Archivo de la categor铆a: Ciberseguridad en la empresa. Master U en Ciberseguridad

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibern茅tica de infraestructuras mercados. Y, otras gu铆as y propuestas

Posted on por

La ciberseguridad, o m谩s bien su ausencia se halla entre los principales riesgos de los mercados financieros de hoy en d铆a

En junio de 2016, IOSCO hizo p煤blica la primera Gu铆a Internacional de Ciber seguridad en Mercados Financieros, 谩mpliamente anunciada

El objetivo de esta Gu铆a es orientar los esfuerzos de la industria financiera y de los gestores de infraestructuras de mercados para prevenir, hacer frente y corregir los ataques cibern茅ticos y sus consecuencias. Tambi茅n se pretende asimilar el nivel de protecci贸n en las distintas jurisdicciones y estados cuyas infraestructuras de mercados se someten a igual supervisi贸n.IglesiaSantirsoSahagun

Entre los contenidos de esta Gu铆a:

  • Identificaci贸n de infraestructuras a las que se orienta esta Gu铆a
  • Medidas para evitar las consecuencias de la interconexi贸n entre infraestructuras (identificaci贸n, contagio
  • Gobernanza reforzada en pol铆tica de ciberseguridad

La Gu铆a IOSCO se nutre de la previa experiencia en EEUU de la SEC, que realiz贸, inter alia un trabajo de investigaci贸n sobre medidas de seguridad en intermediarios de mercados (resultado resumido aqu铆)聽; y otro estudio 芦Examen de Ciberseguridad禄 聽en 2015; sin olvidar la influencia de otros reguladores de gran influencia, como el Regulador Financiero del Estado de Nueva York que tambi茅n est谩 avanzando propuestas sobre ciberseguridad financiera, (aqu铆 y aqu铆)

En Europa, ESMA desarrolla trabajos y la CNMV anunci贸 en su programa anual de trabajo (Memoria de Actividades) para 2016, que publicar铆a una gu铆a con sugerencias para la mejora en esta materia. Llama la atenci贸n que alguna gran empresa, como BBVA anunciara como hecho relevante la constituci贸n de una comisi贸n interna de tecnolog铆a y seguridad

聽Tambi茅n DerMerUle: Ciberseguridad (II); 聽Ciberseguridad (I); Ciberseguridad y formaci贸n judicial; Ciberseguridad (Directiva)

II Jornadas Nacionales de Derecho y CiberSeguridad

Posted on por

Vista del Palacio Botines, por Ricardo Castellanos B

La Facultad de Derecho 聽de la Universidad de Le贸n, con el Instituto Nacional de Ciberseguridad (INCIBE) organizan 聽los d铆as 19 y 20 de octubre de 2016 las II Jornadas Nacionales de Derecho y Ciberseguridad. 聽Abordando los principales retos que la seguridad inform谩tica plantea 聽en sus perspectivas penal, administrativa, mercantil, estas jornadas inauguradas por el Prof聽Dr Juan Francisco Garc铆a Mar铆n, Magfco. Sr. Rector Universidad de Le贸n,聽 presidiendo la mesa compuesta adem谩s por聽D. Juan Jos茅 Fern谩ndez Dom铆nguez, Decano de la Facultad de Derecho de la Universidad de Le贸n聽y por聽D. Juan Carlos Su谩rez-Qui帽ones y Fern谩ndez, Consejero de Fomento y Medio Ambiente de Castilla y Le贸n

En esta ocasi贸n, el lugar de celebraci贸n es el聽Sal贸n de Grados de la Facultad de Derecho de la Universidad de Le贸n, Campus Vegazana.

Estas jornadas est谩n coordinadas por聽D. Francisco P茅rez Bes, Secretario General de INCIBE, y por la Profesora Dra聽Isabel Dur谩n Seco, de Derecho Penal de la Universidad de Le贸n. Agradeciendo la invitaci贸n a intervenir, felicitamos a los organizadores, animamos 聽a聽la participaci贸n, y聽os dejamos el programa oficial de ponencias y mesas que abarcan temas de inter茅s para todas las titulaciones, y profesiones.

