PKF Attest

PKF Attest

Tecnología

Lantegi Batuak cuenta en detalle su caso de éxito con PKF Attest

· ·

Cebek, la Confederación Empresarial de Bizkaia, ha contado con la presencia en su sección »Conversaciones con…» de Lantegi Batuak, una organización no lucrativa que genera oportunidades laborales para personas con discapacidad en Bizkaia, para lograr su inclusión, máximo desarrollo y calidad de vida.

Esta sección donde se aprovecha para contar en primera persona un proyecto de transformación digital de una empresa de Bizkaia, Ramon Bernal y Fernando Garro, de Lantegi Batuak, han explicado en detalle en que consistió su proceso de digitalización de procesos en el que contaron con PKF Attest como socio de confianza.

Ramón y Fernando han dejado dos consejos para las empresas que quieran acometer un proceso de transformación digital dentro de su organización: el primero, entenderlo como un objetivo estratégico de la empresa, no sólo del área de sistemas. Y dos, Ir de la mano de un partner de confianza. Son quienes mejor conocen la tecnología y tienen la experiencia.

Puedes ver la entrevista completa a continuación:

Jornada: oportunidades de financiación para la digitalización en empresas de Bizkaia

· ·

Esta sesión tiene como finalidad dar a conocer cuáles son los incentivos públicos a nivel territorial que pueden aprovechar las empresas de Bizkaia para financiar sus proyectos de transformación digital y cuál es el proceso y requisitos para acceder a ellos.

Programa:

Proyectos de digitalización – Javier Lizarralde

Ayudas a la digitalización – Xabier Bernarte

  • Programas de ayudas específicos
  • Otras oportunidades de financiación
  • Cuestiones a tener en cuenta para solicitar ayudas

Turno de Preguntas

Dirigido a: Empresario/as, gerentes, directivos/as y profesionales autónomos/as, responsables de informática, de recursos humanos, financieros y administrativos, de control y auditoría internas y todo tipo de personas y negocios que quieran conocer las subvenciones disponibles en la implantación de soluciones digitales.

Información

Fecha: Jueves, 27 de abril

Hora: 10:00

Sede de CEBEK

Ponentes de PKF Attest

Organizado por

Colabora

La agricultura y los Esports

· ·

Todo agricultor que se precie sabe que para disfrutar de una buena cosecha es necesario seguir una serie de fases que garanticen que esta sea abundante y de calidad. Cada una de ellas tiene unos tiempos y necesidades que deben respetarse.

Así, si siembras en un terreno seco y aislado, te obligará a llevar agua constantemente y en algún momento te cansarás y se secará. Si pones diez plantas donde sólo hay espacio para una, simplemente no crecerá ninguna. Si cosechas demasiado rápido sin dejar crecer la planta, tendrás fruto pequeño y escaso. Errores del agricultor impaciente o avaricioso.

Algo muy parecido pasa con nuevas industrias como los Esports. Si quieres que se asienten y florezcan, debes respetar unas fases. Es indudable el interés de la juventud por las competiciones de videojuegos y por las herramientas de visionado online y se sabe que juegos como el League of Legends o el FIFA ya funcionan en otros países. Los promotores de competiciones de Esports detectaron hace tiempo que España era un buen terreno para que pudiera desarrollarse y crecer la industria de los Esports. Así surgieron casos como la Superliga del League of Legends organizada por la LVP (Liga de Videojuegos Profesional) o la eLaliga para el FIFA.

Sin embargo, hay clubes de Esports que claramente se han saltado esta fase de estudio previo. Una osadía muy mal entendida les ha llevado a lanzarse a una aventura empresarial sin medir ni entender el modelo de negocio. Es normal que, en los primeros años, los gastos sean superiores a los ingresos y que este déficit se deba cubrir con aportaciones de los socios. Sin embargo, el faro que debe guiar a todo gestor es el de cuadrar las cuentas, centrando esfuerzos en generar ingresos y en contener gastos.

