Follow us on:
Perspectives

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

El Triángulo de la Gobernanza

Thursday, 18 May 2017 Manolo Palao Posted in Corporate Governance of IT

Distribución de roles y responsabilidades en el Gobierno y Gestión de las TI entre Consejo de Administración (CA), CEO y CIO

 * *

Propósito de este documento

Explorar la distribución de roles y responsabilidades en el gobierno y gestión de las TI entre: i) Consejo de Administración [CA]; ii) Presidente Ejecutivo o Consejero Delegado o Director General [CEO]; y iii)  Director de Tecnologías de la Información (TI) o de Informática [CIO]. 

Me refiero, en terminología y referencias, al ámbito de las empresas, pero es probable que lo que digo pueda extenderse — mutatis mutandi— a otras organizaciones, como fundaciones, universidades, ONGs o la Administración Pública. 

* *

Gobernanza | Buen Gobierno TI

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’, ‘gobierno corporativo de las TI’ (GCTI) y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

La norma ISO 38500[2]  define la Gobernanza de las TI (“gobernanza que es distinta de la gestión”) como “El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI”[3].

En 2012, Gartner publicó una definición de Gobernanza [de las TI], tras “haber recibido más de 3200 consultas sobre el tema de la gobernanza” en los 6 primeros meses de ese año. 

Gartner[4]  define “gobernanza” como el proceso de:

- «Establecer los derechos de decisión y responsabilidad; y también establecer políticas alineadas con los objetivos del negocio (conservación y aumento del valor para el accionista)

- Equilibrar las inversiones conforme a las políticas y en apoyo de los objetivos del negocio (ejecución coherente de la estrategia)

- Establecer medidas para monitorizar el cumplimiento de decisiones y políticas (cumplimiento y aseguramiento)

- Asegurar que los procesos, comportamientos son conformes con las políticas y están dentro de las tolerancias de las decisiones (gestión del riesgo)» 

ISACA[5] define la gobernanza empresarial como “un conjunto de responsabilidades y prácticas ejercidas por el consejo de administración y la dirección ejecutiva con el propósito de aportar dirección estratégica, asegurando que se alcanzan los objetivos y que los riesgos se gestionan apropiadamente y verificando que los recursos de la empresa se usan de forma responsable”[6]. 

iTTi[7], en su Manifiesto sobre GCTI[8] dice:

- El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso.

- La responsabilidad sobre la rendición de cuentas en torno al uso que se hace de las TI recae en el consejo de administración u órgano de gobierno equivalente. Los mecanismos de gobierno corporativo enlazan las actividades de dirección y control del consejo con el dominio de gestión de la organización a través del consejero delegado (CEO) y el resto de ejecutivos, incluido el director de sistemas de información (CIO). 

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso de las tecnologías, más que de su detalle táctico, operativo y técnico. Gobernanza que tiene la virtualidad de hacer forzosa en la realidad (y vacua en la teoría) la alineación de la denominada[9] ‘estrategia TI’ con la ‘estrategia corporativa’.

* * 

Polarización sesgada de la responsabilidad sobe GCTI

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones y sobre muchos temas, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos[10]. Y también, la que aquí me importa de las tecnologías de la información (TI).  

El protagonismo y la propiedad de las acciones en temas de gobierno de TI se han asignado tradicionalmente, por investigadores, docentes y medios a los CIO (directores de informática), los CEO (ejecutivos jefe), y —más recientemente— a los órganos de gobierno [OG], CA. 

Muchas de esas asignaciones han sido focales en uno de los tres agentes (CIO, CEO, OG), ignorando los otros dos o haciéndoles jugar un papel subordinado o complementario al central del agente favorecido en cada estudio o por cada institución.

Así, se ha publicado mucho sobre temas como los siguientes: 

- Cómo puede / debe explicar el CIO al CEO la estrategia de TI 

- Cómo alinear la estrategia TI con la estrategia corporativa

- Cómo informar al consejo de administración del riesgo TI

- El CIO ideal para un CEO

- Los temas TI que el CA no puede delegar

- Etc.

Sin embargo, tanto el sentido común cuanto la disciplina de organización de empresas (o denominación afín) apuntan que el protagonismo y la propiedad de las acciones de GCTI será, en cada caso (país, sector, tamaño, multinacionalidad, empresa concreta), el resultado de un equilibrio trilateral más o menos distribuido entre los tres actores, pero probablemente sin exclusión de ninguno de ellos. Equilibrio dinámico resultante de la acción de la micropolítica, motor de toda institución[11].

La reducción a tres grandes actores es probablemente, a su vez, una simplificación, aunque sea aceptable en primera aproximación. 

En un análisis más fino convendría considerar también a otros principales interesados (stakeholders) con algún cuanto significativo de poder y por tanto con una influencia sensible; piénsese, por ejemplo, en los reguladores. 

No parece, sin embargo, viable (salvo por estudio de algunos casos aislados) recoger información estadística de muchos,  ni rebasar lo que sería un mero ‘mapa de influencias’ (formales e informales) de los tres actores.  Pero —dado que la gobernanza es un proceso complejo— también serían de mucho interés los principales flujos e interacciones entre los actores. 

* *

Motivos por los que no se observa la trilateralidad

Opino que la información generalmente disponible —encuestas y análisis por diversas entidades sobre muestras diversas de empresas y organizaciones— adolece a menudo de dos grandes sesgos: uno derivado del posicionamiento u óptica desde el que se acomete el estudio y otro debido a la representatividad de la muestras[12]. 

Los marcos, normas, encuestas y estudios producidos por entidades que —por su origen, evolución e intereses— son proclives a la preponderancia de uno de los tres colectivos de actores citados, tienden a ignorar o relegar a los otros dos o a alguno de ellos[13].

Las empresas recogidas en las muestras y casos de estudio de mayor difusión son, con frecuencia, grandes multinacionales y –si bien pueden ser representativas de ‘mejores prácticas’  por su cuota de mercado o empleados, no cabe tomarlas como guía absoluta para la miríada de empresas menores (incluso PYMEs) que constituyen el tejido económico y social de muchos países, entre ellos España.

Hay que mencionar también que la política freemium de muchos de los grandes analistas, por la que publican gratis solo un pequeño resumen y sólo mediante pago (a veces sustancial) el estudio completo, dificulta al estudioso un análisis crítico más fundamentado. El pequeño resumen, que sirve de noticia y a la vez acicate para adquirir el estudio completo, suele carecer de la información demográfica y técnica de la encuesta, impidiendo así su interpretación correcta. 

* *

Banalización del término ‘gobernanza’

En el campo de las TI (y sus numerosos subcampos, herramientas y técnicas) se ha venido produciendo una banalización de la gobernanza que —como acabo de exponer— es un proceso de ‘alto nivel’ en toda organización.   

Probablemente se debe a intereses espurios, de mala mercadotecnia, que se proponen aumentar el atractivo de un producto o servicio, quizá bueno para su función puntual original, proclamando también su contribución al buen gobierno. Por citar un ejemplo, mencionaré la clase de productos de software (SW)  GRC (Governance, Risk and Compliance), que en su mayoría son meros gestores documentales. Dejo al lector interesado que —con un mínimo esfuerzo de búsqueda— deduzca cuánto tienen que ver los que se ofrecen en el mercado con la gobernanza, como se ha definido más arriba[14].

Esa banalización difumina, en muchos casos, el concepto de gobernanza y puede dificultar su asignación a los tres (o más) perfiles citados.  

* *

Conclusión

El GCTI es una función y un proceso de alto nivel en las organizaciones. Proceso que dirige y controla el uso, los objetivos y estrategias de las TI. 

Compete en proporciones variables y dependientes de las características de cada empresa a la terna OG – CEO – CIO, con una responsabilidad última irrenunciable del OG.

No hay mucha información fácilmente asequible que documente claramente y sin sesgos cómo se distribuye la responsabilidad y la influencia de las tres partes principales en gran número de empresas de diferentes tipos.

De forma ideal y simplificada sería bueno disponer de estudios empíricos (encuestas) que —por ejemplo— tipificasen la tupla (a, b, c) de influencia [ver figura], (con a+b+c = 100%, por ejemplo).[15] 

* * *

Artículo escrito por Manolo Palao, iTTi 20170505   

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.   

-------------------------------------------------

[1] http://dle.rae.es/?id=JHRSmFV  [URL consultado el 20170422]. 

[2] ISO/IEC 38500:2015 Governance of IT for the Organization.

[3] Fuente de la traducción: UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI). §1.6.3 gobernanza corporativa de la TI. 

[4] Julie Short, J. et al.(04 September 2012). " Gartner Defines 'Governance'". Gartner. ID: G00237914. https://www.gartner.com/document/2145816?ref=lib  [URL consultado el 20170511].

[5] https://www.isaca.org/pages/default.aspx [URL consultado el 20170511]. 

[6] SACA. (2013). CEGEIT Review Manual 2013. Rolling Meadows, IL. EEUU. ISACA. p.7. 

[7] http://www.ittrendsinstitute.org/about-itti [URL consultado el 20170511]. 

[8] iTTi. (2015). "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" V01.00.20150530ES https://es.slideshare.net/iTTi_news/el-manifiesto-itti [URL consultado el 20170511].

[9] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada (no es una estrategia adecuada), como está equivocado o es inadecuado quien la haya elaborado así, por ignorancia o intereses espurios. 

[10] Como cualquier búsqueda rápida en Internet puede confirmar. 

[11] Sobre ‘equilibrio’, en teoría de la organización, han tratado muchos sociólogos y economistas ilustres desde mediados del siglo pasado. 

[12] Confirmar empíricamente esta doble opinión es un trabajo pendiente, de una envergadura probablemente considerable. Hacen falta más estudios, más equilibrados y detallados, que probablemente manifiesten una participación equilibrada (que no uniforme) de los tres agentes (CIO, CEO y OG) y unos protagonistas distintos y relaciones menos diferenciados en muchas empresas medianas o pequeñas; con descripción suficiente de la muestra y de una metodología de muestreo suficientemente rigurosa. 

[13] No es fácil, y rebasaría el propósito de este trabajo, hacer la nómina de los autores y entidades que han tenido / tienen influencia importante en la tipificación de los roles de esos colectivos. Entre los más importantes están, probablemente:   Center for CIO leadership, CIO, Davenport, Forrester, Gartner, IESE, Infonomics, iNFoRMáTiCa++, ISACA, ITAG Research Institute, ITIL, iTTi, Johnson, King, McKinsey, MIT – CDB, MIT – CISR, NACD, Nolan & McFarlan, novática, Porter, PwC, Sieber & Valor,  Swedish Royal Institute of Technology’s Department of Industrial Information and Control Systems, Toomey, Ward & Peppard, Weill & Ross. 

[14] Sí pueden tener que ver con una visión reduccionista de ‘gobernanza’ de algunos autores, que la equiparan a ‘cumplimiento’ (compliance). 

[15] Ver:  Weill, P., & Ross, J. (2005). "A Matrixed Approach to Designing IT Governance". MIT Sloan Management Review. Cambridge 46.2 (Winter 2005): 26.   http://0-search.proquest.com.cataleg.uoc.edu/docview/224976041?pq-origsite=summon&http://0-search.proquest.com.cataleg.uoc.edu/pqcentral?accountid=15299  [URL consultado el 20170511].

 

La adicción a la máquina

Wednesday, 17 May 2017 Maria Jose de la Calle Posted in iTTi Views

Nuestro "adicción a la máquina" no pretende hacer referencia a la dependencia de todo tipo de dispositivos personales que actualmente padecemos, sino a la necesidad que sentimos de confiar en las máquinas para extraer conclusiones, dada su mayor rapidez para alcanzarlas. Una celeridad que nos ofrece respuestas de manera casi inmediata; pero que no obstante, se antoja insatisfactoria, a la vista de nuestro permanente deseo de dotar a las máquinas de una mayor velocidad. 

La evolución de las máquinas ha traído muchos beneficios a la Humanidad, pero también algunos perjuicios cuando se han utilizado de manera inapropiada.  