Tambi茅n, la noticia desde la Universidad de Le贸n

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Posted on por

Un informe del Consejo de 聽IOSCO de 2016 (basado en otro previo de 2014) alerta sobre aspectos principales de la ciberseguridad en mercados de valores聽

  1. Define ciberriesgos, ciberataques, decisiones que deben adoptar los reguladores y pr谩cticas de los participantes en mercado para mejorar la ciberseguridad.IglesiaSantiagoVillaFranca
  1. En relaci贸n con la revelaci贸n de incidentes, principios de divulgaci贸n peri贸dicos y el tratamiento de un marco de divulgaci贸n en las jurisdicciones de los miembros de IOSCO dependientes de las leyes dom茅sticas y est谩ndares IOSCO para evitar ciberataques
  1. En los centros de negociaci贸n se deben realizar negociaciones electr贸nicas, revisiones peri贸dicas, pr谩cticas seguras siguiendo el marco NIST (National Institute of Standards and Technology).
    • sistemas de atraer y atrapar;
    • informaci贸n de amenazas en tiempo real;
    • herramientas software SIEM;
    • protecci贸n de informaci贸n interna;
    • direcci贸n de terceras partes;
    • nuevos enfoques de seguridad en la nube;
    • colaboraci贸n con y entre los centros de negociaci贸n.
  1. IOSCO cuenta con un grupo de trabajo para proveer asistencia informal聽a intermediarios de mercado
  2. IOSCO realiza encuestas entre gestores de activos para conocer聽sus necesidades, y ya se conocen algunas
    • Coherencia entre los sistemas de seguridad
    • Claves largas y complejas;
    • Inventario peri贸dico de los ordenadores, programas de software y aplicaciones; y d) un plan de respuesta preciso.
  1. Sobre infraestructuras del mercado financiero, el grupo conjunto de CPMI-IOSCO sobre Ciber Resiliencia (WGCR) ha emitido un documento con una gu铆a para las infraestructuras financieras de mercado (FMI): gobernanza, identificaci贸n, protecci贸n, detecci贸n, respuesta y recuperaci贸n. Recomienda adoptar un papel activo para mejorar la capacidad cibern茅tica.
  1. Se hace preciso compartir informaci贸n entre reguladores de valores. La colaboraci贸n resulta 煤til para emular las medidas t茅cnicas de los actores y la prevenci贸n de ataques cibern茅ticos.
    • Existen dos tipos b谩sicos de informaci贸n, t茅cnica / operacional, es decir, de computadora a computadora, o informaci贸n estrat茅gica con evidencias contextuales de amenazas o vulnerabilidades.
    • Los gobiernos han de promover, facilitar y compartir informaci贸n con la industria estableciendo redes de informaci贸n. Seg煤n el MMoU de IOSCO, los reguladores pueden intercambiar informaci贸n sobre violaciones de seguridad relacionadas con ciberataques, particularmente en casos como ventas fraudulentas, apropiaci贸n indebida de bienes, abuso del mercado, disrupci贸n del sistema o sabotaje.
  1. En conclusi贸n:
    • la ciberseguridad es uno de los retos m谩s importantes para los mercados y reguladores;
    • es un problema internacional, global
    • existen multitud de amenazas destacando las asociadas al uso de tecnolog铆as de almacenamiento de informaci贸n y computaci贸n en l铆nea;
    • los agentes de los mercados deben adoptar medidas bas谩ndose en herramientas, directrices y marcos de actuaci贸n de IOSCO
    • la publicaci贸n de hechos relevantes sobre ciberriesgos y ciberataques deber铆a ajustarse a las circunstancias particulares de cada emisor, dando suficiente detalle pero sin llegar a comprometer m谩s la ciberseguridad;
    • es vital integrar la ciberseguridad en la gobernanza de las entidades implicando a directivos y consejeros;
    • la ciberseguridad debe formar parte de los programas de gesti贸n de riesgos;
    • es importante compartir informaci贸n tanto a nivel interno (participantes-reguladores de cada mercado) como, especialmente, internacional, dada la naturaleza internacional de los ciberriesgos;

 

IOSCO cuenta con un grupo de trabajo聽-芦Cyber Resilience and financial technology禄 que elabora recomendaciones o buenas pr谩cticas en este entorno.聽

Ciberseguridad UE. Directiva general v. ley especial (banca, mercados financieros)

