auditoría interna preservando su independencia y protegiendo a la gerencia de interferencias indebidas en la toma de decisiones

Por: Guillermo Casal, relator de CIDES Corpotraining
En relación al curso online: Auditoría Operativa de Proyectos y Procesos

Control Interno de Valor Añadido: Los Modelos COSO Basados en Principios

By beatriz balmaceda

Control Interno de Valor Añadido: Los Modelos COSO Basados en Principios

Control Interno de Valor Añadido:  Los Modelos COSO Basados en Principios

Durante mucho tiempo, décadas, definir un marco de control interno que resultara operativo para gestores, inversores y auditores (externos e internos), pareció una meta inalcanzable, porque cada uno de estos grupos tiene diferentes responsabilidades e intereses.

Sin embargo, y a raíz de la quiebra fraudulenta del BCCI (Bank of Credit and Commerce International), salió a la luz el informe COSO- Committee of Sponsoring Organizations de 1992, patrocinado por cinco instituciones relacionadas con estos diferentes grupos de interés:

  • La AAA – American Accounting Association
  • El AICPA – American Institute of Certified Public Accountants
  • La FEI – Financial Executives International
  • El IMA – Association of Accountants and Financial Professionals in Business
  • El IIA – Institute of Internal Auditors

El marco COSO de control interno resultó operativo para todos estos grupos, y a la vez, original por la incorporación de dos conceptos en aquellos entonces muy novedosos para ser incorporados en una definición de control interno:

  • El componente de ambiente de control, relacionado principalmente con el factor humano de las organizaciones:  ética y gestión del desempeño
  • El agregado del componente de gestión de riesgos como parte formal del control interno. Todas las organizaciones gestionaron riesgos desde siempre, pero hasta ese momento esa labor no se consideraba parte del control interno, y mucho menos se subordinaban los controles a una adecuada gestión de riesgos.

Con el transcurrir del tiempo, se produjo que la enunciación del marco COSO resultó demasiado general para ciertas organizaciones, y entonces se elaboró el modelo COSO– ERM (Enterprise Risk Management), lo cual derivó en un nuevo inconveniente: el componente de control interno resultó detalladamente formulado, pero los restantes no.

Surgen así los modelos COSO 2013 y COSO 2017, en los cuales se desagregan los cinco componentes originales en varios principios de aplicación para cada componente y, aún más pormenorizadamente, en puntos de interés específicos para cada principio.

Se logra así una enunciación del control interno en tres niveles de detalle, que permiten mantener una visión del “bosque”, al tiempo que incursiona, tan específicamente como cada uno lo necesite, en la descripción del “árbol”, que implica la implementación de cada componente del control interno.

Estos últimos dos modelos se diferencian entre sí por otro aspecto que ha cobrado creciente relevancia en los últimos tiempos: el impacto del riesgo estratégico, entendiendo a éste como el que surge de fuentes externas a la organización, por oposición al riesgo operacional, enteramente operable dentro de la empresa.

En conclusión: conocer y aplicar los marcos de control interno COSO 2013 y 2017 es imprescindible para gestionar y auditar con un enfoque moderno y que permita, tanto la mejora continua de la organización como el agregar valor desde la auditoría operativa.

Discernir si el modelo COSO 2017, más avanzado y gerencial, pero que requiere del establecimiento previo de un sólido gobierno corporativo y cultura organizacional es el aplicable para su organización, o si el ya sólido marco COSO 2013 es el adecuado, es el desafío de estos tiempos.

Por: Guillermo Casal, relator de CIDES Corpotraining
En relación al Curso Online: Implementación de Control Interno basado en COSO orientado a principios (2013 y 2017)

By beatriz balmaceda

Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo

Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo

Introducción

El proceso de compras y adquisiciones es “la gran bestia” para las organizaciones del sector público y privado, porque siempre está bajo sospecha de corrupción. De acuerdo con el CSIS- Center for International and Strategic Studies, el costo de la corrupción, de la cual los esquemas fraudulentos de Compras y Contrataciones son el componente central, excede globalmente del BILLÓN de dólares anual.

En este artículo analizaremos brevemente las razones para esta situación, y el mejor abordaje para resolver el problema.

Los fraudes fuera de libros

Un primer problema que se presenta es que los fraudes relacionados con compras y adquisiciones son, inherentemente, fuera de libros. Precisemos el concepto.