En el apartado de ingresos, si estos dependen fundamentalmente de los patrocinios, se debe potenciar infinitamente más la visibilidad y el poder publicitario de estas competiciones. Conozco de cerca la enorme dificultad de clubes para conseguir patrocinios por el mero hecho de que las empresas del tejido empresarial español no conocen ese mundo lo suficiente como para apostar por ello.

Los clubes también deben establecer su estrategia. Personalmente me gusta más el modelo de club territorial donde éste busca que se le asocie con un territorio o con un equipo de fútbol concreto. Así, en este modelo, el club (empresa) tiene mucho más claro donde debe centrar sus esfuerzos de celebración de eventos, de contacto con instituciones (locales y/o autonómicas) y, en definitiva, de implantación de marca para la generación de una fan base con la que acudir a empresas en la búsqueda de patrocinios.

Otros retos para facilitar ingresos pasan por proponer modificaciones legislativas en las normas tributarias y laborales buscando su equiparación con el deporte tradicional. Desde el punto de vista fiscal, sería interesante que el patrocinio a un equipo de Esports tuviera unas bonificaciones fiscales al estilo de las previstas en algún territorio foral para el patrocinio de deportes tradicionales o como las previstas para acontecimientos de excepcional interés público al que ya se han acogido numerosos eventos deportivos en España. Desde el punto de vista laboral, se trataría de intentar aplicar la normativa laboral de deportistas profesionales (RD 1006/85 de 26 de junio) para conseguir que, en defensa del principio de la estabilidad de las plantillas, se puedan establecer cláusulas de rescisión (no permitidas fuera del RD 1006/85) favoreciendo los ingresos por traspasos.

Y, por último, los organizadores de las competiciones, reconociendo el enorme esfuerzo de los clubes, deben apostar por asignar mayores cantidades por derechos audiovisuales y/o patrocinios de la propia competición.

En el apartado de los gastos, puedo decir que he participado en fichajes de futbolistas con salarios estratosféricos y asisto con asombro como se repiten algunos mismos patrones en negociaciones de contratos de jugadores de Esports. Jugadores y entrenadores quieren recolectar demasiado rápido, exigiendo unas condiciones económicas que hoy por hoy no se pueden pagar. Se está llegando al extremo de jugadores que llegan con representante para negociar un contrato de 25.000 €. No tiene sentido. Las cifras deben ajustarse a los ingresos que se esperan del club. Si no, corremos el riesgo (igual ya es tarde) de generar una absurda burbuja.

Otro error es querer seguir por seguir el ritmo de lo Esports. No creo nada recomendable generar en el club nuevas secciones a la misma velocidad que la industria genera nuevas competiciones de nuevos videojuegos. Si se hace, debería ir acompañado de un nuevo plan económico, normalmente con nuevos socios inversores para compensar las cuatro o cinco nuevas nominas más que pagar. Al igual que al agricultor no le crecerá ninguna de las diez plantas que plantó donde sólo había condiciones para una, el empresario que apueste por muchas competiciones de Esports donde sólo tenía presupuesto para una o dos, tendrá muchas posibilidades de que tengan un recorrido mucho más corto. En definitiva, los Esports pueden representar una oportunidad extraordinaria de inversión. Las cifras de seguimiento y aficionados (no patrocinadores) no dejan de crecer de forma exponencial. Sin embargo, se debe seguir trabajando para que este negocio se asiente y coja una velocidad de crucero que dé estabilidad económica en las cuentas de las empresas que han sido pioneras al apostar por el sector.  Ahora que comienzan las nuevas competiciones del año 2023 y se están cerrando plantillas y presupuestos, es un buen momento para reflexionar sobre ello.

Ley de Mercados Digitales (LMD): las claves 

· ·

La LMD tiene como objetivo poner fin a las prácticas desleales de los guardianes de acceso de las plataformas en línea.

¿Qué es un guardián de acceso?

Se trata de plataformas digitales que constituyen una pasarela de acceso importante entre los usuarios profesionales y los consumidores y cuya posición puede otorgarles el poder de actuar como regulador privado y, por lo tanto, generar un cuello de botella en la economía digital. 

