Follow us on:
Perspectives

IA: problema y solución de la ciberseguridad

Monday, 07 August 2017 Maria Jose de la Calle Posted in iTTi Views

Sobre la IA

La llamada inteligencia artificial (IA) en general, y la computación cognitiva (CC) en particular, están llamadas a producir otra revolución en cuanto a herramientas que sirvan para impulsar campos tan diversos como la ciencia, la medicina, la gestión de las ciudades, la fabricación[i]; o proporcionar autonomía a las máquinas. En resumen, la vida de todos. 

Pensemos, por ejemplo, en RobERt[ii] (Robotic Exoplanet Recognition), para el análisis de posibles planetas que puedan tener vida; en la predicción de enfermedades[iii], como un ataque al corazón o un derrame cerebral; las llamadas "ciudades inteligentes"[iv]; o los medios de transporte autónomos, como los coches o los trenes. 

Aunque la IA y la CC pudieran parecer sinónimos, en realidad son dos conceptos, que, aunque relacionados  son un poco diferentes. Así, la Harvard Business Review (HBR) en el artículo "La IA añade una nueva capa al ciber riesgo"[v] del pasado mes de abril, proporcionaba las siguientes definiciones: 

"Mientras las dos tecnologías se refieren al mismo proceso, [...] la CC utiliza un conjunto de tecnologías diseñadas para aumentar las capacidades cognitivas de la mente humana. Un sistema cognitivo puede percibir e inferir, razonar y aprender. Definimos la IA aquí en un sentido amplio aquello que se refiere a ordenadores que pueden realizar tareas para las que se requeriría inteligencia humana".

Es decir, la CC sería una disciplina contenida en la IA. 

A los sistemas IA en general, se los puede entrenar para analizar y entender el lenguaje natural, imitar el razonamiento humano o tomar decisiones. 

Los sistemas CC se construyen con el fin de proporcionar información para tomar decisiones, y aprender por sí mismo tanto de datos recogidos o que se le provean y de su interacción con las personas. 

Para conseguir que un sistema o máquina aprenda una tarea o asimile una serie de conocimientos, hay que proporcionarle, primero una serie de algoritmos -constituidos por modelos matemáticos estadísticos- que sirvan para, y este es el segundo paso, tratar los datos o información con los que se alimenta al sistema y con los que iniciar el proceso de aprendizaje, y en tercer lugar, sesiones de entrenamiento entre expertos, que realizan preguntas y evalúan las respuestas de la máquina, cambiando los resultados según la evaluación recibida. 

Los algoritmos se van adaptando dependiendo de los datos que se le suministren y de la interacción con los humanos o con el entorno. 

La CC en particular -y por tanto la IA que la engloba- como cualquier tecnología [de la Información], por una parte, introduce nuevos elementos de inseguridad, y, por otra, puede ser utilizada para hacer más seguros los sistemas. Si una tecnología es muy potente, tanto lo es para producir beneficios como para producir daños, con lo que su control debe ser comparable.  

Nuevos riesgos que comporta la CC 

La HBR en el artículo citado[vi] anteriormente, aborda este tema centrándose en lo que es intrínseco a la CC, que es que sus algoritmos se van ajustando a medida que procesa nuevos datos e interacciona con el entorno y los humanos tanto en la etapa de establecimiento y construcción del sistema propiamente dicho como posteriormente, cuando ya esté en explotación. 

Un sistema cognitivo en principio -dando por supuesto la bondad de los algoritmos que lo soportan- es tan bueno para conseguir el propósito para el cual se ha definido y construido, como lo sean los datos de los cuales se haya alimentado y los expertos que lo hayan entrenado y le hayan proporcionado un contexto, y, posteriormente, en la bondad del entorno en el cual funcione.

Sin embargo, no hay garantía al cien por cien de los resultados, ni de que el sistema vaya a seguir con el comportamiento deseado para el que se construyó. No es un sistema que siga en su funcionamiento unos pasos definidos y conocidos hasta su resultado final, así una y otra vez, de manera determinista. Los resultados que proporciona son estadísticos, y su comportamiento no puede ser explicado, y por tanto regulado, completamente. 

El aprendizaje continuo a medida que el sistema interacciona, que en principio parecería adecuado ya que para eso se construyó, tiene sus riesgos. Por ello, hay que seguir controlando muy de cerca en base a qué sigue aprendiendo y cuáles son sus resultados. 

En el primer estadio, el de su establecimiento y aprendizaje iniciales, las personas que lo han entrenado, de manera inconsciente o intencional, pueden aportar datos confusos o erróneos, no aportar información crítica para conseguir el comportamiento deseado, o entrenar al sistema de manera inapropiada. 

El sistema ya en explotación, está cambiando continuamente en su hacer cotidiano -por definición- y, si alguien quisiera manipularlo, no tendría más que interaccionar con él de manera que pueda cambiar sus objetivos o añadir otros. 

Un ejemplo de esto fue el bot de Twitter, "Tay", diseñado para aprender a comunicarse en lenguaje natural con gente joven, y que rápidamente hubo que retirarlo. Personas mal intencionadas (trolls) utilizando las vulnerabilidades de sus algoritmos de aprendizaje, suministraron contenido racista y sexista, con un resultado de que "Tay" comenzó a responder con comentarios inapropiados a millones de seguidores.  

Al igual que la CC se emplea para un uso adecuado, se puede emplear para todo lo contrario[vii]. 

Los "chatbots" son sistemas que interactúan con las personas en lenguaje natural y se pueden utilizar en centros automatizados de atención al cliente. La exactitud en sus respuestas tiene mucha importancia, especialmente en sectores como la salud y el financiero, los que, además, tienen un gran volumen de datos confidenciales, que son recabados y tratados para dicho objetivo.

Dichos "chatbots" también pueden ser utilizados por [ciber]delincuentes para ampliar sus transacciones fraudulentas, engañar a personas haciéndose pasar por otras personas o instituciones de confianza, robar datos personales, e introducirse en los sistemas. 

Hay que conseguir ser capaz de detectar cambios en la actividad normal de redes y ordenadores, y  detectar nuevas amenazas. 

CC como herramienta de ciber-seguridad 

Para enfrentarse a una amenaza no hay más remedio que utilizar herramientas al menos tan potentes como la amenaza a afrontar.  

Parece que algo se está haciendo en ese sentido si atendemos a los resultados de un estudio que presenta la HBR[viii], en el que se concluye que la IA en lo que más se está utilizando es en actividades entre ordenadores y análisis de información producida o intercambiada entre máquinas, siendo el departamento de informática el que más  la usa,  concretamente el 44% de dicho uso empleado en la detección de intrusiones no autorizadas a los sistemas, es decir, en ciber-seguridad. 

Las técnicas de aprendizaje de las máquinas pueden aportar un conocimiento mejor del funcionamiento normal de los sistemas, y de actuaciones y patrones de código malicioso no autorizados.  

Así, haciendo uso de dichas técnicas, tareas rutinarias como el análisis de grandes volúmenes de datos sobre la actividad de los sistemas o los incidentes de seguridad, aportan una gran precisión en la identificación de comportamientos anormales así como la detección de accesos no autorizados o la identificación de código malicioso. 

Además, los [ciber]delincuentes transforman constantemente sus ataques para conseguir sus objetivos. Mucha parte del malware que circula por la red está relacionado con otro ya conocido. Los sistemas cognitivos, analizando miles de objetos de código malicioso pueden encontrar patrones de comportamiento que ayuden a identificar futuros virus mutados, e incluso entender cómo los piratas informáticos explotan nuevos enfoques. 

Así se consigue un conocimiento ajustado a la organización, ya que el sistema cognitivo está aprendiendo con la información suministrada por todos los elementos que componen sus sistemas informáticos -en sentido amplio de la informática corporativa (TI) y la informática operacional (TO)-, que proporcionan no sólo datos, sino un contexto -sector, tecnologías empleadas, arquitectura de los sistemas, etc.-. 

Lo que para una empresa una cantidad de tráfico por un segmento de red, o una cantidad de peticiones a un servidor puede suponer una amenaza, para otra pueden ser datos normales. Depende del negocio y de cómo se utilice la tecnología. 

Con este conocimiento, las alarmas se reducirán considerablemente permitiendo un análisis y actuación humana más centrados en aquellos incidentes que lo requieran, se podrán detener las amenazas antes de que penetren y se propaguen en los sistemas, y, en algunos casos, se podrán actualizar o poner un parche de manera automática donde se requiera. 

Pero los sistemas cognitivos no se tienen que reducir a analizar los datos producidos por las máquinas, almacenados en los logs, es decir, datos estructurados. La CC tiene otras herramientas de las que pueden hacer uso los sistemas para interpretar los datos no estructurados. Al utilizar el reconocimiento del lenguaje natural tanto hablado como escrito, pueden examinar informes, alertas comunicadas en redes sociales o comentarios sobre amenazas, conversaciones o seminarios, análogamente a cómo lo hacen los expertos -humanos- en seguridad para mantenerse permanentemente informados.  

Finalmente, insistir en el papel esencial que juegan los humanos en la CC. Por una parte, el aprendizaje de la máquina no solo supone la ingesta automática de datos -seleccionados o proporcionados los criterios de selección de los datos adecuados por humanos-, sino que debe acompañarse de un entrenamiento realizado por expertos. Por otra, los sistemas cognitivos ofrecen informes, que serán estudiados por las personas adecuadas con el fin de tomar decisiones. 

Que es lo que viene a decir Bloomberg en el artículo "La Inteligencia Artificial no puede sustituir el toque humano en ciber-seguridad"[ix] del pasado mes de abril, en el que proporciona el ejemplo de Mastercard Inc., que utiliza sistemas de IA para detectar transacciones anormales, para, a continuación, ocuparse los profesionales de ciber-seguridad de evaluar la gravedad de la amenaza.  

Conclusión: Wanna Cry

¿Qué hubiera pasado si una vez publicado el código de la herramienta de la NSA "EternalBlue" las máquinas hubieran leído su código y aprendido cómo funcionaba? 

Quizás se hubiera desactivado su carga, bien porque la máquina hubiera reconocido sus códigos como maliciosos, bien porque hubiera buscado un parche para la vulnerabilidad aprovechada para lanzar los ataques. 

Según The Hacker News[x], desde que "The Shadow Brokers" a principios de abril filtró la vulnerabilidad y el código, este se aprovechó en varios ataques durante ese mismo mes, y, ya en el mes de mayo, se utilizó para "Wanna Cry". 

A mitad de abril, Microsoft liberó los parches que arreglaban la vulnerabilidad de sus sistema de intercambio de ficheros (SMB - Server Message Block) para todas las versiones de los distintos sistemas operativos que la tenían, incluyendo los que ya no da soporte, como el Windows-XP. 

¿Se podría haber evitado Wanna Cry? 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", julio-agosto 2017, nº 324, pg.95, Ciberseguridad – "IA: problema y solución de la ciber-seguridad" – María José de la Calle. 

--------------------------------------------

[i] "These factories are crunching production time with artificial intelligence" (20160709) Business Insider url [a 20170529] http://www.businessinsider.com/sc/artificial-intelligence-change-manufacturing  

[ii] Clay Dillow (20161121) "How scientists will use artificial intelligence to find aliens" Popular Science url [a 20170529] http://www.popsci.com/how-scientists-will-use-artificial-intelligence-to-find-aliens  

[iii] "Artificial intelligence can accurately predict future heart disease and strokes, study finds" (20170424) University of Nottingham url [a 20170529] https://www.nottingham.ac.uk/news/pressreleases/2017/april/artificial-intelligence-can-accurately-predict-future-heart-disease-and-strokes-study-finds.aspx  

[iv] Kevin Ebi (20170518) "How will AI transform cities? 3 experts weigh in" SmartCitiesCouncil url [20170529] http://smartcitiescouncil.com/article/how-will-ai-transform-cities-3-experts-weigh  

[v] "While both technologies refer to the same process, [...] cognitive uses a suite of many technologies that are designed to augment the cognitive capabilities of a human mind. A cognitive system can perceive and infer, reason and learn. We’re defining AI here as a broad term that loosely refers to computers that can perform tasks that once required human intelligence."  

Greg Bell, Cliff Justice, Tony Buffomante, Ken Dunbar (20170413) "AI Adds a New Layer to Cyber Risk". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/ai-adds-a-new-layer-to-cyber-risk.  

[vi] Ver nota v. 

[vii] Como nos ilustra el artículo "Artificial intelligence-powered malware is coming, and it's going to be terrifying". Rob Price (20161008) Business Insider UK url [a 20170529]  http://uk.businessinsider.com/darktrace-dave-palmer-artificial-intelligence-powered-malware-hacks-interview-2016-10  

[viii] Satya Ramaswamy (20170417) "How Companies are already using AI". Harvard Business Review. url [a 20170529] https://hbr.org/2017/04/how-companies-are-already-using-ai  

[ix] Jimmy H. Koo (20170404) "Artificial Intelligence Can’t Replace Human Touch in Cybersecurity" Bloomberg url [a 20170529] https://www.bna.com/artificial-intelligence-cant-n57982086179/  

[x] Mohit Kumar (20170519) "More Hacking Groups Found Exploiting SMB Flaw Weeks Before WannaCry". The Hacker News url [a 20170529]  http://thehackernews.com/2017/05/eternalblue-smb-exploit.html   

 

¿Sociedad de la información o sociedad inundada de información?

Monday, 24 July 2017 Maria Jose de la Calle Posted in iTTi Views

El uso de las tecnologías de la información con su capacidad de comunicación y producción de datos e información, ha conducido a una inundación de los mismos, inundación que está produciendo una incapacidad para leer, comprender, juzgar e interpretarlos, debidamente. Una consecuencia de esto, es la propagación de noticias falsas en las redes, a veces por desconocimiento, a veces con intenciones aviesas. 

El vocablo "inundar" proviene de la palabra latina inundare, que significa llenar de agua. Así lo expresa el Diccionario de la Real Academia de la Lengua Española (DRAE) en su primera acepción, es "Dicho del agua: Cubrir un lugar determinado".  A lo que se añade una tercera "Dicho especialmente de un gran número de personas o cosas: Llenar un lugar". 

Así mismo, el DRAE en la entrada de "informar", nos informa que viene del latín informāre: 'dar forma', 'describir'.

Así pues se puede afirmar que la información proporciona descripción de fenómenos, situaciones, actividades, personas, cosas, etc.  

Los datos y la información no sólo los generamos los humanos, también los generan las máquinas. El V informe de INCAPSULA[i]  del tráfico producido en la red proporciona el siguiente dato: el 51,8% es creado por máquinas, no por personas. 

La Información se vierte -o vomita- en la red en forma de texto o imágenes sobre lo que sucede a nuestro alrededor. La inmediatez con que llegan las noticias colocadas en la web por cualquier testigo presente con un dispositivo móvil, ha producido que ya no se necesite tener a un periodista presente para contarlas. De hecho no es infrecuente ver vídeos o fotos tomadas por "aficionados" en las páginas web de periódicos, o un artículo-noticia "veteado" con "tweets" recientes de testigos de la noticia.  

Unido a esto, hay aplicaciones o bots[ii] que la generan automáticamente, como el caso de los que utiliza la BBC[iii]. En Twitter, detrás de entre 9% y el 15% de las cuentas no hay personas[iv]. Son utilizadas para generar visitas a web poco visitadas -por personas-, generar spam, crear tendencias; o -por proporcionar ejemplos más positivos-, para atención al cliente o como asistentes.  

