Follow us on:
Perspectives

Smart cities y GCTI

Wednesday, 22 June 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En iTTi prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidas sus demandas y necesidades) y de proveer de forma justa y eficiente para su satisfacción. 

Eso  -que, naturalmente, está sujeto a diferentes principios, leyes/regulaciones y prácticas- se realiza mediante la persecución de tres grandes objetivos (potencialmente antagónicos, por lo que hay que lograr su equilibrio): 1) materializar los beneficios de las actuaciones (rentabilidad económica, en lo privado; o social de lo económico, en lo público); 2) optimizar el riesgo (tanto el derivado de lo que se hace, cuanto el de lo que se omite); y 3) optimizar los recursos. 

Sin embargo, en la práctica, no pocas de las referidas actuaciones han adolecido de un considerable desgobierno en lo relativo a la aplicación de las tecnologías, derivando en notables fiascos, públicos y privados. 

* *

La smart city (ciudad inteligente) es un concepto relativamente moderno y aún poco cristalizado; pero  -entre otras características-  creemos que todos los expertos coincidirían en incluir al menos: a) un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios); y b) una alta concentración, diversidad, y poder de agentes y otros ‘interesados’ (con una amplísima superposición). 

Se dan, además, en el ámbito de la smart city, tres aspectos que, a nuestro parecer, merecen particular atención: 1) desequilibrio entre ‘tecnologías de las cosas’ y ‘tecnologías de las personas’; 2) amenazas a la privacidad; y 3) riesgos derivados de la alta integración no orgánica. 

1. Una notable mayoría de los sistemas de las grandes ciudades  -el paradigma es el manido ejemplo de la regulación del tráfico- pertenecen al dominio de la ‘tecnología de las cosas’, a la Internet de las Cosas (en este contexto urbano cabría señalar ‘de las Casas’); pero apreciamos un déficit en ‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia). Tal desequilibrio podría interpretarse como una carencia de equidad en la asignación de recursos tecnológicos y una excesiva delegación (cuando no dejación), por parte de los órganos de gobierno, en gestores técnicos (tecnólogos). 

2. El éxito  -al menos una parte-  de las ciudades inteligentes se basa en el análisis de los “Datos a lo Grande” (Big Data) que manejan lo que hoy son redes de propiedad privada como Uber (transporte urbano de viajeros), AirBnB (alojamientos), emisores de tarjetas de crédito, etc.

Los incuestionables beneficios en mejora de la calidad de vida que servicios como los citados aportan llevan asociados costes y riesgos poco divulgados e interiorizados: a) una seguridad cuestionable (“ciber-inseguridad” la llama el colombiano Prof. J. Cano); b) un riesgo creciente de deterioro de la intimidad, al que todos contribuimos pasivamente en nuestra interacción digital, y otros muchos activa y obsesivamente; c) en lo colectivo, un riesgo de ser regulados, en todo o en parte, por un Gran Hermano; y d) la creciente erosión de la confianza digital [i]. 

3. La ‘inteligencia’ (smartness) de las smart cities se basa principalmente en la integración de sistemas en red. Tanto más eficaz cuanto mayor sean la integración, la interconexión,  la centralización de las decisiones [gobierno] (aunque sean automáticas) y el tamaño [ii]. 

Pero ese crecimiento de las utilidades exponencialmente con el tamaño lleva parejo un crecimiento igualmente exponencial (a igualdad de medidas convencionales de seguridad) del impacto de una violación. Algo que sólo es contrarrestable en las etapas de especificación y diseño, creando sistemas modulares, cuasi-separables (bajo acoplamiento entre módulos) y degradables estratificadamente: sistemas muy ‘orgánicos’. Naturalmente, en las megalópolis  -crecientes en número y dimensión-  esta cuestión es vital. 

* *

Esos son [algunos de] los retos a los que, sin duda, hubo de enfrentarse la que es hoy la sociedad más digitalmente preparada del globo, según acaba de señalar el Foro Económico Mundial en su recién publicado informe “Global Information Technology Report 2015”. Hablamos de Singapur, la pequeña isla-ciudad, conocida como uno de los “cuatro dragones”, junto a Corea del Sur, Hong Kong y Taiwán, en honor al desarrollo industrial que todas ellas han alcanzado en las últimas décadas.

En el caso de Singapur, que celebrará este verano de 2015 su cincuenta aniversario como estado soberano, quienes tomaron la decisión de adoptar las tecnologías de la información como palanca para el crecimiento de la ciudad y convertirla en lo que tecnológicamente es hoy, lo hicieron en 1981, cuando el país tenía apenas quince años de vida. En aquel momento, el lugar, un pequeño territorio insular sin apenas recursos naturales, no contaba más que con la capacidad individual de sus nacionales como herramienta para crear riqueza. Tal vez por eso se adoptó una visión a muy largo plazo: ¡treinta años!

