1
00:00:01,360 --> 00:00:04,460
Leyes y regulaciones tenemos.

2
00:00:04,540 --> 00:00:09,610
Nos hemos dado cuenta a través de todo este tiempo que hemos tenido muchas empresas tienen que cumplir

3
00:00:09,610 --> 00:00:14,350
con muchas leyes y muchas regulaciones a veces locales a veces internacionales.

4
00:00:14,410 --> 00:00:19,600
Entonces se empieza a poner un poco complicado cuando ya tenemos que cumplir con cinco regulaciones

5
00:00:19,600 --> 00:00:27,010
o cinco o seis leyes algunas locales algunas internacionales y cuando encima de todo esto añadimos estándares

6
00:00:27,010 --> 00:00:32,830
que si bien no son obligatorios en muchas empresas lo tienen que hacer por contrato con un cliente contrato

7
00:00:32,830 --> 00:00:37,270
con un proveedor como por ejemplo ISO veinti siete mil uno cuando agregamos todo esto se empieza a poner

8
00:00:37,270 --> 00:00:38,350
un poco complicado.

9
00:00:38,350 --> 00:00:43,000
Por ejemplo la Ley 81 de Protección de Datos Personales en Panamá.

10
00:00:43,000 --> 00:00:48,430
Esta es una ley que si bien aplica a Panamá posiblemente no aplica en Costa Rica posiblemente no aplica

11
00:00:48,430 --> 00:00:50,530
en Argentina no aplica en Brasil verdad.

12
00:00:50,620 --> 00:00:59,290
Por ejemplo la protección de datos personales la Ley 25 326 de Argentina es una regulación local de

13
00:00:59,290 --> 00:01:01,550
ellos pero no nos afecta en otros países.

14
00:01:02,110 --> 00:01:06,760
Entonces es muy difícil cuando de repente tenemos una multinacional o una empresa multinacional que

15
00:01:06,760 --> 00:01:12,820
tiene presencia en varios países donde tiene que cumplir con ciertas regulaciones locales pero también

16
00:01:12,820 --> 00:01:19,750
con ciertas regulaciones internacionales por ejemplo Socks s o x la famosa Sarbanes-Oxley que es para

17
00:01:19,750 --> 00:01:21,140
temas financieros.

18
00:01:21,220 --> 00:01:26,760
Y cómo puedo mencionar muchísima cosa o cómo etcétera etcétera.

19
00:01:26,890 --> 00:01:32,470
Tenemos la famosa g de PR que vino a hacer una disrupción al mercado porque son temas de protección

20
00:01:32,470 --> 00:01:37,150
de datos de información personal donde las multas van muy muy arriba.

21
00:01:37,270 --> 00:01:42,220
Entonces es esto donde empieza a complicarse porque entonces nos preguntamos qué control se aplica que

22
00:01:42,210 --> 00:01:45,560
control no aplica que el control va aquí que el control vaya.

23
00:01:45,730 --> 00:01:51,640
Y es aquí donde se ponen nos podemos tomar ventaja de las políticas de una empresa porque por ejemplo

24
00:01:51,640 --> 00:01:57,580
podemos crear una política de criptografía y en esta política poner 20 controles que nos van a hacer

25
00:01:57,580 --> 00:02:02,650
cumplir con cinco o seis regulaciones que teníamos en cuenta y las cinco o seis estándares que también

26
00:02:02,650 --> 00:02:03,490
teníamos en cuenta.

27
00:02:03,500 --> 00:02:11,200
Entonces puede llegar a tener una matriz de controles para ver cuál a cual podemos bueno con un solo

28
00:02:11,200 --> 00:02:17,410
control lo podemos hacer podemos dar cumplimiento a cinco leyes por ejemplo entonces pero siempre de

29
00:02:17,410 --> 00:02:23,470
todas maneras se nos vuelve un tema un poco difícil y engorroso y hasta cierto punto un poco imposible

30
00:02:23,470 --> 00:02:29,840
de lograr el tener un control total o poder ver cuáles son todos los controles que debemos de aplicar.