El tiempo transcurrido desde que se inventa una máquina hasta que la Sociedad adopta su uso de forma generalizada, se hace más corto cada vez. De tal modo que no da tiempo ni a conocer los riesgos de dicho uso ni a adoptar las medidas para mitigarlos. Medidas tales como fabricar la máquina de forma correcta, o producir, ordenadamente, el cambio de costumbres que, presumiblemente, requiera el referido uso. 

Cuanto más utilizamos las máquinas, más les pedimos que hagan para nosotros, entrando en un bucle sin fin y carente de la oportuna reflexión. 

El Diccionario de la Real Academia Española de la Lengua (DRAE) define "máquina"[i] como "artificio para aprovechar, dirigir o regular la acción de una fuerza", como primera acepción. 

Hoy, que tanto se habla de las [r]evoluciones tecnológicas (industriales), cabe segmentar, también en etapas la evolución de las propias máquinas. 

Las primeras máquinas construidas por el Hombre constituían una suerte de continuación de su propio cuerpo que permitían multiplicar, regular o dirigir la fuerza de sus músculos. Estas máquinas estaban "unidas" físicamente a la persona que las manejaba. 

Posteriormente, a estas mismas máquinas se las dotó de cierto grado de autonomía, al incorporarles motores, y en lugar de transformar y multiplicar la energía de los músculos, ejercían su propia fuerza transformando otros tipos de energía, como la generada por el vapor, la eléctrica o la derivada de los combustibles fósiles. 

Con la aparición de la Informática, las nuevas máquinas -los ordenadores y todo tipo de dispositivos computarizados- tuvieron la habilidad de procesar datos, datos "a lo grande", lo que, volviendo a la definición del DRAE, suponía nuevamente amplificar la "fuerza", o la capacidad, de otro órgano humano: el cerebro.  

Esas nuevas máquinas pueden servir como calculadora -hace ya mucho que no se necesita calcular de memoria o hacer una cuenta en un papel-, como repositorio de información -las enciclopedias están digitalizadas-, como agenda de contactos y recordatorios -ya no se necesita acudir a la memoria para acordarse de una cita apuntada no se sabe dónde-, y así un largo etcétera. 

Asimismo, con los ordenadores, se ha multiplicado la información generada y almacenada. A su vez, los propios ordenadores han aumentado su capacidad para tratar dicha información, pero no a la misma velocidad que la producen. Recuerde que los datos, por sí solos, no significan nada; hay que darles un contexto en el cual cobren significado. 

De hecho, hoy hay tantos datos que es humanamente imposible, en muchos casos, poder clasificarlos y extraer de ellos información significativa para un determinado fin. En principio, una misión atribuible a nuestro propio cerebro; pero que resulta muy lento para la cantidad de datos a los que ha de enfrentarse. Si malo es no tener suficientes datos, una gran cantidad de ellos lleva al mismo destino: la imposibilidad de obtener una información útil en un tiempo razonable. Tal vez por eso a las máquinas se les pide cada vez más. 

El tratamiento por parte de aquellas de la inmensa cantidad de datos que actualmente producen las personas y los objetos (otra máquinas), sirve, entre otras cosas, para calcular patrones y correlaciones estadísticas, que pueden ayudar a establecer comportamientos futuros y contribuir a la toma de decisiones. En suma, como se apuntaba al principio, a "extraer conclusiones".  

Hay dos caminos por los cuales se busca mejorar la capacidad de tratamiento de datos y entrega de información y conocimiento. Siguiendo la senda de una mayor eficacia se encuentra la Computación Cognitiva. Por el lado de la mayor eficiencia, aparece la Computación Cuántica y sus anunciados ordenadores cuánticos; obviamente sin olvidar la búsqueda de mayores capacidades de cálculo de los procesadores actuales, tradicionales. 

La Computación Cognitiva -permítame dejar la Cuántica para otro día- persigue "simular el pensamiento humano en un modelo computarizado"[ii]. Implica sistemas de auto-aprendizaje y reconocimiento de lenguaje natural. 

Con ella las máquinas proporcionan una capacidad de análisis de datos mucho más veloz que la de los humanos. Vienen a actuar como un super-cerebro con capacidad de acceder a información en cualquier parte del mundo, de procesar gran cantidad de datos, muchos de los cuales no son cifras o datos estructurados, sino que son fotografías, vídeos, mensajes, documentos, situaciones u otros datos no estructurados.  

De este modo, los resultados proporcionados por las máquinas son correlaciones, patrones o conclusiones servidos en forma de números, gráficos y, por qué no, consejos varios en lenguaje natural sobre qué hacer ante distintas situaciones. 

A las máquinas se les ha proporcionado autonomía de pensamiento, análogamente a lo indicado anteriormente sobre la autonomía mecánica proporcionada mediante la incorporación de motores. 

IBM acaba de presentar -el pasado mes de marzo- su nueva plataforma Watson Data Platform[iii], de computación cognitiva. Según su página web, es capaz de aunar la información de una organización, aprender con cada dato que le llegue, y con sus capacidades analíticas, dar rápidamente nuevas respuestas al negocio, y todo esto "como servicio" en la nube.   

Citando a Guy Creese[iv], vicepresidente de Gartner, "quizás el mayor estímulo que la Inteligencia Artificial puede proporcionar es mantener a las personas centradas en lo que es más importante. La mayoría de las personas necesitan la Inteligencia Artificial para tratar con contextos cambiantes". 

De los dos últimos párrafos habría que destacar, en primer lugar, "dar rápidamente respuestas", en segundo, "en lo que es más importante [...] tratar con contextos cambiantes". Las máquinas pueden resolver el problema de dar respuesta a los cambios y de manera suficientemente rápida. Además, alguna de ellas pueden aprender por sí mismas. 

Por el contrario, como ya se ha indicado, el cerebro -humano- es lento y además no responde bien a situaciones cambiantes[v], por lo que no vamos a poder seguir a las máquinas. Consecuentemente, como se apuntaba al principio, no parece que haya más salida que materializar nuestra "adicción a las máquinas" depositando nuestra confianza en ellas. 

Sin embargo, esto plantea una serie de intrigantes preguntas: ¿Cómo vamos a saber si las respuestas que nos ofrecen las máquinas son las correctas, si tenemos carencias, al menos en capacidad, a la hora de evaluarlas nosotros mismos?; ¿qué otras posibles opciones nos habrán "ocultado"?; y, lo que puede ser más relevante,  ¿estamos siendo capaces de formular las preguntas adecuadas?  

Según el artículo "This Is Your Brain on GPS Navigation" publicado por MIT Tecnology Review[vi], las partes del cerebro que se utilizan para buscar rutas y planificarlas no se activan cuando las direcciones nos las proporcionan, por ejemplo por medio del teléfono o la tableta. En ese sentido, el cerebro es como un músculo, y lo que no se utiliza, se atrofia. Por tanto, cabe plantearse una pregunta adicional: ¿perderemos los humanos ciertas capacidades cedidas a las máquinas?

Volviendo a la cita de Guy Crees, "centrarnos en lo que es más importante", se nos puede olvidar por qué algo es más importante y los criterios para saber que eso es más importante. ¡Como nos lo dice la máquina! 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 160,  abril-2017. Referencia: Opinión, pg.10 – "La adicción a la máqina" – María José de la Calle.   

-------------------------------------

[i] url [a 20170327] http://dle.rae.es/?id=OKvTasd 

[ii] "Cognitive computing is the simulation of human thought processes in a computerized model. Cognitive computing involves self-learning systems that use data mining, pattern recognition and natural language processing to mimic the way the human brain works.". "Cognitive computing is used in numerous artificial intelligence (AI) applications, including expert systems, natural language programming, neural networks, robotics and virtual reality. "  Whatis.com url [a 20170327] http://whatis.techtarget.com/definition/cognitive-computing  

[iii] Watson es la plataforma de IBM de Computación Cognitiva. url [a 20170327] https://www.ibm.com/analytics/us/en/watson-data-platform/platform.html  

[iv] "But perhaps the biggest boost AI can provide is keeping people focused on what's most important. Most people need AI to deal with "context switching," "The Latest Battle in Software Is All About Artificial Intelligence" (20161025). Fortune|Tech. url [a 20170327] http://fortune.com/2016/10/25/artificial-intelligence-software/  

[v] Literatura sobre cómo los humanos reaccionamos a los cambios hay mucha. Aquí dejamos dos ejemplos.  url [a 20170327] http://neurocienciaempresaymarketinglucia.blogspot.com.es/2012/09/resistencia-al-cambio-y-neuromanagement.html , http://www.cronista.com/management/-El-cerebro-es-reticente-al-cambio-20131226-0013.html  

[vi] "Parts of the brain that are used to navigate and plan routes aren’t active when directions are fed to us." "This Is Your Brain on GPS Navigation" (20170322).  MIT Technology Review url [a 20170327] 

https://www.technologyreview.com/s/603951/this-is-your-brain-on-gps-navigation/?goal=0_997ed6f472-93e326545f153813777&mc_cid=93e326545f&mc_eid=f684c51e62  

 

El Consejo de Administración en el Gobierno Corporativo de las TI

Sunday, 07 May 2017 Manolo Palao Posted in Corporate Governance of IT

Aclaración terminológica

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’ y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

Trato también como sinónimos, salvo mención expresa órgano de gobierno OG) y consejo de administración (CA).

* *

Propósito de este documento

El propósito de este trabajo es hacer una breve reseña de los principales hitos en que se recaba para los órganos de Gobierno (OGs) de las entidades, el protagonismo en el gobierno corporativo de las TI (GCTI) , en un movimiento relativamente nuevo durante la última década.

* *

Introducción

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos [2].

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso del tema en cuestión, más que de su detalle táctico, operativo y técnico. 

Es quizá en la última década cuando los OGs, y los estudiosos han reivindicado con más fuerza el   derecho y la obligación de los primeros de establecer las políticas y estrategias de las TI y de supervisar su cumplimiento por los ejecutivos; el mismo derecho y obligación-responsabilidad que tienen (por ley) sobre las demás funciones de la empresa.

Sin perjuicio de lo razonable que parece ese enfoque, en la práctica no se aplica en muchos casos, quedando las políticas y estrategias de las TI en manos del CIO, con mayor o menor intervención —quizá creciente— del CEO, según resulte del equilibrio de poder en cada organización. Pero esto ya no es tema de este documento.

Gobernanza que —en el caso de las TI (como pasaría con otras funciones corporativas)— tiene la virtud de hacer efectiva la alineación de la denominada [3] ‘estrategia TI’ (o la estrategia de otras unidades) con la ‘estrategia corporativa’. 

* *

El Consejo de Administración

El Consejo de Administración (CA) es el órgano de gobierno de las empresas, usual en España en grandes empresas y bastantes PYMEs.  (Ver recuadro inferior)

----------------------------------------------------------------------------------------------------------------------------------------------

Los órganos de gobierno o de administración (OG)

Los órganos de gobierno o de administración de empresas y entidades tienen en español denominaciones diversas, que dependen de la legislación aplicable en cada país.

En España, las ‘sociedades de capital’ se rigen por la  Ley de sociedades de capital, 2011, que –en su Artículo 209- indica que “Es competencia de los administradores la gestión y la representación de la sociedad...”. Y en su Artículo 210 señala que pueden ejercerla uno o dos administradores y –si fueren más- “constituirán consejo de administración” (CA).  Los miembros del CA se denominan consejeros. El CA tiene un Presidente (P), que puede o no ser ejecutivo (PE). El CA puede nombrar en su seno un Consejero Delegado (CD); o –fuera de su seno- un Director General (DG).

El CA tiene Comisiones (algunas determinadas por ley), constituidas por consejeros. Puede haber un Comité Ejecutivo.

El PE | CD | DG  suele a su vez encabezar un Comité de Dirección (CoD) que reúne a todos o parte de los Directores de unidades —los ‘ejecutivos’..

No debe confundirse el CoD con el CD o sus comisiones.

Otras entidades, no de capital, en España se rigen por otras Leyes y su equivalente (a nuestros efectos) del CA son, por ejemplo, el Patronato (y su presidente), en el caso de Fundaciones; o el Rectorado (presidido por el Rector), en las Universidades.

En LATAM, equivalentes del CA son la Junta (Directiva), o el Directorio.   