El mencionado 1981 fue el año del lanzamiento del primero de una serie de programas de digitalización que llegarían hasta la presente década: Programa de Informatización del Servicio Civil (1981); Plan Informático Nacional (1986); Programa Informática 2000 (1992); Programa Singapur UNO (1998); y el Plan Maestro Infocomm 21 (2000-2010).

El camino ha sido largo; pero, con toda seguridad, ha merecido la pena. Singapur no sólo ocupa el primer puesto entre las sociedades más “conectadas”; sino que, además, es el noveno país del mundo en el índice global de innovación del Foro Económico Mundial, el segundo en su índice de infraestructuras y el segundo, también, en el de educación.

Todo ello la convierte en la segunda economía más competitiva del mundo, sólo por detrás de la Suiza (según el FEM); lo que confirma que la construcción de una ciudad inteligente trasciende los aspectos meramente tecnológicos para adentrarse en el impacto global que la aplicación y uso de dicha tecnología tiene sobre las vidas de las personas que la habitan.

¡Excelentes decisiones y mejor aún (visionario) órgano de gobierno! ¡Envidiable!

* * *

Este artículo se publicó originalmente por la Asociación para el Progreso de la Dirección (APD). Revista APD, nº 307, págs. 42-44, abril de 2015. “’Smart cities’ y gobierno corporativo de las tecnologías de la información”. Manolo Palao y Miguel García-Menéndez.

------------------------------------

[i] “La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security", un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet”.

URL:: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital 

URL::http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf 

[ii] “Network externalities are defined as the increasing utility that a user derives from consumption of a product as the number of other users who consume the same product increases (Katz and Shapiro 1985). For example, the more people there are in a telephone network, the more users can be reached on the network, thereby increasing its usability. Fax machines, broadcast industry services, credit card networks, and computer hardware and software are examples of products exhibiting network externalities.”  McGee, J.; Thomas, H.; Wilson, D: Strategy. Analysis & Practice.  Mc Graw-Hill. 2005.  p.465. 

 

Un 2025 sin un mejor GCTI

Tuesday, 05 January 2016 Manolo Palao Posted in Corporate Governance of IT

Pretendo, bajo tan largo título, amparar unas líneas de reflexión personal sobre lo que en él se apunta, que son dos cosas.

Por una parte, imaginar un posible escenario 2025, sin que se haya producido una mejora generalizada del gobierno corporativo (GC) de las tecnologías de la información (TI).

Por otra, vaticinar que no parece previsible que tal mejora generalizada vaya a tener lugar entre nosotros, dada la ausencia o debilidad de vectores conducentes a mejoras sistemáticas.

* *

El GCTI es el proceso por el que el órgano de gobierno (OG) de una organización -consejo de administración, patronato, junta directiva...-:

1) establece la dirección (alineación, sincronía, objetivos, política, estrategia y grandes características) del uso de las tecnologías;

2) supervisa dicho uso;

todo ello al servicio de los objetivos, políticas y estrategias corporativas. El GCTI es, naturalmente, sólo un subconjunto -mejor, una “vista”- del GC.

Los objetivos, políticas y estrategias corporativas los fija el OG mediante la adopción (u omisión) de “decisiones políticas”, que deberían basarse en haber, previamente:

1) investigado e interpretado los cambiantes intereses y necesidades de los stakeholders  –las partes interesadas [i].

2) analizado los cambiantes factores externos (mercado, competencia, política, regulación, tecnología); y

3) analizado también los factores internos (cultura, estructura, recursos, procedi- mientos, madurez); éstos, más lentamente cambiantes.

Hoy día, nadie que viva en una sociedad desarrollada o en desarrollo puede ignorar que estamos viviendo una “revolución digital” (RD), con gran impacto en la sociedad, el mercado, la empresa y nuestras familias y personas. Tan amplia y profunda es esa RD que no considerarla debidamente, en los tres procesos del párrafo anterior, sería una omisión, por los administradores, de su deber de ejercer la diligencia debida[ii]. 

* *

El buen GC (y el de TI, que nos ocupa) produce dos grandes categorías de resultados: conformidad y “performancia”[iii]. “Performancia”: funcionamiento, rendimiento, desempeño, según el contexto.

La conformidad es el proceso -soportado por el control interno- y el resultado de que los actos y productos de la entidad sean conformes a: 1) las leyes; 2) los reglamentos y otras regulaciones; 3) la política y objetivos corporativos; 4) las normas externas de adopción voluntaria (ej.: ISO 9001); y 5) los contratos suscritos.