31
00:02:29,890 --> 00:02:34,720
Sin embargo aquí hay dos temas que nos ayudan porque recuérdense que podemos hablar de llegar a casos

32
00:02:34,720 --> 00:02:41,290
incluso penales donde tenemos una demanda tenemos que demostrar que hicimos las cosas bien y cómo lo

33
00:02:41,290 --> 00:02:47,200
demostramos en estos dos conceptos que se llaman Ducruet y dudillas betabel debido cuidado y la debida

34
00:02:47,200 --> 00:02:54,160
diligencia básicamente en pocas palabras educar es haciendo lo que cualquier persona responsable haría

35
00:02:54,160 --> 00:02:55,270
en una situación.

36
00:02:55,270 --> 00:03:02,040
Por ejemplo si yo sé que estoy tomando o guardando datos de tarjetas de crédito de mis clientes pues

37
00:03:02,080 --> 00:03:09,550
algo responsable de hacer sería encriptar la información no utilizar una base de datos opensource de

38
00:03:09,580 --> 00:03:15,190
repente por ahí por ahí que si no sé dependiendo del tema también del riesgo pero de repente comprando

39
00:03:15,190 --> 00:03:21,910
una base de datos un poco más nivel Enterprise Poniendo un árbol enfrente de la base de datos poniendo

40
00:03:21,910 --> 00:03:28,930
un GPS enfrente de la base de datos poniendo un antimalware en el servidor de base de datos poniendo

41
00:03:28,930 --> 00:03:32,400
contraseñas muy difíciles o extensas verdad.

42
00:03:32,410 --> 00:03:37,810
Todo esto básicamente es lo que una persona responsable haría en cualquier situación y la debida diligencia

43
00:03:37,810 --> 00:03:41,890
o el due diligence es el manejo del duque verdad.

44
00:03:42,080 --> 00:03:47,740
Ok entonces sabemos que para poner criptografía necesitamos tener llaves o cómo las vamos a manejar

45
00:03:48,070 --> 00:03:50,350
quién las va a manejar dónde se van a guardar.

46
00:03:50,620 --> 00:03:53,730
Básicamente esa es la relación que existe entre educar y aliña.

47
00:03:53,800 --> 00:04:00,580
Ahora bien estamos conscientes de que cualquier control de seguridad que apliquemos en nuestras empresas

48
00:04:00,710 --> 00:04:01,540
es la única.

49
00:04:01,540 --> 00:04:04,640
O sea lo hacemos con el fin de reducir riesgos.

50
00:04:04,750 --> 00:04:09,970
Esto no significa que vamos a llevar el riesgo a un nivel cero entonces siempre puede haber la posibilidad

51
00:04:09,970 --> 00:04:14,030
de que pase un no filtran información o hay un hackeo.

52
00:04:14,080 --> 00:04:20,080
En general no se caiga el sistema por error humano o por o por un hacker malintencionado puede pasar

53
00:04:20,080 --> 00:04:21,800
algo siempre puede pasar algo.

54
00:04:21,820 --> 00:04:27,430
Estos dos temas nos pueden salvar en corte de cualquier demanda de cualquier proceso penal que se esté

55
00:04:27,430 --> 00:04:30,510
siguiendo en contra de una empresa o en contra de un individuo.

56
00:04:30,610 --> 00:04:35,930
El poder demostrar la debida diligencia y el debido cuidado nos nos puede llegar a salvar.

57
00:04:37,660 --> 00:04:44,590
Luego tenemos las posibles evidencias que se puedan presentar en corte.

58
00:04:45,070 --> 00:04:48,420
Las Cortes prefieren la famosa mejor evidencia.

59
00:04:48,600 --> 00:04:49,950
Es verdad.

60
00:04:50,410 --> 00:04:56,890
Es decir documentos originales son o son preferidos sobre copias u objetos tangibles son preferidos

61
00:04:56,950 --> 00:05:06,030
sobre testimonios orales de verdad básicamente cualquiera que es cualquier evidencia que sea que sea

62
00:05:06,120 --> 00:05:12,860
con criterio con este criterio puede llegar a ser aceptado y se prefiere una ley en una corte.

63
00:05:13,380 --> 00:05:21,090
Ahora el crimen sobre las computadoras el crimen en una computadora puede ser basado en la manera de

64
00:05:21,090 --> 00:05:28,080
que la del sistema de la computadora o la computadora como tal o el sistema de red se relaciona a la

65
00:05:28,080 --> 00:05:29,160
fechoría.