Según la LMD se considerarán guardianes de acceso los que presten los siguientes servicios de intermediación en línea: 

  • tiendas de aplicaciones 
  • motores de búsqueda en línea 
  • servicios de redes sociales 
  • determinados servicios de mensajería 
  • servicios de plataformas de intercambio de vídeos 
  • asistentes virtuales 
  • navegadores web 
  • servicios de computación en nube 
  • sistemas operativos 
  • mercados en línea 
  • servicios de publicidad. 

¿Cómo saber si me aplica la ley? 

Hay tres criterios principales que hacen que una empresa entre en el ámbito de aplicación de la LMD: 

  • un tamaño que incida en el mercado interior, cuando la empresa realice un determinado volumen de negocios anual en el Espacio Económico Europeo (EEE) y preste un servicio básico de plataforma en al menos tres Estados miembros de la UE; 
  • el control de una pasarela importante entre los usuarios empresariales y los consumidores finales, cuando la empresa preste un servicio básico de plataforma a más de 45 millones de usuarios finales activos mensuales establecidos o situados en la Unión y a más de 10 000 usuarios profesionales activos anuales establecidos en la Unión; 
  • una posición arraigada y duradera en el caso de que la empresa haya cumplido el segundo criterio durante los tres últimos años. 

¿Qué se puede hacer y qué no? 

La LMD establece una lista de cosas que se pueden o no se pueden hacer a la que los guardianes de acceso tendrán que atenerse en su funcionamiento cotidiano para garantizar unos mercados digitales equitativos y abiertos.  

Estas obligaciones contribuirán a ofrecer a las empresas oportunidades de disputar los mercados y de rivalizar con los guardianes de acceso sobre la base de los méritos de sus productos y servicios, dándoles más margen para innovar. 

¿Cuándo empezará a aplicarse? 

Con su entrada en vigor, la LMD pasará a su fase crucial de ejecución y empezará a aplicarse dentro de seis meses, el 2 de mayo de 2023. A continuación, en un plazo de dos meses y a más tardar el 3 de julio de 2023, los posibles guardianes de acceso tendrán que notificar a la Comisión sus servicios básicos de plataforma si alcanzan los umbrales fijados por la LMD.  Una vez que la Comisión haya recibido la notificación completa, dispondrá de 45 días hábiles para evaluar si la empresa en cuestión alcanza los umbrales y para designarla como guardián de acceso (a más tardar el 6 de septiembre de 2023). Tras su designación, los guardianes de acceso tendrán seis meses para cumplir los requisitos de la LMD, a más tardar el 6 de marzo de 2024.

Contenido relacionado

Audiencia Pública de cuatro proyectos de Real Decreto para la incorporación de normas de derecho europeo al ordenamiento jurídico español

Ver más

Iniciativas para abordar las necesidades de las pequeñas y medianas empresas (PYMEs) en Europa

Ver más

El Consejo Europeo refuerza la normativa en materia de emisiones de CO2 de los turismos y los vehículos comerciales nuevos.

Ver más

Consulta pública para establecer una deducción en el IRPF por inversiones extranjeras en la Comunidad de Madrid

Ver más

La AEPD promueve agilizar la resolución de reclamaciones en materia de publicidad

Ver más

Objetivos generales de la nueva Ley de Startups

Ver más

Ley de Mercados Digitales (LMD): las claves

Ver más

Salario mínimo: la UE entra en acción

Ver más

Real Decreto-ley 18/2022, de 18 de octubre

Ver más

Proyecto de Ley de Presupuestos Generales del Estado de 2023

Ver más

Novedades tributarias en Andalucía para paliar los efectos de la inflación

Ver más

Propuesta de Reglamento del Consejo relativo a una intervención de emergencia para hacer frente a los elevados precios de la energía

Ver más

Real Decreto por el que se regula el Esquema Nacional de Seguridad

· ·

4 de mayo de 2022

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) tenía por objeto determinar la política de seguridad en la utilización de medios electrónicos de las entidades de su ámbito de aplicación, estando constituido por los principios básicos y requisitos mínimos que han venido garantizando adecuadamente la seguridad de la información tratada y los servicios prestados por dichas entidades.