La “performancia”, a su vez, tiene tres grandes dimensiones: 1) la obtención de resultados (beneficios, servicio —según la naturaleza y objetivos de la entidad); 2) la optimización de los riesgos; y 3) la optimización de los recursos. La palabra “optimización” aquí no debe entenderse en el sentido matemático analítico, sino en el sentido de “satisfactorio” -sujeto a restricciones- propuesto por H. Simon.

La materialización de beneficios viene condicionada por la conformidad, y la optimización de riesgos, que conjuntamente reducen las contingencias; y por la optimización de recursos, sin la cual los beneficios potenciales no se alcanzarían plenamente.

Una faceta importante de la conformidad es la transparencia, la virtud por la que se comunica (o facilita la consulta de) la conformidad a terceros externos o internos. La transparencia fomenta la confianza y ésta mejora los resultados (imagen de marca, cuota de mercado, coste de la financiación).

La transparencia puede desbordar la conformidad, si por ejemplo se revela información no regulada por ninguna de las cinco causas que demandan conformidad, como he enumerado al definir ésta.

Entonces esa transparencia espontánea deviene una tercera gran dimensión del buen gobierno, junto con la conformidad y la performancia. Pero entonces, la transparencia ha de serlo sobre cuestiones de fondo, como el proceso de toma de decisiones [iv]. 

* * 

La RD, vertiginosa y explosiva, crece a mucho mayor ritmo que el buen GCTI, por rápido que este mejore. Pero esta rapidez de maduración del GCTI, en el mundo desarrollado y en España, parece baja, a juzgar por muy diversos indicadores. Si crece, lo hace en todo caso a órdenes de magnitud muy inferiores a los de la RD. Esto hace que la brecha O(RD) / O(GCTI), el ‘desgobierno TI’, ya históricamente grande, crezca aceleradamente.

“Por sus frutos los conoceréis”. La mera consulta de titulares de noticias generales y especializadas, internacionales y nacionales me exime, creo, de referenciar aquí muchas de esas señales e indicadores de desgobierno TI. 

* *

¿Cuál será la situación ‘general’ del GCTI dentro de diez años?

La pregunta no admite una respuesta mínimamente ‘seria’, al menos en la extensión prevista de estas líneas. 

Si toda la tecnología es inevitablemente ‘socio-técnica’ (no cabe, por el momento, pensar en tecnología operando fuera del marco de una sociedad), los constituyentes del GCTI[v] son eminentemente más ‘sociales’ que ‘técnicos’: comunicación, cultura organizativa, estrategia, estructuras organizativas, intereses,  micropolítica, necesidades, normas, poder, políticas, procedimientos, relaciones principal-agente, valores…

Los constituyentes citados en el párrafo anterior son en su mayoría internos a la organización, que en todo caso está inmersa en un mar de otros factores externos: clima, competencia, cultura, demografía, legislación, mercado,  política, reguladores, sindicatos  y patronales…

Vemos que el GCTI ‘en general’ está regido por muy numerosas variables y sus relaciones, que —por su naturaleza o por nuestra ignorancia— tienen comportamientos estocásticos, impredecibles [vi] [vii]. 

Pero sí parece que se puede avanzar que —salvo que aparezcan ‘cisnes negros’ (maléficos o benéficos)— los niveles actuales de conformidad, transparencia y performancia, propuetos más arriba como resultados virtuosos del GCTI continuarán creciendo lentamente —con mero crecimiento vegetativo—; y también pero más rápido crecerán los errores, fallos y actos delictivos. 

En esas tasas de crecimiento —lentas en el caso de las mejoras, rápidas en el de las consecuencias negativas— sin duda han de influir combinaciones de fuerzas —intereses políticos y económicos, ideologías, tradiciones, posiciones de ventaja, etc.— muchas de ellas de gran potencia y arraigo[viii].

Es difícil hacer proyecciones. Pero Turing nos dejó la reflexión de que si bien tenemos una visibilidad muy reducida, podemos ver muchas cosas que han de hacerse [ix]. Voy a señalar unas pocas que me parecen importantes y glosarlas brevemente:

      - Composición de los consejos de administración 

      - Buen GCTI,  confianza, seguridad y ciberseguridad 

      - Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

      - Cambio organizativo y cultural y proyectos de cambio

* *

Composición de los consejos de administración 

La edad, sexo y competencias digitales de los miembros de los consejos de administración vienen siendo objeto de estudio y debate, sin que se hayan producido (que yo conozca) muchos estudios profundos y conclusiones al respecto [x]. 

La edad media de los consejeros es elevada (sin que este término sea valorativo, es simplemente descriptivo); la media en España es de 60 años [xi] [xii]. En todo caso es una edad elevada en comparación con la de la fuerza de trabajo española, cuya ‘edad de jubilación’ es de 65 años, aunque se está estudiando subirla un par de años. 