Tal abundancia se puede llevar por delante y dañar la calidad de la propia información. Cuando se habla de la seguridad de la información, se está haciendo referencia a la confidencialidad (C), integridad (I) y disponibilidad (D). Quizás a la seguridad de la información, para que ésta sirva para "dar forma" adecuada a hechos y cosas en general, habría que dotarla de otra cualidad, que es la veracidad, que a diferencia de la tríada C-I-D, no es un tema técnico, sino más bien de conocimiento de la disciplina relacionada con la propia información. 

Las inundaciones constituyen, en la mayoría de los casos, fenómenos adversos que destruyen el "lugar que llenan",  llegando a producir daños al medio ambiente, a propiedades e incluso, a las personas. Se lo llevan todo por delante, allá por donde pasan. 

De igual manera, la inundación de datos e información hace que éstos se tornen inútiles. Trae una mezcla de datos veraces y otros no tanto, de datos útiles e inútiles, de información publicada con una intención de informar o de desinformar. Hay que tener la capacidad de saber separar aquello necesario de lo que no lo es, y lo que es cierto de lo que no, de intuir el propósito que subyace a ella. Hay que saber elegir e interpretar aquello que sea útil para el propósito que se busca, en un tiempo razonable. Esto es lo que se  denomina pertinencia. 

La información no adecuada o falsa puede causar daños ya que puede confundir, dañar la imagen de una persona u organización, o manipular una toma de decisiones. 

Por ejemplo, en unas elecciones la manipulación de hechos dirigidos a la 'opinión pública', con el fin de conseguir votantes. Este fue el caso de las últimas elecciones presidenciales en EEUU, según la publicación de la Universidad de Stanford "Social Media and Fake News in the 2016 Election"[v], en que se puede leer la preocupación por los efectos que las falsas noticias que circularon por las redes sociales, la mayoría de las cuales favorecían al presidente electo, y cómo dichas noticias podían haber inclinado la balanza hacia él.

La importancia de la información y su control no es un tema nuevo. 

Así, el profesor Josep Fontana en su libro "La historia de los hombres"[vi], explica "la aparición de una 'opinión pública' a partir de mediados del s. xvii". Un fenómeno ligado al surgimiento de una auténtica 'industria de la información' que multiplicó las impresiones de cartas, folletos, gacetas y, en general, de textos breves y accesibles a un público extenso, que se ocupaban de crítica política o reproducían todo tipo de noticias del momento. Y añade "la importancia que tuvo en Italia y Francia esta revolución de la información que llevaba a los propios historiadores a decir que vivían en un tiempo "lleno de noticias" y que obligó a los gobiernos a tomar historiadores a su servicio para combatir los efectos de la crítica (Luís XIV de Francia tenía en nómina a 19 historiadores)".  

El adjetivar el tiempo en que vivían como "lleno de noticias" nos hace sonreír.  Con el apoyo de las Tecnologías de la Información, la cantidad de información que se genera y distribuye en el mundo hoy día es enorme. Para medirla, y tomando como base el byte[vii], se ha pasado desde el comienzo de estas nuevas tecnologías, de kilobytes (Kb = 103 bytes),  a megabytes (Mb 106 bytes), gigabyte (Gb = 109 bytes), terabyte (Tb = 1012 bytes), petabyte (Pb = 1015 bytes), exabyte (Eb = 1018 bytes), zettabyte (Zb = 1021 bytes).  

Un artículo[viii] de hace un año de la "Northeastern University" ya decía que al día se producían 2,5 Eb, equivalentes a 90 años de grabación de vídeo en alta definición, o a 150 billones de canciones o a 250.000 veces el contenido en digital de la biblioteca del Congreso de EEUU. 

Se habla de la sociedad de la información, de la información como la energía del siglo XXI, de la revolución de la información. Pero para que ésta constituya un bien para todos y riqueza parala sociedad, es necesario aprender a utilizarla, a producirla y a distribuirla. Hay que cuidarla y mantenerla adecuada para el consumo, al igual que el agua. La información contaminada, puede causar muchos daños. 

¿Qué es la información?

La información es el resultado de la interpretación de unos datos: primero hay que conocer la bondad de dichos datos, y segundo, fijar un contexto para interpretar dichos datos.  

Por tanto, con el fin de poder hacer uso de una información, hay que tener la capacidad para analizar ambas cosas: los datos y el contexto utilizado para interpretarlos. Así, se podrá distinguir lo verdadero de lo falso, o la intención que pueda subyacer a la información.

¿Pero hay tiempo de reflexión suficiente o criterios claros a la hora de retwittear o dar un click en a "me gusta"? ¿Hay capacidad para una adecuada selección da datos a la hora de utilizarlos? 

Desde luego nos podemos servir de herramientas que ayuden a esta tarea, pero dichas herramientas están basadas en criterios de selección, clasificación y extracción que también se deberían conocer, ya que podrían estar creados para dar unos resultados no acordes con los fines buscados. Recordemos además que todo filtro supone falsos positivos y falsos negativos. 

Para esto, la educación tiene mucho que decir. Sin ir más lejos, en la plataforma de cursos gratuitos en-línea (moocs) "edx" hay un curso "Fake News, Facts, and Alternative Facts"[ix], "para aprender a distinguir fuentes de noticias fiables e identificar los sesgos de la información para llegar a ser un consumidor crítico de la información". 

Cómo decidir si una información es falsa  

En una reciente infografía[x] de "Futurism.com" se puede leer lo siguiente: "Las noticias falsas son un serio problema en EEUU a día de hoy por varias razones: está influenciando las acciones de las personas, y éstas están teniendo dificultades para entender qué noticia es verdadera y cuál es falsa". 

La existencia de tantos datos e informaciones falsas, parece que ha empezado a preocupar. A juzgar por las noticias publicadas, lo que ha disparado dicha preocupación han sido las últimas elecciones en los EEUU -como el ya comentado documento de la Universidad de Stanford o la infografía de Futurism- en las que se ha hecho una utilización masiva de las redes sociales, y en las que se podía saber minuto a minuto todo lo que decían los candidatos y lo que se comentaba de ellos, fuera cierto o no.  

En la infografía se proponen tres soluciones: que quien edita la noticia se asegure de que es cierta -solución que ya en publicaciones de cierto rigor se viene haciendo-; que sean los usuarios/lectores quienes juzguen, marcándolas en un sentido u otro; algoritmos que las marquen, solución que ya se ha puesto en marcha en algunas redes.

Tanto la primera solución como la segunda dependen del "buen hacer" de las personas, y el proceso a veces es lento para la velocidad de comunicación en la web. En cuanto a las soluciones automatizadas, se pone en manos de unos pocos -las empresas dueñas de dichas soluciones- la importante tarea de marcar datos e información como no falsos. 

Según el artículo de "The New York Times", "Google and Facebook Take Aim at Fake News Sites"[xi], las redes sociales no se libraron de las críticas por permitir las noticias falsas. Tanto es así, que tomaron cartas en el asunto: Google prohibiría las web que difundiera noticias falsas, y Facebook no mostraría publicidad de páginas -sites- que incluyan noticias falsas.

Posteriormente, Facebook, según un artículo[xii] de Vox del pasado 27 de marzo, obligaría a dar dos clicks para poder compartir una noticia que según sus algoritmos considerara falsa, marcándola con una etiqueta "disputed" (controvertida).  

Las medidas que implementan dichas empresas en sus herramientas, están basadas en algoritmos de los que hay que fiarse sin saber muy bien cómo funcionan. 

Esto se complica más si dichos algoritmos pertenecen a la categoría de la "Inteligencia Artificial"; la cuestión de conocer cómo está funcionando un algoritmo concreto sería un tema difícil de resolver: el sistema adapta sus algoritmos dependiendo de los nuevos datos que trate. Citando un artículo[xiii] de la "MIT Technology Review", "Nadie realmente sabe cómo los más avanzados algoritmos hacen lo que hacen. Esto podría ser un problema". 

Cualquiera de de las tres soluciones parece tener sus problemas, quizás la solución no sea una u otra sino todas al unísono. 

Pero hay una última de la que no habla la infografía, que ya he apuntado antes: la educación, es decir, aprender a tratar la información, contrastarla con diferentes fuentes, aprender cómo conseguir fuentes fiables. Y tomarse el tiempo suficiente -dependiendo de las consecuencias de la acción posterior- para tomar en consideración una información u otra.  

En definitiva, aprender a vivir en la sociedad de la información. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", junio 2017, nº 323, pg.84, Ciberseguridad – "¿Sociedad de la información o sociedad inundada de información?" – María José de la Calle.

------------------------------------

[i] "Bot Traffic Report 2016". url [a 20170424]  https://www.incapsula.com/blog/bot-traffic-report-2016.html   

[ii] "Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano", según la definición que ofrece Wikipedia. url [a 20170424] https://es.wikipedia.org/wiki/Bot  

[iii] "How can we leverage bot technologies to reach new audiences on messaging platforms and social media?" url [[a 20170424] http://bbcnewslabs.co.uk/projects/bots/  

[iv] O. Varol, E. Ferrara, C. A. Davis,F. Menczer, A. Flammini (20170327)  "Online Human-Bot Interactions: Detection, Estimation, and Characterization".  url [a 20170424]  https://arxiv.org/pdf/1703.03107.pdf  

[v] H. Allcott, M. Gentzkow (201703).  "Social Media and Fake News in the 2016 Election".  url [a 20170424] https://web.stanford.edu/~gentzkow/research/fakenews.pdf  

[vi] "La historia de los hombres" Pag. 84. Josep Fontana. Ed. Crítica, 2001. 

[vii] url [a 20170424] https://es.wikipedia.org/wiki/Byte  

[viii] M. Khoso (20160513)  "How Much Data is Produced Every Day?". Northeastern University. url [a 20170424]  http://www.northeastern.edu/levelblog/2016/05/13/how-much-data-produced-every-day/  

[ix] "Learn how to distinguish between credible news sources and identify information biases to become a critical consumer of information". edx.  url [a 20170424] https://www.edx.org/course/fake-news-facts-alternative-facts-michiganx-teachout-2x  

[x] "Fake news is a serious problem in the U.S. right now, for several reasons: it is influencing the actions of real people, and people are having difficulty undestanding which news is real and which news is fake" Futurism.com. url [a 20170424] https://futurism.com/images/fighting-fake-news-can-technology-stem-the-tide/  

[xi] N. Wingfield, M. Isaac, K. Benner (20161114)  "Google and Facebook Take Aim at Fake News Sites" The New York Times. url [a 20170424]   https://www.nytimes.com/2016/11/15/technology/google-will-ban-websites-that-host-fake-news-from-using-its-ad-service.html?_r=0  

[xii] A. Romano (20170324) "Facebook is fighting fake news by making it harder — or at least more annoying — to share" Vox. url [a 20170424]  http://www.vox.com/culture/2017/3/24/15020806/facebook-fake-news-alert-fact-checking 

[xiii] "No one really knows how the most advanced algorithms do what they do. That could be a problem."  W. Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170424]  https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/ 

 

Contadores inteligentes: 4 zonas de inseguridad

Thursday, 20 July 2017 Maria Jose de la Calle Posted in iTTi Views

Se han producido dos hechos que me han llevado a hacer algunas reflexiones sobre los contadores -equipos de medida del consumo eléctrico, de gas o de agua-  llamados "inteligentes". (Hoy día todo tiene que ser inteligente, ¿será que las personas ya no lo somos tanto?). 

El primero de los hechos, la recomendación de un artículo[i] en el boletín semanal del "Centro de Ciberseguridad Industrial" (CCI) del 8 de mayo pasado sobre la seguridad -o mejor dicho, inseguridad- de dichos contadores, tal y como indica su título, "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de ataque". 

El segundo, unos días después, la llegada de una carta de Iberdrola informándome de la próxima sustitución del contador actual por otro "inteligente".  

Según la carta, los nuevos equipos de medida permiten la telegestión, significando esto, y cito textualmente "la capacidad de lectura de contadores y cambio de condiciones de contrato sin personarse en el domicilio". Es decir, los nuevos equipos de medida suponen un enlace directo con la empresa suministradora.  

Entre las ventajas que se supone que aportan al usuario son localizar más rápidamente el origen de una avería, y por tanto, resolución más rápida; el acceso desde la web del propio usuario al contador para poder obtener datos de consumo, de contrato, o la reconexión del interruptor de control de potencia (ICP) tras un disparo por sobrecarga.

Dichos contadores además de informar sobre el consumo, "incluyen comunicación bidireccional a intervalos frecuentes y pueden informar de situaciones como apagones", como bien resume el artículo anteriormente citado. 

Estos equipos están comunicados -en la mayoría de los casos, por medio de la red móvil GSM- a servidores, a los que envían y desde los que reciben datos. Los datos intercambiados pueden ser de varios tipos, tal y como se informa en la carta: contractuales y personales, de estado del equipo, u  órdenes que se le pueden dar a dicho equipo -como la reconexión del ICP, por ejemplo-. 

La falta de seguridad en estos dispositivos, y sus comunicaciones, hace que bienes personales y de las empresas se encuentren amenazados, tanto los virtuales -información en general- como los físicos. Hoy día los procesos físicos están controlados por software -ataques a las subestaciones eléctricas de Ucrania, por ejemplo-. 

Algunas amenazas en el uso de los contadores inteligentes

Así, volviendo al citado artículo "Productos seguros: utilizando los contadores inteligentes como vectores (portadores) de  ataque", su título ya nos proporciona alguna pista. 

Dicho artículo se apoya en un informe[ii] de hace diez años del Sandia National Laboratories[iii] de EEUU, en el que se describen varias amenazas a tener en cuenta en el uso de dichos dispositivos, en un momento entonces incipiente. 

Tales amenazas se centraban -para la empresa- en el propio cliente que podía alterar sus consumos o el precio para así conseguir energía más barata; en la amenaza interna de la empresa -los propios empleados- para alterar el comportamiento de los dispositivos y sistemas comunicados entre sí, y en el terrorismo y la amenaza de otra nación hacia la infraestructura crítica que supone la red eléctrica, de distribución de gas o de agua. Los autores del informe suponían, por tanto, la debilidad de  los equipos de medida y de la red creada alrededor de unos servidores con los cuales se comunicaban.  

Se pueden delimitar tres zonas que pueden resultar atacadas: el propio contador, el servidor con el que se comunica y la estación de producción o distribución del bien de que se trate.  

Ahora bien, el contador está situado entre la red de suministro y el edificio al cual se le suministra energía. 

Cambiando la perspectiva de la red de suministro hacia el destino del suministro, es decir, hacia el cliente, este se puede ver amenazado por un ciber-delincuente que piratee el contador o recoja los datos que circulan a través de las redes inalámbricas o móviles con las que se conecta dicho contador con la empresa suministradora. 

Como la propia empresa suministradora indica en sus cartas, los datos son contractuales y personales (lo que puede suponer una violación de la intimidad); de estado del equipo; u órdenes que se le pueden dar a dicho equipo.

Estas órdenes, entre otras cosas, pueden dejar sin suministro al edificio o causar una sobrecarga, lo que  puede producir daño a los bienes conectados y a lo que contengan -alimentos refrigerados o congelados, por ejemplo- o daños personales, al dejar de tener el suministro adecuado de energía -piense, por ejemplo, en dispositivos eléctricos para el cuidado de la salud-. 