 En Inglés, el órgano de gobierno más frecuente es ‘the Board of Directors’ (the Board) —equivalente a nuestro CA— y sus miembros son Directors (NO directores, sino consejeros –miembros del CA). El primer ejecutivo, sea o no consejero, es el Chief Executive Officer (CEO). 

En Francia es frecuente la figura del PDG - Président-directeur général (P-DG).

Para nosotros, aquí, CEO = PE | CD | DG | P-DG.  

Para más finura, consúltese la legislación mercantil (y otra pertinente) del país en cuestión.

--------------------------------------------------------------------------------------------------------------------------------------------------

* *

Desentendimiento CA – Tecnologías de la Información (TI)

Hasta hace algunos años —y lamentablemente aún en muchas empresas— el CA ha estado generalmente ajeno a las TI. Incluso ahora, cuando se ocupa de las TI, es a menudo solo tras un ciberincidente; un robo escandaloso de datos o una caída importante del servicio. (Incidentes graves, en el extranjero, han desembocado en un cese o dimisión del CEO [4]).

Ese desentendimiento parece ser un fenómeno global, aunque quizá exacerbado en algunos países, entre ellos España, como se comentará más abajo. 

Pero en el momento actual (y desde hace un par de lustros) es evidente que el mundo está inmerso en la ‘revolución digital’ que está cambiando radicalmente la economía, las empresas, la sociedad y nuestras vidas personales.

Y en esas condiciones, no parece razonable que los órganos de gobierno —los CA— no tengan una agenda activa, frecuente y bien informada sobre las TI. Naturalmente, no necesariamente, sobre la evolución tecnológica y sus detalles, pero sí sobre las políticas y estrategias corporativas del uso de las tecnologías.

Caben muchas explicaciones sobre ese desentendimiento histórico. Entre ellas pueden señalarse: 

- la aceleración del cambio ha cogido por sorpresa y/o no ha dado tiempo a reaccionar a empresas poco ágiles: oligopolios, estructuras ‘pesadas’ (muchos niveles jerárquicos), sin la cultura adecuada.

- la informática, que hace unas décadas solo, se llamaba ‘proceso de datos’ o ‘mecanización administrativa’ era una mera herramienta de productividad (sobre un recurso barato, el personal administrativo); y útil solo para llevar la contabilidad y hacer la nómina; no merecedora de la atención del CA.

- herramienta que —antes de la generalización de la informática transaccional— podía radicar en una “oficina de servicios” externa (¡‘outsourcing’ en las décadas de 1970 y 80!), o en una ínsula interna —una torre de marfil en que inputs y outputs entraban o salían en carros con resmas de papel.

- la informática nació rodeada de misterio, que muchos de los escasos iniciados (hechiceros, mandarines) aumentaban con cortinas de humo lingüísticas adoptadas del inglés (por si este idioma no fuera ya bastante obstáculo en algunos países). Así, ‘escrachear’ era borrar un soporte magnético, o  ‘desencriptar’ (que, por desgracia, se nos ha quedado) era descifrar. Ello ha supuesto una barrera de ‘analfabetismo informático’ para muchas personas y en particular quizá las de más edad o con menos formación STEM (siglas en inglés para: ciencia, tecnología, ingeniería, matemáticas).

- la composición de los CA estaba sesgada hacia las especialidades eficaces y rentables en el ‘estable’ régimen anterior: el Derecho, la Economía, la Academia… Las especialidades adecuadas a las necesidades entonces de los mercados (derecho administrativo, derecho mercantil, macro- y microeconomía) y a los perfiles de los políticos y administradores públicos (por facilidad de diálogo y por ‘puertas giratorias’).

- el propio interés de consejos y consejeros de preservarse y perpetuarse, como una casta, en unas funciones generalmente poco exigentes, bien retribuidas, bien consideradas socialmente, y con relativo poder, influencia y beneficios indirectos.

En España, lo anterior se ha visto reforzado por:

- una tradición altamente licenciataria de tecnologías (no solo TI) de las empresas, lo que   —en cierta forma, no positiva— ‘comoditizaba’ la tecnología, simplificando, en cierta medida, su gobierno y gestión. Lo que necesito, lo compro, como una ‘caja negra’;

- los consejos de administración siguen generalmente compuestos (aparte de por muchos consejeros NO independientes) por una gerontocracia de abogados, economistas y exministros, bien adaptada a las necesidades, regulaciones e intereses, creados en gran medida por ellos mismos a lo largo del último siglo. Es un sistema autoestabilizante.

Las generalizaciones son casi siempre falaces, y hay empresas, profesionales, analistas y académicos que hace tiempo vienen adoptando y recomendando la asunción por los CA de roles más activos en la orientación y supervisión del uso de las TI en sus empresas, y en la sociedad.

* *

Hitos en fomento de una mayor intervención de los CA en las TI

1. Probablemente el documento pionero (¡2003!) en esta línea fue el Board Briefing (Informe al Consejo) de ITGI[5]. Un informe destinado a un consejo de administración genérico.

Los consejos de administración y las direcciones ejecutivas tienen que extender el gobierno a las TI y proporcionar el liderazgo, las estructuras y procesos organizativos que aseguren que las TI de la empresas soportan y extienden las estrategias y objetivos. El gobierno TI no es una disciplina aislada, sino parte integral del gobierno general de la empresa. La necesidad de integrar el gobierno TI en el gobierno general de la empresa es similar a la necesidad de que las TI sean parte integral de la empresa y no rincones recónditos o torres de marfil. 

A los grupos de interés (stakeholders) cada vez más educados y resolutos les preocupa una gestión sólida de sus intereses. Esto ha llevado al surgimiento de principios y normas para el gobierno general de la empresa. Además, las regulaciones establecen responsabilidades del consejo de administración y requieren que éste actúe con la debida diligencia en sus roles.”[6]

El informe, de 66 páginas, es de acceso libre, por lo que, pese a su interés no procede extenderse sobre él aquí; sí, recomendar la lectura de su contenido, totalmente vigente. Como botón de muestra, unas preguntas (que el consejo debería hacerse), extraídas del medio centenar recogidas en su Anejo A. 

- ¿Está claro [para el consejo] lo que TI está haciendo?

- ¿Cuánto del esfuerzo de TI se dedica a ‘apagar fuegos’ en vez de a facilitar mejoras del negocio?

- ¿ El consejo articula y comunica la dirección del negocio con la que TI debiera alinearse?

- ¿Cuán crítica es TI para sostener la empresa? ¿Y para hacerla crecer? 

2. La norma ISO/IEC 38500:2008 Corporate governance of information technology  (que rebautizó la ISO/IEC DIS 29382: 2007) fue el resultado de la aprobación rápida (fast track) de la norma australiana AS 8015:2005;  por lo que probablemente se empezó a ‘cocinar’ en las mismas fechas que el informe de ITGI.

Para la 38500, “El gobierno es distinto de la gestión y, para evitar confusión, ambos conceptos están claramente definidos en la norma” [7]. 

La 38500 fue revisada en 2015 con muchos pequeños retoques, pero con dos cambios importantes [8]: 

i) un nuevo nombre, para ampliar su cobertura potencial: Governance of IT for the Organization [antes, Corporate]; y 

ii) permitiendo, de forma explícita, dos posibles escalones de delegación: a) del consejo a una comisión del consejo; y b) de los anteriores al equipo directivo. Esto —como comentaré más abajo— me parece una decisión radical que encierra claras ventajas y claros riesgos asociados.

La norma propone 6 Principios y un Modelo. 

Los principios son: 1) responsabilidad referente a TIC;  2) alineación de la estrategia TIC con la de la organización; 3)  adquisiciones TIC razonables y razonadas; 4) rendimiento y desempeño; 5) conformidad; y 6) comportamiento humano. 

El Modelo (que la norma esquematiza en una figura elocuente) plantea dos capas: una de Gobierno y otra de Gestión / Administración. 

La capa de Gobierno (el cometido del órgano de gobierno) tiene 3 funciones (EDM, siglas en inglés): Evaluar, Dirigir (establecer la dirección) y Supervisar. Estas tres funciones forman un ‘círculo virtuoso’ triangular (similar al más conocido cuadrangular PDCA –planificar, ejecutar, comprobar, actuar).   

La capa de Gestión / Administración (el cometido de los órganos ejecutivos) recoge los procesos de la organización en un esquema que podría ser una simplificación de la clásica cadena de valor de M. Porter.

Ambas capas se relacionan mediante tres flujos principales: un primero, de Gobierno a Gestión, contiene objetivos, políticas, estrategias y directrices; un segundo, de Gestión a Gobierno, rinde cuentas; y un tercero, también de Gestión a Gobierno, eleva propuestas.

El cuerpo de la norma (que es “asesora, de alto nivel, basada en principios”) ofrece consejos o recomendaciones, que podría visualizarse como una matriz de 18 casillas: el producto de los 6 principios, vistos cada uno desde las 3 grandes actividades EDM

3. En 2009, el australiano Mark Toomey, que fue coeditor de la AS 8015:2005, publicó Bailando el Vals con el Elefante[9], un interesante y atractivo texto en que desarrolla sus ideas sobre GCTI, sintetizadas en la AS 8015. Desde entonces Mark ha dado varias vueltas al mundo haciendo presentaciones personales de sus ideas, y difusión virtual, mediante su revista Infonomics [10]. 

4. COBIT 5 [11]

En 2012, ISACA[12] publicó COBIT 5 y desde entonces ha publicado un gran número de productos muy diversos de esa familia (aparte de sus traducciones a diversos idiomas). 

COBIT 5 se subtitula “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”. COBIT es un nuevo nombre propio, no ya un acrónimo como en versiones anteriores, y es el vástago más joven de una generación que se inició 15 años antes.   

Pero COBIT 5 supuso una revolución en la familia, en al menos dos aspectos: i) —el que más importa aquí es que— explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TIC; y ii) —aquí menos importante—abjura de su tradicional modelo de madurez de procesos ‘CMM’ [13] y abraza el de capacidad de procesos de ISO/IEC 15504, SPICE [14].

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500 [15].

El marco COBIT 5, se desarrolla a partir de unas necesidades de los interesados / derechohabientes (stakeholders needs)[16], y propone 7 elementos habilitadores (drivers) para atenderlas: 

1) procesos; 2) cultura, ética, comportamiento; 3) estructuras organizativas; 4) información; 5) principios y políticas; 6) habilidades y competencias; y 7) capacidades de servicio; que están sistémicamente interrelacionados.

COBIT 5 se basa en 5 Principios:  

1) Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, aunque propone un modelo de referencia de procesos (ver más abajo).

2) Se rige por la persecución del valor para los interesados (stakeholders).

3) Está orientado al negocio [en sentido genérico: engloba administraciones públicas, ONGs, etc.].

4) Se basa en los 7 habilitadores enunciados más arriba.

5) Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados pero interrelacionados. 

COBIT 5 consta de 37 procesos [17] de alto nivel, frente a los 34 del previo CobiT 4.1. De ellos, 5 son de Gobierno Corporativo; los demás de Gestión. Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al no ser prescriptivo— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en una ‘ficha’ normalizada que describe subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI (Responsable-Alto_Responsable-Consultado-Informado)[18]. La riqueza de información es muy considerable. 

5. NACD [19] 

En 2014,  la americana Asociación Nacional de Consejeros [de Administración] de Empresa [20], puso en marcha la iniciativa “La Intersección de Tecnología, Estrategia y Riesgo”, orientada a trasladar a su comunidad de miembros el mensaje de que “las Tecnologías de la Información evolucionan de forma imparable y, por tanto, de igual modo, ha de evolucionar el perfil de un consejero eficaz”[21]. 

El programa se asienta en la premisa, que comparto,  de que “las tecnologías [de la información] crean oportunidades para que las empresas innoven, para que generen eficiencias operativas y para que alcancen una ventaja competitiva” en sus respectivos sectores/mercados.

En el programa colaboran ISACA, la consultora KPMG[22] y la firma de análisis de mercado Gartner[23]. 