El porcentaje de mujeres en los consejos es muy bajo [xiii], y de lento crecimiento (4% en los últimos 5 años)[xiv]. También en cargos de decisión, más en general, la mujer está infrarrepresentada [xv].   Esto contrasta con el —desde hace años alto y creciente— papel de la mujer en el mundo del trabajo [xvi]. Aunque persista una significativa brecha retributiva [xvii]. 

Los consejos se beneficiarían, a no dudarlo, del aumento de variedad en su seno [xviii] [xix]. Hace tiempo que se viene reconociendo la importancia de la(s) inteligencia(s) emocional(es)[xx] en el consejo [xxi] y aunque parece que hombres y mujeres no difieren mucho en tales inteligencias [xxii], no cabe duda de que la aportación femenina puede ser valiosa. 

Pero quizá el principal aspecto a comentar en relación a la composición del consejo y es el de los conocimientos y habilidades de sus miembros. Además de la importancia de la dimensión emocional, ya comentada, parecen necesarios ciertos conocimientos y competencias relacionadas con las TI. Aunque éstos no sustituyan a los primeros [xxiii].

Lamentablemente, la academia y la empresa no han sido capaces aún de cristalizar conjuntamente un conjunto de perfiles de conocimientos-habilidades que cubra el amplio campo de necesidades de profesiones TI y —por lo que a nuestro tema concierne— que alcance las funciones de gestión y de gobierno. Aunque, afortunadamente, existen algunos centros docentes y algunas certificaciones de prestigio, su generalización es insuficiente.

Algunos depositan una esperanza, a mi entender injustificada, en la natural evolución generacional, en la progresiva incorporación de las ‘generaciones digitales’. Dudo que haber sido destetado con un smart-phone, y el experimentar a diario, en el trabajo, el comercio y servicios y el ocio ‘vivencias digitales’ (las digital experiences) —por alta que sea la calidad de éstas—confiera globalmente a esas generaciones habilidad y competencia alguna en la producción, uso, gestión o gobierno de las TI. 

Ya han transcurrido varias generaciones ‘nativas automovilísticamente’, sin que se hayan observado habilidades y competencias ‘generalizadas’ en conducción segura, o mejora del tráfico urbano, por poner dos contraejemplos.

Creo pues que las mejoras en GCTI se irán produciendo por la incorporación a los consejos de personas de ambos sexos, que unan a los perfiles tradicionales otros, incluyendo conocimientos y experiencia técnicos en TI y en sistemas de información y sobre todo en su gestión y gobierno. Gestión y  gobierno que son muy distintos de la tecnología: siguiendo con el símil automovilístico, una cosa es saber fabricar o reparar automóviles, otra saber planificar una red viaria.  

Caben otros pronósticos y escenarios distintos a los de la incorporación de competencias mediante la incorporación de personas. En una cena reciente con la Prof. Valentine [xxiv], hablándole yo del borrador de este artículo, ella defendió su creencia de que en breve se verá una significativa incorporación de inteligencia artificial a los consejos, sobre este y otros temas. 

De forma independiente, mi colega en iTTi Mª  José de la Calle me ha enviado una nota en que propone  algo más avanzado: “otro posible escenario es que sobre el GCTI no tendrá sentido hablar cuando la tecnología impregne de tal modo la sociedad en general y las empresas en particular que se haga invisible y por tanto parte indivisible de todo, y si se gobierna lo que sea, vaya incluido”. Yo, la verdad, no lo veo en diez años. 

* *

Buen GCTI,  confianza, seguridad y ciberseguridad

Otras dos cuestiones merecen aquí un comentario. Me refiero a lo que considero usos inadecuados de los términos ‘confianza’ y ‘ciberseguridad’. En ambos casos, de forma general se incurre en cambios semánticos que pueden dificultar abordar y tratar los problemas adecuadamente. 

En el caso de la ‘confianza’, en la que se viene poniendo tanto énfasis[xxv], entiendo que el acento inicial no se  debiera poner en la confianza —que es un juicio subjetivo— sino en la seguridad  (en el plano de lo real) y la certeza (en el plano de lo ideal). Reemplazar seguridad por confianza es una “metonimia”[xxvi]: tomar el efecto por la causa. ¡Mal vamos si tenemos mucha confianza pero poca seguridad y poca certeza!

En el caso de la ‘ciberseguridad’ se viene cayendo en una “sinécdoque”[xxvii]: tomar el todo por la parte. Tanta insistencia en un aspecto crítico, pero parcial, de la seguridad puede distraernos (nos está distrayendo) de la jerarquía buen gobierno ---> seguridad ---> seguridad de la información ---> seguridad de las TI ---> ciberseguridad. 