Con esta nueva perspectiva, aparece la cuarta zona de inseguridad, que es la relativa al cliente y sus datos personales, así como sus bienes necesitados de un correcto suministro de la energía.   

De lo expuesto, sería lógico esperar que los llamados contadores inteligentes y la red que conforman con los servidores a los que se conectan, estarían actualmente equipados con toda suerte de medidas de seguridad para evitar que los datos fuesen robados o modificados, o para servir de llave de entrada a la organización, como portador de malware.

Sin embargo, a pesar de que han pasado ya diez años desde el informe del Sandia National Laboratories, los equipos de medida no parece que hayan cambiado mucho y las amenazas parece que cada vez tienen más posibilidades de materializarse.  

Algunas debilidades de los contadores inteligentes

El periódico El Confidencial informaba[iv] en enero del último Chaos Communications Congress, celebrado en Hamburgo (Alemania) a finales de diciembre del pasado año 2016. En dicho congreso, Netanel Rubin -experto en ciberseguridad israelí- avisaba de los peligros de estos equipos. 

Hay que destacar que: "Los contadores inteligentes son poco seguros por diseño”, “no tienen una CPU -unidad central de proceso de un ordenador- con suficiente potencia ni memoria para utilizar claves de cifrado fuertes”. Estas características implican que la parte del código que controla las comunicaciones está normalmente reducido y optimizado. 

Habitualmente, la forma en que se comunican los contadores con los servidores de las compañías es mediante el protocolo GSM, el estándar de comunicaciones 2G utilizado en las redes móviles, eminentemente inseguro[v]. 

Aunque todo esto ya resulta alarmante, siguiendo con el artículo, la entrada física de un ladrón en un edificio se puede ver facilitada. 

Por una parte, dado que entre los datos del contador figura el consumo, se puede deducir cuándo el edificio o vivienda están vacíos. 

Por otra, desde el contador inteligente se podría -si no hay cortafuegos o contraseñas robustas- tener "acceso a todos los dispositivos inteligentes del edificio conectados a él, desde el aire acondicionado hasta un sistema de cierre de puertas automático”. 

Si entre los dispositivos inteligentes está la cerradura de la puerta, ya no será necesario forzarla -físicamente- para entrar. 

Además, “los contadores están situados en un punto crítico de la red eléctrica, debido a la gran cantidad de voltaje que reciben y distribuyen. Una línea de código incorrecta podría causar serios daños, un atacante que consiguiera controlar el software que rige el aparato, podría hacer que este explosione y provoque un incendio”. 

En 2015, en Sacramento[vi] (California) esto fue lo que ocurrió, la explosión de contadores, no por el  software en este caso, sino por una causa física que produjo una sobrecarga.  

¿Se puede hacer algo?

Se puede, tal como aconseja la autora del artículo, "Los riesgos se evitarían si las compañías usaran un método de cifrado robusto, si segmentaran la red para emplear claves variadas y si monitorizaran el sistema". 

Parece que en España algunas compañías eléctricas aseguran que colocan contadores cuyos datos están cifrados y tienen dos claves de seguridad; y que, además, realizan constantemente análisis de vulnerabilidades a toda la infraestructura de telegestión, incluidos los equipos de campo. 

(Espero que entre ellas esté Iberdrola porque es la que alimenta mi ordenador y mi nevera).  

* * * 

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "Contadores inteligentes: 4 zonas de inseguridad" el día  12/06/2017 - María José de la Calle. 

---------------------------------------

[i] "Safety products: Using smart meters as a digital attack vector" (20170424) Utility Products url [a 20170606] http://www.utilityproducts.com/articles/2017/04/safety-products-using-smart-meters-as-a-digital-attack-vector.html  

[ii] Raymond C. Parks (200711) "Advanced Metering Infrastructure Security Considerations" Sandia National Laboratories url [a 20170606] https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/20-AMI_Security_Considerations.pdf  

[iii] url [a 20170606] https://es.wikipedia.org/wiki/Laboratorio_Nacional_Sandia   

[iv] Lucía Caballero (20170110) "Por qué el contador inteligente de la luz es una bomba de (ciber)relojería en tu casa" El Confidencial url [a 20170606] http://www.elconfidencial.com/tecnologia/2017-01-10/contador-inteligente-factura-luz-electricidad-ciberataques_1314050/  

[v] Daviid G. Ortiz (20140308) "Investigadores españoles demuestran que las redes 3G se pueden 'hackear' al menos de cuatro formas" eldiario.es url [a 20170606] http://www.eldiario.es/hojaderouter/seguridad/root2G-3G-ataques-David_Perez-hacking-Jose_Pico-Layakk-redesed_con-seguridad_informatica_0_275772476.html 

[vi] "Stockton Smart Meters Explode After Truck Causes Power Surge" (20150330) CBS Sacramento url [a 20170606] http://sacramento.cbslocal.com/2015/03/30/stockton-smart-meters-explode-after-truck-causes-power-surge/ 

 

¿Pueden pensar las máquinas?

Thursday, 13 July 2017 Maria Jose de la Calle Posted in iTTi Views

El título de esta artículo es en realidad parte de la frase con la que comienza el artículo de Alan Turing titulado "Computing Machinery and Intelligence"[1], publicado en 1950. La frase completa era "Propongo considerar la pregunta, ¿pueden pensar las máquinas?" colocada debajo del epígrafe "1.El juego de imitación", que, como ya habrá adivinado el lector, conduce al conocido "Test de Turing", importante precursor de la disciplina conocida como "Inteligencia Artificial" (IA).

Hoy día se están popularizando términos como computación cognitiva, redes neuronales y aprendizaje profundo -deep learning-, todos ellos conceptos relacionados con la IA, de los que cuales se lleva hablando ya desde mediados del pasado siglo XX.  

Pero no es hasta mediados de la primera década de este siglo XXI cuando se produce un despegue del llamado "aprendizaje de las máquinas" con unos resultados y unas posibilidades que en estos momentos no llegamos a ver. 

Han empezado a proliferar aplicaciones y herramientas basadas en estos modelos de computación, que son los del aprendizaje de las máquinas o "aprendizaje profundo", o herramientas de simulación para hacer predicciones con multitud de datos recogidos de situaciones parecidas, con los que las máquinas aprenden. 

Tanto es así, que los productos que empiezan a salir al mercado, parece que deben llevar alguna etiqueta haciendo referencia a la IA, como "reconocimiento del lenguaje natural", "computación cognitiva",  "aprendizaje de la máquina", etc.  

Empresas como Google, Facebook, Apple, IBM, Salesforce, CISCO, etc. están inmersas en investigación de herramientas y plataformas que utilicen algoritmos de "aprendizaje de las máquinas". En ciberseguridad se está considerando como una potente ayuda a la cantidad de ciberamenazas a que se enfrentan las organizaciones.  

En palabras de Jense Huang -CEO de Nvidia- "El software se está comiendo el mundo, pero la IA va a comerse el software"[2]. 

De la misma manera, las empresas consumidoras demandan, también, dichos productos como solución a sus problemas. 

¿Pero es necesario utilizar para cualquier tarea este tipo de herramientas? ¿O quizás habría que pararse a pensar qué herramienta es necesaria para la tarea concreta independientemente de que lleve la etiqueta de IA o no?  

En diciembre del pasado año 2016, el CISR de la MITSloan en uno de sus "Research Briefing" titulado "Cinco cosas que debes conocer de la computación Cognitiva"[3] publicó datos de un estudio sobre este tema en base a entrevistas realizadas a líderes del negocio y de tecnología de treinta y tres empresas. 

Del estudio se desprende que, por una parte, no hay soluciones inmediatas a las incertidumbres de hoy, y por otra, las soluciones no son universales, ni para todos los problemas y tareas, ni para todas las empresas. Antes de implementar soluciones IA, se deben conocer muy bien las reglas del negocio. 

Las Tecnologías de la Información (TI) son herramientas, muy potentes sin duda, y que han cambiado y siguen cambiando el mundo, pero herramientas al fin y al cabo, que hay que saber dónde, para qué y cómo utilizar. 

Pero empecemos con ... 

Un poco de historia 

El famoso "Test de inteligencia" propuesto por  Alan Turing en 1950, ya mencionado, consistía  en que un humano evaluara conversaciones en lenguaje natural entre otro humano y una máquina diseñada para generar respuestas similares a las de un humano. Se podría calificar de "inteligente" a la máquina si el humano que evaluaba a ambos participantes no supiera distinguirlos.

Unos años después, en 1955, John McCarthy (Dartmouth College), Marvin Minsky (Harvard University), Nathan Rochester (I.B.M. Corporation) y Claude Shannon (Bell Telephone Laboratories) convocaron a un grupo de investigadores para una reunión en el Dartmouth College. 

En la propuesta[4] de temas a tratar que hicieron para la cumbre, aparecieron términos como procesamiento del lenguaje natural, redes neuronales (Neural Nets o NN), aprendizaje y "auto-mejora" (self-improvement) de las máquinas, entre otros.  

El aprendizaje de las máquinas se describía[5] como un mecanismo con canales de entrada y salida, así como de un medio -algoritmos matemáticos- para dar una variedad de respuestas de tal manera que la máquina pudiera ser entrenada por un proceso de "prueba y error" para escoger una de entre una variedad de funciones de "entrada-salida".  

En esencia, esto es lo que hacen las redes neuronales, "que consisten de muchos procesadores sencillos conectados, llamados neuronas, cada uno produciendo una secuencia de activaciones de valores reales. Las neuronas "input" se activan a través de sensores que perciben el entorno, otras neuronas se activan a través de conexiones ponderadas (dando pesos a los distintos datos, de forma análoga a la importancia que se da a los distintos factores cuando se toman decisiones) procedentes de neuronas ya activas"[6]. Son algoritmos y modelos estadísticos. 

La reunión de Dartmouth, efectivamente, tendría lugar en el verano del año siguiente,1956, y entre la veintena de participantes, incluidos los firmantes de la convocatoria, se reunieron tres premios Nobel y cuatro premios Turing[7].

Fue en esta "Conferencia de Dartmouth"[8] ("The Dartmouth Summer Research Project on Artificial Intelligence") donde quedaría acuñado oficialmente el término "Inteligencia Artificial" ("Artificial Intelligence"). 

El nuevo concepto[9] se definió como "la ciencia y la ingeniería para hacer máquinas inteligentes, particularmente programas de ordenadores inteligentes"; entendida dicha inteligencia como "la parte computacional de la capacidad para conseguir objetivos en el mundo". 

Los algoritmos y modelos matemáticos relacionados con las NN han evolucionado desde los años 40 del pasado siglo, de unas cuantas etapas de computación en respuesta a unas cuantas capas de NN (Shallow NN), a algoritmos desarrollados entre los años 60 a 80 para los modelos lógicos de NN complejas de miles de "neuronas" simuladas, organizadas en docenas o centenas de capas interconectadas. 

Las neuronas de la primera capa reciben un dato de entrada o señal -como la intensidad de un pixel en una imagen- y realizan cálculos para entregar como resultado una nueva señal a las neuronas de la siguiente capa, y así hasta obtener un resultado final[10]. 

La profundidad (deep = profundo) del "deep learning" -aprendizaje profundo-, se refiere a la arquitectura de las máquinas en las capas ya mencionadas, análogas a la profundidad de las capas de neuronas interconectadas del cerebro. 

Pese a lo que ya dura la investigación en IA, solo en este siglo XXI[11], y concretamente a partir del año 2006, parece haberse dado el pistoletazo de salida a una carrera en pos de producir herramientas tanto para uso de cualquier ciudadano como para uso industrial -robótica- y empresarial. 

Ha sido en este siglo cuando, por una parte, se ha dispuesto de la cantidad de datos suficiente como para poder alimentar el "aprendizaje" de una máquina; y, por otra, se ha alcanzado una eficiencia y potencia de cálculo en las máquinas notablemente superior a las coetáneas de los principales algoritmos y modelos de la IA del pasado siglo. 

Así las cosas, en el año 2006 Geoffrey Hinton y Ruslan Salakhutdinov -miembros, ambos, en ese momento del departamento de "computer science" de la Universidad  de Toronto- publicaron[12] cómo acelerar el proceso de "deep learning", popularizando este concepto, e impulsando la IA. 

Desde entonces se ha progresado mucho. El reconocimiento de fotografías - por ejemplo las de los gatos, (Google, 2012) o las de personas (Facebook, 2015)-, los llamados "asistentes virtuales" con reconocimiento del lenguaje natural -Siri, Cortana o Alexa-, o las aplicaciones de búsqueda, análisis y clasificación de todo tipo de datos -como ofrece la plataforma "Watson" de IBM-, son todos ejemplos de dicho progreso.  

Es precisamente a IBM, y concretamente a su plataforma "Watson" de IA, a quien se le asocian los términos "computación cognitiva" y "sistemas cognitivos". El Dr. John E. Kelly III, Vicepresidente de "IBM Research", en un documento del 2015, define estos términos como "referidos a sistemas que aprenden a escala, razonan con un propósito e interactúan con humanos de manera natural. En vez de ser explícitamente programados, aprenden y razonan desde su interacción con nosotros y desde sus experiencias con el entorno"[13]. 

Una propuesta muy similar a la recogida en la convocatoria del año 1955 para la Conferencia de Dartmouth, ya citada. 

* *

Sobre la computación cognitiva en las organizaciones

Volviendo a la investigación llevada a cabo por el equipo del CISR[14], en el artículo se declara como objetivo de dicha investigación responder a una serie de preguntas: ¿Cómo de disruptiva es la computación cognitiva (CC)? ¿Cambiará radicalmente la CC los negocios y los trabajos? ¿Qué deben hacer los líderes del negocio para sacar provecho de las posibilidades que le ofrecen? ¿Cómo evitar los riesgos desconocidos? A mi juicio, unas incógnitas perfectamente planteables en el ámbito de la adopción y uso, por parte de las organizaciones, de las tecnologías de la información.  

El documento define la CC "como un sistema que adapta sus algoritmos o procesamiento subyacentes dependiendo de la exposición a nuevos datos"[15].  De esto se puede deducir que, a la hora de desarrollar dicho sistema se necesitan en primer lugar, muchos datos, y, en segundo lugar, tiempo para  estabilizar los algoritmos y conseguir los resultados buscados. 

Los usos que los negocios puedan hacer de la CC serán útiles si los productos que la incorporen son consistentes, precisos y fiables. Dichos usos tienen el potencial de hacer más eficientes los procesos operativos y de toma de decisiones; pero, para ello, dichos procesos se deben entender muy bien, han de estar muy bien diseñados y ya deben estar digitalizados, como condiciones previas a su automatización empleando CC.  

Los autores declaran que en la investigación inicial "aprendieron cinco lecciones": 

1ª Lección: la CC debe aplicarse a tareas definidas muy concretas. Como ya se ha visto anteriormente, los dos hechos relevantes que han permitido el desarrollo de la IA han sido la disponibilidad de potencia de procesamiento, y por otro, el fácil acceso a gran cantidad de datos electrónicos. Estos dos hechos han permitido innumerables y rápidas iteraciones de aplicaciones que podían probar hipótesis, obtener patrones y optimizar modelos.  