Una sustracción de bienes es un “fraude en libros”, porque al sustraer un bien incorporado en los registros contables de la empresa, el faltante surgirá por comparación entre tenencias físicas y contabilidad, al realizar un conteo de las existencias. Esto es de práctica en las auditorías externas, de modo que, a menos que se amañen los libros, el fraude será detectado en un lapso relativamente breve.

Si se opta por la posibilidad de adulterar la contabilidad, esto constituye un nuevo fraude en libros, y una nueva forma en que el fraude de la sustracción puede ser descubierto.

Por el contrario, si un proveedor hace un pago indebido a un comprador u otro representante de la empresa adquirente para ser favorecido con la adjudicación de una compra, esta transacción no se registrará en la contabilidad de la empresa compradora, sino solamente en la de quien realice el pago impropio. Normalmente, sucederá que dicho proveedor intentará recuperar el pago realizado por vía de facturar un precio mayor al correspondiente, o entregando un bien o servicio de calidad menor a la requerida y pactada. En este último caso, es cuando más difícil se torna la detección, porque los sobreprecios pueden descubrirse confrontando precios de adquisición con los de mercado.

Un abordaje integral

La ACFE, Association of Certified Fraud Examiners, recomienda mitigar el impacto de cualquier fraude por vía de acciones orientadas a:

  • La prevención
  • La disuasión
  • La detección

Veamos entonces cómo aplicar estos conceptos al caso del fraude en compras y contrataciones

El programa antifraude integral

Los cuatro pilares de un programa antifraude organizacional reducen el riesgo de todo tipo de fraudes, entre ellos el de compras y contrataciones. Estos pilares son:

  • La promoción y divulgación de un Código de Ética o Conducta
  • La existencia de un sistema de denuncias (línea ética)
  • El monitoreo de transacciones
  • El establecimiento de procedimientos de investigación y sanción de conductas fraudulentas

Analicemos la aplicación específica de cada uno de estos elementos para reducir el riesgo de fraude en compras y contrataciones

La promoción y divulgación de un Código de Ética o Conducta

Es especialmente útil para desalentar la incursión inicial en conductas inapropiadas que luego pueden derivar en acciones decididamente fraudulentas como la recepción de sobornos. Tales conductas son, típicamente:

  • Los conflictos de intereses. Cuando alguien debe comprar y contratar con un tercero, y tiene intereses en común con ese tercero, está en conflicto de intereses. En primer lugar, quienes deban comprar deben evitar incurrir en tales conflictos, y cuando lo estuvieran, reportarlo a sus superiores para que ellos decidan si les asignarán o no la transacción. Un conflicto de intereses podría ser que un comprador debiera considerar una oferta de una empresa en la cual trabaja su esposa. Adicionalmente, un proveedor podría ofrecer empleo al hijo de un comprador/a GENERANDO INTENCIONALMENTE un conflicto de intereses que el comprador/a debe evitar
  • Los beneficios indebidos. Tales como obsequios costosos, u ofertas de bienes a valor menor que el de mercado. Con cortesía, deben rechazarse

La existencia de un sistema de denuncias (línea ética)

Son el mecanismo por el cual se descubre casi la mitad de los fraudes…… ¿Y por qué esto es así?

Porque ni auditores ni supervisores están en la mejor posición para detectar fraudes, y menos cuando éstos son fuera de libros.

En el caso del fraude en compras y contrataciones, quienes están en mejor posición para conocerlos y denunciarlos son:

  • Los proveedores perjudicados por una licitación amañada
  • Los compañeros de labores del corrupto/a. De los cuales este/a no se cuidará con el mismo celo que seguramente lo hará respecto de sus superiores/auditores

El monitoreo de operaciones

Que podríamos dividir en dos categorías:

  • Indicadores “duros”, y éstos a su vez en indirectos y directos
  • Indicadores “blandos”

Indicadores duros indirectos son una evolución de gastos y/o patrimonial apartada de las posibilidades financieras del individuo, en virtud de su salario e ingresos declarados.