La reiterada insistencia en ‘confianza’ y en ‘ciberseguridad’[xxviii] augura un debilitamiento del GCTI y de la seguridad. 

* *

Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

Por una parte, la preocupación por las amenazas y riesgos informáticos (fraude, jaqueo, ciber-ataques, ciber-guerra) crece en las administraciones públicas, las empresas medianas y grandes y entre los profesionales. 

Por otra, mientras tanto, la masa de usuarios (adultos, jóvenes y niños) vive generalmente seducida por el consumismo digital que permite y facilita una enorme gama de servicios, muchos gratis o muy baratos que nos hace olvidar que ‘no hay almuerzo gratis’ y que ‘si no pagas, no eres el cliente, sino la mercancía’[xxix] [xxx]. Esto no niega los muchos beneficios derivados de las redes. 

Todo hace prever que, en los próximos años, el poder y la influencia de las grandes redes reforzará su posición monopolística u oligopolística [xxxi] y que los usuarios estarán más exhaustivamente analizados y manipulados, reduciéndose aún más su libre albedrío [xxxii].

La seducción de muchas redes, servicios y apps (y la vertiginosa difusión de las modas –los selfies—, p. ej.) se sobrepone a las precauciones de seguridad y de recato elementales y han conseguido, en muchos casos,  reducir la ‘ingeniería social’ a meras consultas a Internet.

Aparte de la cuantiosa información que voluntaria o inconscientemente vertemos cada minuto a las redes –‘y minuto’ no es una exageración, si llevamos el móvil en el bolsillo—,  está toda la información que nos capturan hackers y agencias de seguridad, éstas en gran medida usando los datos que vertemos (Tweet, Facebook, YouTube…) y los metadatos que genera nuestra actividad digital cotidiana. No parece que esa vigilancia vaya a disminuir, pese a las revelaciones de diversos whistleblowers (Chelsea Manning, WikiLeaks, Anonimous…). 

* *

Cambio organizativo y cultural y proyectos de cambio 

Si el GCTI fuera a mejorar en el futuro, habría que confiar en que ello se debiera —al menos en buena parte— no a cambios espontáneos, ‘brownianos’, sino a proyectos de mejora.

Sin embargo, pese a lo que se ha avanzado en gestión de proyectos (piénsese en el PMBOK), los grandes proyectos de cambio organizativo y cultural en las organizaciones presentan un descorazonador registro histórico: en los últimos 18 años, la tasa de fracasos de grandes proyectos de cambio ha seguido manteniéndose en torno al 70% (sí, setenta por ciento de tasa de fracasos)[xxxiii]  [xxxiv].

* *

Conclusión

En conclusión, pocos cambios a la vista.

Como nota de esperanza piénsese en los paradigmas darwinista y schumpeteriano [xxxv]: ‘supervivencia del mejor adaptado’ y ‘destrucción creativa’. Con todo lo mucho que tiene de mejorable, no podemos quejarnos de a dónde se ha llegado. Probablemente las organizaciones con mejor GCTI tienen los mejores billetes para el futuro.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 234, octubre-diciembre 2015. Referencia: NOVÁTICA-234, "Año 2025: El futuro de la Informática", pg. 40 – "Un 2025 sin un mejor gobierno corporativo de las tecnologías de la información" – Manuel Palao.   

-----------------------------------

[i]  Las que afectan o se sienten afectadas por la actividad de la entidad. “2.15. stakeholder. person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity”. ISO 31000:2009. Risk management - Principles and guidelines. 

[ii] Como establece el sudafricano Código King III de 2009, enmendado en 2012, <http://www.iodsa.co.za/?kingIII>, del que podría inspirarse nuestra CNMV y como reconoce alguna sentencia en España. 

[iii] Conformance and Performance. Vid. https://www.google.es/#q=conformance+performance 

[iv] Creo que las siguientes palabras del Prof. Han bien pueden ser extrapoladas del mundo de la política al de la empresa. “La transparencia que hoy se exige de los políticos es todo menos una reivindicación política. No se exige transparencia frente a los procesos políticos de decisión, por los que no se interesa ningún consumidor. El imperativo de la transparencia sirve sobre todo para desnudar a los políticos, para desenmascararlos, para convertirlos en objeto de escándalo”. B-C. Han. Psychopolitik: Neoliberalismus und die neuen Machttechniken. Frankfurt. S. Fischer Verlag, 2014, ISBN 978-3100022035. Versión española: 2014) Psicopolítica. Barcelona. Herder Editorial. ISBN 978-84-254-3368-9, pp. 23-24 . 