Como resultado, los negocios pueden obtener éxito al aplicar herramientas de aprendizaje de las máquinas sólo a los procesos que 1) tengan un resultado establecido; 2) sean muy repetitivos, y 3) dependan de datos electrónicos accesibles e interpretables.  

Por ejemplo: la evaluación de un crédito bancario a un cliente potencial. 

2ª Lección:  Muchos problemas de negocio no son adecuados para la CC. La CC no puede conformar decisiones sobre entornos de alta incertidumbre o rápido cambio, por ejemplo, porque no existen aún herramientas de base, porque los datos relevantes puede que no se conozcan o no estén disponibles, y la frecuencia de un tipo de decisión sea baja. A esto se puede añadir que algunas decisiones dependen más de un instinto creativo que de un argumento de patrones establecidos. 

3ª Lección: Las máquinas aprenden sólo si los humanos las entrenan mucho. Por ejemplo, la preparación de Watson para ganar el concurso Jeopardy llevó seis años de esfuerzo. 

El uso de CC en diagnóstico médico requiere alimentar a la máquina con una gran cantidad de investigaciones médicas así como de historiales de pacientes. 

Algunas aplicaciones requieren un gran esfuerzo de enseñanza antes de que los algoritmos se estabilicen: el procesamiento del lenguaje natural sigue reglas gramaticales, pero el vocabulario puede ser muy variable en su significado, dependiendo de muchos factores, entre ellos, el contexto. 

En entornos cambiantes, el proceso de enseñanza ha de continuar ya que los motores de recomendaciones han de ser re-entrenados para adaptarse a los cambios en productos y servicios. 

4ª Lección: En muchos casos son los comerciales los mejor posicionados para recuperar las inversiones en CC. El rendimiento de la CC llega solo después de que un sistema tenga una sólida base de conocimiento, para lo cual, como ya se ha dicho, se necesita tiempo y esfuerzo. 

Para muchas aplicaciones de negocio, es posible que una sola compañía no pueda justificar la inversión requerida para, recoger, diseñar y almacenar los datos, y los modelos iniciales para comenzar el aprendizaje de la máquina. 

Los comerciales pueden recuperar las inversiones vendiendo los sistemas a otras compañías. Por otra parte, para muchas aplicaciones de la CC, las empresas harían bien en esperar productos que  ofrecieran una base de conocimiento y el modelo inicial para poder comenzar su proyecto CC.   

5ª Lección: Las compañías deben proceder de manera gradual para implementar aplicaciones de CC. El éxito de la aplicación al negocio de la CC va de la mano del crecimiento de los individuos en su comprensión del negocio. Un conocimiento vago en las reglas del negocio, limita las posibilidades de éxito en la adopción y uso de la CC. Si el resultado deseado no está claro o los datos que se requieren no están disponibles, una tarea no será adecuada para la CC. 

Una estrategia gradual de valor añadido para la CC sería la siguiente: 

   1) las empresas establecen buenas reglas de negocio mediante las personas, quienes al ejecutar una tarea aprenden las relaciones entre distintos datos de entrada y sus resultados; 

   2) con el tiempo, los resultados se entienden lo suficientemente bien como para que se puedan automatizar las tareas repetitivas; 

   3) la automatización permite probar las reglas de negocio en diferentes contextos, analizar las relaciones entre datos de entrada y resultados y elaborar o ajustar las reglas; 

   4) en sistemas cerrados, las relaciones entre datos de entrada y resultados podría ser lo suficientemente clara como para permitir herramientas de análisis predictivo; y, 

   5) para problemas complejos, la CC podría ser una opción si el sistema pudiera tener acceso a suficientes datos útiles de tal manera que la máquina tuviera una base para adaptar sus propios algoritmos. 

 * *

Conclusiones

Los autores del artículo concluyen que, al contrario que lo que se dice de ella, la CC no será probablemente tan disruptiva para la mayoría de las empresas. Algunas de éstas conseguirán beneficios desarrollando productos de negocio o de consumo que incorporen capacidades de CC.

Sin embargo, la mayoría de los líderes empresariales encontrarán el mejor camino para impulsar las oportunidades y gestionar los riesgos de la CC, invirtiendo en la mejora gradual de sus procesos. Con el tiempo, la mejora de los procesos producirán un aumento en la automatización y, quizás, conduzcan a procesos de CC.  

"No preguntes si las máquinas pueden pensar, pregunta cómo las máquinas se integran en los mecanismos que diseñamos"  

Peter Norvig. Director of Research, Google Inc, 2015. [16]

* * *

Este artículo fué publicado originalmente en la web de ComunicacionesHoy  – "¿Pueden pensar las máquinas?" el día 18/05/2017 – María José de la Calle.    

----------------------------------------------

[1] A.M.Turing (1950)  "Computing Machinery and Intelligence. Mind 49: 433-460". "1."The Imitation Game" / "I propose to consider the question, "Can machines think?"" url [a 20170515] https://www.csee.umbc.edu/courses/471/papers/turing.pdf  

[2] Tom Simonite (20170512) "Nvidia CEO: Software Is Eating the World, but AI Is Going to Eat Software" MIT Technoly Review. url [a 20170513]   https://www.technologyreview.com/s/607831/nvidia-ceo-software-is-eating-the-world-but-ai-is-going-to-eat-software/?set=607859 

[3] Jeanne W. Ross, Cynthia M. Beath, Monideepa Tarafdar (201612) "Five Things You Should Know About Cognitive Computing". Reseach Briefing, Vol. xvi, Nº 12. MIT CISR url [a 20170514]  https://cisr.mit.edu/blog/documents/2016/12/15/2016_1201_cognitivecomputing_rossbeathtarafdar.pdf/ 

[4] "A Proposal for the Dartmouth Summer Research Project on Artificial Intelligence" url [a 20170511] 

http://www-formal.stanford.edu/jmc/history/dartmouth/dartmouth.html 

[5] "The machine is provided with input and output channels and an internal means of providing varied output responses to inputs in such a way that the machine may be ``trained'' by a ``trial and error'' process to acquire one of a range of input-output functions." Ver referencia nota iv.  

[6] Jürgen Schmidhuber, (20141013) "Deep learning in neural networks: An overview" Neural Networks Volume 61, January 2015, Pages 85–117. url [a 20170511] http://www.sciencedirect.com/science/article/pii/S0893608014002135 

[7] La lista de participantes proporcionada por la  Wikipedia  (los premios no figuran): 1) Ray Solomonoff, 2) Marvin Minsky - Premio Turing, 3) John McCarthy  - Premio Turing, 4) Claude Shannon - Premio Nobel, 5) Trenchard More, 6) Nat Rochester, 7)Oliver Selfridge, 8) Julian Bigelow, 9) W. Ross Ashby, 10) W.S. McCulloch, 11) Abraham Robinson, 12) Tom Ette, 13)John Nash - Premio Nobel, 14) David Sayre, 15) Arthur Samuel, 16) Shoulders, 17) Shoulders' friend, 18) Alex Bernstein, 19) Herbert Simon - Premio Nobel - Premio Turing, 20) Allen Newell - Premio Turing.  url [a 20170516] https://en.wikipedia.org/wiki/Dartmouth_workshop 

[8] Ver nota [7].

[9] " It is the science and engineering of making intelligent machines, especially intelligent computer programs" entendida la inteligencia como "Intelligence is the computational part of the ability to achieve goals in the world". J.McCarthy (20071211) "What is Artificial Intelligence". Stanford.edu  url [a 20170511] http://www.formal.stanford.edu/jmc/whatisai/node1.html 

[10] Will Knight (20170411) "The Dark Secret at the Heart of AI". MIT Technology Review. url [a 20170511] https://www.technologyreview.com/s/604087/the-dark-secret-at-the-heart-of-ai/  

[11] "A Short History Of Deep Learning -- Everyone Should Read"  Forbes. https://www.forbes.com/sites/bernardmarr/2016/03/22/a-short-history-of-deep-learning-everyone-should-read/2/#a34cb06710c4  

[12] G. E. Hinton, R. R. Salakhutdinov. "Reducing the Dimensionality of Data with Neural Networks"  "28 July 2006 VOL 313 SCIENCE" https://www.cs.toronto.edu/~hinton/science.pdf 

[13] "Cognitive computing refers to systems that learn at scale, reason with purpose and interact with humans naturally. Rather than being explicitly programmed, they learn and reason from their interactions with us and from their experiences with their environment."  John E. Kelly III (oct, 2015)  "Computing, cognition and the future of knowing" IBM. url [a 20170514] http://www.research.ibm.com/software/IBMResearch/multimedia/Computing_Cognition_WhitePaper.pdf  

[14] Ver nota [3]

[15] "We define cognitive computing as a system that adapts its underlying algorithms or processing based on exposure to new data". Ver referencia en nota [3]. 

[16] Peter Norvig (2015)  "Ask Not Can Machines Think, Ask How Machines Fit Into The Mechanisms We Design". Edge.org url [a 20150515] https://www.edge.org/response-detail/26055 

 

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

El Triángulo de la Gobernanza

Thursday, 18 May 2017 Manolo Palao Posted in Corporate Governance of IT

Distribución de roles y responsabilidades en el Gobierno y Gestión de las TI entre Consejo de Administración (CA), CEO y CIO

 * *

Propósito de este documento

Explorar la distribución de roles y responsabilidades en el gobierno y gestión de las TI entre: i) Consejo de Administración [CA]; ii) Presidente Ejecutivo o Consejero Delegado o Director General [CEO]; y iii)  Director de Tecnologías de la Información (TI) o de Informática [CIO]. 

Me refiero, en terminología y referencias, al ámbito de las empresas, pero es probable que lo que digo pueda extenderse — mutatis mutandi— a otras organizaciones, como fundaciones, universidades, ONGs o la Administración Pública. 

* *

Gobernanza | Buen Gobierno TI

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’, ‘gobierno corporativo de las TI’ (GCTI) y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

La norma ISO 38500[2]  define la Gobernanza de las TI (“gobernanza que es distinta de la gestión”) como “El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI”[3].

En 2012, Gartner publicó una definición de Gobernanza [de las TI], tras “haber recibido más de 3200 consultas sobre el tema de la gobernanza” en los 6 primeros meses de ese año. 

Gartner[4]  define “gobernanza” como el proceso de:

- «Establecer los derechos de decisión y responsabilidad; y también establecer políticas alineadas con los objetivos del negocio (conservación y aumento del valor para el accionista)

- Equilibrar las inversiones conforme a las políticas y en apoyo de los objetivos del negocio (ejecución coherente de la estrategia)

- Establecer medidas para monitorizar el cumplimiento de decisiones y políticas (cumplimiento y aseguramiento)

- Asegurar que los procesos, comportamientos son conformes con las políticas y están dentro de las tolerancias de las decisiones (gestión del riesgo)» 

ISACA[5] define la gobernanza empresarial como “un conjunto de responsabilidades y prácticas ejercidas por el consejo de administración y la dirección ejecutiva con el propósito de aportar dirección estratégica, asegurando que se alcanzan los objetivos y que los riesgos se gestionan apropiadamente y verificando que los recursos de la empresa se usan de forma responsable”[6]. 

iTTi[7], en su Manifiesto sobre GCTI[8] dice:

- El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso.

- La responsabilidad sobre la rendición de cuentas en torno al uso que se hace de las TI recae en el consejo de administración u órgano de gobierno equivalente. Los mecanismos de gobierno corporativo enlazan las actividades de dirección y control del consejo con el dominio de gestión de la organización a través del consejero delegado (CEO) y el resto de ejecutivos, incluido el director de sistemas de información (CIO). 

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso de las tecnologías, más que de su detalle táctico, operativo y técnico. Gobernanza que tiene la virtualidad de hacer forzosa en la realidad (y vacua en la teoría) la alineación de la denominada[9] ‘estrategia TI’ con la ‘estrategia corporativa’.

* * 

Polarización sesgada de la responsabilidad sobe GCTI

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones y sobre muchos temas, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos[10]. Y también, la que aquí me importa de las tecnologías de la información (TI).  

El protagonismo y la propiedad de las acciones en temas de gobierno de TI se han asignado tradicionalmente, por investigadores, docentes y medios a los CIO (directores de informática), los CEO (ejecutivos jefe), y —más recientemente— a los órganos de gobierno [OG], CA. 

Muchas de esas asignaciones han sido focales en uno de los tres agentes (CIO, CEO, OG), ignorando los otros dos o haciéndoles jugar un papel subordinado o complementario al central del agente favorecido en cada estudio o por cada institución.

Así, se ha publicado mucho sobre temas como los siguientes: 

- Cómo puede / debe explicar el CIO al CEO la estrategia de TI 

- Cómo alinear la estrategia TI con la estrategia corporativa

- Cómo informar al consejo de administración del riesgo TI

- El CIO ideal para un CEO

- Los temas TI que el CA no puede delegar

- Etc.

Sin embargo, tanto el sentido común cuanto la disciplina de organización de empresas (o denominación afín) apuntan que el protagonismo y la propiedad de las acciones de GCTI será, en cada caso (país, sector, tamaño, multinacionalidad, empresa concreta), el resultado de un equilibrio trilateral más o menos distribuido entre los tres actores, pero probablemente sin exclusión de ninguno de ellos. Equilibrio dinámico resultante de la acción de la micropolítica, motor de toda institución[11].

La reducción a tres grandes actores es probablemente, a su vez, una simplificación, aunque sea aceptable en primera aproximación. 

En un análisis más fino convendría considerar también a otros principales interesados (stakeholders) con algún cuanto significativo de poder y por tanto con una influencia sensible; piénsese, por ejemplo, en los reguladores. 

No parece, sin embargo, viable (salvo por estudio de algunos casos aislados) recoger información estadística de muchos,  ni rebasar lo que sería un mero ‘mapa de influencias’ (formales e informales) de los tres actores.  Pero —dado que la gobernanza es un proceso complejo— también serían de mucho interés los principales flujos e interacciones entre los actores. 

* *

Motivos por los que no se observa la trilateralidad

Opino que la información generalmente disponible —encuestas y análisis por diversas entidades sobre muestras diversas de empresas y organizaciones— adolece a menudo de dos grandes sesgos: uno derivado del posicionamiento u óptica desde el que se acomete el estudio y otro debido a la representatividad de la muestras[12]. 

Los marcos, normas, encuestas y estudios producidos por entidades que —por su origen, evolución e intereses— son proclives a la preponderancia de uno de los tres colectivos de actores citados, tienden a ignorar o relegar a los otros dos o a alguno de ellos[13].

Las empresas recogidas en las muestras y casos de estudio de mayor difusión son, con frecuencia, grandes multinacionales y –si bien pueden ser representativas de ‘mejores prácticas’  por su cuota de mercado o empleados, no cabe tomarlas como guía absoluta para la miríada de empresas menores (incluso PYMEs) que constituyen el tejido económico y social de muchos países, entre ellos España.

Hay que mencionar también que la política freemium de muchos de los grandes analistas, por la que publican gratis solo un pequeño resumen y sólo mediante pago (a veces sustancial) el estudio completo, dificulta al estudioso un análisis crítico más fundamentado. El pequeño resumen, que sirve de noticia y a la vez acicate para adquirir el estudio completo, suele carecer de la información demográfica y técnica de la encuesta, impidiendo así su interpretación correcta. 