Los indicadores duros directos se relacionan con los momentos de vulnerabilidad del proceso de compras y contrataciones:

  • El alta en registro de proveedores. Por caso, exclusión de proveedores calificados e inclusión de proveedores no calificados
  • Los llamados a licitación. Proveedores nunca convocados para ofertar o que nunca ofertan
  • Las adjudicaciones. Adjudicaciones a proveedores que no ofrecen ni la mejor calidad ni el mejor precio
  • Recepción de bienes o servicios sin objeciones pero que luego resultan defectuosos
  • Demoras en los pagos a ciertos proveedores y pago exprés a otros

Los indicadores blandos corresponden a situaciones y comportamientos que pueden indicar que un individuo está bajo gran presión o necesitado/a de dinero:

  • Endeudamiento excesivo
  • Conflictos familiares como divorcios o relaciones sentimentales paralelas
  • Enfermedades propias o de su núcleo familiar
  • Adicciones
  • Irritabilidad
  • Ausentismo excesivo y/o injustificado

El establecimiento de procedimientos de investigación y sanción de conductas fraudulentas

La investigación de fraudes es un proceso costoso y ríspido. En una investigación de presuntos fraudes fuera de libros, se requiere de una labor profesional que examine no solamente transacciones sino circunstancias externas a la organización, tales como reuniones, vínculos entre individuos, evolución patrimonial no declarada, etc.

En consecuencia, no basta con la mera denuncia para iniciar una investigación, sino que debe definirse un procedimiento que indique cuando se considera que una presunción de fraude es verosímil y debe investigarse.

Lo cual debe ser decidido al más alto nivel de la organización, por el Directorio o un subgrupo de este, como el Comité de Auditoría. El cual debe ser también el que reciba el informe de investigación y decida las acciones correspondientes

CONCLUSIÓN

Establecer un contexto en el cual se reduzca el riesgo de fraude en compras y contrataciones requiere de acciones específicas relacionadas con:

  • El establecimiento de un programa antifraude en la organización
  • Un monitoreo específico de las operaciones de compras y contrataciones apuntado a las instancias de vulnerabilidad a corrupción
  • Un redireccionamiento de la auditoría interna para evaluar el debido funcionamiento del programa antifraude y el monitoreo, e intervenciones específicas para asesorar al Directorio o Comité de Ética en la decisión sobre emprender o no una investigación de fraude

Por: Guillermo Casal, facilitador de CIDES Corpotraining y en relación al curso: Prevención y Detección de Fraudes e Irregularidades en Compras y Contrataciones.

Ataques a sistemas industriales

By beatriz balmaceda

No lo duden: hay ataques a los sistemas industriales

No lo duden: hay ataques a los sistemas industriales

La seguridad de los sistemas industriales no está exenta de riesgos y de ataques por parte de ciberdelincuentes. Pensar lo contrario es un error que puede costar muy caro. Y por ello hay que ser prevenido y contar con las medidas de ciberseguridad industrial.

Si hacemos un poco de historia, debemos hablar del conjunto de normas ISA99 que se empezaron a desarrollar a principios del siglo XX. En realidad se trataba de un conjunto de documentos que desarrolló la International Society of Automation (ISA), una entidad surgida en Estados Unidos y conformada por ingenieros, comerciantes, estudiantes y técnicos. Gracias a ellos se crearon unos estándares de automatización que en conjunto dieron lugar a las normas antes mencionadas.

Tras la ISA99b se pasó a la nomenclatura de la Comisión Electrotécnica Internacional (IEC), hasta llegar a la IEC62443 ya en este siglo.

Esta automatización no es más que el primer nivel del ISA99, en el que los PLCs (máquinas simples que realizan un programa cíclicamente) toman el protagonismo.

El sistema funcionaba bien, porque se basaba en claves que constituían una barrera física.

Pero en la actualidad hay múltiples elementos de sensorización, detección, posicionamiento, etc. que funcionan basándose en conectividad inalámbrica, ya sea WiFi, Bluetooth, o NFC (Near-Field Communication).

Por supuesto, ofrecen grandes ventajas técnicas, pero a su vez abren una gran puerta hacia los sistemas y comunicaciones que cualquiera puede atravesar.

Además, estos sistemas no tienen ningún tipo de configuración de ciberseguridad, llegando a usar softwares y apps de otras empresas para su configuración.

La conclusión de todo esto es que estamos abiertos a una intrusión no controlada, que puede causar daños muy importantes en nuestros sistemas de control industrial. El daño puede llegar, incluso, a la parte física de la infraestructura.

¿Hay solución?