[v] Lo que COBIT 5 ha denominado sus enablers (componentes constructivos, habilitadores. No “catalizadores”, que es la perversa traducción que se le ha dado en versiones al español) pertenecen a 7 clases: 1. Principios, políticas y Marcos de Referencia; 2. Procesos; 3. Estructuras organizativas; 4. Cultura, ética y conducta; 5. Información; 6. Servicios, infraestructura y aplicaciones; 7. Personas, habilidades y competencias. Vid. ISACA. (2012). COBIT 5. A Business Framework for the Governance and Management of Enterprise IT. ISACA. Rolling Meadows. Illinois. p. 27. Hay versión española. 

[vi] Losprocesos estocásticos son impredecibles por no deterministas; más aún que los caóticos, que al ser deterministas, permiten algunas inferencias.

[vii] “Stochastic social science theory is similar to systems theory in that events are interactions of systems, although with a marked emphasis on unconscious processes. The event creates its own conditions of possibility, rendering it unpredictable if simply for the number of variables involved”.  <https://en.wikipedia.org/wiki/Stochastic#Social_sciences >. [a 11-10-2015].

[viii] “Tras ocho años de crisis, la banca no ha corregido los graves defectos de fondo del sector bancario. Pese a las enormes ayudas públicas que ha recibido una parte de la banca, el dinero prestado a tipos casi cero por el Banco Central Europeo (BCE), los avales del Estado y las enormes provisiones que han hecho las entidades para sanear sus balances, aún hay malas prácticas. Según la presidenta de la supervisión bancaria del BCE, Danièle Nouy, “todos los días surgen nuevas evidencias de una mala conducta profesional de los institutos de crédito”.

“El BCE dice que detecta malas prácticas bancarias a diario”. El País, 23-11-2015. <http://economia.elpais.com/economia/2015/11/23/actualidad/1448298820_320916.htm l>. [a 23-11-2015]. 

[ix] “We can only see a short distance ahead, but we can see plenty there that needs to be done”. A.M.Turing (octubre 1950), “Computing Machinery and Intelligence”, Mind LIX (236): 433–460, DOI:10.1093/mind/LIX.236.433,ISSN 0026-4423. http://mind.oxfordjournals.org/content/LIX/236/433 [a 11-10-2015].

[x] Una excepción puede ser la tesis doctoral y otros trabajos de la Prof. Elizabeth Valentine. Ver nota 25. 

[xi] La edad media de los consejeros en las compañías españolas es de 60 años. La razón de que sean de los más veteranos en el panorama internacional puede deberse a que el 76% de las compañías no tiene establecida una edad de retiro para estos expertos que se sientan en los consejos de administración (órganos administrativos de las sociedades mercantiles). El 24% restante la estipula entre los 65 y los 80 años. En los países anglosajones existe una tendencia generalizada a que la edad de retiro de los consejeros externos no exceda los 70 años”. 

Mateos, M. (13-11- 2015). “Los consejeros españoles son los mejor pagados de Europa”. Expansión. <http://www.expansion.com/emprendedoresempleo/desarrollocarrera/2015/11/12/5644d653e2704edc2f8b45c8.html> [a 26-11-2015]. 

[xii] La edad media de los consejeros en las compañías españolas analizadas es de 60 años”.  Spencer Stuar t. (2015). Índice spencerstuart de Consejos de Administración 2015. 19a Edición. p. 41. <https://www.spencerstuart.com/research-and-insight/spain-board-index-2015> [a 26-11-2015]. 

[xiii] El total de consejeras es de 142 y supone el 14% del total de los miembros de todos los Con- sejos [de 95 compañías cotizadas en el mercado español de las cuales 34 son del IBEX] frente a 2013 en que había 133 consejeras representando el 13%”. Fuente: Nota 10, p. 34. 

[xiv] Tal lentitud no debiera sorprender, aunque sí preocupar. El sufragio femenino se comenzó a conquistar en los países “occidentales” a finales del s. XIX, y se fue generalizando en el primer tercio del siglo XX. En España lo reconoció la Constitución de 1931, aunque estuvo suprimido durante un cuarto de siglo en la dictadura franquista. ¡Andorra lo reconoció en 1970 y Suiza en 1971! < https://es.wikipedia.org/wiki/Sufragio_femenino > [a 19-11-2015]. 

[xv] “...[L]a participación de las mujeres en cargos de decisión es también de las más bajas entre los países desarrollados”. El País. Editorial. (22-11- 2015).<http://elpais.com/elpais/2015/11/20/opinion/1448049355_745816.html> [a 21-11-2015]. 