* *

Banalización del término ‘gobernanza’

En el campo de las TI (y sus numerosos subcampos, herramientas y técnicas) se ha venido produciendo una banalización de la gobernanza que —como acabo de exponer— es un proceso de ‘alto nivel’ en toda organización.   

Probablemente se debe a intereses espurios, de mala mercadotecnia, que se proponen aumentar el atractivo de un producto o servicio, quizá bueno para su función puntual original, proclamando también su contribución al buen gobierno. Por citar un ejemplo, mencionaré la clase de productos de software (SW)  GRC (Governance, Risk and Compliance), que en su mayoría son meros gestores documentales. Dejo al lector interesado que —con un mínimo esfuerzo de búsqueda— deduzca cuánto tienen que ver los que se ofrecen en el mercado con la gobernanza, como se ha definido más arriba[14].

Esa banalización difumina, en muchos casos, el concepto de gobernanza y puede dificultar su asignación a los tres (o más) perfiles citados.  

* *

Conclusión

El GCTI es una función y un proceso de alto nivel en las organizaciones. Proceso que dirige y controla el uso, los objetivos y estrategias de las TI. 

Compete en proporciones variables y dependientes de las características de cada empresa a la terna OG – CEO – CIO, con una responsabilidad última irrenunciable del OG.

No hay mucha información fácilmente asequible que documente claramente y sin sesgos cómo se distribuye la responsabilidad y la influencia de las tres partes principales en gran número de empresas de diferentes tipos.

De forma ideal y simplificada sería bueno disponer de estudios empíricos (encuestas) que —por ejemplo— tipificasen la tupla (a, b, c) de influencia [ver figura], (con a+b+c = 100%, por ejemplo).[15] 

* * *

Artículo escrito por Manolo Palao, iTTi 20170505   

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.   

-------------------------------------------------

[1] http://dle.rae.es/?id=JHRSmFV  [URL consultado el 20170422]. 

[2] ISO/IEC 38500:2015 Governance of IT for the Organization.

[3] Fuente de la traducción: UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI). §1.6.3 gobernanza corporativa de la TI. 

[4] Julie Short, J. et al.(04 September 2012). " Gartner Defines 'Governance'". Gartner. ID: G00237914. https://www.gartner.com/document/2145816?ref=lib  [URL consultado el 20170511].

[5] https://www.isaca.org/pages/default.aspx [URL consultado el 20170511]. 

[6] SACA. (2013). CEGEIT Review Manual 2013. Rolling Meadows, IL. EEUU. ISACA. p.7. 

[7] http://www.ittrendsinstitute.org/about-itti [URL consultado el 20170511]. 

[8] iTTi. (2015). "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" V01.00.20150530ES https://es.slideshare.net/iTTi_news/el-manifiesto-itti [URL consultado el 20170511].

[9] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada (no es una estrategia adecuada), como está equivocado o es inadecuado quien la haya elaborado así, por ignorancia o intereses espurios. 

[10] Como cualquier búsqueda rápida en Internet puede confirmar. 

[11] Sobre ‘equilibrio’, en teoría de la organización, han tratado muchos sociólogos y economistas ilustres desde mediados del siglo pasado. 

[12] Confirmar empíricamente esta doble opinión es un trabajo pendiente, de una envergadura probablemente considerable. Hacen falta más estudios, más equilibrados y detallados, que probablemente manifiesten una participación equilibrada (que no uniforme) de los tres agentes (CIO, CEO y OG) y unos protagonistas distintos y relaciones menos diferenciados en muchas empresas medianas o pequeñas; con descripción suficiente de la muestra y de una metodología de muestreo suficientemente rigurosa. 

[13] No es fácil, y rebasaría el propósito de este trabajo, hacer la nómina de los autores y entidades que han tenido / tienen influencia importante en la tipificación de los roles de esos colectivos. Entre los más importantes están, probablemente:   Center for CIO leadership, CIO, Davenport, Forrester, Gartner, IESE, Infonomics, iNFoRMáTiCa++, ISACA, ITAG Research Institute, ITIL, iTTi, Johnson, King, McKinsey, MIT – CDB, MIT – CISR, NACD, Nolan & McFarlan, novática, Porter, PwC, Sieber & Valor,  Swedish Royal Institute of Technology’s Department of Industrial Information and Control Systems, Toomey, Ward & Peppard, Weill & Ross. 

[14] Sí pueden tener que ver con una visión reduccionista de ‘gobernanza’ de algunos autores, que la equiparan a ‘cumplimiento’ (compliance). 

[15] Ver:  Weill, P., & Ross, J. (2005). "A Matrixed Approach to Designing IT Governance". MIT Sloan Management Review. Cambridge 46.2 (Winter 2005): 26.   http://0-search.proquest.com.cataleg.uoc.edu/docview/224976041?pq-origsite=summon&http://0-search.proquest.com.cataleg.uoc.edu/pqcentral?accountid=15299  [URL consultado el 20170511].

 

La adicción a la máquina

Wednesday, 17 May 2017 Maria Jose de la Calle Posted in iTTi Views

Nuestro "adicción a la máquina" no pretende hacer referencia a la dependencia de todo tipo de dispositivos personales que actualmente padecemos, sino a la necesidad que sentimos de confiar en las máquinas para extraer conclusiones, dada su mayor rapidez para alcanzarlas. Una celeridad que nos ofrece respuestas de manera casi inmediata; pero que no obstante, se antoja insatisfactoria, a la vista de nuestro permanente deseo de dotar a las máquinas de una mayor velocidad. 

La evolución de las máquinas ha traído muchos beneficios a la Humanidad, pero también algunos perjuicios cuando se han utilizado de manera inapropiada.  

El tiempo transcurrido desde que se inventa una máquina hasta que la Sociedad adopta su uso de forma generalizada, se hace más corto cada vez. De tal modo que no da tiempo ni a conocer los riesgos de dicho uso ni a adoptar las medidas para mitigarlos. Medidas tales como fabricar la máquina de forma correcta, o producir, ordenadamente, el cambio de costumbres que, presumiblemente, requiera el referido uso. 

Cuanto más utilizamos las máquinas, más les pedimos que hagan para nosotros, entrando en un bucle sin fin y carente de la oportuna reflexión. 

El Diccionario de la Real Academia Española de la Lengua (DRAE) define "máquina"[i] como "artificio para aprovechar, dirigir o regular la acción de una fuerza", como primera acepción. 

Hoy, que tanto se habla de las [r]evoluciones tecnológicas (industriales), cabe segmentar, también en etapas la evolución de las propias máquinas. 

Las primeras máquinas construidas por el Hombre constituían una suerte de continuación de su propio cuerpo que permitían multiplicar, regular o dirigir la fuerza de sus músculos. Estas máquinas estaban "unidas" físicamente a la persona que las manejaba. 

Posteriormente, a estas mismas máquinas se las dotó de cierto grado de autonomía, al incorporarles motores, y en lugar de transformar y multiplicar la energía de los músculos, ejercían su propia fuerza transformando otros tipos de energía, como la generada por el vapor, la eléctrica o la derivada de los combustibles fósiles. 

Con la aparición de la Informática, las nuevas máquinas -los ordenadores y todo tipo de dispositivos computarizados- tuvieron la habilidad de procesar datos, datos "a lo grande", lo que, volviendo a la definición del DRAE, suponía nuevamente amplificar la "fuerza", o la capacidad, de otro órgano humano: el cerebro.  

Esas nuevas máquinas pueden servir como calculadora -hace ya mucho que no se necesita calcular de memoria o hacer una cuenta en un papel-, como repositorio de información -las enciclopedias están digitalizadas-, como agenda de contactos y recordatorios -ya no se necesita acudir a la memoria para acordarse de una cita apuntada no se sabe dónde-, y así un largo etcétera. 

Asimismo, con los ordenadores, se ha multiplicado la información generada y almacenada. A su vez, los propios ordenadores han aumentado su capacidad para tratar dicha información, pero no a la misma velocidad que la producen. Recuerde que los datos, por sí solos, no significan nada; hay que darles un contexto en el cual cobren significado. 

De hecho, hoy hay tantos datos que es humanamente imposible, en muchos casos, poder clasificarlos y extraer de ellos información significativa para un determinado fin. En principio, una misión atribuible a nuestro propio cerebro; pero que resulta muy lento para la cantidad de datos a los que ha de enfrentarse. Si malo es no tener suficientes datos, una gran cantidad de ellos lleva al mismo destino: la imposibilidad de obtener una información útil en un tiempo razonable. Tal vez por eso a las máquinas se les pide cada vez más. 

El tratamiento por parte de aquellas de la inmensa cantidad de datos que actualmente producen las personas y los objetos (otra máquinas), sirve, entre otras cosas, para calcular patrones y correlaciones estadísticas, que pueden ayudar a establecer comportamientos futuros y contribuir a la toma de decisiones. En suma, como se apuntaba al principio, a "extraer conclusiones".  

Hay dos caminos por los cuales se busca mejorar la capacidad de tratamiento de datos y entrega de información y conocimiento. Siguiendo la senda de una mayor eficacia se encuentra la Computación Cognitiva. Por el lado de la mayor eficiencia, aparece la Computación Cuántica y sus anunciados ordenadores cuánticos; obviamente sin olvidar la búsqueda de mayores capacidades de cálculo de los procesadores actuales, tradicionales. 

La Computación Cognitiva -permítame dejar la Cuántica para otro día- persigue "simular el pensamiento humano en un modelo computarizado"[ii]. Implica sistemas de auto-aprendizaje y reconocimiento de lenguaje natural. 

Con ella las máquinas proporcionan una capacidad de análisis de datos mucho más veloz que la de los humanos. Vienen a actuar como un super-cerebro con capacidad de acceder a información en cualquier parte del mundo, de procesar gran cantidad de datos, muchos de los cuales no son cifras o datos estructurados, sino que son fotografías, vídeos, mensajes, documentos, situaciones u otros datos no estructurados.  

De este modo, los resultados proporcionados por las máquinas son correlaciones, patrones o conclusiones servidos en forma de números, gráficos y, por qué no, consejos varios en lenguaje natural sobre qué hacer ante distintas situaciones. 

A las máquinas se les ha proporcionado autonomía de pensamiento, análogamente a lo indicado anteriormente sobre la autonomía mecánica proporcionada mediante la incorporación de motores. 

IBM acaba de presentar -el pasado mes de marzo- su nueva plataforma Watson Data Platform[iii], de computación cognitiva. Según su página web, es capaz de aunar la información de una organización, aprender con cada dato que le llegue, y con sus capacidades analíticas, dar rápidamente nuevas respuestas al negocio, y todo esto "como servicio" en la nube.   

Citando a Guy Creese[iv], vicepresidente de Gartner, "quizás el mayor estímulo que la Inteligencia Artificial puede proporcionar es mantener a las personas centradas en lo que es más importante. La mayoría de las personas necesitan la Inteligencia Artificial para tratar con contextos cambiantes". 

De los dos últimos párrafos habría que destacar, en primer lugar, "dar rápidamente respuestas", en segundo, "en lo que es más importante [...] tratar con contextos cambiantes". Las máquinas pueden resolver el problema de dar respuesta a los cambios y de manera suficientemente rápida. Además, alguna de ellas pueden aprender por sí mismas. 

Por el contrario, como ya se ha indicado, el cerebro -humano- es lento y además no responde bien a situaciones cambiantes[v], por lo que no vamos a poder seguir a las máquinas. Consecuentemente, como se apuntaba al principio, no parece que haya más salida que materializar nuestra "adicción a las máquinas" depositando nuestra confianza en ellas. 

Sin embargo, esto plantea una serie de intrigantes preguntas: ¿Cómo vamos a saber si las respuestas que nos ofrecen las máquinas son las correctas, si tenemos carencias, al menos en capacidad, a la hora de evaluarlas nosotros mismos?; ¿qué otras posibles opciones nos habrán "ocultado"?; y, lo que puede ser más relevante,  ¿estamos siendo capaces de formular las preguntas adecuadas?  

Según el artículo "This Is Your Brain on GPS Navigation" publicado por MIT Tecnology Review[vi], las partes del cerebro que se utilizan para buscar rutas y planificarlas no se activan cuando las direcciones nos las proporcionan, por ejemplo por medio del teléfono o la tableta. En ese sentido, el cerebro es como un músculo, y lo que no se utiliza, se atrofia. Por tanto, cabe plantearse una pregunta adicional: ¿perderemos los humanos ciertas capacidades cedidas a las máquinas?

Volviendo a la cita de Guy Crees, "centrarnos en lo que es más importante", se nos puede olvidar por qué algo es más importante y los criterios para saber que eso es más importante. ¡Como nos lo dice la máquina! 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 160,  abril-2017. Referencia: Opinión, pg.10 – "La adicción a la máqina" – María José de la Calle.   

-------------------------------------

[i] url [a 20170327] http://dle.rae.es/?id=OKvTasd 

[ii] "Cognitive computing is the simulation of human thought processes in a computerized model. Cognitive computing involves self-learning systems that use data mining, pattern recognition and natural language processing to mimic the way the human brain works.". "Cognitive computing is used in numerous artificial intelligence (AI) applications, including expert systems, natural language programming, neural networks, robotics and virtual reality. "  Whatis.com url [a 20170327] http://whatis.techtarget.com/definition/cognitive-computing  

[iii] Watson es la plataforma de IBM de Computación Cognitiva. url [a 20170327] https://www.ibm.com/analytics/us/en/watson-data-platform/platform.html  

[iv] "But perhaps the biggest boost AI can provide is keeping people focused on what's most important. Most people need AI to deal with "context switching," "The Latest Battle in Software Is All About Artificial Intelligence" (20161025). Fortune|Tech. url [a 20170327] http://fortune.com/2016/10/25/artificial-intelligence-software/  

[v] Literatura sobre cómo los humanos reaccionamos a los cambios hay mucha. Aquí dejamos dos ejemplos.  url [a 20170327] http://neurocienciaempresaymarketinglucia.blogspot.com.es/2012/09/resistencia-al-cambio-y-neuromanagement.html , http://www.cronista.com/management/-El-cerebro-es-reticente-al-cambio-20131226-0013.html  

[vi] "Parts of the brain that are used to navigate and plan routes aren’t active when directions are fed to us." "This Is Your Brain on GPS Navigation" (20170322).  MIT Technology Review url [a 20170327] 

https://www.technologyreview.com/s/603951/this-is-your-brain-on-gps-navigation/?goal=0_997ed6f472-93e326545f153813777&mc_cid=93e326545f&mc_eid=f684c51e62  

 

El Consejo de Administración en el Gobierno Corporativo de las TI

Sunday, 07 May 2017 Manolo Palao Posted in Corporate Governance of IT

Aclaración terminológica

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’ y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

Trato también como sinónimos, salvo mención expresa órgano de gobierno OG) y consejo de administración (CA).

* *

Propósito de este documento

El propósito de este trabajo es hacer una breve reseña de los principales hitos en que se recaba para los órganos de Gobierno (OGs) de las entidades, el protagonismo en el gobierno corporativo de las TI (GCTI) , en un movimiento relativamente nuevo durante la última década.

* *

Introducción

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos [2].

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso del tema en cuestión, más que de su detalle táctico, operativo y técnico. 