La Intersección de Tecnología, Estrategia y Riesgo” se compone de una colección de vídeos en los que, a modo de entrevistas, un grupo de expertos (consejeros, consultores, CIOs, …) van respondiendo a una serie de cuestiones clave y ofreciendo su particular visión sobre la influencia de las TI en las organizaciones de hoy y sobre el papel que los consejos de administración —y, por ende, los consejeros—  han de jugar en el actual escenario.

Los ocho capítulos de la serie están configurados como pequeñas video-píldoras, de entre cinco y diez minutos de duración, con los siguientes títulos[24]:

- Capítulo 1. Un mundo nuevo y desafiante (A brave new world).

- Capítulo 2. Cuestiones clave que los consejos de administración deberían estar preguntando sobre tecnología (Critical questions boards should be asking about technology).

- Capítulo 3. Tecnología y liderazgo: el papel crítico del CIO (Technology and leadership: the critical role of the CIO).

- Capítulo 4.  Abrazando lo perturbador (Embracing disruption).

- Capítulo 5. Fomentando una cultura de innovación (Fostering a culture of innovation).

- Capítulo 6. La revolución del aluvión de datos (The big data revolution).

- Capítulo 7. Ciberseguridad (Cybersecurity).

- Capítulo 8. Redes sociales: beneficios y riesgos (Social media: risk and reward). 

6. King III

Los Informes King –King Reports on Corporate Governance­– son una pionera colección de directrices sobre gobierno corporativo y operación de empresas. Los publica en Sudáfrica el ‘Comité King sobre Gobierno Corporativo’ (King es el nombre del presidente del Comité). Han sido considerados como “la síntesis más eficaz de las mejores prácticas internacionales sobre gobierno corporativo”. 

Obligan a las empresas que cotizan en la Bolsa de Johannesburgo. El primero (King I) se publicó en 1994; el vigente es el King III, de 2009; y está anunciado el King IV para este año 2017 [25]. 

Por su origen y función, los Informes King pueden ser comparados con los códigos españoles: Código Unificado de Buen Gobierno de las Sociedades Cotizadas (2013) de la CNMV[26] y sus precursores Código Conthe (2006), Código Aldama (2003) y Código Olivencia (1998). Una comparación más detallada resulta ilustrativa, pero rebasa el propósito de este documento. 

* *

Referencias: ATI. (2014). Novática. Monografía. Gobierno Corporativo de las TI. Nº 229, julio-septiembre 2014. http://www2.ati.es/novatica/2014/229/Nv229-Digital.pdf  [URL consultado el 20170501]. 

* * *

Artículo escrito por Manolo Palao, iTTi 20170507    

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

----------------------------------------

[1]  http://dle.rae.es/?id=JHRSmFV [URL consultado el 20170422].

[2] Ver, por ejemplo, http://www.un.org/es/globalissues/governance/, https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwij1fSIurjTAhUIrRoKHcWnAnUQFggjMAA&url=https%3A%2F%2Fwww.oecd.org%2Fgov%2Fregional-policy%2FOECD-Principles-Water-spanish.pdf&usg=AFQjCNHWSCfHJBseXwBFYYjWe0ZSU1ruGQ&sig2=tA0RwhtTBlIQUx92ENhtag&cad=rja,  https://www.insead.edu/executive-education/corporate-governance-programmes?CampaignId=GGL_Search_A&SiteId=GGL&AdId=CORPGOV&device=c&term=corporate%20governance%20program&gclid=CjwKEAjw_uvHBRDUkumF0tLFp3cSJACAIHMYMI4VDIy448O9NGeODZkEVvX1ZYtzbLdjfwWTrOdRdhoC4tHw_wcB, https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=governance+of+portfolios+programs+and+projects+a+practice+guide+pdf, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=%22data+governance%22++ , [URLs consultados el 20170422]. 

[3] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada, como lo es quien la haya elaborado así, por ignorancia o intereses espurios. Con palabras como ‘gobernanza’, ‘estrategia’ y (otras muchas) se viene produciendo un deslizamiento semántico, normalmente hacia su banalización. 

[4] Ver, por ejemplo la docena larga de dimisiones de CEOs importantes causadas por incidentes de ciber-inseguridad reseñada por García-Menéndez, M. (2017).  “¿Quién se hace cargo?”.  Novática nº 238, noviembre 2016 - febrero 2017. http://www2.ati.es/novatica/2017/238/Nv238-Digital.pdf [URL consultado el 20170502].

[5] ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition .    https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/board-briefing-on-it-governance-2nd-edition.aspx [URL consultado el 20170303]. El ITGI fue creado en 1998 http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx  [URL consultado el 20170303] por ISACA . ISACA —en sus orígenes, en 1967, una asociación de auditores de sistemas de información— es en la actualidad una asociación al servicio de “los profesionales en gobierno de TI” y cuenta con unos 140 000 socios en 180 países http://www.isaca.org/about-isaca/Pages/default.aspx [URL consultado el 20170303]. 

[6] Fuente: ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition . p. 6.  Copyright © 2003 by the IT Governance Institute.  Con autorización, para uso académico. 

[7] "Governance is distinct from management, and for the avoidance of confusion, the two concepts are clearly defined in the standard.”  ISO/IEC 38500: 2008  , p 5.

[8]  https://en.wikipedia.org/wiki/ISO/IEC_38500#Updates_to_the_standard  [URL consultado el 20170303].

[9] Toomey, M. (2009, 2011). Waltzing with the Elephant. Edition 1, Print 1, 3rd August 2009. Bailando el Vals con el Elefante Primera edición en español. Primera impresión. 30 de abril de 2011.  https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwizqIrbsobTAhVmBMAKHWdjApsQFggcMAA&url=http%3A%2F%2Fwww.infonomics.com.au%2FWeb%2520Content%2FDocuments%2FBailando%2520el%2520Vals%2520con%2520el%2520Elefante%2520-%2520extracto%2520promocional.pdf&usg=AFQjCNHWleHgv4hIluwqGDuyzSfp_73-uA&sig2=yi4z4DMj1zd2fyD39VQf7g&cad=rja  [URL consultado el 20170409]. 

[10]  http://www.infonomics.com.au/Index.htm [URL consultado el 20170409].

[11] Esta sección usa ampliamente material previamente publicado en Touriño, M. y Palao, M. (2011).  “Sección Técnica «Auditoría SITIC»-  Ref Autoriz  CobiT PAM y COBIT 5”. Novática. Nº 213, noviembre 2011. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjeitSDspfTAhXJRhQKHeTEChsQFggeMAE&url=https%3A%2F%2Friunet.upv.es%2Fbitstream%2Fhandle%2F10251%2F37507%2FViv%25C3%25B3%2C%2520R.%2520-%2520Referencias%2520autorizadas.pdf%3Fsequence%3D2&usg=AFQjCNF0pCrd0nRJBqTRhcPwwvAovLWfhw&sig2=D58kvEDbt4J2Y2fyPItafA&cad=rja   [URL consultado el 20170409]. 

[12] SACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector". Desde hace unos años ‘ISACA’ es un nombre propio; anteriormente era el acrónimo de Information Systems Audit and Control Association, denominación que se cambió dado el cambio histórico en la composición e intereses de sus socios. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia.  

http://www.isaca.org/about-isaca/Pages/default.aspx  [URL consultado el 20170409]. 

[13] Basado, con adaptaciones en el CMM del SEI de CMU: http://en.wikipedia.org/wiki/Capability_Maturity_Model [URL consultado el 20170409].

[14] http://en.wikipedia.org/wiki/ISO/IEC_15504 [URL consultado el 20170409].

[15] De la que hace una ‘transposición’ (adopción con variaciones). 

[16] Abstraídas como resultado de amplias encuestas. 

[17] Recuerdo que la redacción en ‘imperativo’ fue una positiva innovación de CobiT 4. (2005), no sistemáticamente implementada en castellano, quizá debido a problemas entre el imperativo y el infinitivo. 

[18] La tabla RACI es una matriz unidades_empresariales – actividades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio.

[19] Esta sección usa ampliamente material previamente publicado en García-Menéndez, M. y Palao, M. (2014).  “Sección Técnica «Gobierno corporativo de las tecnologías de la información (GCTI)»-  Ref Autoriz Asociación Nacional de Consejeros de Empresa. Otro espejo en que mirarse”. Novática. Nº 228, abril-junio de 2014. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwji2smh-pfTAhXm6IMKHdWHD4EQFgglMAE&url=http%3A%2F%2Fwww.ati.es%2Fnovatica%2F2014%2F229%2FNv229-106.pdf&usg=AFQjCNETYVkoIEeuiGJeAGZ81-vI9a6YiA&sig2=KnNKCzYvoaUulF6TU9DKFg&cad=rja  [URL consultado el 20170409].

[20] NACD, (del inglés, National Association of Corporate Directors) reúne más de 17 000 miembros de consejos de administración y lleva más de 40 años proponiendo normas para una actuación responsable de los consejos de administración. https://www.nacdonline.org/AboutUs/ [URL consultado el 20170409].

[21] NACD. (2014). The Intersection of Technology, Strategy and Risk. http://www.nacdonline.org/IT  [URL consultado el 20170409]. 

[22] KPMG International Cooperative. http://www.kpmg.com [URL consultado el 20170409]. 

[23] Gartner Inc. http://www.gartner.com [URL consultado el 20170409]. 

[24] La colección completa puede encontrarse tanto en la sede web de la NACD, como en la de ISACA. No obstante, se recomienda optar por esta segunda posibilidad, dado que ISACA ofrece los vídeos “en abierto”, a diferencia de lo que ocurre con la NACD, que ofrece el material sólo para sus miembros.

ISACA. New video series: The Intersection of Technology, Strategy and Risk  http://www.isaca.org/videos/Pages/Intersection.aspx [URL consultado el 20170412].   

[25]  https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance   [URL consultado el 20170412].   

[26] https://www.cnmv.es/portal/Legislacion/COBG/COBG.aspx  [URL consultado el 20170412].   

 

El caso General Electric

Friday, 05 May 2017 Manolo Palao Posted in iTTi Views

Introducción

El propósito de este artículo es analizar la ‘estrategia digital’ de General Electric (GE) basándome fundamentalmente en el estudio de dos artículos recientes [GE-CEO] y [GE-CIO][1],  relacionados con la estrategia digital de la empresa.

El primero es un reportaje sobre el CEO de GE y el segundo, publicado con una semana después, una entrevista al CIO.  

Antecedentes 

GE es una gran multinacional americana, muy diversificada y con una importante actividad en finanzas-seguros, al extremo que “podría decirse que es una empresa financiera con una división de fabricación” [GE][2]. 

GE tuvo su origen a fines del s. XIX, con la constitución por  Edison de la Edison General Electric Company (que realizó la primera iluminación —con corriente  continua— de la parte baja de Manhattan). Tras varias fusiones y el cambio a corriente continua (patrocinado por Tesla y Westinghouse) fue creciendo y diversificándose. Entró en el índice económico Dow Jones cuando este se creó, en 1896, y es la única empresa que siempre se ha mantenido en él desde entonces. 

Actualmente, GE opera en más de 100 países, con más de 300.000 empleados [GE]; y en 2016 fue la 26 mayor empresa del mundo en ingresos[3]. Opera en una gran diversidad de sectores; además de banca y seguros y electricidad (ya citados), tiene una actividad importante en salud (diagnóstico por imagen); energía nuclear y energías alternativas; turbinas eléctricas y de aviación; tratamiento del agua; radio (RCA) y televisión (NBCUniversal); y control de maquinaria y procesos con software (SW), usando su plataforma Predix [GE]. Predix es un  Asset Performance Management System (APMS)[4] —sistema de gestión de la performancia[5]  de activos, por sus siglas en inglés— y es el buque insignia de su actual estrategia digital.  

Estrategia para la transformación digital 

Por toda su historia y gran diversificación sectorial, sorprendió a los analistas mundiales cuando, en noviembre del año pasado (2016), su CEO Jeff Immelt[6] declaró que “la política establecida de GE es convertirse, para 2020, en una de las 10 principales empresas de software” [GE-CEO].  ¡De líder financiero-industrial a líder informático!    

¿Transformación digital?  ¡A tope! No solo transformación digital —como tantas empresas están abordando, y más lo harán o deberían hacerlo—, sino ‘transformación digital en empresa digital’. Esta es la razón por la que me interesa particularmente este caso.  