66
00:05:29,250 --> 00:05:36,660
Por ejemplo los sistemas de computación o cualquier computadora o sistemas de red pueden ser objetivos

67
00:05:36,660 --> 00:05:42,600
es decir yo quiero entrar al servidor hackearlo porque sé que hay información importante en ese servidor

68
00:05:42,980 --> 00:05:48,870
o pueden ser usados como armas como herramientas para hacer el crimen verdad de repente yo puedo apagar

69
00:05:48,870 --> 00:05:53,160
cámaras yo puedo hacer una denegación de servicios etcétera etcétera.

70
00:05:53,940 --> 00:05:58,870
Entonces ahora exaltamos un poco a los temas de propiedad intelectual.

71
00:05:59,010 --> 00:06:05,880
Tenemos cinco secciones de bloque puede tratar o contener la propiedad intelectual.

72
00:06:05,880 --> 00:06:12,780
Lo primero son las marcas registradas o las famosas Marks que son asociados más que todo con marketing

73
00:06:12,770 --> 00:06:13,560
verdad.

74
00:06:13,590 --> 00:06:23,940
Por ejemplo los símbolos cuando vemos hay una pequeña una pequeña T.M verdad trademark más que todo

75
00:06:23,940 --> 00:06:32,910
con el tema de símbolos y por ejemplo símbolos de cualquier empresa de Internet que ustedes pueden encontrar

76
00:06:32,910 --> 00:06:33,710
verdad.

77
00:06:33,810 --> 00:06:41,250
Luego tenemos las patentes que básicamente provee un monopolio al que al dueño de la patente para el

78
00:06:41,250 --> 00:06:47,760
derecho de uso de creación o o de venta verdad de la invención del invento en el que estamos hablando

79
00:06:47,760 --> 00:06:49,800
por un periodo de tiempo.

80
00:06:49,800 --> 00:06:52,190
Esto puede variar de país a país.

81
00:06:52,370 --> 00:06:56,870
No les puedo decir un periodo de tiempo específico pero sí hay períodos de tiempo para esto.

82
00:06:57,480 --> 00:07:04,770
Luego tenemos el copyright que representa un tipo de propiedad intelectual que protege la forma de una

83
00:07:04,770 --> 00:07:13,060
expresión artística Basquetour todo por ejemplo música literatura libros código etcétera etcétera.

84
00:07:13,080 --> 00:07:19,350
Luego tenemos las licencias de software que son un contrato entre el proveedor y el consumidor o en

85
00:07:19,350 --> 00:07:25,080
este caso el cliente es decir bueno si la compraste puede ser para toda la vida pero sólo tenés esa

86
00:07:25,080 --> 00:07:28,870
versión si querés actualizar a esta otra versión pues tienes que pagar otra vez.

87
00:07:29,010 --> 00:07:32,690
O puede ser una suscripción anual mensual etcétera etcétera.

88
00:07:33,180 --> 00:07:41,080
Y luego tenemos los droids Secrets o los secretos muy guardados de verdad que son relacionados al negocio.

89
00:07:41,190 --> 00:07:47,730
Por ejemplo la fórmula de cómo se realiza alguna alguna bebida por ejemplo lo que les daba es que toda

90
00:07:47,730 --> 00:07:49,450
la ventaja competitiva.

91
00:07:49,800 --> 00:07:51,650
Ahora bien qué les prestan.

92
00:07:51,760 --> 00:07:58,260
Les plantea este escenario qué pasaría si viene un hacker localizaban Rusia y jaquea a un servidor que

93
00:07:58,260 --> 00:08:04,050
estaba en Estados Unidos pero el servidor contenía información de un cliente en Panamá o en Argentina.

94
00:08:04,200 --> 00:08:07,020
Tenemos tres países ahí con qué ley los juzgamos.

95
00:08:07,020 --> 00:08:12,960
Aquí donde se pone un poquito engorroso y difícil el asunto porque de repente no sabemos con qué ley

96
00:08:12,960 --> 00:08:18,420
lo vamos a juzgar o si hay que extraditarlo o no o si el país tiene extradición o no es un poquito difícil

97
00:08:18,420 --> 00:08:19,920
responder esa pregunta.

98
00:08:19,920 --> 00:08:26,160
Para eso existe la organización de la Cooperación y Desarrollo Económico OCDE Organization for Economic

99
00:08:26,160 --> 00:08:31,860
Cooperation in Development que es considerada exclusivamente europea.