Es quizá en la última década cuando los OGs, y los estudiosos han reivindicado con más fuerza el   derecho y la obligación de los primeros de establecer las políticas y estrategias de las TI y de supervisar su cumplimiento por los ejecutivos; el mismo derecho y obligación-responsabilidad que tienen (por ley) sobre las demás funciones de la empresa.

Sin perjuicio de lo razonable que parece ese enfoque, en la práctica no se aplica en muchos casos, quedando las políticas y estrategias de las TI en manos del CIO, con mayor o menor intervención —quizá creciente— del CEO, según resulte del equilibrio de poder en cada organización. Pero esto ya no es tema de este documento.

Gobernanza que —en el caso de las TI (como pasaría con otras funciones corporativas)— tiene la virtud de hacer efectiva la alineación de la denominada [3] ‘estrategia TI’ (o la estrategia de otras unidades) con la ‘estrategia corporativa’. 

* *

El Consejo de Administración

El Consejo de Administración (CA) es el órgano de gobierno de las empresas, usual en España en grandes empresas y bastantes PYMEs.  (Ver recuadro inferior)

----------------------------------------------------------------------------------------------------------------------------------------------

Los órganos de gobierno o de administración (OG)

Los órganos de gobierno o de administración de empresas y entidades tienen en español denominaciones diversas, que dependen de la legislación aplicable en cada país.

En España, las ‘sociedades de capital’ se rigen por la  Ley de sociedades de capital, 2011, que –en su Artículo 209- indica que “Es competencia de los administradores la gestión y la representación de la sociedad...”. Y en su Artículo 210 señala que pueden ejercerla uno o dos administradores y –si fueren más- “constituirán consejo de administración” (CA).  Los miembros del CA se denominan consejeros. El CA tiene un Presidente (P), que puede o no ser ejecutivo (PE). El CA puede nombrar en su seno un Consejero Delegado (CD); o –fuera de su seno- un Director General (DG).

El CA tiene Comisiones (algunas determinadas por ley), constituidas por consejeros. Puede haber un Comité Ejecutivo.

El PE | CD | DG  suele a su vez encabezar un Comité de Dirección (CoD) que reúne a todos o parte de los Directores de unidades —los ‘ejecutivos’..

No debe confundirse el CoD con el CD o sus comisiones.

Otras entidades, no de capital, en España se rigen por otras Leyes y su equivalente (a nuestros efectos) del CA son, por ejemplo, el Patronato (y su presidente), en el caso de Fundaciones; o el Rectorado (presidido por el Rector), en las Universidades.

En LATAM, equivalentes del CA son la Junta (Directiva), o el Directorio.   

 En Inglés, el órgano de gobierno más frecuente es ‘the Board of Directors’ (the Board) —equivalente a nuestro CA— y sus miembros son Directors (NO directores, sino consejeros –miembros del CA). El primer ejecutivo, sea o no consejero, es el Chief Executive Officer (CEO). 

En Francia es frecuente la figura del PDG - Président-directeur général (P-DG).

Para nosotros, aquí, CEO = PE | CD | DG | P-DG.  

Para más finura, consúltese la legislación mercantil (y otra pertinente) del país en cuestión.

--------------------------------------------------------------------------------------------------------------------------------------------------

* *

Desentendimiento CA – Tecnologías de la Información (TI)

Hasta hace algunos años —y lamentablemente aún en muchas empresas— el CA ha estado generalmente ajeno a las TI. Incluso ahora, cuando se ocupa de las TI, es a menudo solo tras un ciberincidente; un robo escandaloso de datos o una caída importante del servicio. (Incidentes graves, en el extranjero, han desembocado en un cese o dimisión del CEO [4]).

Ese desentendimiento parece ser un fenómeno global, aunque quizá exacerbado en algunos países, entre ellos España, como se comentará más abajo. 

Pero en el momento actual (y desde hace un par de lustros) es evidente que el mundo está inmerso en la ‘revolución digital’ que está cambiando radicalmente la economía, las empresas, la sociedad y nuestras vidas personales.

Y en esas condiciones, no parece razonable que los órganos de gobierno —los CA— no tengan una agenda activa, frecuente y bien informada sobre las TI. Naturalmente, no necesariamente, sobre la evolución tecnológica y sus detalles, pero sí sobre las políticas y estrategias corporativas del uso de las tecnologías.

Caben muchas explicaciones sobre ese desentendimiento histórico. Entre ellas pueden señalarse: 

- la aceleración del cambio ha cogido por sorpresa y/o no ha dado tiempo a reaccionar a empresas poco ágiles: oligopolios, estructuras ‘pesadas’ (muchos niveles jerárquicos), sin la cultura adecuada.

- la informática, que hace unas décadas solo, se llamaba ‘proceso de datos’ o ‘mecanización administrativa’ era una mera herramienta de productividad (sobre un recurso barato, el personal administrativo); y útil solo para llevar la contabilidad y hacer la nómina; no merecedora de la atención del CA.

- herramienta que —antes de la generalización de la informática transaccional— podía radicar en una “oficina de servicios” externa (¡‘outsourcing’ en las décadas de 1970 y 80!), o en una ínsula interna —una torre de marfil en que inputs y outputs entraban o salían en carros con resmas de papel.

- la informática nació rodeada de misterio, que muchos de los escasos iniciados (hechiceros, mandarines) aumentaban con cortinas de humo lingüísticas adoptadas del inglés (por si este idioma no fuera ya bastante obstáculo en algunos países). Así, ‘escrachear’ era borrar un soporte magnético, o  ‘desencriptar’ (que, por desgracia, se nos ha quedado) era descifrar. Ello ha supuesto una barrera de ‘analfabetismo informático’ para muchas personas y en particular quizá las de más edad o con menos formación STEM (siglas en inglés para: ciencia, tecnología, ingeniería, matemáticas).

- la composición de los CA estaba sesgada hacia las especialidades eficaces y rentables en el ‘estable’ régimen anterior: el Derecho, la Economía, la Academia… Las especialidades adecuadas a las necesidades entonces de los mercados (derecho administrativo, derecho mercantil, macro- y microeconomía) y a los perfiles de los políticos y administradores públicos (por facilidad de diálogo y por ‘puertas giratorias’).

- el propio interés de consejos y consejeros de preservarse y perpetuarse, como una casta, en unas funciones generalmente poco exigentes, bien retribuidas, bien consideradas socialmente, y con relativo poder, influencia y beneficios indirectos.

En España, lo anterior se ha visto reforzado por:

- una tradición altamente licenciataria de tecnologías (no solo TI) de las empresas, lo que   —en cierta forma, no positiva— ‘comoditizaba’ la tecnología, simplificando, en cierta medida, su gobierno y gestión. Lo que necesito, lo compro, como una ‘caja negra’;

- los consejos de administración siguen generalmente compuestos (aparte de por muchos consejeros NO independientes) por una gerontocracia de abogados, economistas y exministros, bien adaptada a las necesidades, regulaciones e intereses, creados en gran medida por ellos mismos a lo largo del último siglo. Es un sistema autoestabilizante.

Las generalizaciones son casi siempre falaces, y hay empresas, profesionales, analistas y académicos que hace tiempo vienen adoptando y recomendando la asunción por los CA de roles más activos en la orientación y supervisión del uso de las TI en sus empresas, y en la sociedad.

* *

Hitos en fomento de una mayor intervención de los CA en las TI

1. Probablemente el documento pionero (¡2003!) en esta línea fue el Board Briefing (Informe al Consejo) de ITGI[5]. Un informe destinado a un consejo de administración genérico.

Los consejos de administración y las direcciones ejecutivas tienen que extender el gobierno a las TI y proporcionar el liderazgo, las estructuras y procesos organizativos que aseguren que las TI de la empresas soportan y extienden las estrategias y objetivos. El gobierno TI no es una disciplina aislada, sino parte integral del gobierno general de la empresa. La necesidad de integrar el gobierno TI en el gobierno general de la empresa es similar a la necesidad de que las TI sean parte integral de la empresa y no rincones recónditos o torres de marfil. 

A los grupos de interés (stakeholders) cada vez más educados y resolutos les preocupa una gestión sólida de sus intereses. Esto ha llevado al surgimiento de principios y normas para el gobierno general de la empresa. Además, las regulaciones establecen responsabilidades del consejo de administración y requieren que éste actúe con la debida diligencia en sus roles.”[6]

El informe, de 66 páginas, es de acceso libre, por lo que, pese a su interés no procede extenderse sobre él aquí; sí, recomendar la lectura de su contenido, totalmente vigente. Como botón de muestra, unas preguntas (que el consejo debería hacerse), extraídas del medio centenar recogidas en su Anejo A. 

- ¿Está claro [para el consejo] lo que TI está haciendo?

- ¿Cuánto del esfuerzo de TI se dedica a ‘apagar fuegos’ en vez de a facilitar mejoras del negocio?

- ¿ El consejo articula y comunica la dirección del negocio con la que TI debiera alinearse?

- ¿Cuán crítica es TI para sostener la empresa? ¿Y para hacerla crecer? 

2. La norma ISO/IEC 38500:2008 Corporate governance of information technology  (que rebautizó la ISO/IEC DIS 29382: 2007) fue el resultado de la aprobación rápida (fast track) de la norma australiana AS 8015:2005;  por lo que probablemente se empezó a ‘cocinar’ en las mismas fechas que el informe de ITGI.

Para la 38500, “El gobierno es distinto de la gestión y, para evitar confusión, ambos conceptos están claramente definidos en la norma” [7]. 

La 38500 fue revisada en 2015 con muchos pequeños retoques, pero con dos cambios importantes [8]: 

i) un nuevo nombre, para ampliar su cobertura potencial: Governance of IT for the Organization [antes, Corporate]; y 

ii) permitiendo, de forma explícita, dos posibles escalones de delegación: a) del consejo a una comisión del consejo; y b) de los anteriores al equipo directivo. Esto —como comentaré más abajo— me parece una decisión radical que encierra claras ventajas y claros riesgos asociados.

La norma propone 6 Principios y un Modelo. 

Los principios son: 1) responsabilidad referente a TIC;  2) alineación de la estrategia TIC con la de la organización; 3)  adquisiciones TIC razonables y razonadas; 4) rendimiento y desempeño; 5) conformidad; y 6) comportamiento humano. 

El Modelo (que la norma esquematiza en una figura elocuente) plantea dos capas: una de Gobierno y otra de Gestión / Administración. 

La capa de Gobierno (el cometido del órgano de gobierno) tiene 3 funciones (EDM, siglas en inglés): Evaluar, Dirigir (establecer la dirección) y Supervisar. Estas tres funciones forman un ‘círculo virtuoso’ triangular (similar al más conocido cuadrangular PDCA –planificar, ejecutar, comprobar, actuar).   

La capa de Gestión / Administración (el cometido de los órganos ejecutivos) recoge los procesos de la organización en un esquema que podría ser una simplificación de la clásica cadena de valor de M. Porter.

Ambas capas se relacionan mediante tres flujos principales: un primero, de Gobierno a Gestión, contiene objetivos, políticas, estrategias y directrices; un segundo, de Gestión a Gobierno, rinde cuentas; y un tercero, también de Gestión a Gobierno, eleva propuestas.

El cuerpo de la norma (que es “asesora, de alto nivel, basada en principios”) ofrece consejos o recomendaciones, que podría visualizarse como una matriz de 18 casillas: el producto de los 6 principios, vistos cada uno desde las 3 grandes actividades EDM

3. En 2009, el australiano Mark Toomey, que fue coeditor de la AS 8015:2005, publicó Bailando el Vals con el Elefante[9], un interesante y atractivo texto en que desarrolla sus ideas sobre GCTI, sintetizadas en la AS 8015. Desde entonces Mark ha dado varias vueltas al mundo haciendo presentaciones personales de sus ideas, y difusión virtual, mediante su revista Infonomics [10]. 

4. COBIT 5 [11]

En 2012, ISACA[12] publicó COBIT 5 y desde entonces ha publicado un gran número de productos muy diversos de esa familia (aparte de sus traducciones a diversos idiomas). 

COBIT 5 se subtitula “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”. COBIT es un nuevo nombre propio, no ya un acrónimo como en versiones anteriores, y es el vástago más joven de una generación que se inició 15 años antes.   

Pero COBIT 5 supuso una revolución en la familia, en al menos dos aspectos: i) —el que más importa aquí es que— explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TIC; y ii) —aquí menos importante—abjura de su tradicional modelo de madurez de procesos ‘CMM’ [13] y abraza el de capacidad de procesos de ISO/IEC 15504, SPICE [14].

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500 [15].

El marco COBIT 5, se desarrolla a partir de unas necesidades de los interesados / derechohabientes (stakeholders needs)[16], y propone 7 elementos habilitadores (drivers) para atenderlas: 

1) procesos; 2) cultura, ética, comportamiento; 3) estructuras organizativas; 4) información; 5) principios y políticas; 6) habilidades y competencias; y 7) capacidades de servicio; que están sistémicamente interrelacionados.

COBIT 5 se basa en 5 Principios:  

1) Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, aunque propone un modelo de referencia de procesos (ver más abajo).

2) Se rige por la persecución del valor para los interesados (stakeholders).

3) Está orientado al negocio [en sentido genérico: engloba administraciones públicas, ONGs, etc.].

4) Se basa en los 7 habilitadores enunciados más arriba.

5) Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados pero interrelacionados. 

COBIT 5 consta de 37 procesos [17] de alto nivel, frente a los 34 del previo CobiT 4.1. De ellos, 5 son de Gobierno Corporativo; los demás de Gestión. Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al no ser prescriptivo— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en una ‘ficha’ normalizada que describe subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI (Responsable-Alto_Responsable-Consultado-Informado)[18]. La riqueza de información es muy considerable. 

5. NACD [19] 

En 2014,  la americana Asociación Nacional de Consejeros [de Administración] de Empresa [20], puso en marcha la iniciativa “La Intersección de Tecnología, Estrategia y Riesgo”, orientada a trasladar a su comunidad de miembros el mensaje de que “las Tecnologías de la Información evolucionan de forma imparable y, por tanto, de igual modo, ha de evolucionar el perfil de un consejero eficaz”[21]. 

El programa se asienta en la premisa, que comparto,  de que “las tecnologías [de la información] crean oportunidades para que las empresas innoven, para que generen eficiencias operativas y para que alcancen una ventaja competitiva” en sus respectivos sectores/mercados.

En el programa colaboran ISACA, la consultora KPMG[22] y la firma de análisis de mercado Gartner[23]. 

La Intersección de Tecnología, Estrategia y Riesgo” se compone de una colección de vídeos en los que, a modo de entrevistas, un grupo de expertos (consejeros, consultores, CIOs, …) van respondiendo a una serie de cuestiones clave y ofreciendo su particular visión sobre la influencia de las TI en las organizaciones de hoy y sobre el papel que los consejos de administración —y, por ende, los consejeros—  han de jugar en el actual escenario.

Los ocho capítulos de la serie están configurados como pequeñas video-píldoras, de entre cinco y diez minutos de duración, con los siguientes títulos[24]:

- Capítulo 1. Un mundo nuevo y desafiante (A brave new world).

- Capítulo 2. Cuestiones clave que los consejos de administración deberían estar preguntando sobre tecnología (Critical questions boards should be asking about technology).

- Capítulo 3. Tecnología y liderazgo: el papel crítico del CIO (Technology and leadership: the critical role of the CIO).