Por supuesto que sí. Hay que confiar en una empresa especializada en ciberseguridad industrial. Pero hay cosas que podemos hacer directamente. Así, por ejemplo, hay que ser conscientes del tipo de dispositivos que vamos a instalar y establecer credenciales potentes, evitando el acceso no controlado a nuestros sistemas. No debemos olvidar que la infraestructura es como una pirámide que afecta verticalmente al resto del sistema.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que tiene una importante rama de especialización en ciberseguridad industrial OT. Está en posesión de la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial de España, entidad de referencia del sector. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad Industrial: Auditorías en Sistemas de Control Industrial.

Ciberseguridad en la industria

By beatriz balmaceda

¿Por qué se descuida la ciberseguridad en la industria?

¿Por qué se descuida la ciberseguridad en la industria?

Poco a poco la ciberseguridad va ocupando su lugar en los sistemas informáticos de las empresas, despachos profesionales, consultorios y centros médicos, etc. La necesaria protección de datos es un tema que ya está sobre la mesa y las autoridades han redactado leyes específicas para garantizar la protección de los datos de clientes, proveedores, trabajadores y cualquier persona que contacte con quien tenga sus datos.

Pero en este aumento de la sensibilidad cibersegura, hay una mancha: los sistemas industriales. No es nada comprensible si tenemos en cuenta que estos sistemas son la base de las principales infraestructuras. Entonces, ¿por qué se ha dejado de lado?

No hay un motivo único y claro, pero sí varios aspectos importantes, que podemos mencionar:

  • La vida media de los aparatos industriales es mucho mayor que la de cualquier sistema informático, llegando a ser de 30 o 40 años.
  • Por este mismo motivo, a menudo no se han implantado actualizaciones de seguridad ni del propio software.
  • Poco conocimiento de que estos sistemas están conectados a internet y por lo tanto son factibles de recibir ataques de ciberdelincuentes.
  • Los responsables de los aparatos industriales no poseen la formación necesaria en temas de ciberseguridad.

¿Qué podemos hacer?

Naturalmente lo primordial sería contratar los servicios de una empresa de ciberseguridad con certificación industrial.

Pero hay cosas que podemos implantar y tener en cuenta cuando instalamos nuevos elementos en los sistemas industriales.

  • El cortafuegos (firewall). Es muy importante, porque es la primera línea de defensa OT. Sin embargo, las medidas de seguridad deben ser divididas y deben estar dimensionadas según la red de OT que tengamos.
  • El fabricante del firewall suele habilitar varios tipos de interfaces, lo que aumenta de forma considerable la superficie de exposición.
  • Al configurar los firewalls, deben cumplirse unas reglas determinadas para proteger nuestros dispositivos. A menudo este posicionamiento es incorrecto. Además, estas reglas deben actualizarse y revisarse de vez en cuando.
  • Sería conveniente eliminar las reglas que dan acceso OT para las direcciones IP que han usado los trabajadores que han dejado ya la empresa o que han cambiado su lugar de trabajo en la propia empresa.
  • Hay que acordarse de las conexiones remotas que puedan usar otras empresas para tareas de telemantenimiento, ya que normalmente usan software estándar o lo hacen a través de app que deben ser monitorizadas.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que tiene una importante rama de especialización en ciberseguridad industrial OT. Está en posesión de la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial de España, entidad de referencia del sector. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad Industrial: Auditorías en Sistemas de Control Industrial.

Forense informático

By beatriz balmaceda

¿Qué es un forense informático y cuál es su función?

¿Qué es un forense informático y cuál es su función?

Hay palabras que nos resultan muy familiares, aunque no las usemos en nuestro lenguaje diario. Un ejemplo de ello podría ser la palabra forense, que a fuerza de escucharla en películas y series criminales la hemos incorporado sin problemas a nuestro lenguaje. Pero en realidad, ¿qué es un forense? Lo primero que nos viene a la cabeza es el trabajo del médico forense. Pero el término va mucho más allá, porque etimológicamente proviene del latín forum, o sea foro, uno de los principales lugares de las ciudades romanas y donde se celebraban los juicios. Así que la palabra forense se relaciona con todo lo que tiene que ver con el mundo de la justicia. Por ello ha pasado a formar parte de numerosas especialidades, como la antropología forense, la balística forense, la acústica forense, la psicología forense o la informática forense, que es la que nos ocupa hoy.