Por su parte la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, amplió el ámbito de aplicación del ENS a todo el sector público, estableciendo en su artículo 3, que regula los principios generales, la necesidad de que las administraciones públicas se relacionen entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que garantizaran la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas y la protección de los datos personales, y facilitaran la prestación de servicios a los interesados preferentemente por dichos medios, señalando al ENS como instrumento fundamental para el logro de los objetivos de su artículo 156.

El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias. Este real decreto tiene por objeto regular el ENS, establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

El real decreto se estructura en cuarenta y un artículos distribuidos en siete capítulos, tres disposiciones adicionales, una disposición transitoria, una disposición derogatoria, tres disposiciones finales y cuatro anexos.

  • El capítulo I comprende las disposiciones generales que regulan el objeto de la norma, su ámbito de aplicación, la referencia a los sistemas de información que traten datos personales y las definiciones El ámbito de aplicación es el previsto en el artículo 2 de la Ley 40/2015, de 1 de octubre, al que se añaden los sistemas que tratan información clasificada, sin perjuicio de la normativa que resulte de aplicación, pudiendo resultar necesario complementar las medidas de seguridad de este real decreto con otras específicas para tales sistemas, derivadas de los compromisos internacionales contraídos por España o su pertenencia a organismos o foros internacionales en la materia.
    Asimismo, los requisitos del ENS serán de aplicación a los sistemas de información de las entidades del sector privado, cuando de acuerdo con la normativa aplicable y en virtud de una relación contractual presten servicios a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas. Como se ha señalado anteriormente, considerando que la transformación digital ha supuesto un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y que el sector privado se encuentra igualmente inmerso en la transformación digital de sus procesos de negocio, ambos tipos de sistemas de información se encuentran expuestos al mismo tipo de amenazas y riesgos. Por ello, los operadores del sector privado que prestan servicios a las entidades del sector público, por razón de la alta imbricación de unos y otras, han de garantizar el mismo nivel de seguridad que se aplica a los sistemas y a la información en el ámbito del sector público, todo ello de conformidad, además, con los especiales requerimientos establecidos tanto en la Ley Orgánica 3/2018, de 5 de diciembre, como en la Ley Orgánica 7/2021, de 26 de mayo.
    Por otra parte, cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G, además de las previsiones de este real decreto será de aplicación lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, en particular, lo dispuesto en su artículo 17 relativo a la gestión de seguridad por las administraciones públicas, así como su normativa de desarrollo.
  • El capítulo II, que comprende los artículos 5 a 11, regula los principios básicos que deben regir el ENS y que enumera en su artículo 5: seguridad integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; y diferenciación de responsabilidades.
  • El capítulo III se refiere a la Política de Seguridad y los requisitos mínimos para permitir una protección adecuada de la información y los servicios.
    En los artículos 12 a 27 se definen tales requisitos: organización e implantación del proceso de seguridad; gestión de riesgos, consistente en un proceso de identificación, análisis, evaluación y tratamiento de los mismos; gestión de personal; profesionalidad; autorización y control de los accesos; protección de las instalaciones; adquisición de productos de seguridad y contratación de servicios de seguridad; mínimo privilegio; integridad y actualización del sistema; protección de la información almacenada y en tránsito; prevención ante otros sistemas de información interconectados; registro de la actividad y detección de código dañino; incidentes de seguridad; continuidad de la actividad; y mejora continua del proceso de seguridad.
    Seguidamente, el artículo 28 indica que para el cumplimiento de tales requisitos mínimos deberán adoptarse las medidas recogidas en el anexo II, conforme a una serie de consideraciones al efecto. No obstante, tales medidas de seguridad podrán ser reemplazadas por otras compensatorias, siempre y cuando se justifique documentalmente que la protección que aportan es, al menos, equivalente, y satisfacen los principios básicos y requisitos mínimos indicados previamente.
    En el artículo 29 se hace un llamamiento a la utilización de infraestructuras y servicios comunes de las administraciones públicas en aras de lograr una mayor eficiencia y retroalimentación de las sinergias de cada colectivo.
    Por último, el artículo 30 establece la posibilidad de implementar perfiles de cumplimiento específicos, así como esquemas de acreditación de entidades de implementación de configuraciones seguras.
  • El capítulo IV versa sobre la auditoría de la seguridad, el informe del estado de la seguridad y la respuesta a incidentes de seguridad.
    La auditoría de la seguridad se desarrolla íntegramente en el artículo 31, detallando las características del procedimiento de auditoría, así como de los correspondientes informes. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas. La auditoría se realizará en función de la categoría del sistema y, en su caso, del perfil de cumplimiento específico que corresponda, según lo dispuesto en los anexos I y III y de conformidad con lo regulado en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información. En la realización de las auditorías de la seguridad se utilizarán los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de actividades. El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas, todo ello de conformidad con la citada Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información. Los informes de auditoría serán presentados al responsable del sistema y al responsable de la seguridad. Estos informes serán analizados por este último que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, el responsable del sistema podrá suspender temporalmente el tratamiento de informaciones, la prestación de servicios o la total operación del sistema, hasta su adecuada subsanación o mitigación. Los informes de auditoría podrán ser requeridos por los responsables de cada organización, con competencias sobre seguridad de las tecnologías de la información, y por el CCN.
    Por su parte, el artículo 32, relativo al informe del estado de la seguridad, destaca el papel de la Comisión Sectorial de Administración Electrónica en este ámbito, así como del CCN y los órganos colegiados competentes en el ámbito de la administración digital en la Administración General del Estado.
    La prevención, detección y respuesta a incidentes de seguridad se regula en los artículos 33 y 34, separando, por un lado, los aspectos relativos a la capacidad de respuesta y, por otro, los relativo a la prestación de los servicios de respuesta a incidentes de seguridad, tanto a las entidades del Sector Público como a las organizaciones del sector privado que les presten servicios.
  • En el capítulo V, artículos 35 a 38, se definen las normas de conformidad, que se concretan en cuatro: Administración Digital, ciclo de vida de servicios y sistemas, mecanismos de control y procedimientos de determinación de la conformidad con el ENS.
  • Por su parte, el capítulo VI, compuesto por su único artículo, el 39, establece la obligación de actualización permanente, de acuerdo con el marco jurídico vigente en cada momento, la evolución de la tecnología y los estándares en materia de seguridad y sistemas, así como de las ya mencionadas nuevas amenazas y vectores de ataque.
    Concluye el articulado de la parte dispositiva con el capítulo VII, que desarrolla el procedimiento de categorización de los sistemas de información, definiendo en el artículo 40 las categorías de seguridad y en el artículo 41 las facultades al respecto.