- Capítulo 4.  Abrazando lo perturbador (Embracing disruption).

- Capítulo 5. Fomentando una cultura de innovación (Fostering a culture of innovation).

- Capítulo 6. La revolución del aluvión de datos (The big data revolution).

- Capítulo 7. Ciberseguridad (Cybersecurity).

- Capítulo 8. Redes sociales: beneficios y riesgos (Social media: risk and reward). 

6. King III

Los Informes King –King Reports on Corporate Governance­– son una pionera colección de directrices sobre gobierno corporativo y operación de empresas. Los publica en Sudáfrica el ‘Comité King sobre Gobierno Corporativo’ (King es el nombre del presidente del Comité). Han sido considerados como “la síntesis más eficaz de las mejores prácticas internacionales sobre gobierno corporativo”. 

Obligan a las empresas que cotizan en la Bolsa de Johannesburgo. El primero (King I) se publicó en 1994; el vigente es el King III, de 2009; y está anunciado el King IV para este año 2017 [25]. 

Por su origen y función, los Informes King pueden ser comparados con los códigos españoles: Código Unificado de Buen Gobierno de las Sociedades Cotizadas (2013) de la CNMV[26] y sus precursores Código Conthe (2006), Código Aldama (2003) y Código Olivencia (1998). Una comparación más detallada resulta ilustrativa, pero rebasa el propósito de este documento. 

* *

Referencias: ATI. (2014). Novática. Monografía. Gobierno Corporativo de las TI. Nº 229, julio-septiembre 2014. http://www2.ati.es/novatica/2014/229/Nv229-Digital.pdf  [URL consultado el 20170501]. 

* * *

Artículo escrito por Manolo Palao, iTTi 20170507    

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

----------------------------------------

[1]  http://dle.rae.es/?id=JHRSmFV [URL consultado el 20170422].

[2] Ver, por ejemplo, http://www.un.org/es/globalissues/governance/, https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwij1fSIurjTAhUIrRoKHcWnAnUQFggjMAA&url=https%3A%2F%2Fwww.oecd.org%2Fgov%2Fregional-policy%2FOECD-Principles-Water-spanish.pdf&usg=AFQjCNHWSCfHJBseXwBFYYjWe0ZSU1ruGQ&sig2=tA0RwhtTBlIQUx92ENhtag&cad=rja,  https://www.insead.edu/executive-education/corporate-governance-programmes?CampaignId=GGL_Search_A&SiteId=GGL&AdId=CORPGOV&device=c&term=corporate%20governance%20program&gclid=CjwKEAjw_uvHBRDUkumF0tLFp3cSJACAIHMYMI4VDIy448O9NGeODZkEVvX1ZYtzbLdjfwWTrOdRdhoC4tHw_wcB, https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=governance+of+portfolios+programs+and+projects+a+practice+guide+pdf, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=%22data+governance%22++ , [URLs consultados el 20170422]. 

[3] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada, como lo es quien la haya elaborado así, por ignorancia o intereses espurios. Con palabras como ‘gobernanza’, ‘estrategia’ y (otras muchas) se viene produciendo un deslizamiento semántico, normalmente hacia su banalización. 

[4] Ver, por ejemplo la docena larga de dimisiones de CEOs importantes causadas por incidentes de ciber-inseguridad reseñada por García-Menéndez, M. (2017).  “¿Quién se hace cargo?”.  Novática nº 238, noviembre 2016 - febrero 2017. http://www2.ati.es/novatica/2017/238/Nv238-Digital.pdf [URL consultado el 20170502].

[5] ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition .    https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/board-briefing-on-it-governance-2nd-edition.aspx [URL consultado el 20170303]. El ITGI fue creado en 1998 http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx  [URL consultado el 20170303] por ISACA . ISACA —en sus orígenes, en 1967, una asociación de auditores de sistemas de información— es en la actualidad una asociación al servicio de “los profesionales en gobierno de TI” y cuenta con unos 140 000 socios en 180 países http://www.isaca.org/about-isaca/Pages/default.aspx [URL consultado el 20170303]. 

[6] Fuente: ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition . p. 6.  Copyright © 2003 by the IT Governance Institute.  Con autorización, para uso académico. 

[7] "Governance is distinct from management, and for the avoidance of confusion, the two concepts are clearly defined in the standard.”  ISO/IEC 38500: 2008  , p 5.

[8]  https://en.wikipedia.org/wiki/ISO/IEC_38500#Updates_to_the_standard  [URL consultado el 20170303].

[9] Toomey, M. (2009, 2011). Waltzing with the Elephant. Edition 1, Print 1, 3rd August 2009. Bailando el Vals con el Elefante Primera edición en español. Primera impresión. 30 de abril de 2011.  https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwizqIrbsobTAhVmBMAKHWdjApsQFggcMAA&url=http%3A%2F%2Fwww.infonomics.com.au%2FWeb%2520Content%2FDocuments%2FBailando%2520el%2520Vals%2520con%2520el%2520Elefante%2520-%2520extracto%2520promocional.pdf&usg=AFQjCNHWleHgv4hIluwqGDuyzSfp_73-uA&sig2=yi4z4DMj1zd2fyD39VQf7g&cad=rja  [URL consultado el 20170409]. 

[10]  http://www.infonomics.com.au/Index.htm [URL consultado el 20170409].

[11] Esta sección usa ampliamente material previamente publicado en Touriño, M. y Palao, M. (2011).  “Sección Técnica «Auditoría SITIC»-  Ref Autoriz  CobiT PAM y COBIT 5”. Novática. Nº 213, noviembre 2011. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjeitSDspfTAhXJRhQKHeTEChsQFggeMAE&url=https%3A%2F%2Friunet.upv.es%2Fbitstream%2Fhandle%2F10251%2F37507%2FViv%25C3%25B3%2C%2520R.%2520-%2520Referencias%2520autorizadas.pdf%3Fsequence%3D2&usg=AFQjCNF0pCrd0nRJBqTRhcPwwvAovLWfhw&sig2=D58kvEDbt4J2Y2fyPItafA&cad=rja   [URL consultado el 20170409]. 

[12] SACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector". Desde hace unos años ‘ISACA’ es un nombre propio; anteriormente era el acrónimo de Information Systems Audit and Control Association, denominación que se cambió dado el cambio histórico en la composición e intereses de sus socios. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia.  

http://www.isaca.org/about-isaca/Pages/default.aspx  [URL consultado el 20170409]. 

[13] Basado, con adaptaciones en el CMM del SEI de CMU: http://en.wikipedia.org/wiki/Capability_Maturity_Model [URL consultado el 20170409].

[14] http://en.wikipedia.org/wiki/ISO/IEC_15504 [URL consultado el 20170409].

[15] De la que hace una ‘transposición’ (adopción con variaciones). 

[16] Abstraídas como resultado de amplias encuestas. 

[17] Recuerdo que la redacción en ‘imperativo’ fue una positiva innovación de CobiT 4. (2005), no sistemáticamente implementada en castellano, quizá debido a problemas entre el imperativo y el infinitivo. 

[18] La tabla RACI es una matriz unidades_empresariales – actividades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio.

[19] Esta sección usa ampliamente material previamente publicado en García-Menéndez, M. y Palao, M. (2014).  “Sección Técnica «Gobierno corporativo de las tecnologías de la información (GCTI)»-  Ref Autoriz Asociación Nacional de Consejeros de Empresa. Otro espejo en que mirarse”. Novática. Nº 228, abril-junio de 2014. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwji2smh-pfTAhXm6IMKHdWHD4EQFgglMAE&url=http%3A%2F%2Fwww.ati.es%2Fnovatica%2F2014%2F229%2FNv229-106.pdf&usg=AFQjCNETYVkoIEeuiGJeAGZ81-vI9a6YiA&sig2=KnNKCzYvoaUulF6TU9DKFg&cad=rja  [URL consultado el 20170409].

[20] NACD, (del inglés, National Association of Corporate Directors) reúne más de 17 000 miembros de consejos de administración y lleva más de 40 años proponiendo normas para una actuación responsable de los consejos de administración. https://www.nacdonline.org/AboutUs/ [URL consultado el 20170409].

[21] NACD. (2014). The Intersection of Technology, Strategy and Risk. http://www.nacdonline.org/IT  [URL consultado el 20170409]. 

[22] KPMG International Cooperative. http://www.kpmg.com [URL consultado el 20170409]. 

[23] Gartner Inc. http://www.gartner.com [URL consultado el 20170409]. 

[24] La colección completa puede encontrarse tanto en la sede web de la NACD, como en la de ISACA. No obstante, se recomienda optar por esta segunda posibilidad, dado que ISACA ofrece los vídeos “en abierto”, a diferencia de lo que ocurre con la NACD, que ofrece el material sólo para sus miembros.

ISACA. New video series: The Intersection of Technology, Strategy and Risk  http://www.isaca.org/videos/Pages/Intersection.aspx [URL consultado el 20170412].   

[25]  https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance   [URL consultado el 20170412].   

[26] https://www.cnmv.es/portal/Legislacion/COBG/COBG.aspx  [URL consultado el 20170412].   

 

El caso General Electric

Friday, 05 May 2017 Manolo Palao Posted in iTTi Views

Introducción

El propósito de este artículo es analizar la ‘estrategia digital’ de General Electric (GE) basándome fundamentalmente en el estudio de dos artículos recientes [GE-CEO] y [GE-CIO][1],  relacionados con la estrategia digital de la empresa.

El primero es un reportaje sobre el CEO de GE y el segundo, publicado con una semana después, una entrevista al CIO.  

Antecedentes 

GE es una gran multinacional americana, muy diversificada y con una importante actividad en finanzas-seguros, al extremo que “podría decirse que es una empresa financiera con una división de fabricación” [GE][2]. 

GE tuvo su origen a fines del s. XIX, con la constitución por  Edison de la Edison General Electric Company (que realizó la primera iluminación —con corriente  continua— de la parte baja de Manhattan). Tras varias fusiones y el cambio a corriente continua (patrocinado por Tesla y Westinghouse) fue creciendo y diversificándose. Entró en el índice económico Dow Jones cuando este se creó, en 1896, y es la única empresa que siempre se ha mantenido en él desde entonces. 

Actualmente, GE opera en más de 100 países, con más de 300.000 empleados [GE]; y en 2016 fue la 26 mayor empresa del mundo en ingresos[3]. Opera en una gran diversidad de sectores; además de banca y seguros y electricidad (ya citados), tiene una actividad importante en salud (diagnóstico por imagen); energía nuclear y energías alternativas; turbinas eléctricas y de aviación; tratamiento del agua; radio (RCA) y televisión (NBCUniversal); y control de maquinaria y procesos con software (SW), usando su plataforma Predix [GE]. Predix es un  Asset Performance Management System (APMS)[4] —sistema de gestión de la performancia[5]  de activos, por sus siglas en inglés— y es el buque insignia de su actual estrategia digital.  

Estrategia para la transformación digital 

Por toda su historia y gran diversificación sectorial, sorprendió a los analistas mundiales cuando, en noviembre del año pasado (2016), su CEO Jeff Immelt[6] declaró que “la política establecida de GE es convertirse, para 2020, en una de las 10 principales empresas de software” [GE-CEO].  ¡De líder financiero-industrial a líder informático!    

¿Transformación digital?  ¡A tope! No solo transformación digital —como tantas empresas están abordando, y más lo harán o deberían hacerlo—, sino ‘transformación digital en empresa digital’. Esta es la razón por la que me interesa particularmente este caso.  

La estrategia para implementar la política de digitalización de GE se basa tanto en un crecimiento orgánico cuanto en uno inorgánico.  

En el crecimiento inorgánico, GE lleva realizadas adquisiciones por más de 2 000 MUSD en AI (inteligencia artificial); APMS; ‘servicios de campo’; y un ‘programa de socios’, para potenciar Predix [GE-CEO].  

En cuanto al orgánico, está menos claro en la información recogida, pero al menos pasa por:  

1) “una profunda innovación y transformación interna del negocio, antes de que fuerzas externas perturben el negocio de GE” [GE-CIO];

2) la creación de GE Digital, “el brazo SW de la empresa” (dirigida por Bill Ruh, Chief Digital Officer [CDO] de GE) [GE-CEO], posteriormente, al parecer, reabsorbida por la estructura TI tradicional, bajo el CIO Fowler [GE-CIO];

3) revertir la externalización (outsourcing)[7]

4) un plan de retirada de la mayoría de las 9.000 aplicaciones ‘heredadas’ (legacy) que no son nucleares (core) [GE-CIO];

5) diseñar sistemas que funcionen transversalmente en GE, y que también puedan funcionar en un cliente [GE-CIO][8];

6) poder mostrar a los colegas en los negocios el coste de operación de cada aplicación [GE-CIO];

7) aplicar internamente Predix, para optimizar procesos del grupo GE: por ejemplo, para optimizar la gestión (normalización, diseño, adquisiciones, uso) de ‘elementos de sujeción’ (tormillos, tuercas, arandelas), lo que actualmente supone en todo el grupo 250 MUSD. Esto es solo un ejemplo del potencial de este enfoque [GE-CIO];

8)  hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio [9]. Esta filosofía de comercializar las herramientas desarrolladas para uso interno ha sido llamada ‘hilo digital’ (digital thread)  [GE-CIO].  

El concepto estratégicamente revolucionario de GE es hacer que Predix sea “un mundo industrial-industrial, una red para compartir ideas para el futuro. Es una transformación, un cambio que lo abarca todo. Nuestra tarea es crear más productividad mediante una combinación de analítica y física”, llegando a crear un ecosistema[10] que sea un éxito en el “mundo emergente de máquinas conectadas”. Se trata de “cómo coger un activo y hacerlo más eficiente… … es sobre productividad en tu negocio y diferenciar tus productos de un modo que tus competidores no puedan” [GE-CEO]. De este modo, GE se posiciona no solo en la IT sino en la IoT. 

Lo que Predix hace –se propone hacer–  es “predecir fallos de las máquinas antes de que ocurran” [GE-CEO].  

GE ha diseñado el concepto de «gemelo digital» que emula un activo industrial real (como una central generadora o una turbina) y lo hace combinando AI y estadísticas con modelización basada en Física; GE actualmente usa más de medio millón de gemelos digitales. Enfoque distinto al de IBM, por ejemplo, que aplica aprendizaje profundo (deep learning, una técnica de AI) a los datos procedentes de tales activos [GE-CEO]. 

En el ecosistema de GE ya están participando HPE, Dell y las mayores consultoras. BP viene usando una instanciación de Predix llamada  GE Plant Operations Advisor,  que muestra, a los operadores de plataformas petrolíferas, problemas potenciales que pudieran llevar a una parada o a una pérdida de eficiencia de la plataforma [GE-CEO].  

GE tiene que competir, por ejemplo, con Watson de IBM, que está siendo considerada por SNCF (ferrocarriles franceses) para predecir necesidades de mantenimiento de trenes y vías; y por Amadeus (reservas) para minimizar o evitar el tiempo no disponible (downtime) [GE-CEO].  