Según la ciencia forense “cualquier acción deja un rastro”. Esta afirmación válida hasta nuestros días en el ámbito de la ciencia forense médica también puede aplicarse directamente a la informática forense.

¿En qué consiste la informática forense?

Tras un ataque de un ciberdelincuente, un incidente de seguridad, fuga de datos, ramsonware, o cualquier otro incidente en un entorno empresarial, se requiere de técnicos cualificados y formados para afrontar el gran problema en el que se ve inmersa la compañía afectada.

La imposibilidad de acceder a los datos una vez cifrados, o que estos datos se vean expuestos a internet, puede provocar un grave perjuicio a las empresas, ya sea de tipo económico, o de tipo reputacional, que a menudo pueden llegar a ser más dañinos que los económicos.

Y aquí es donde entran en juego los forenses informáticos, técnicos certificados capaces de ir a buscar el inicio del problema o del ataque sufrido. Porque un incidente forense debe iniciarse de una forma totalmente profesional desde sus inicios, ya sea para averiguar lo que pasó, recolectar y salvaguardar las evidencias de forma correcta, como para generar un posterior informe con la total validez para su presentación en un juzgado.

Un profesional preparado para ello será capaz de recoger las evidencias de una forma totalmente correcta sin alterarlas, preservando en todo momento el orden de volatilidad establecido en los diferentes marcos de actuación y normativas aplicables en cada caso concreto.

Una vez finalizada la recolección de evidencias, el forense procede a realizar un pormenorizado análisis, con el objetivo de encontrar e identificar el vector de entrada o fuga de datos. Es en este momento que la figura del forense informático cobra mayor importancia, porque es aquí donde un profesional formado y experimentado se distingue del resto.

Como en el caso del médico forense que realiza una autopsia a un cadáver, su informe tiene total validez jurídica, lo que es muy importante para las empresas que han denunciado el ataque y perseguido a los ciberdelincuentes.

Resumiendo, el forense informático descubre y desvela la verdad de lo que ha acontecido.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva. Entre ellos se encuentran las auditorías de seguridad y el análisis forense y la pericia judicial.  www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su Curso: Forense Informático

Hacker etico

By beatriz balmaceda

¿Pero qué demonios significa que un hacker es ético?

¿Pero qué demonios significa que un hacker es ético?

¿De verdad existe eso? ¿No son dos palabras antagónicas? La respuesta es muy clara: no, no lo son. Para explicarlo es necesario hacer un poco de historia informático-gramatical, porque estamos ante una de esas palabras que nos llegan del lenguaje informático donde predomina el inglés. Pero también porque eso mismo dificulta el entendimiento en nuestro idioma. Debemos añadir el uso generalizado de este tipo de palabras por los medios y todo esto metido en una batidora da unos resultados equívocos que cuestan revertir.

Un hacker no es un pirata informático

Durante mucho tiempo los principales diccionarios definían a un hacker como “pirata informático” y a su vez a pirata informático como “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”.

Poco a poco y no sin esfuerzo, se ha conseguido cambiar la definición de hacker al tiempo que se ha incorporado una nueva palabra: cracker. En la actualidad, los principales diccionarios de inglés y algunos de español (incluido el Diccionario de la Real Academia Española) definen al hacker como “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.”

La palabra cracker se aplica a las personas que además de entrar en sistemas ajenos, lo hace con fines delictivos, es un pirata informático o un ciberdelincuente.

Hacker ético

Así pues un hacker es alguien que busca conocimiento, probarse día a día, compartirlo, y demostrar dónde ha llegado, por ejemplo, mostrándole a una empresa dónde tiene vulnerabilidades en sus sistemas para que le pongan solución.

Si lo hace para beneficio propio, secuestrando datos, haciendo que una empresa no pueda trabajar, o en definitiva buscando un lucro económico, es un ciberdelincuente.

Si lo que hace es vulnerar un software o hardware, para copiarlo y revenderlo por su cuenta, es un cracker.

El hacker ético, ya lo habrán deducido, es la persona que analiza los sistemas y softwares informáticos para encontrar posibles vulnerabilidades y, por supuesto, sus posibles soluciones. Y eso lo hace a través de una especialización técnica y del conocimiento compartido.