Posted on por

Publicada la聽Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n en la Uni贸n

En virtud de esta norma armonizadora, cada Estado miembro deber谩 contar con una estrategia nacional de seguridad de las redes y sistemas de informaci贸n en la que se fijen los objetivos estrat茅gicos y las medidas concretas que se pretenda aplicar.
Destacamos:
  • (EM, 8-9) Se trata de una Directiva de 谩mbito o aplicaci贸n general. De m铆nimos en materia penal, de orden publico y seguridad. Los actos jur铆dicos sectoriales se aplican como聽聽lex聽specialis (comunic谩ndose a la Comisi贸n sus incidencias y aplicaci贸n conforme al ordenamiento sectorial)聽.
  • (EM 12-14) La regulaci贸n y la supervisi贸n del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonizaci贸n supervisada por el聽Mecanismo 脷nico de Supervisi贸n en la zona euro y, en los Estados miembros que no pertenecen a la聽Uni贸n Bancaria, sus reguladores bancarios supervisan la aplicaci贸n. El Sistema Europeo de Supervisi贸n Financiera (SESF) facilita una elevada uniformidad y convergencia de la supervisi贸n nacional y la AEVM supervisa directamente determinadas entidades, como las agencias de calificaci贸n crediticia y los registros de operaciones. Su ciberseguridad se rige por ley especial, aunque se ve reforzada por la nueva Directiva
    • El riesgo operativo en los sectores de la banca y las infraestructuras del mercado financiero se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de informaci贸n. Los requisitos de estos sistemas, 聽-muy estrictos- se recogen en distintos actos jur铆dicos de la UE聽lex specialis (acceso a la actividad de las entidades de cr茅dito, a la supervisi贸n prudencial de entidades de cr茅dito y empresas de inversi贸n; normas sobre 聽requisitos prudenciales de聽entidades de cr茅dito y 聽empresas de inversi贸n, – inclu铆do el riesgo operativo-; normas sobre mercados de instrumentos financieros, – que incluyen requisitos sobre evaluaci贸n de riesgos para las empresas de inversi贸n y los mercados regulados-; normas sobre los derivados extraburs谩tiles, entidades de contrapartida central y registros de operaciones, – que incluyen requisitos sobre sus聽riesgos operativos-; normas sobre la mejora de la liquidaci贸n de valores y sobre depositarios centrales de valores, etc.
    • Los requisitos de notificaci贸n de incidentes forman parte de la pr谩ctica normal en materia de supervisi贸n en el sector financiero y est谩n incluidos a menudo en los manuales de supervisi贸n. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis
    • La Directiva no afecta al r茅gimen de supervisi贸n de los sistemas de pago y liquidaci贸n del Eurosistema en virtud del Derecho de la UE. Tampoco se aplica a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisi贸n de los sistemas de pago y liquidaci贸n sobre la base de leyes y reglamentos nacionales
  • Afecta a la ciberseguridad banca y mercados financieros el desarrollo de la EM-28: En la identificaci贸n de riesgos, adem谩s de los聽generales, deben聽tenerse en cuenta los sectoriales por si 聽tendr铆an efecto perturbador significativo en la prestaci贸n de un servicio esencial.
    • En el caso de los proveedores de energ铆a, sobre el volumen o la proporci贸n de la energ铆a nacional generada;
    • en el caso de los proveedores de petr贸leo, el volumen diario;
    • en el caso de la banca o las infraestructuras del mercado financiero, su importancia sist茅mica, valorada seg煤n los activos totales o la raz贸n entre estos y el producto interior bruto;

Esta Directiva general聽 si afecta adem谩s a ciertas 聽definiciones que orientan la aplicaci贸n de la lex specialis en materia de banca y mercados:

  • Operadores de servicios esenciales (Art 4.4-, anexo II): son entidades p煤blicas o privadas que prestan un servicio esencial para el mantenimiento de actividades sociales o econ贸micas cruciales; la prestaci贸n del cual depende de las redes y sistemas de informaci贸n; respecto del que un incidente tendr铆a efectos perturbadores significativos en la prestaci贸n de dicho servicio. 聽De conformidad con la nueva Directiva son Operadores de Servicios Esenciales en el 谩mbito bancario y de infraestructuras de mercados financieros:
    • Gestores de centros de negociaci贸n (Art 4, punto聽24, de la Directiva聽2014/65/UE, Mifid2)
    • Entidades de contrapartida central (CCP), tal como se definen en el art铆culo聽2, punto聽1, del Reglamento (UE) 648/2012 (EMIR)
    • Entidades de cr茅dito, (Art 4, punto聽1, del Reglamento (UE) n.o聽575/2013)

Post scriptum.