100
00:08:32,010 --> 00:08:41,130
En este caso pero con 30 miembros o sea 30 países alrededor del mundo y qué rutinariamente hace consensos

101
00:08:41,130 --> 00:08:47,340
o saca procedimientos para que se pueda se puedan proceder en estos casos como en el ejemplo que les

102
00:08:47,340 --> 00:08:52,560
acabo de dar para que no vean discrepancias para que no empecemos a inventar cosas que sí que por acá

103
00:08:52,640 --> 00:08:59,370
y por allá no. Ya tenemos un poquito más fácil de usar y también tenemos el Safe Harbor o El Puerto

104
00:08:59,370 --> 00:09:04,140
Seguro la ley de puerto seguro que es básicamente un acuerdo entre Estados Unidos y Europa verdad.

105
00:09:04,800 --> 00:09:10,590
Entonces aquí lo que dice bueno si tu ley europea o tu ley local dice que hay que encriptar información

106
00:09:10,590 --> 00:09:15,570
con este algoritmo y mi ley local dice que en Estados Unidos hay que encriptar la información con otro

107
00:09:15,570 --> 00:09:21,420
algoritmo pues el acuerdo será el algoritmo más fuerte por darles un ejemplo básicamente es un puerto

108
00:09:21,420 --> 00:09:21,930
seguro.

109
00:09:22,040 --> 00:09:29,430
Es como un lugar donde podemos llegar a un acuerdo para ver qué ley o qué vamos a necesitar nosotros

110
00:09:29,430 --> 00:09:31,220
para poder utilizarlo.

111
00:09:31,340 --> 00:09:38,460
Y bajo esta perspectiva tenemos restricciones a la importación exportación.

112
00:09:38,460 --> 00:09:46,650
Ahora bien esto suena un poquito porque está relacionado con países digamos casi de la lista negra o

113
00:09:46,650 --> 00:09:49,810
que sean considerados países en conflicto.

114
00:09:50,010 --> 00:09:57,900
Para esto se desarrolló un arreglo o un tratado que se llama Wassen arrangement que se convirtió al

115
00:09:57,900 --> 00:10:04,040
final en un estándar un estándar para los controles de exportación ahora que exportamos en este caso

116
00:10:04,040 --> 00:10:07,070
estamos hablando de algoritmos criptográficos.

117
00:10:07,070 --> 00:10:07,950
Por qué creen.

118
00:10:08,370 --> 00:10:13,760
Porque los algoritmos criptográficos pueden ser o son considerados un arma dual es decir si bien se

119
00:10:13,760 --> 00:10:19,400
pueden pueden ser utilizados para algo bueno como por ejemplo encriptar información confidencial de

120
00:10:19,400 --> 00:10:25,990
nosotros o o todos los Droit Marx por ejemplo o propiedad intelectual las propiedades intelectuales

121
00:10:26,000 --> 00:10:27,200
acabamos de hablar.

122
00:10:27,200 --> 00:10:32,820
También pueden ser utilizados para un ataque cuando se trata de quebrar un algoritmo siempre se tienen

123
00:10:32,840 --> 00:10:35,290
que tomar en cuenta el factor de trabajo.

124
00:10:35,300 --> 00:10:40,100
Esto lo vamos a ver más adelante más a detalle así que no se preocupen el factor de trabajo es básicamente

125
00:10:40,310 --> 00:10:47,030
la cantidad de recursos necesarios para jaquear o para quebrar una llave gorda o un sistema de criptografía.

126
00:10:47,030 --> 00:10:54,110
Ahora bien hay algoritmos por ejemplo a S 12:56 que el factor de trabajo es inmensamente grande y esto

127
00:10:54,110 --> 00:11:01,280
significa que entonces un atacante podría esconder información que valga la redundancia un posible ataque

128
00:11:01,280 --> 00:11:02,990
que quiera orquestar.

129
00:11:02,990 --> 00:11:10,010
Por ejemplo puede decir bueno vamos a atacar a tal agencia a tal a tal país a tal no sé a tal cliente

130
00:11:10,290 --> 00:11:15,690
o a tal destino vamos a atacarlo y esta va a ser la forma si nos vamos a organizar y todo eso puede

131
00:11:15,690 --> 00:11:20,550
ir encriptado y entonces no se puede ver qué es lo que están haciendo.