La estrategia para implementar la política de digitalización de GE se basa tanto en un crecimiento orgánico cuanto en uno inorgánico.  

En el crecimiento inorgánico, GE lleva realizadas adquisiciones por más de 2 000 MUSD en AI (inteligencia artificial); APMS; ‘servicios de campo’; y un ‘programa de socios’, para potenciar Predix [GE-CEO].  

En cuanto al orgánico, está menos claro en la información recogida, pero al menos pasa por:  

1) “una profunda innovación y transformación interna del negocio, antes de que fuerzas externas perturben el negocio de GE” [GE-CIO];

2) la creación de GE Digital, “el brazo SW de la empresa” (dirigida por Bill Ruh, Chief Digital Officer [CDO] de GE) [GE-CEO], posteriormente, al parecer, reabsorbida por la estructura TI tradicional, bajo el CIO Fowler [GE-CIO];

3) revertir la externalización (outsourcing)[7]

4) un plan de retirada de la mayoría de las 9.000 aplicaciones ‘heredadas’ (legacy) que no son nucleares (core) [GE-CIO];

5) diseñar sistemas que funcionen transversalmente en GE, y que también puedan funcionar en un cliente [GE-CIO][8];

6) poder mostrar a los colegas en los negocios el coste de operación de cada aplicación [GE-CIO];

7) aplicar internamente Predix, para optimizar procesos del grupo GE: por ejemplo, para optimizar la gestión (normalización, diseño, adquisiciones, uso) de ‘elementos de sujeción’ (tormillos, tuercas, arandelas), lo que actualmente supone en todo el grupo 250 MUSD. Esto es solo un ejemplo del potencial de este enfoque [GE-CIO];

8)  hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio [9]. Esta filosofía de comercializar las herramientas desarrolladas para uso interno ha sido llamada ‘hilo digital’ (digital thread)  [GE-CIO].  

El concepto estratégicamente revolucionario de GE es hacer que Predix sea “un mundo industrial-industrial, una red para compartir ideas para el futuro. Es una transformación, un cambio que lo abarca todo. Nuestra tarea es crear más productividad mediante una combinación de analítica y física”, llegando a crear un ecosistema[10] que sea un éxito en el “mundo emergente de máquinas conectadas”. Se trata de “cómo coger un activo y hacerlo más eficiente… … es sobre productividad en tu negocio y diferenciar tus productos de un modo que tus competidores no puedan” [GE-CEO]. De este modo, GE se posiciona no solo en la IT sino en la IoT. 

Lo que Predix hace –se propone hacer–  es “predecir fallos de las máquinas antes de que ocurran” [GE-CEO].  

GE ha diseñado el concepto de «gemelo digital» que emula un activo industrial real (como una central generadora o una turbina) y lo hace combinando AI y estadísticas con modelización basada en Física; GE actualmente usa más de medio millón de gemelos digitales. Enfoque distinto al de IBM, por ejemplo, que aplica aprendizaje profundo (deep learning, una técnica de AI) a los datos procedentes de tales activos [GE-CEO]. 

En el ecosistema de GE ya están participando HPE, Dell y las mayores consultoras. BP viene usando una instanciación de Predix llamada  GE Plant Operations Advisor,  que muestra, a los operadores de plataformas petrolíferas, problemas potenciales que pudieran llevar a una parada o a una pérdida de eficiencia de la plataforma [GE-CEO].  

GE tiene que competir, por ejemplo, con Watson de IBM, que está siendo considerada por SNCF (ferrocarriles franceses) para predecir necesidades de mantenimiento de trenes y vías; y por Amadeus (reservas) para minimizar o evitar el tiempo no disponible (downtime) [GE-CEO].  

Fowler explica que, cuando se incorporó a GE, 16 años antes, “el foco de TI estaba en los costes… La misión del CIO era simplemente que TI funcionara lo más barato posible”. El CIO moderno “tiene que subirse al carro de las cosas que importan, como la facturación, la productividad con costes variables, la generación de caja y la rotación del inventario; y no hablar de obsolescencia o performancia y disponibilidad”. Fowler afirma que obsolescencia, performancia o disponibilidad son ‘datos’, que ”todo CIO debiera ser capaz de gestionar como parte de su trabajo”. “Tengo que estar en la mesa [del Comité de Dirección, se entiende] ayudando a mis compañeros del negocio a entender cómo perturbar (disrupt)” [GE- CIO]. 

La información contenida en los dos documentos de base [GE-CEO] y [GE-CIO] hace difícil analizar los roles reales detallados de los distintos cargos en este  proceso de transformación digital.  

Los documentos hacen referencia a:

1) CEO - Jeff Immelt

2) CIO – Jim Fowler

3) CDO - Bill Ruh, CEO de GE Digital, aparentemente después subsumida en IT  

4) los ‘compañeros del negocio’: los directivos de las unidades de negocio 

Está claro que el liderazgo de la revolución digital corre a cargo del CEO. No podría ser de otra forma, cuando la política corporativa es convertirse en una empresa de software

Además, “En muchos aspectos, Immelt [CEO] es el CDO. «Nuestro papel aquí es ayudar» dice Fowler [CIO]” [GE- CIO].  

El papel del CDO formal queda desdibujado (quizá porque lo estaba el de la filial GE Digital). 

El CIO se declara (hace 2 párrafos) ‘ayudante’ del CEO. Más arriba, ha declarado que “tiene que ocuparse de las cosas que importan [al negocio]”, y también, naturalmente, de la operación de TI (p. ej.: “obsolescencia, performancia o disponibilidad”). Además está en el Comité de Dirección, ayudando a los compañeros del negocio en la revolución digital (“cómo perturbar (disrupt)”).  

* * *

Artículo escrito por Manolo Palao, iTTi 20170429     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos. 

-----------------------------------------

[1] [GE-CEO].  Saran, C. (16 Nov 2016). “GE pushes ahead into the software market”. ComputerWeekly. www.computerweekly.com/news/450402999/GE-pushes-ahead-into-the-software-market [URL consultado el 20170429]. 

[GE-CIO]. Saran, C. (24 Nov 2016). “CIO Interview: Jim Fowler, GE”. ComputerWeekly. http://www.computerweekly.com/news/450403338/CIO-Interview-Jim-Fowler-GE [URL consultado el 20170429]. 

[2] [GE]. https://es.wikipedia.org/wiki/General_Electric [URL consultado el 20170429]. 

[3] https://en.wikipedia.org/wiki/List_of_largest_companies_by_revenue [URL consultado el 20170429]. 

[4]  https://www.ge.com/digital/ [URL consultado el 20170429]. 

[5] El palabro ‘performancia’ pretende reunir las principales acepciones de performance (funcionamiento, rendimiento, desempeño) en los ámbitos técnico y económico. 

[6] Immelt no es un tecnólogo, lleva 17 años de CEO de GE y antes lo fue de la filial de Salud. Pero tiene mucha inteligencia práctica de la tecnología (very tech savvy).  “Jeff es uno de los hombres más inteligentes que haya encontrado nunca” ha dicho el CIO de GE Jim Fowler [GE-CIO]. 

[7] Cuando Fowler fue nombrado CIO, 18 meses antes, el 75% de la TI de GE  estaba externalizada. Y “habíamos abandonado el conocimiento fundamental de cómo funciona nuestro negocio y desvelado dicho conocimiento capital”. GE decidió un insourcing (revertir la externalización) para recuperar dicho conocimiento. [GE- CIO]. 

[8] “…[L]a TI interna de GE no debiera diferenciarse de una empresa de software”, según Fowler [GE- CIO]. 

[9] Una estrategia similar (hacer que todo ese desarrollo de aplicaciones se conciba y utilice no solo para su uso inicial interno sino para ser vendido, como producto o servicio) ya lo han hecho Amazon, con su plataforma “AWS”; y Google con sus servicios.   

[10] Un ‘ecosistema digital’, según Gartner, es “un grupo interdependiente de empresas, personas o cosas que comparten plataformas digitales normalizadas con un propósito de beneficio mutuo  (como ganancia económica, innovación o interés común). Los ecosistemas digitales le permiten a uno interactuar con clientes, socios, industrias adyacentes e incluso competidores”. “Los ecosistemas son el futuro de lo digital”.  

http://www.gartner.com/technology/topics/digital-ecosystems.jsp [URL consultado el 20170430].  

Mark Raskino, fellow  de Gartner afirmó en el Gartner Symposium de Barcelona que “Toda industria será remasterizada digitalmente. Toda empresa competirá como parte de un ecosistema de negocio” [GE-CEO]. 

 

Unas reflexiones sobre estrategia digital. La revolución digital de los seguros y el caso Allianz

Wednesday, 26 April 2017 Manolo Palao Posted in Corporate Governance of IT

Introducción

Ahora no se deja de hablar de las promesas (y riesgos) de la IoT —Informática de las Cosas, según sus siglas en inglés. Pero no por ello se deben perder de vista las promesas aún no materializadas de la vieja IoI —Informática de la Información, o de los Datos: la Informática de siempre—. 

La Informática de siempre (IoI) nos anunció, por ejemplo, la ‘oficina sin papel’ y la ‘sociedad sin papel’[1]. Pero hace sólo un lustro (ya en plena ‘revolución digital), el oficinista medio americano aún generaba diariamente ¡1Kg. de papel![2] 

Y al igual que la ‘oficina sin papel’ y la ‘sociedad sin papel’, quedan otros muchos beneficios por cosechar, en materia de rapidez, precisión, productividad y vivencia de los usuarios, hasta realizar el potencial conocido de las tecnologías de la información. Como también quedan por suprimir o mitigar importantes riesgos como los que afectan a la privacidad de las personas o a la seguridad de los activos de información.  

Quizá donde todavía quepa un mayor recorrido en el proceso de digitalización sea en muchos sectores tradicionales y en empresas viejas, grandes, burocratizadas y de cultura conservadora —por no hablar de las administraciones públicas—. Uno de tales sectores puede ser el de seguros.

* *

La revolución digital de los seguros de vida

McKinsey acaba de publicar un artículo[3] que es un ejercicio modélico de estrategia de mercado e identificación de nichos potenciales. 

El artículo versa sobre ‘seguros de vida’ pero parece fácilmente generalizable a otros seguros. Comienza con la evidencia de que “mientras más del 70% [de los usuarios] inician online la recogida de información [sobre seguros][4], solo menos de un tercio completa así su contratación”.  

Los autores proponen tres horizontes, a lo largo de los cuales las aseguradoras que se planteen sobrevivir “habrán de realizar:  

    (1) la modernización de todos los canales de interacción con los clientes;

    (2) la interconexión de los canales para brindar al cliente una vivencia sin solución de continuidad; y

    (3) la creación de productos personalizados”, basados en el ingente y creciente volumen de datos disponible.  

1. En el primer horizonte — la modernización de canales— sugieren: i) explotar la riquísima información que los usuarios vierten continuamente sobre eventos de sus propias vidas, para usar tales eventos como apoyo para acciones proactivas, como publicidad y ofertas; ii) simplificar y acortar drásticamente los procesos para facilitar el culminar la suscripción de una póliza1; y iii) simplificar la operativa diaria de agentes y corredores, entre otras cosas con herramientas CRM (‘gestor de relaciones con clientes’, por sus siglas en inglés). 

2. En el segundo —diferenciación, mediante mejora de la vivencia del cliente—: i) estableciendo ‘perfiles-diana’ (target personas), mediante un amplio uso de herramientas analíticas sobre big data; y ii) haciendo un seguimiento (tracking) mediante herramientas multicanal —online y offline— buscadoras e integradoras[6].  

3. Y en el último —la personalización de productos y servicios— mediante: i) un refinamiento de la cobertura del riesgo (más allá, p. ej., de los clásicos “en caso de vida” y “en caso de muerte”) sino ajustándose más a las circunstancias y apetito de riesgo del tomador; ii) apoyándose en los puntos o eventos de contacto (touchpoints) descritos en 1.); iii) una mayor personalización de todos los mensajes con el objetivo de aumentar la confianza con la entidad —considerada requisito esencial de la contratación—; y iv) finalmente, personalizar los precios a cada circunstancia. 