[xvi] “Un índice elaborado por The Economist sitúa a España en el octavo lugar entre los países de la OCDE, destacando la presencia de mujeres en la universidad, el número de parlamentarias o la duración de los permisos de maternidad. A pesar de que la percepción general es que España no destaca en términos de igualdad, las cifras no dejan ni mucho menos mal a nuestro país en este campo. Según un índice elaborado por el semanario The Economist, la presencia de las mujeres españolas en el mercado laboral está entre las más destacadas entre los países de la OCDE. En concreto, en el puesto número 8, por detrás de Dinamarca y al mismo nivel que Bélgica, en un ranking que lideran los países escandinavos, Finlandia, Noruega y Suecia”. Economía Digital. (25-11-2015). “Las trabajadoras españolas, cerca de romper el techo de cristal de la desigualdad”. 

ED Empresas. <http://www.economiadigital.es/es/notices/2015/11/las-trabajadoras-espanolas-cerca-de-romper-el-techo-de-cristal-de-la-desigualdad-79614.php> [a 25-11-2015].

[xvii] Los hombres acaparan el 82% de los sueldos más altos, según Hacienda”. Miguel Jiménez. (19 NOV 2015). El País. <http://economia.elpais.com/economia/2015/11/18/actualidad/1447872182_528635.html> [a 25-11-2015].

[xviii] Martín Caparrós. “Siri, esa mujer”. El País Semanal. 1 dic. 2015. <http://elpais.com/elpais/2015/11/30/eps/1448901382_841637.html>. [a 1-12-2015]. 

[xix] Page, S. E.(2007).The Difference: How the Power of Diversity Creates Better Groups, Firms, Schools, and Societies. Princeton University Press. ISBN-13: 978-0691138541 ISBN-10: 0691138540. 

[xx] Morales, R. (3 de Marzo 2008). “Las mujeres aportan experiencias diferentes a los consejos de administración”. Tendencias 21. http://www.tendencias21.net/Las-mujeres-aportan-experiencias-diferentes-a-los-consejos-de-administracion_a2111.html. [a 25-11-2015]

[xxi] NACD. National Association of Corporate Directors. (2010). https://www.nacdonline.org/Resources/RSSDetail.cfm?RSSID=21165. [a 26-11-2015]

[xxii] " The report states that corporate success comes not from boards of directors subscribing conscientiously to the codes, but on having a board that is prepared to challenge management, a chairman with a high level of emotional intelligence, ...". McRitchie, J. (June 4, 2012). "Emotional Intelligence". Corporate Governance.

http://www.corpgov.net/2012/06/emotional-intelligence/. [a 26-11-2015] 

[xxiii] Goleman, D. ( Apr 29, 2011). "The Brain and Emotional Intelligence. Are Women More Emotionally Intelligent Than Men?".  Psychology Today.  https://www.psychologytoday.com/blog/the-brain-and-emotional-intelligence/201104/are-women-more-emotionally-intelligent-men. [a 26-11-2015]

[xxiv] “[P]eople without the emotional intelligence get leadership positions on technical and execution skills. Beyond a point, this results in failed leadership and causes damage to the organization”. Fuente: Nota 19.

[xxv] Elizabeth Valentine es una especialista en las competencias de los consejos de administración relativas a las TI y su gobierno. Junto con el Prof. Glenn Stewart, de la Queensland University of Technology (Australia) publicó el artículo “Gobierno empresarial de las tecnologías de aplicación a los negocios: una perspectiva detallada de tres aptitudes relativas a la gobernanza tecnológica para los consejos de administración”. Novática nº 229, julio-septiembre 2014, número monográfico sobre ‘Gobierno corporativo de las TI’. 

[xxvi] Por ejemplo, en el Foro Nacional para la Confianza Digital (FNCD): "El Foro Nacional de Confianza Digital (FNCD) es una iniciativa de cooperación industrial que se enmarca dentro del Plan de Confianza Digital." http://www.agendadigital.gob.es/FNCD/Paginas/que-es.aspx. [a 24-11-2015]

[xxvii] "... Un fenómeno de cambio semántico por el cual se designa una cosa o idea con el nombre de otra ...  Son casos frecuentes las relaciones semánticas del tipo causa-efecto...".  https://es.wikipedia.org/wiki/Metonimia. [a 17-10-2015]

[xxviii] "... Un tropo en el cual: ...Una parte de algo es usada para representar el todo". https://es.wikipedia.org/wiki/Sin%C3%A9cdoque. [a 17-10-2015]

[xxix] Microsoft CEO Satya Nadella: “The most pressing issue of our time is cyber security". Citado por Saran, C. (18 Nov 2015). "Microsoft CEO gets personal with IT security". computerweekly.com. http://www.computerweekly.com/news/4500257574/Microsoft-CEO-gets-personal-with-IT-security. [a 18-11-2015] 

[xxx] “There ain't  no such thing as a free lunch”.  https://en.wikipedia.org/wiki/There_ain't_no_such_thing_as_a_free_lunch  

“If you are not paying for it, you're not the customer; you're the product being sold” https://www.quora.com/Who-originally-suggested-that-if-youre-not-paying-for-the-product-you-are-the-product 

[xxxi] “When it was sold to Facebook for a billion dollars in 2012, Instagram employed only thirteen people … its value comes from the millions of users who contribute to their network without being paid for it”. Lanier, J. (2014). Who Owns the Future? Penguin Books. p XX. 

