En los últimos años
las presiones impuestas por las normativas como Basilea II o Sarbanes-Oxley o
bien los requerimientos legales de obligatorio cumplimiento como la LOPD o
Blanqueo de Capitales, han supuesto que desde las áreas de Legal y/o
Cumplimiento se requiera el conocimiento de los expertos de seguridad TI para
incorporar las medidas de seguridad técnicas y organizativas necesarias para
cumplir con los requerimientos normativos y legales exigidos.
En esta línea, desde la
reforma del código penal, que entró en vigor el 23 de diciembre de 2010, se ha incorporado en el catálogo de riesgos del negocio y en el marco de cumplimiento de las compañías, los riesgos relacionados con la responsabilidad penal de personas jurídicas y su consecuente impacto en el control interno y seguridad TI de la compañía.
En la siguiente figura se muestran algunos de los delitos definidos en el Código Penal:
Delito
|
Nivel
de riesgo
|
Descubrimiento y revelación de secretos
|
ALTO
|
Delitos relativos al mercado y a los consumidores
|
|
Daños
informáticos
|
MEDIO
|
Delitos relativos
a la propiedad intelectual
|
|
Blanqueo de
capitales
|
|
Estafa
|
BAJO
|
Pornografía infantil
|
|
Falsedades documentales
|
Algunas de las penas podrían
establecerse en:
- Multa por cuotas o proporcional.
- Disolución de la persona jurídica.
- Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
- Clausura de sus locales y establecimientos por un plazo que no podrá exceder de cinco años.
- Prohibición de realizar en el futuro las actividades relacionadas con el delito
En lo que respecta
al área de TI, los riesgos identificados son:
- Acceso no autorizado
- Descubrimiento de secretos y datos personales
- Revelación de secretos y cesión de datos personales
- Estafa informática
- Daños informáticos – Denegación de servicio
- Delito contra la propiedad intelectual – sw sin licencia
- Delitos contra la propiedad industrial – patentes tecnológicas
- Apoyo tecnológico a la comisión de otros delitos (blanqueo)
Matriz ejemplo de
identificación de riesgos
La participación del
área de seguridad TI en todas las fases del Modelo de
Prevención es fundamental para integrar: Procesos de Negocio->Procedimientos de Control Interno->Tecnología -> Seguridad TI.
A grandes rasgos,
los principales pasos para el desarrollo del Modelo de Prevención son:
- Análisis global del Riesgo que supone cada delito.
- Recopilación de los controles y evidencias existentes.
- Valoración de la consistencia de los controles y detección de gaps.
- Elaboración del Modelo de Prevención de Delitos.
No hay comentarios:
Publicar un comentario