Abordar esa amplia estrategia puede suponer inversiones significativas. “Allianz, por ejemplo, está invirtiendo 650 M€ en el desarrollo de capacidades digitales de la siguiente generación, para prestar servicio a más de 85 millones de clientes”[7]. 

* * 

El caso Allianz 

A fines de 2016, el CEO de Allianz, Oliver Bäte, hizo unas declaraciones, en una breve entrevista (11 min.) en Financial Times[8], donde se refiere a las líneas estratégicas de la aseguradora.  

Trató, en la entrevista, la ’transformación digital’ en pie de igualdad con temas como la nueva Presidencia de los EEUU, el Brexit, la regulación / desregulación (con mención a Solvencia II), el aumento de los nacionalismos y las fronteras en Europa, o el euro. (También es verdad que los entrevistadores insistieron en preguntas sobre lo digital, con lo que este tema ocupa más del 40% de la entrevista).

Allianz, según su CEO, basa su estrategia digital —su “Agenda de Renovación”— en cinco pilares, todos los cuales, en palabras de su CEO no son meros títulos abstractos, sino que incluyen “pequeñas metas específicas”[9]. Los 5 pilares son: 

     1) Centralidad real del cliente. (A su vez, este pilar es el eje o núcleo de los otros cuatro y es por tanto el pilar clave: véase el claro gráfico en el URL de Nota 9).

      2) Digital por defecto

      3) Excelencia técnica  

      4) Motores de crecimiento

      5) Meritocracia inclusiva 

1. Centralidad real del cliente 

“Nuestro mundo está cambiando de un negocio push … a un modelo pull, en el que la gente decide cuándo y cómo consume nuestros productos” (Nota 8). Ello supone usar herramientas de los 3 horizontes propuestos en al artículo de McKinsey. 

2. Digital por defecto

Como corazón o núcleo de la compañía, no como un parche o añadido. Implica la oficina sin papel (como algo secundario, pero con un “ahorro potencial de 350 -400 M€”). 

Servicio en el móvil, para todo producto, para todo su ciclo de vida.

3. Excelencia técnica  

“… [Usando] los mejores métodos analíticos y nuestros expertos y directivos de mayor talento. Las ventajas que la digitalización ofrece se usarán para optimizar nuestro sistema de precios ajustados al riesgo [Horizonte 3.] de McKinsey] y para simplificar y agilizar el tratamiento de siniestros [Horizontes 1., 2. y 3.]”.  

4. Motores de crecimiento

“Nuestra nueva UTE con el portal chino Baidu, que alcanza al 90% de los usuarios chinos de Internet es un buen ejemplo. Nos coloca en posición prominente en uno de los mercados de seguros digitales más dinámicos, con tasas de crecimiento anuales del 40% e ingresos anuales esperados en 2020 de 100 BN€ [miles de millones (= millardos) de euros].

Con los objetivos de alcanzar economías de escala y tener una presencia global, por una parte unitaria y por otra particularizada a países y clientes. 

5. Meritocracia inclusiva

Mediante un refinamiento de la cultura corporativa que valorice tanto el desempeño cuanto la forma de lograrlo —por ejemplo, mediante equipos multifuncionales— usando como métrica el IMIX (índice de meritocracia inclusiva, por sus siglas en inglés) y ajustando a él las retribuciones.  

Lo hasta aquí descrito, según Bäte: “Son cosas fáciles de decir, pero no son cosas fáciles de hacer; y en esto es donde está el trabajo de verdad: no en el lado de la tecnología[10], sino realmente en inculcarlo en nuevos procesos y nuevos modelos de prestación y esto es lo que realmente está llevando tiempo” (Nota 8).   

Es interesante destacar que se trata de un plan estratégico con un horizonte relativamente corto (3 años), pues, lanzado a finales de 2015, establece objetivos cuantitativos ambiciosos para 2018 (ver algunos indicadores en URL de Nota 9); conscientes los autores de que “los ciclos de innovación alcanzan su madurez mucho más rápidamente”, por lo que “negocios nuevos, ganadores, emergen en cortos marcos temporales”[11].      

Nótese que ninguno de los pilares hace referencia directa a la ‘estrategia digital’ (a cómo se consigue la transformación digital), pues aunque el segundo se titule ‘Digital por defecto’ eso no es una estrategia digital, sino un objetivo de la estrategia digital; es una estrategia corporativa.  

Estrategia corporativa que sería imposible (salvo quizás parte del quinto pilar) sin un soporte digital amplísimo —¡650 M€!—, que requerirá, a su vez, una propia estrategia digital: decisiones sobre arquitectura, plataformas, legacy, outsourcing, la Nube, etc.). 

Los ejemplos de ‘horizontes’ de McKinsey presentados al principio pueden ayudar a “unir los puntos” y ver cómo dicho soporte puede establecerse para los diversos pilares.

* * *

Artículo escrito por Manolo Palao, iTTi 20170418     

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.

-----------------------------------------

[1]  Por ejemplo, por su vocero el Prof. Lancaster, en 1978. https://en.wikipedia.org/wiki/Paperless_society [URL consultado el 20170418].

[2]  https://en.wikipedia.org/wiki/Paperless_office  [URL consultado el 20170418].

[3] Gandhi, P. et al. (Abril 2017). Life insurance: Ready for the digital spotlight. McKinsey&Company Financial Services. http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/life-insurance-ready-for-the-digital-spotlight?cid=other-eml-alt-mip-mck-oth-1704&hlkid=1643c91f08a648e48ec12c55e7737336&hctky=1708074&hdpid=10862995-ad38-423b-b308-0d58f5d3f929 [URL consultado el 20170419]. 

[4] “Mensualmente, más de un millón de búsquedas en Google y 7 millones de visitas a las páginas web de las 10 principales aseguradoras”. Ibíd. 

[5]  Con la sencillez y rapidez con que hoy, por ejemplo, se pueden hacer ya muchas operaciones bancarias o de compraventa. 

[6] Conviene señalar que no se trata de herramientas que se espera aparezcan alguna vez en el mercado, sino de programas ya disponibles, algunos (como los CRM del párrafo anterior) hace décadas. 

[7] Nota 3.

[8] Jenkins, P. and Ralph, O. (2016/12/11).  Allianz chief outlines digital growth strategy. FT News. http://podcast.ft.com/2016/12/11/allianz-chief-outlines-digital-growth-strategy/   [URL consultado el 20170420]. 

[9] Una descripción más formalizada de la estrategia puede encontrarse en https://www.allianz.com/en/about_us/strategy_values/strategy/ y en https://www.allianz.com/v_1489412484000/media/about_us/stragey-values/2015-investor-letter.pdf  [URLs consultados el 20170420]. 

[10] Subrayado, mío.

[11] Allianz. (2015-11-24).  Allianz Capital Markets Day Renewal Agenda –bringing skills to scale. Diapos A8 y A20. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwjLwfWf2LLTAhXFOxQKHfyNCkAQFgg1MAI&url=https%3A%2F%2Fwww.allianz.com%2Fv_1448453228000%2Fmedia%2Finvestor_relations%2Fen%2Fconferences%2Fcapital_markets_days%2Fdocuments%2F2015-CMD-presentation.pdf&usg=AFQjCNHklikh-rE8qS7e0LMkFOPpULPihA&sig2=_98UkIu7bnX1eAr-29DzCw&cad=rja   [URL consultado el 20170420].

 

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

Como la "casa inteligente" desvela nuestras vidas

Sunday, 01 January 2017 Maria Jose de la Calle Posted in iTTi Views

La inseguridad de los objetos conectados

El título del artículo es un remedo de otro cuyo título es "Cómo los modernos dispositivos desvelan nuestras vidas"[i], centrado en la falta de [ciber]seguridad de dispositivos de uso cotidiano a los que hoy día se ha dotado de funciones propias de un ordenador y de conectividad a Internet. Dispositivos como frigoríficos, termostatos, "vigilabebés", televisores, cámaras de vigilancia, cerraduras "inteligentes",etc., los cuales, por medio de un chip, pueden recoger, procesar, enviar y recibir datos, y actuar con y sin intervención humana. 

 

Se ha demostrado que dichos objetos conectados son muy vulnerables, no sólo por los resultados de las investigaciones que expone el artículo mencionado, sino por otras anteriores o por ataques  ya acaecidos. No hay más que escribir en un buscador, por ejemplo, "vulnerabilidades IoT" para encontrar gran cantidad de información, como el estudio realizado por HP en 2014 sobre el tema. 

 

Según el blog "Segu-Info"[ii], que comentaba dicho estudio, se encontró una media de 25 vulnerabilidades en cada dispositivo examinado -cámaras web, termostatos, tomas de alimentación remota, alarmas, cerraduras, etc.- lo que los hace estar expuestos a ataques. El fácil acceso a cualquiera de ellos, manipulables a distancia, no sólo podría servir para modificar datos o comportamientos del propio dispositivo sino para hacer de puerta de  acceso a otros dispositivos teóricamente más protegidos con los que estuvieran conectados, como ordenadores o teléfonos.

 

Botnets, Mirai y Dyn

 

La falta de protección de estos objetos hace que sea fácil introducir en ellos malware por personas no autorizadas con el fin de tomar control sobre ellos y ordenar acciones cuando quieran. De esta manera los atacantes forman una red de dispositivos a sus órdenes. Esta red es lo que se conoce como "botnet", red de dispositivos comprometidos. 

 

Hasta ahora, las botnet estaban fundamentalmente formadas por ordenadores personales, a los que se han ido uniendo teléfonos, tabletas, y en el momento actual cualquier objeto más simple conectado, mucho más sencillo de controlar que los anteriores. Estos objetos vienen con una configuración de fábrica, incluidas las contraseñas, las cuales, en muchos casos, como el de los routers, están publicadas en Internet por fabricante y modelo; en otros, están recopiladas en diccionarios utilizados para perpetrar ataques con herramientas de forma automática. 

 

Incluso hay dispositivos para los cuales entre las recomendaciones del fabricante está la de no cambiar la contraseña, ya que podría dejar de funcionar correctamente, o también que esta acción sea realmente difícil para llevarla a cabo por los propios usuarios [iii]. 

 

El pasado 21 de octubre se produjo un ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) contra la empresa Dyn, utilizando para ello un malware -"Mirai"- para comprometer miles de dispositivos de la IoT. Dyn es un proveedor de DNS's. El DNS -Domain Name System- es una tabla que relaciona la dirección digital -dirección IP, una serie de ceros y unos- dónde reside una página, con su nombre o URL (Uniform Resource Locator)  -ej. www.twitter.com-, que es la forma acostumbrada al navegar o buscar una página. 

 

Ese ataque, citando el blog de "Kaspersky Lab"[iv] se produjo por medio de una botnet de miles de dispositivos conectados (IoT) lanzando tantas peticiones a la vez a los servidores de la empresa -1,2 terabits/sg- que los colapsaron. 

 

La consecuencia fue que no se pudo acceder durante unas horas a las web correspondientes a las URL's de empresas (muchas muy grandes) registradas en servidores de Dyn. Más de 80 grandes websites y servicios en-línea quedaron inaccesibles, como si se hubiera ejecutado un ataque sobre todas ellas a la vez, y no estuvieran accesibles. ¡Y no lo estaban! No se podía encontrar la dirección IP de las url's correspondientes ya que el servidor de DNS no podía responder.  

 

Entre las páginas afectadas figuraban Netflix, PayPal, Sony PlayStation, y, tampoco se podía tweetear, porque también Twitter era un cliente de Dyn.    

 

Siguiendo con el mismo post del blog de "Kaspersky Lab" citado, "Mirai" ya se utilizó en el mes de septiembre de este año para lanzar un ataque sobre el blog [v] del periodista de seguridad Brian Krebs, colapsando el servidor con peticiones de 665 gigabits/sg procedentes  de 380.000 dispositivos zombis.

 

Poco después del ataque, se publicó el código fuente de "Mirai", provocando que el número de bots aumentara. El ataque a Dyn ocurrió menos de un mes después. 