Para terminar, unas curiosidades, para que vean lo que cuesta cambiar algunas cosas: la nueva definición de hacker de la Real Academia Española (RAE), la que hemos apuntado en los párrafos anteriores, es sólo la segunda acepción del diccionario de la RAE, que mantiene como pirata informático la primera. Más curioso aún es que acepta la forma adaptada al español y escribe jáquer y sus derivados jaqueo y jaquear. Y si mantienen la voz inglesa, en un texto en español, deben escribirla en cursiva.

Así que ya saben: ¡sean ustedes jáqueres éticos! 

Por:
TECNOideas2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva, que incluye auditorías de seguridad informática e industrial, servicio de CISO externo y SOC/SIEM 24/7, análisis forense y pericia judicial, normativas/compliance (ISO 27001) y formación, tanto a nivel de seguridad para empleados y directivos de empresas en general, como una formación específica más técnica para personal de tecnologías de la información. Y por supuesto, ¡somos éticos! .  www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su Curso: Iniciación al Hacking Ético

Ciberseguridad en el teletrabajo

By beatriz balmaceda

Teletrabajo, inseguro por definición

Teletrabajo, inseguro por definición

La pandemia de la COVID-19 ha cambiado nuestra vida. En casi todos los aspectos. Y también en el laboral. Poco nos podíamos imaginar que llegaría un día en que trabajaríamos en casa. Con todo lo que ello supone de horarios, compartir trabajo con la atención a los niños y niñas, encontrar un lugar adecuado para poder trabajar, compartir con ellos el ordenador familiar, quizá incluso compartir contraseñas… y por supuesto, tener una muy buena conexión a internet.

Esto sí que ha representado un grave problema: ¿una buena conexión? Compartida con un televisor, un juego de vídeo, una consola, la necesidad de que los escolares se conecten con el centro escolar, con el mismo ordenador… ¡y todo ello con el mismo rúter!, que además no habrá sido configurado especialmente para teletrabajar.

¿Dónde queda la seguridad de los documentos empresariales?

El trabajar desde casa tiene muchos riesgos de seguridad. Y las empresas han priorizado que sus trabajadores puedan teleacceder a los sistemas y documentos de la empresa antes que procurarles un sistema de conexión con un mínimo de seguridad.  El resultado es que teletrabajamos al mismo tiempo que abrimos una inmensa puerta a los ciberdelincuentes.

Cuando los empleados de una empresa iban todos a la oficina, la compañía tenía bastante controlado el perímetro de seguridad de sus infraestructuras. Pero con el teletrabajo el perímetro se ha expandido por todos los hogares de los trabajadores.

Toda precaución es poca

No debemos conformarnos con todo ello. Y si queremos que nuestro sistema informático no corra tanto peligro y que podamos trabajar con un mínimo de seguridad, hay que tomar unas precauciones que están a nuestro alcance.

  • Los rúters tienen más de una entrada. Les recomendamos usar varias para diferentes trabajos. Y configurando diferentes contraseñas.
  • Las contraseñas son importantes. Hay que complicarlas tanto como sea posible. Y si usted es de los que no se acuerdan nunca, sepa que existen gestores de contraseñas gratuitos y fáciles de usar.
  • Siempre que sea posible, use el doble factor de autenticación. Ya sabe, móvil y ordenador.
  • Hay que vigilar con atención los correos que recibimos de gente que no conocemos.
  • Cuidado con abrir archivos de dudosa procedencia o clicar enlaces desconocidos.
  • No dar nunca nuestros datos por correo electrónico.
  • Hacer copias de seguridad regularmente. Pero no con un disco externo: se infectan igual. Hay que usar un backup cifrado.
  • No suba a la nube documentos importantes a no ser que lo haga con plataformas securizadas y encriptadas.
  • No use llaves USB si no han sido previamente analizadas.
  • No trabaje nunca con redes públicas.
  • Tenga el mismo cuidado al usar su smartphone o sus redes sociales.
  • Use siempre antivirus.
  • No sea perezoso y actualice los programas cuando se lo pidan: la mayor parte de una actualización contiene nuevas medidas de seguridad.
  • Ante cualquier indicio de problema, no dude: consulte e informe a su empresa.