En cuanto a las tres disposiciones adicionales:

  1. La primera regula los programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público que desarrollarán el CCN y el Instituto Nacional de Administración Pública.
  2. La segunda disposición adicional regula las instrucciones técnicas de seguridad, de obligado cumplimiento y las guías de seguridad de las tecnologías de la información y la comunicación (guías CCN-STIC).
  3. Por último, la tercera disposición adicional establece el cumplimiento del llamado principio de «no causar un perjuicio significativo» al medioambiente (principio DNSH, por sus siglas en inglés, Do No Significant Harm) y las condiciones del etiquetado climático y digital.

La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación de este real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.

La disposición derogatoria suprime el Real Decreto 3/2010, de 8 de enero, así como cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.

Por último, la norma cuenta con tres disposiciones finales:

  1. La primera de ellas enumera los títulos competenciales.
  2. La segunda disposición final habilita a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital para dictar las disposiciones necesarias para la su aplicación y desarrollo, sin perjuicio de las competencias de las comunidades autónomas para el desarrollo y ejecución de la legislación básica del Estado.
  3. La tercera ordena la entrada en vigor el día siguiente al de su publicación en el BOE.

El real decreto se complementa con cuatro anexos: el anexo I regula las categorías de seguridad de los sistemas de información, detallando la secuencia de actuaciones para determinar la categoría de seguridad de un sistema; el anexo II detalla las medidas de seguridad; el anexo III se ocupa del objeto, niveles e interpretación de la Auditoría de la seguridad y, por último, el anexo IV incluye el glosario de términos y definiciones.