 

El pasado 14 de octubre y unos días antes del ataque a Dyn, el "Department of Homeland Security" de los EEUU publicó una alerta [vi] sobre "Mirai" y sobre los peligros de los ataques DDoS por botnets de dispositivos de la IoT. La alerta también preveía posibles ataques futuros. Concretamente "Mirai" se apoya en dispositivos de la IoT, tal como routers de los hogares, cámaras con IP y aparatos de vídeo.  

 

El éxito de los ataques DDoS sólo dependen de lanzar solicitudes suficientes para colapsar la capacidad de los servidores atacados, es decir, el ancho de banda. Cuanto más ancho de banda más peticiones a la vez se necesitan, o lo que es lo mismo, más dispositivos. Pero su número no parece que vaya a ser un problema con la IoT, con la que se puede contar con billones de dispositivos conectados para hacer una botnet, o unir varias de las ya existentes. 

 

La "casa inteligente" 

 

Se puede definir como un edificio en el cual hay una red domótica que abarca comunicaciones, seguridad, iluminación, climatización, aparatos de música, televisión, puertas, y cualquier objeto al que se le haya dotado de un chip y pueda proporcionar alguna función en el hogar.  

 

Estos objetos, conectados a Internet, pueden ser manejados a distancia por otros dispositivos y/o por un ordenador, teléfono o tableta, con o sin intervención humana, pueden enviar alertas, e incluso, pueden hablar, caso de "Echo"[vi]i de Amazon. Este dispositivo con su interfaz de voz "Alexa", responde preguntas como si de una "Wikipedia" parlante se tratara, proporciona información sobre la previsión meteorológica u horarios de eventos locales; además, es un reproductor de música, y puede controlar niveles de luz o termostatos. 

 

"Echo" siempre está escuchando las conversaciones por si se dice "Alexa", en cuyo caso tiene que responder. En la casa hay otros aparatos que también están a la escucha, como el televisor cuyo mando se ha sustituido por la voz. 

 

Para la seguridad en la casa hay cámaras, que estarán conectadas o desconectadas según los requerimientos de los habitantes de la casa. 

 

Las puertas de la calle o del garaje se abrirán cuando detecten a alguien o algo, como el coche, que tenga permiso para entrar, bien por alguna señal enviada por algún otro dispositivo, por reconocimiento facial o por la voz. 

 

Todas estas funciones se apoyan, como ya se ha dicho, en chips que constituyen pequeños ordenadores con sus mismas necesidades de seguridad pero sin las medidas que sus homólogos más tradicionales, los ordenadores o los teléfonos, ya tienen. Y todos estos aparatos están en el hogar.  

 

Ya se ha apuntado que cualquiera puede fácilmente acceder a los "objetos inteligentes" que conforman el "hogar inteligente", con lo cual la confidencialidad y la integridad de los datos que recogen, procesan y comunican están en entredicho. Son datos que se pueden robar, divulgar o vender; y el software se puede manipular. 

 

Un escenario podría ser el siguiente: se podría modificar el software de la cerradura para dejar pasar a un intruso. La cerradura conectada con las cámaras de vigilancia, las indica que todo es correcto y no se activa la alarma. El intruso previamente ha recogido datos de las costumbres de los habitantes de la casa gracias a los objetos de escucha y a las cámaras. 

 

La ingeniería social [viii], técnicas psico-sociológicas para obtener ilegítimamente información de terceros,   nunca fue tan sencilla. El intruso puede anticipar que no haya nadie en casa o que quien esté no le vaya a suponer un problema. 

 

Según "Help Net Security" en un artículo [ix] del 19 de septiembre pasado, parece que hay un alarmante incremento de "ransomware" (extorsión basada en la amenaza del cese de un servicio tecnológico), en televisores inteligentes y en cámaras conectadas, ataques de inyección de código y amenazas de "día-cero", así como muchas vulnerabilidades en protocolos de comunicación para el "hogar inteligente".  

 

Esta falta de seguridad que puede servir para recoger datos sobre todo lo que ocurre en el hogar, espacio que es considerado eminentemente privado, es lo que constituye una preocupación especial en la seguridad de la información en general.  

 

Teniendo en cuenta que los objetos "escuchan" y "ven", la información disponible no son sólo datos acerca de la temperatura de la casa o del nivel de iluminación deseada, es información sobre lo que dicen y hacen las personas que la habitan, sus costumbres y sus gustos, información personal e íntima que expone la vida de sus habitantes a ojos y oídos no deseados. 

 

Conclusión

 

La importancia de la seguridad de la IoT en general, y de los dispositivos inteligentes para los hogares en particular se torna vital. Por una parte, la inseguridad de estos dispositivos los hace muy apetecibles para ser utilizados para actividades no deseadas. Y teniendo en cuenta su gran número, su potencia de ataque es extraordinaria, pudiendo inhabilitar parte de Internet actuando sólo sobre unos cuantos servidores -ataque a Dyn-. Por otra, puede hacer de nuestros hogares un lugar inseguro y vigilado. 

 

¿Tienen los ciudadanos que ser expertos en ciberseguridad para tener su casa segura? 

 

El número 315 de "Cuadernos de Seguridad", del pasado mes de octubre, contiene una entrevista a Miguel Ángel Abad, Jefe del Servicio de Seguridad del Centro Nacional para la Protección de Infraestructuras Críticas o CNPIC. En ella Abad opinaba lo siguiente: 

 

"... pongo en duda que los usuarios deban convertirse en expertos en ciberseguridad. A nivel personal opino que la ciberseguridad debe evolucionar hacia sistemas transparentes para el usuario final," 

 

A los ciudadanos no se les debería convencer de que son ellos responsables de que sus dispositivos sean seguros. Son los fabricantes los que deben proporcionar dispositivos seguros, e instalarlos en los hogares de forma segura, haciéndose responsables de los posibles fallos que puedan tener, análogamente a otros cualesquiera fallos físicos de funcionamiento.  

 

Pero corresponde a la sociedad civil, a los ciudadanos, las asociaciones, los partidos políticos, los colegios profesionales crear un estado de opinión que fuerce a los políticos a un necesario esfuerzo regulador. Y mientras tanto, no estaría de más mantenerse informado sobre lo que puede traernos un empacho de tecnología, dejándonos embaucar por lo atractivo de lo que nos aporta, sin considerar que podemos estar (y estamos) metiendo el caballo de troya en el dormitorio de nuestros bebés, en el coche automático o en la 'termomix'.

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", diciembre, 2016, nº 317, pg.64, Ciberseguridad – "Cómo la «casa inteligente» desvela nuestras vidas" – María José de la Calle.  

 

---------------------------------

 

[i] Mirko Zorz (9 de mayo, 2016). "Internet of Fail: How modern devices expose our lives". HelpnetSecurity.  url [a 30-10-2016] https://www.helpnetsecurity.com/2016/05/09/internet-of-fail/ 

[ii] "Segu-Info" (5 de agosto, 2014) "Internet of Things: un promedio de 25 vulnerabilidades por dispositivo". url [a 30-10-2016] http://blog.seguinfo.com.ar/2014/08/internet-of-things-un-promedio-de-25.html  

[iii] Brian Krebs (16 de octubre, 2016) "Who Makes the IoT Things Under Attack?" KrebsOnSecurity. url [a 30-10-2016] https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/ 

[iv] Kate Kochetkova (26 de octubre, 2016) "How to not break the Internet". Kaspersky-lab. url [a 30-10-2016] https://blog.kaspersky.com/attack-on-dyn-explained/13325/ 

[v] Brian Krebs (16 de septiembre, 2016) "KrebsOnSecurity Hit With Record DDoS". KrebsOnSecurity. url [a 30-10-2016]  https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 

[vi] "Heightened DDoS Threat Posed by Mirai and Other Botnets" (14 de octubre, 2016). DHS. url [a 30-10-2016] https://www.us-cert.gov/ncas/alerts/TA16-288A  

[vii] url [a 30-10-2016] https://www.amazon.com/Amazon-Echo-Bluetooth-Speaker-with-WiFi-Alexa/dp/

[viii] url [a 30-10-2016]  https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_informática%29 

[ix] "Connected devices riddled with badly-coded APIs, poor encryption" (9 de septiembre, 2016) "Help Net Security" url [a 30-10-2016] https://www.helpnetsecurity.com/2016/09/19/connected-devices-insecurity/ 

 

La estrategia de lo digital

Friday, 30 December 2016 Maria Jose de la Calle Posted in iTTi Views

"... lo digital se debe ver menos como una cosa y más como una forma de hacer las cosas."

McKinsey, jul-2015 [i]

Los dispositivos y las comunicaciones han cambiado las formas y maneras en las que personas y cosas interactúan. Estas nuevas formas han penetrado en la Sociedad, primero, e impactado, desde ella, a las empresas. 

Sirva como ejemplo, la irrupción, hace unos años, de los dispositivos móviles en el mundo corporativo. Dicha irrupción dio lugar a una corriente conocida como "Traiga Su Propio Dispositivo" (del inglés "Bring You Own Device", BYOD). Corriente que, si bien supuso inicialmente algún problema de seguridad, hoy, aparentemente superado, acercó a las organizaciones nuevas prácticas y nuevos usos.

Algo parecido ha ocurrido con el fenómeno SMAC, siglas en inglés de "Social" (Redes sociales), "Mobile" (Móvil), "Analytics" (analítica), "Cloud" (nube). A lo largo de la última década las empresas han ido incorporando una serie de conceptos tecnológicos en su intento por mejorar e innovar. Tecnologías como las redes sociales, las comunicaciones móviles, el análisis de  datos "a lo grande" ("Big Data", en su expresión inglesa) o la computación en la nube, han pasado a formar parte del discurso habitual en cualquier organización, a lo que, recientemente se le ha sumado la Internet de las Cosas (del inglés "Internet of Things", IoT). 

Estos y otros ejemplos demuestran que la adopción y la penetración de la tecnología en empresas y organizaciones han tenido como consecuencia un cambio en la forma de entender y hacer los negocios. Y ello independientemente del origen de tal adopción. A veces debida a sus propios empleados, mediante el uso, inicialmente personal, que hacen de dispositivos y aplicaciones móviles, o de las redes sociales, para relacionarse entre sí, con sus clientes y con sus proveedores. Otras veces derivada de la conveniencia para la empresa de garantizar la disponibilidad de informes o datos corporativos en cualquier momento o lugar. En el caso de la analítica de datos, por sus ventajas en diferentes vertientes, desde el marketing, como caso particular, hasta la toma de decisiones corporativas, en general. 

Paralelamente, la rapidez con la que van apareciendo las distintas tecnologías, parece impeler una urgencia en dar respuesta a dicho cambio, urgencia que no hace sino dificultar su asimilación e incorporación a la cultura corporativa. Máxime cuando tal tarea, por lo general, requiere bastante más tiempo que el que marca el ritmo de cambio tecnológico. 

No es suficiente, por tanto, iniciativas aisladas -bien de empleados, bien de departamentos- en el uso de este tipo de herramientas para que la empresa extraiga, realmente todo el potencial que la tecnología le ofrece. Su crecimiento, competitividad, cuota de mercado y el logro de una mayor satisfacción entre sus clientes, requieren de otro enfoque.

Se hace necesaria una integración ordenada de todas estas tecnologías -amén de otras que surjan- en los procesos de negocio de la organización. Han de definirse normas y directrices, y crearse herramientas para automatizar dichos procesos, en la medida de lo posible. Y todo ello ha de ser asumido e interiorizado tanto por quienes forman parte de la empresa, cuanto por aquellos otros individuos con los que ésta interactúa (clientes, proveedores, etc.). Ese cambio de hábitos les afectará a todos. 

Las nuevas soluciones tecnológicas abren un abanico de posibilidades de transformación del negocio, bien con la mejora de los producto y/o servicios que componen la actual oferta, bien generando otros nuevos. Pero sean cuales sean los cambios que se produzcan, la evolución digital requerirá estar en sintonía con el cliente, seguir sus comportamientos y atender sus expectativas. Sólo de este modo se garantizará la creación de valor, tanto para aquel, como, por extensión, para la propia empresa.