Ciberseguridad y formaci贸n judicial. CGPJ – INCIBE. Le贸n

Posted on por

El Instituto Nacional de Ciberseguridad (INCIBE), con sede en Le贸n es mediante el acuerdo suscrito con el CGPJ, centro de referencia de formaci贸n de jueces y magistrados de Espa帽a en materia de ciberseguridad. 聽En tal marco se celebraron esta semana unas jornadas judiciales formativas, llamadas a ser el inicio de otras muchas acciones formativas desde el especializado instituto

En efecto, superar amenazas en materia de seguridad en la red, de ciber seguridad, son amplios y graves. Internacionales y locales.聽 聽Desde la seguridad en las transacciones, los nuevos delitos econ贸micos como el spoofing, la manipulaci贸n de mercados desarrollados cada vez m谩s por v铆a electr贸nica plantean retos que exigen una formaci贸n especializada en la judicatura.聽Un ciber entorno seguro es una exigencia ineludible, entre otros, para permitir el desarrollo de start ups tecnol贸gicas, y un adecuado sistema de seguridad, para orientar la innovaci贸n y comercializaci贸n de nuevos productos y servicios; mejorar el posicionamiento y la comercializaci贸n de la industria espa帽ola y para incrementar la actividad productiva competitiva a nivel internacional.

M谩s sobre la jornada de ayer enIMG00953-20140502-0736

 

La mera utilizaci贸n de 芦palabras clave禄 en los buscadores de Internet no tiene porqu茅 suponer una infracci贸n de marca. Sentencia del Tribunal Supremo

Posted on por
Responder

La Sala Primera del Tribunal Supremo espa帽ol acaba de desestimar el recurso de casaci贸n interpuesto en relaci贸n con alegaciones de infracci贸n de marca por el uso de signo distintivo a modo de palabra clave en un buscador de Internet

El TS concluye que el derecho de exclusiva de la marca no es absoluto en el sentido de que su uso como palabra clave de Internet 煤nicamente ser谩 considerado infracci贸n de marca cuando la utilizaci贸n a modo de 芦palabra clave禄 se realice con el fin de identificar un determinado producto o servicio.聽 Por el contrario, lejos de considerar que existe infracci贸n por el mero hecho de la inclusi贸n de keywords,聽 ser谩, una vez que el buscador de Internet redirige al usuario al anuncio concreto, cuando haya que examinar los concretos t茅rminos de dicho anuncio para poder valorar si se ha infringido -o no- la marca-.聽El TS se apoya en esta sentencia en la doctrina sentada por el TJUE en el sentido de que, para considerar que estamos ante una infracci贸n de marca, el uso debe perjudicar , o ser susceptible de perjudicar los intereses del titular de la marca en cuesti贸n, directamente relacionados con la funci贸n de este signo distitivo. Tales funciones son, como el TJUE ha indicado en m谩s de una ocasi贸n 聽聽la de indicar el origen empresarial, la de publicidad y a la de inversi贸n

Nota de prensa del CGPJ. Acceso v铆a CENDOJ

IMG_20150912_172738333

Sanciona nuestro alto Tribunal que

  • el derecho de uso exclusivo del signo en que consiste la marca no es absoluto.
  • el uso de la marca como palabra clave para buscadores de Internet ser谩 considerado infracci贸n de marca ajena cuando se haga a t铆tulo de tal marca, es decir, con el fin de identificar un determinado producto o servicio.

Adem谩s, y en relaci贸n聽 con el uso de marcas registradas como palabras clave en Internet para mostrar enlaces patrocinados se帽ala que es l铆cito siempre聽 y cuando:

  1. ese uso no menoscabe ni la funci贸n indicadora del origen de la misma, ni su funci贸n econ贸mica;
  2. resulte claro para un usuario medio de internet que los productos o servicios publicitados no proceden del titular de la marca o de una empresa econ贸micamente vinculada; y de no ser as铆, se indique bajo qu茅 circunstancia se venden productos de una determinada marca a trav茅s de una p谩gina web distinta a la 芦oficial禄. La finalidad de este requisito es impedir el riesgo de confusi贸n (ie: asunto Interflora del TJUE)

Post post: 聽Recomendamos leer el comentario contextualizado y detallado聽 de esta sentencia, a cargo de la Prof., Aurea Su帽ol, en el blog Almac茅n de Derecho.