Fowler explica que, cuando se incorporó a GE, 16 años antes, “el foco de TI estaba en los costes… La misión del CIO era simplemente que TI funcionara lo más barato posible”. El CIO moderno “tiene que subirse al carro de las cosas que importan, como la facturación, la productividad con costes variables, la generación de caja y la rotación del inventario; y no hablar de obsolescencia o performancia y disponibilidad”. Fowler afirma que obsolescencia, performancia o disponibilidad son ‘datos’, que ”todo CIO debiera ser capaz de gestionar como parte de su trabajo”. “Tengo que estar en la mesa [del Comité de Dirección, se entiende] ayudando a mis compañeros del negocio a entender cómo perturbar (disrupt)” [GE- CIO]. 

La información contenida en los dos documentos de base [GE-CEO] y [GE-CIO] hace difícil analizar los roles reales detallados de los distintos cargos en este  proceso de transformación digital.  

Los documentos hacen referencia a:

1) CEO - Jeff Immelt

2) CIO – Jim Fowler

3) CDO - Bill Ruh, CEO de GE Digital, aparentemente después subsumida en IT  

4) los ‘compañeros del negocio’: los directivos de las unidades de negocio 

Está claro que el liderazgo de la revolución digital corre a cargo del CEO. No podría ser de otra forma, cuando la política corporativa es convertirse en una empresa de software

Además, “En muchos aspectos, Immelt [CEO] es el CDO. «Nuestro papel aquí es ayudar» dice Fowler [CIO]” [GE- CIO].  

El papel del CDO formal queda desdibujado (quizá porque lo estaba el de la filial GE Digital). 

El CIO se declara (hace 2 párrafos) ‘ayudante’ del CEO. Más arriba, ha declarado que “tiene que ocuparse de las cosas que importan [al negocio]”, y también, naturalmente, de la operación de TI (p. ej.: “obsolescencia, performancia o disponibilidad”). Además está en el Comité de Dirección, ayudando a los compañeros del negocio en la revolución digital (“cómo perturbar (disrupt)”).  

* * *

Artículo escrito por Manolo Palao, iTTi 20170429     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos. 

-----------------------------------------

[1] [GE-CEO].  Saran, C. (16 Nov 2016). “GE pushes ahead into the software market”. ComputerWeekly. www.computerweekly.com/news/450402999/GE-pushes-ahead-into-the-software-market [URL consultado el 20170429]. 

[GE-CIO]. Saran, C. (24 Nov 2016). “CIO Interview: Jim Fowler, GE”. ComputerWeekly. http://www.computerweekly.com/news/450403338/CIO-Interview-Jim-Fowler-GE [URL consultado el 20170429]. 

[2] [GE]. https://es.wikipedia.org/wiki/General_Electric [URL consultado el 20170429]. 

[3] https://en.wikipedia.org/wiki/List_of_largest_companies_by_revenue [URL consultado el 20170429]. 

[4]  https://www.ge.com/digital/ [URL consultado el 20170429]. 

[5] El palabro ‘performancia’ pretende reunir las principales acepciones de performance (funcionamiento, rendimiento, desempeño) en los ámbitos técnico y económico. 

[6] Immelt no es un tecnólogo, lleva 17 años de CEO de GE y antes lo fue de la filial de Salud. Pero tiene mucha inteligencia práctica de la tecnología (very tech savvy).  “Jeff es uno de los hombres más inteligentes que haya encontrado nunca” ha dicho el CIO de GE Jim Fowler [GE-CIO]. 

[7] Cuando Fowler fue nombrado CIO, 18 meses antes, el 75% de la TI de GE  estaba externalizada. Y “habíamos abandonado el conocimiento fundamental de cómo funciona nuestro negocio y desvelado dicho conocimiento capital”. GE decidió un insourcing (revertir la externalización) para recuperar dicho conocimiento. [GE- CIO]. 

[8] “…[L]a TI interna de GE no debiera diferenciarse de una empresa de software”, según Fowler [GE- CIO]. 

[9] Una estrategia similar (hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio) ya lo han hecho Amazon, con su plataforma “AWS”; y Google con sus servicios.   

[10] Un ‘ecosistema digital’, según Gartner, es “un grupo interdependiente de empresas, personas o cosas que comparten plataformas digitales normalizadas con un propósito de beneficio mutuo  (como ganancia económica, innovación o interés común). Los ecosistemas digitales le permiten a uno interactuar con clientes, socios, industrias adyacentes e incluso competidores”. “Los ecosistemas son el futuro de lo digital”.  

http://www.gartner.com/technology/topics/digital-ecosystems.jsp [URL consultado el 20170430].  

Mark Raskino, fellow  de Gartner afirmó en el Gartner Symposium de Barcelona que “Toda industria será remasterizada digitalmente. Toda empresa competirá como parte de un ecosistema de negocio” [GE-CEO]. 

 

Unas reflexiones sobre estrategia digital. La revolución digital de los seguros y el caso Allianz

Wednesday, 26 April 2017 Manolo Palao Posted in Corporate Governance of IT

Introducción

Ahora no se deja de hablar de las promesas (y riesgos) de la IoT —Informática de las Cosas, según sus siglas en inglés. Pero no por ello se deben perder de vista las promesas aún no materializadas de la vieja IoI —Informática de la Información, o de los Datos: la Informática de siempre—. 

La Informática de siempre (IoI) nos anunció, por ejemplo, la ‘oficina sin papel’ y la ‘sociedad sin papel’[1]. Pero hace sólo un lustro (ya en plena ‘revolución digital), el oficinista medio americano aún generaba diariamente ¡1Kg. de papel![2] 

Y al igual que la ‘oficina sin papel’ y la ‘sociedad sin papel’, quedan otros muchos beneficios por cosechar, en materia de rapidez, precisión, productividad y vivencia de los usuarios, hasta realizar el potencial conocido de las tecnologías de la información. Como también quedan por suprimir o mitigar importantes riesgos como los que afectan a la privacidad de las personas o a la seguridad de los activos de información.  

Quizá donde todavía quepa un mayor recorrido en el proceso de digitalización sea en muchos sectores tradicionales y en empresas viejas, grandes, burocratizadas y de cultura conservadora —por no hablar de las administraciones públicas—. Uno de tales sectores puede ser el de seguros.

* *

La revolución digital de los seguros de vida

McKinsey acaba de publicar un artículo[3] que es un ejercicio modélico de estrategia de mercado e identificación de nichos potenciales. 

El artículo versa sobre ‘seguros de vida’ pero parece fácilmente generalizable a otros seguros. Comienza con la evidencia de que “mientras más del 70% [de los usuarios] inician online la recogida de información [sobre seguros][4], solo menos de un tercio completa así su contratación”.  

Los autores proponen tres horizontes, a lo largo de los cuales las aseguradoras que se planteen sobrevivir “habrán de realizar:  

    (1) la modernización de todos los canales de interacción con los clientes;

    (2) la interconexión de los canales para brindar al cliente una vivencia sin solución de continuidad; y

    (3) la creación de productos personalizados”, basados en el ingente y creciente volumen de datos disponible.  

1. En el primer horizonte — la modernización de canales— sugieren: i) explotar la riquísima información que los usuarios vierten continuamente sobre eventos de sus propias vidas, para usar tales eventos como apoyo para acciones proactivas, como publicidad y ofertas; ii) simplificar y acortar drásticamente los procesos para facilitar el culminar la suscripción de una póliza1; y iii) simplificar la operativa diaria de agentes y corredores, entre otras cosas con herramientas CRM (‘gestor de relaciones con clientes’, por sus siglas en inglés). 

2. En el segundo —diferenciación, mediante mejora de la vivencia del cliente—: i) estableciendo ‘perfiles-diana’ (target personas), mediante un amplio uso de herramientas analíticas sobre big data; y ii) haciendo un seguimiento (tracking) mediante herramientas multicanal —online y offline— buscadoras e integradoras[6].  

3. Y en el último —la personalización de productos y servicios— mediante: i) un refinamiento de la cobertura del riesgo (más allá, p. ej., de los clásicos “en caso de vida” y “en caso de muerte”) sino ajustándose más a las circunstancias y apetito de riesgo del tomador; ii) apoyándose en los puntos o eventos de contacto (touchpoints) descritos en 1.); iii) una mayor personalización de todos los mensajes con el objetivo de aumentar la confianza con la entidad —considerada requisito esencial de la contratación—; y iv) finalmente, personalizar los precios a cada circunstancia. 

Abordar esa amplia estrategia puede suponer inversiones significativas. “Allianz, por ejemplo, está invirtiendo 650 M€ en el desarrollo de capacidades digitales de la siguiente generación, para prestar servicio a más de 85 millones de clientes”[7]. 

* * 

El caso Allianz 

A fines de 2016, el CEO de Allianz, Oliver Bäte, hizo unas declaraciones, en una breve entrevista (11 min.) en Financial Times[8], donde se refiere a las líneas estratégicas de la aseguradora.  

Trató, en la entrevista, la ’transformación digital’ en pie de igualdad con temas como la nueva Presidencia de los EEUU, el Brexit, la regulación / desregulación (con mención a Solvencia II), el aumento de los nacionalismos y las fronteras en Europa, o el euro. (También es verdad que los entrevistadores insistieron en preguntas sobre lo digital, con lo que este tema ocupa más del 40% de la entrevista).

Allianz, según su CEO, basa su estrategia digital —su “Agenda de Renovación”— en cinco pilares, todos los cuales, en palabras de su CEO no son meros títulos abstractos, sino que incluyen “pequeñas metas específicas”[9]. Los 5 pilares son: 

     1) Centralidad real del cliente. (A su vez, este pilar es el eje o núcleo de los otros cuatro y es por tanto el pilar clave: véase el claro gráfico en el URL de Nota 9).

      2) Digital por defecto

      3) Excelencia técnica  

      4) Motores de crecimiento

      5) Meritocracia inclusiva 

1. Centralidad real del cliente 

“Nuestro mundo está cambiando de un negocio push … a un modelo pull, en el que la gente decide cuándo y cómo consume nuestros productos” (Nota 8). Ello supone usar herramientas de los 3 horizontes propuestos en al artículo de McKinsey. 

2. Digital por defecto

Como corazón o núcleo de la compañía, no como un parche o añadido. Implica la oficina sin papel (como algo secundario, pero con un “ahorro potencial de 350 -400 M€”). 

Servicio en el móvil, para todo producto, para todo su ciclo de vida.

3. Excelencia técnica  

“… [Usando] los mejores métodos analíticos y nuestros expertos y directivos de mayor talento. Las ventajas que la digitalización ofrece se usarán para optimizar nuestro sistema de precios ajustados al riesgo [Horizonte 3.] de McKinsey] y para simplificar y agilizar el tratamiento de siniestros [Horizontes 1., 2. y 3.]”.  

4. Motores de crecimiento

“Nuestra nueva UTE con el portal chino Baidu, que alcanza al 90% de los usuarios chinos de Internet es un buen ejemplo. Nos coloca en posición prominente en uno de los mercados de seguros digitales más dinámicos, con tasas de crecimiento anuales del 40% e ingresos anuales esperados en 2020 de 100 BN€ [miles de millones (= millardos) de euros].

Con los objetivos de alcanzar economías de escala y tener una presencia global, por una parte unitaria y por otra particularizada a países y clientes. 

5. Meritocracia inclusiva

Mediante un refinamiento de la cultura corporativa que valorice tanto el desempeño cuanto la forma de lograrlo —por ejemplo, mediante equipos multifuncionales— usando como métrica el IMIX (índice de meritocracia inclusiva, por sus siglas en inglés) y ajustando a él las retribuciones.  

Lo hasta aquí descrito, según Bäte: “Son cosas fáciles de decir, pero no son cosas fáciles de hacer; y en esto es donde está el trabajo de verdad: no en el lado de la tecnología[10], sino realmente en inculcarlo en nuevos procesos y nuevos modelos de prestación y esto es lo que realmente está llevando tiempo” (Nota 8).   

Es interesante destacar que se trata de un plan estratégico con un horizonte relativamente corto (3 años), pues, lanzado a finales de 2015, establece objetivos cuantitativos ambiciosos para 2018 (ver algunos indicadores en URL de Nota 9); conscientes los autores de que “los ciclos de innovación alcanzan su madurez mucho más rápidamente”, por lo que “negocios nuevos, ganadores, emergen en cortos marcos temporales”[11].      

Nótese que ninguno de los pilares hace referencia directa a la ‘estrategia digital’ (a cómo se consigue la transformación digital), pues aunque el segundo se titule ‘Digital por defecto’ eso no es una estrategia digital, sino un objetivo de la estrategia digital; es una estrategia corporativa.  

Estrategia corporativa que sería imposible (salvo quizás parte del quinto pilar) sin un soporte digital amplísimo —¡650 M€!—, que requerirá, a su vez, una propia estrategia digital: decisiones sobre arquitectura, plataformas, legacy, outsourcing, la Nube, etc.). 

Los ejemplos de ‘horizontes’ de McKinsey presentados al principio pueden ayudar a “unir los puntos” y ver cómo dicho soporte puede establecerse para los diversos pilares.

* * *

Artículo escrito por Manolo Palao, iTTi 20170418     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.

-----------------------------------------

[1]  Por ejemplo, por su vocero el Prof. Lancaster, en 1978. https://en.wikipedia.org/wiki/Paperless_society [URL consultado el 20170418].

[2]  https://en.wikipedia.org/wiki/Paperless_office  [URL consultado el 20170418].

[3] Gandhi, P. et al. (Abril 2017). Life insurance: Ready for the digital spotlight. McKinsey&Company Financial Services. http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/life-insurance-ready-for-the-digital-spotlight?cid=other-eml-alt-mip-mck-oth-1704&hlkid=1643c91f08a648e48ec12c55e7737336&hctky=1708074&hdpid=10862995-ad38-423b-b308-0d58f5d3f929 [URL consultado el 20170419]. 

[4] “Mensualmente, más de un millón de búsquedas en Google y 7 millones de visitas a las páginas web de las 10 principales aseguradoras”. Ibíd. 

[5]  Con la sencillez y rapidez con que hoy, por ejemplo, se pueden hacer ya muchas operaciones bancarias o de compraventa. 

[6] Conviene señalar que no se trata de herramientas que se espera aparezcan alguna vez en el mercado, sino de programas ya disponibles, algunos (como los CRM del párrafo anterior) hace décadas. 

[7] Nota 3.

[8] Jenkins, P. and Ralph, O. (2016/12/11).  Allianz chief outlines digital growth strategy. FT News. http://podcast.ft.com/2016/12/11/allianz-chief-outlines-digital-growth-strategy/   [URL consultado el 20170420]. 

[9] Una descripción más formalizada de la estrategia puede encontrarse en https://www.allianz.com/en/about_us/strategy_values/strategy/ y en https://www.allianz.com/v_1489412484000/media/about_us/stragey-values/2015-investor-letter.pdf  [URLs consultados el 20170420]. 

[10] Subrayado, mío.

[11] Allianz. (2015-11-24).  Allianz Capital Markets Day Renewal Agenda –bringing skills to scale. Diapos A8 y A20. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwjLwfWf2LLTAhXFOxQKHfyNCkAQFgg1MAI&url=https%3A%2F%2Fwww.allianz.com%2Fv_1448453228000%2Fmedia%2Finvestor_relations%2Fen%2Fconferences%2Fcapital_markets_days%2Fdocuments%2F2015-CMD-presentation.pdf&usg=AFQjCNHklikh-rE8qS7e0LMkFOPpULPihA&sig2=_98UkIu7bnX1eAr-29DzCw&cad=rja   [URL consultado el 20170420].

 

Publícitis