132
00:11:20,630 --> 00:11:29,420
Entonces eso podría generar peligro peligro para básicamente las víctimas verdad entonces por eso está

133
00:11:29,420 --> 00:11:35,240
el arreglo ovacionar donde se dice que hay ciertos algoritmos y ciertos tamaños de llave que no pueden

134
00:11:35,240 --> 00:11:38,210
ser utilizados en ciertos países verdad.

135
00:11:38,590 --> 00:11:46,320
Entonces ahora tenemos por último la seguridad y los proveedores tenemos los famosos s las escuelas

136
00:11:46,380 --> 00:11:53,720
perdón Service Level Agreements que es básicamente un contrato de servicio o de calidad de servicio

137
00:11:53,720 --> 00:12:00,250
entre el cliente y el proveedor y los Oleas Operational Level Agreement que básicamente sigue siendo

138
00:12:00,260 --> 00:12:04,180
un contrato entre el cliente y el proveedor solo que en este caso el proveedor es interno.

139
00:12:04,190 --> 00:12:10,010
Por ejemplo yo soy de contabilidad y tengo un Elea con el Departamento de Hite donde el servidor de

140
00:12:10,010 --> 00:12:14,320
contabilidad va a estar arriba a 24 7 no sé algo por el estilo verdad.

141
00:12:14,510 --> 00:12:20,600
Ahora bien esto es bien importante porque cuando yo hago la pregunta siempre ustedes creen que deberíamos

142
00:12:20,600 --> 00:12:27,590
de irnos a la nube o sea migrar nuestro data center de premisas a la nube y la mayoría de veces la respuesta

143
00:12:27,590 --> 00:12:33,440
es sí y yo siempre digo bueno puede ser que sí puede ser que no. Depende depende de qué regulaciones

144
00:12:33,440 --> 00:12:39,650
estoy tratando de cumplir depende de si tengo información de identificación personal depende de muchas

145
00:12:39,650 --> 00:12:39,920
cosas.

146
00:12:39,920 --> 00:12:43,130
Recuérdese que la nube es simplemente la computadora de alguien más.

147
00:12:43,130 --> 00:12:49,760
Entonces cómo podemos asegurar que el proveedor en la nube está tratando la información de forma confidencial

148
00:12:49,770 --> 00:12:55,520
que si es un multi Anansi como estoy seguro de que la base de datos que estoy utilizando está siendo

149
00:12:55,520 --> 00:12:58,470
compartida con otro y de repente a la competencia no sé.

150
00:12:58,520 --> 00:13:05,390
Hay muchas cosas aquí que hay que tomar en cuenta y no sólo simplemente o de forma por default digámoslo

151
00:13:05,390 --> 00:13:07,290
así decir que siempre nos vamos a ir a la nube.

152
00:13:07,460 --> 00:13:13,190
Entonces es aquí donde son muy importantes para los proveedores de verdad no sólo a la nube sino a muchos

153
00:13:13,190 --> 00:13:19,010
otros proveedores como si tenemos un desarrollador de Software un proveedor que nos cuida los datos

154
00:13:19,040 --> 00:13:22,610
etcétera etcétera y tenemos a.

155
00:13:22,640 --> 00:13:29,890
Por último el código de ética el código de ética pues básicamente dice hay que ser una buena persona

156
00:13:29,910 --> 00:13:37,160
con las computadoras es decir que no hay que hacer cosas malas buenas computadoras y ese es el cuadrado

157
00:13:37,190 --> 00:13:45,350
o SC2 nos da un listado específico que les dejo el link acá o donde pueden ir a Irán encontrarlo en

158
00:13:45,350 --> 00:13:51,470
la página 10 ese cuadrado que básicamente por ejemplo el primero no deberíamos de usar la computadora

159
00:13:51,470 --> 00:13:53,590
para lastimar a las personas.

160
00:13:53,630 --> 00:14:00,850
Segundo no deberíamos de interferir con el trabajo de otras personas pues hay un código de ética que

161
00:14:01,280 --> 00:14:06,800
al final cuando se conviertan en miembros dieses Escobar o al obtener su certificación pues van a tener

162
00:14:06,800 --> 00:14:08,400
que firmar y seguir.

163
00:14:09,230 --> 00:14:13,840
Y básicamente eso es todo por hoy espero les haya gustado y nos seguimos viendo muy pronto.