La cita que encabeza este artículo deja claro que lo digital transciende las tecnologías, debiendo verse más como una [nueva] forma de hacer las cosas, como una novedosa estrategia para el negocio. Una estrategia digital que se verá impulsada, eso sí, por las potentes capacidades tecnológicas actuales y venideras; y, al mismo tiempo, por la propia habilidad de la organización para adaptarse a las cambiantes condiciones del mercado.

Ello requerirá de unos firmes cimientos que soporten el modelado de nuevas estructuras organizativas, la definición de nuevos modelos y procesos de negocio y la promoción de una nueva cultura corporativa. 

Retos a los que no podrán ser ajenos los individuos al frente de la organización, comenzando por aquellos que ocupen un asiento en su órgano de gobierno, quienes, inexcusablemente habrán de incluir lo digital en su agenda de Gobierno Corporativo. 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 157, 8-11-2016. Referencia: Opinión, pg.14 – "La estrategia de lo digital" – María José de la Calle.  

----------------------------------

[i] "... digital should be seen less as a thing and more a way of doing things." Karel Dörner and David Edelman (Jul, 2015). "What ‘digital’ really means". McKinseyurl [a 15-10-2016]  http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means   

 

El dinero como datos

Monday, 26 December 2016 Maria Jose de la Calle Posted in iTTi Views

La Comisión Europea, en el documento titulado "Hacia un desarrollo de la economía conducida por los datos"[i] expone los beneficios para Europa del tratamiento de los datos o del Big-Data. Los datos y su tratamiento constituyen una nueva fuente de riqueza. 

Y al contrario, también es cierto. La realidad física del dinero se está difuminando en una realidad virtual al transformarse en datos residentes en ordenadores y que viajan por las redes de comunicaciones cambiando de propietario, como pago de bienes tangibles o intangibles, realizándose transacciones con intervención humana o sin ella.   

Ejemplo de ello son las contrataciones de valores en las bolsas, que son operaciones informatizadas en base a algoritmos capaces de examinar gran cantidad de parámetros, y que van informando de los cambios o tomando decisiones en tiempo real.  

Unas operaciones las realizan los agentes ayudados por las máquinas [ii] y, otras las realizan las propias máquinas, que lanzan órdenes al mercado financiero en cuestión de milisegundos. Esto último es la "contratación -o negociación- de alta frecuencia" o high frequency trading (HFT), que se utilizan para obtener beneficio a corto plazo, es decir, mantener una posición el menor tiempo posible, que a veces son milisegundos, o segundos, o minutos incluso. Los tiempos en las HFT son tan cortos e importantes que los equipos se suelen colocar lo más cerca posible de la bolsa para reducir el tiempo de comunicación entre  la máquina del operador y la de la bolsa en la que opera.   

En un ámbito más común, los pagos con tarjeta de crédito ya tienen varias décadas, y con la llegada de internet se adaptó también para pagar en compras por este medio; a día de hoy, ya se pueden realizar pagos con el teléfono -móvil- y almacenar dinero en él como si de una tarjeta de crédito se tratase, a través de una aplicación (App). Es suficiente con acreditar que se dispone de la cantidad a abonar, en el caso de pago,  y dónde está direccionado, es decir, la cuenta bancaria. Es el sistema bancario más difundido en África. 

¿Seguirán usándose la tarjeta y la cuenta bancaria? Quizás, como afirma Bill Gates en su carta anual de 2015 [iii], "hacia el 2030, dos mil millones de personas que no tengan una cuenta bancaria guardarán dinero y realizarán pagos con su teléfono. Y por entonces, los proveedores de dinero "móvil" ofrecerán un rango completo de servicios financieros, desde cuentas de ahorro con interés para ahorro, a créditos y seguros".  

Esta digitalización o virtualización del dinero, junto con la explosión del uso de las comunicaciones móviles, ha tenido como resultado que pequeñas empresas tecnológicas -o grandes, como Apple o Google-, apoyándose en su conocimiento de la tecnología, hayan creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde los ya comentados pagos y transacciones, monederos digitales o créditos hasta asesoría financiera e inversiones, lo que ha obligado a la Banca más tradicional a plantearse el cambio hacia esta nueva manera de hacer. Para las tecnológicas "metidas a banqueros" se ha acuñado el término fintech, contracción de los vocablos ingleses “financial” y “technology”.  

La virtualización del dinero ha tenido su mayor exponente en la moneda nacida ya virtual, sin existencia física previa: el Bitcoin. No depende de ningún gobierno, institución o entidad financiera, como las monedas al uso, el control lo realizan los propios usuarios mediante transacciones directas entre ellos, anónimas y cifradas. Su uso es a través de aplicaciones y, como tal moneda, se puede utilizar para la compra-venta de productos y servicios allá donde la acepten. Pero el Bitcoin tiene actualmente dos aspectos negativos importantes: por una parte, tiene una alta volatilidad cambiaria; por otra, se ha convertido en la moneda refugio de las mafias, dado su anonimato. 

Sin embrago, la verdadera revolución está en el mecanismo en el que se basa el Bitcoin, el "blockchain" o "cadena de bloques", donde se va apuntando cada una de las transacciones realizadas, como de si un libro de contabilidad se tratara, un sistema criptográfico que permite la confianza entre agentes sin necesidad de una autoridad central (el banco emisor), un medio para intercambio y almacenamiento de valor. 

Están surgiendo por parte de la Banca tradicional y empresas tecnológicas otras iniciativas de nuevas monedas y servicios basados en el principio funcional del Bitcoin. Veamos algunas aparecidas recientemente:

"Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital"[iv], noticia del diario "Expansión", del 24 de agosto pasado, en la que informa de que dicha alianza desarrollará el sistema 'Utility Settlement Coin' (USC) basado en la tecnología blockchain, el cual "facilitará pagos y liquidaciones de forma eficiente, rápida y segura". 

"Microsoft y Bank of America se alían para desarrollar tecnología blockchain"[v], noticia de "elEconomista" del 28 de septiembre pasado, en la que informa que dichas entidades "han acordado colaborar para desarrollar la tecnología 'blockchain' con el objetivo de impulsar la transformación de las transacciones financieras".  

La Banca, como otros muchos sectores, está también embarcada en un proceso de digitalización no sólo del dinero sino de sus procesos, a juzgar por las noticias, ya habituales donde aparecen unidas la Banca y la Tecnología. Ejemplo de ello, por citar algunos, es la compra de, o la colaboración con las Fintech, el servicio de asesoramiento personalizado a las empresas a través de video-conferencia lanzado por CaixaBank, o el acuerdo de BBVA y Banco Santander con Red-Hat para desarrollar sus respectivas "nubes".

Seguridad en el sector bancario

Que los bancos utilicen ordenadores para su gestión no es una novedad. Sí lo es que la mayoría de las operaciones se realicen a través de dispositivos y software en cualquier sitio donde haya comunicación por Internet, entre entidades bancarias, entre entidades bancarias y sus clientes, y entre los clientes directamente para sus negocios o sus vidas privadas, fuera de los límites del edificio de una entidad bancaria, por cualquier persona y no por un empleado bancario.  

Por ello han aumentado los riesgos de seguridad, del dinero en particular y los activos financieros en general, que se han transformado en información en continuo movimiento por las redes de comunicaciones, con acceso desde cualquier lugar. No hay que olvidar que el sector financiero es el primer objetivo para ladrones en general y cibercriminales en particular, ya que es en estas instituciones donde realmente está el dinero, y la superficie de exposición, como ya se ha visto, ha aumentado considerablemente.

Tanto es así, que la empresa "Raytheon", en el estudio [vi] realizado en el año 2015 sobre la seguridad en el sector financiero, encontró lo siguiente:  

- Los incidentes de seguridad en entidades financieras son 300% más frecuentes que en otros tipos de industria. 

- El 33% de los intentos de ataque tienen como objetivo servicios financieros. 

- Las entidades financieras ocupan el tercer lugar en cuanto a objetivos de “typosquatting”[vii]. 

Es conocido el daño que una crisis financiera causa en la sociedad, y la interconexión y dependencia entre las distintas entidades. Todos recordamos cómo la quiebra de "Lehman Brothers" en el 2008 disparó la crisis. Por este motivo, la importancia de la seguridad en los sistemas financieros es indiscutible ya que, un gran incidente de [ciber]seguridad puede llegar a causar una crisis que afecte no sólo a dicha entidad y sus clientes, sino a otras entidades e incluso al sistema financiero de un país, o de varios países. Tan es así, que España tienen al sistema financiero como perteneciente a uno de los 12 sectores que aseguran la prestación de servicios esenciales, a los que pertenecen las consideradas "Infraestructuras Críticas". 

Seguridad del dinero = ciberseguridad

El dinero ha entrado en la corriente de los datos y de la información, y la forma de acceder a él es la misma que a los datos en general; consecuentemente la seguridad del dinero es ciber-seguridad, seguridad informática y seguridad de la información. 

La seguridad de los datos o seguridad de la información se apoya en tres principios ampliamente conocidos: confidencialidad, integridad y accesibilidad, o expresado de otra manera, los datos deben ser accesibles por personas o sistemas autorizados cuando éstos así lo requieran, y sólo por éstos, y en la forma en que en ese momento sea pertinente y lo tengan permitido. 

Un incidente de seguridad se puede definir como cualquier suceso que no forma parte de la operación normal de un servicio y que causa, o puede causar, una interrupción o una disminución de la calidad de dicho servicio, incluyendo la violación de una norma de seguridad o el fallo de una salvaguarda. 

Según esta definición, las causas de los ciberincidentes son múltiples. Un mal funcionamiento o interrupción de un sistema no tienen porqué proceder del ciber-delito. Muchas veces son incidentes producidos errores o fallos internos: un error de software, eliminación de algún dato por error, actualizaciones no llevadas a cabo adecuadamente, fallos en el mantenimiento del hardware, y errores humanos en general. 

* *

Para terminar, los nostálgicos que quieran tener dinero en efectivo, también con el móvil lo pueden tener. El banco "ING Direct" acaba de sacar un servicio que, como si de una compra se tratara, en la caja de algunos supermercados o gasolineras puedes "pagar" con el móvil y se obtiene esa misma cantidad en efectivo [viii]. 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", noviembre, 2016, nº 316, pg.92, Ciberseguridad – "El dinero como datos" – María José de la Calle.  

---------------------------------------------------

[i]  "Towards a thriving data-driven economy", (24 de febrero, 2016). European Comission. url [a 9-10-2016] https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy   

[ii] J.A.Pérez (oct, 2011) "Negociación de  Alta Frecuencia: Más Ventajas que Incovenientes" url [a 9-10-2016] http://www.bolsasymercados.es/esp/publicacion/revista/2011/12/46-50_act-rep_alta_frecuencia.pdf  

[iii] "By 2030, 2 billion people who don't have a bank account today will be storing money and making payment with their phones. And by then, mobile money providers will be offering the full range of financial services, from interest-bearing savings accounts to credit to insurance." "2015 Gates Annual Letter".  url [a 9-10-2016] https://www.gatesnotes.com/2015-annual-letter?page=0&lang=en  

[iv] "Santander se alía con UBS, Deutsche Bank y BNY Mellon para impulsar el uso del dinero digital", (24 de agosto, 2016). Expansión. url [a 9-10-2016] http://www.expansion.com/empresas/banca/2016/08/24/57bd61bce5fdea154d8b467a.html 

[v] "Microsoft y Bank of America se alían para desarrollar tecnología blockchain" (28 de septiembre, 2016) url [a 9-10-2016] http://www.eleconomista.es/tecnologia/noticias/7853084/09/16/Microsoft-y-Bank-of-America-desarrollaran-en-conjunto-la-tecnologia-blockchain.html  

[vi] "2015 Industry Drill-Down Report Financial Services" (2015). Raytheon/ Websense Lab. url [a 9-10-2016] http://www.websense.com/assets/reports/report-2015-industry-drill-down-finance-en.pdf 

[vii] "¿Qué es el "Typosquatting"?", (7 de noviembre, 2004). uni>ersia. url [a 9-10-2016] http://noticias.universia.es/ciencia-nn-tt/noticia/2004/11/07/610533/que-es-typosquatting.html 

[viii] url [a 9-10-2016] https://www.ingdirect.es/twyp/twyp-cash.html  

 

Publícitis