Por:
TECNOideas2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva, que incluye auditorías de seguridad informática e industrial, servicio de CISO externo y SOC/SIEM 24/7, análisis forense y pericia judicial, normativas/compliance (ISO 27001) y formación, tanto a nivel de seguridad para empleados y directivos de empresas en general, como una formación específica más técnica para personal de tecnologías de la información. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad en el Teletrabajo

By beatriz balmaceda

Aprender a olvidar en la Gestión Empresarial

Aprender a olvidar en la Gestión Empresarial

Recientemente me topé con una frase similar a esta “olvidar es un arma para la supervivencia, aquellos que no saben olvidar suelen vivir menos aclaro que lo leí de una obra de ficción, y no haré un tratado científico, pero me parece muy cierto para las empresas. En un mundo cada vez más dinámico es clave que una organización sepa olvidar, muestro algunas situaciones que he visto a lo largo de casi 30 años de experiencia empresarial y que asocio a “no saber olvidar”:

  • Nuevas tecnologías no aprovechadas al 100%
    • Las nuevas tecnologías conviven por años con otras tecnologías, por ejemplo:
      • Equipos de bajo mantenimiento, que reciben un mantenimiento convencional.
      • Grandes sistemas informáticos, pero con departamentos que no abandonan las hojas de cálculo y herramientas personales.
      • Planes de mantenimiento y renovación operación no actualizados a las capacidades y necesidades actuales.
  • Cambios de contexto empresarial no asimilados:
    • Mantener reportes regulatorios que ya no son necesarios.
    • Mantener prácticas de gestión que fueron exitosas en el pasado, pero que hoy pueden ser mejoradas.
    • Prácticas de mantenimiento adecuadas a un clima que ya no existe.
    • Prácticas de mantenimiento, operación y renovación asociadas a problemas que ya no existen.
    • No adecuar la producción a las demandas presentes y futuras.
  • Cambios en procesos y procedimientos aceptados parcialmente
    • Convivencia de proceso y procedimientos nuevos y anteriores.
    • Rechazo a nuevos procesos y procedimientos.

Aprender a olvidar es algo que se debe abordar de manera formal en cualquier proceso de mejora continua y aprendizaje, es algo que debe ser manejado con especialistas de manera formal, no hacerlo adecuadamente hace que los cambios sean lentos o terminen por fracasar. En la gestión de activos optimizada el manejo de cambios tanto técnicos como culturales es un habilitador clave de éxito.

…..

Por: José Bernardo Durán, Relator de CIDES Corpotraining.
Director LaTam The Woodhouse Partnership

By admin

Historia de la seguridad industrial y su legislación diversa

Por: Juan Ramón Flores

Los antecedentes descritos corresponden a las lecturas de libros y documentos asociados con la seguridad industrial, que resume libremente distintas biografías asociadas al desarrollo del saber de la seguridad y la legislación diversa en algunos países del mundo, la cual me permito hacer llegar en un lenguaje sencillo de comprender por las personas, en especial por nuestros jóvenes profesionales de la minería del cobre, se trata de una breve cronología de la historia de la seguridad industrial minera. Historia y cultura que involucra a los trabajadores que desde antaño crearon ingeniosos procesos hasta transformar la sociedad industrial teniendo como objetivo el bienestar del hombre mediante un esfuerzo racionalizado y humanizado, de flexibilidad y seguridad, dejando atrás el concepto del trabajo Tayloriano que se preocupó del rendimiento humano, tratando al individuo como una máquina, sin considerarlo como ser humano y pensante. La Seguridad industrial minera en el concepto moderno significa más que una simple situación de seguridad física, una situación de Gestión Integral de Control del Riesgo, una situación de bienestar personal con un ambiente laboral idóneo, una economía de costos y una imagen de modernización y filosofía de vida en el marco de la actividad laboral contemporánea.

  Read more

La Auditoría Operativa de Proyectos y Procesos – Un Abordaje Integrador
Control Interno de Valor Añadido: Los Modelos COSO Basados en Principios
Control Interno de Valor Añadido: Los Modelos COSO Basados en Principios
Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo
Ataques a sistemas industriales
No lo duden: hay ataques a los sistemas industriales
Ciberseguridad en la industria
¿Por qué se descuida la ciberseguridad en la industria?
Forense informático
¿Qué es un forense informático y cuál es su función?
Hacker etico
¿Pero qué demonios significa que un hacker es ético?
Ciberseguridad en el teletrabajo
Teletrabajo, inseguro por definición
Aprender a olvidar en la Gestión Empresarial
Historia de la seguridad industrial y su legislación diversa