[xxxii] “For instance, Peter Thiel, founder of PayPal and foundational investor in Facebook, taught students in his Stanford course on startups to find a way to create ‘monopolies’”. ibíd. p. 54. 

[xxxiii] “La persona misma se positiviza en cosa, que es cuantificable, mensurable y controlable. Sin embargo, ninguna cosa es libre … El Big Data anuncia el fin de la persona y de la voluntad libre”. Vid. Nota 4, p. 26. 

[xxxiv] “Transformational-change initiatives have a dismal track record. In 1996, Harvard Business School Professor John Kotter claimed that nearly 70 percent of large-scale change programs didn’t meet their goals, , Boston, MA: Harvard Business School Press, 1996. and virtually every survey since has shown similar results.”   Hamel, G., Zanini, A. (23-10-2014). “Build a change platform, not a change program”.   Insights & Publications.. McKinsey.

http://www.mckinsey.com/Insights/Organization/Build_a_change_platform_not_a_change_program?cid=other-eml-alt-mip-mck-oth-1410. [a 19-11-2015]

[xxxv] McKinsey publica informes periódicos sobre este tema.

[xxxvi] La ‘destrucción creativa’. https://es.wikipedia.org/wiki/Destrucci%C3%B3n_creativa. [a 28-11-2015]

 

Ciudades inteligentes, Internet de las Cosas y Herencia

Friday, 17 June 2016 Manolo Palao Posted in iTTi Views

El que deja una herencia, deja pendencias

Del refranero popular.

Dichoso el día en que ni la fortuna ni la miseria se hereden”. 

Rafael Barrett [i]

El creciente y natural interés por las ciudades inteligentes —smart cities (SC)— y por el Internet de las Cosas (IoT, por sus siglas en inglés) viene provocando por doquier infinidad de eventos y publicaciones de muy diverso enfoque y también de muy variada calidad.

En su gran mayoría, describen ambos fenómenos —SC e IoT— como una revolución global y de gran impacto que ya ha comenzado y está acelerándose, por la rápida evolución de la tecnología, el crecimiento de la población y la aspiración y acceso crecientes a la tecnología por parte de cada vez mayores contingentes humanos. Esas descripciones, muy a menudo, anuncian —a veces con tintes evangelizadores— un futuro próximo de utopía feliz.

El objetivo de las SC es «una calidad de vida elevada, un desarrollo económico-ambiental durable y sostenible, una gobernanza participativa, una gestión prudente y reflexiva de los recursos naturales, y un buen aprovechamiento del tiempo de los ciudadanos»[ii]. Calidad de vida, sostenibilidad y eficacia serían los tres conceptos clave.

Las SC son ciudades en las que se dan «un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios) y una alta concentración, diversidad, y poder de agentes y otros “interesados”»[iii]. El concepto de SC está todavía cristalizándose, como lo prueba que una búsqueda somera en Google de las ciudades “más smart” de 2015 arroja listas sin coincidencia alguna [iv]. 

Dicho ‘uso intensivo’ consiste fundamentalmente en una amplia utilización de la Internet de las Cosas, que permite una creciente regulación ‘inteligente’ (mediante sensores y algoritmos y dispositivos actuadores) de redes, como las de semáforos, abastecimientos (comunicaciones, agua, gas, electricidad, etc.) y otros servicios (hospitales, emergencias, etc.). De todo ello hay experiencias piloto y aplicaciones que ya tratan bastante satisfactoriamente sistemas muy diversos. 

Son usos de la IoT que deberían ir acompañados de un mayor y mejor uso de ‘tecnologías sociales’, «‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia)»[v]. 

En ambos casos (‘tecnología de las cosas’ y ‘tecnología de las personas’) se trata de usos capital-intensivos, que globalmente se desarrollarán e implantarán en el mundo diferencialmente, según los planes del capital y la capacidad de endeudamiento de las ciudades. Por ello, sería bueno también que gobiernos, universidades y pequeños emprendedores centraran además su atención en ‘tecnologías blandas’[vi] alternativas o complementarias, muchas de rápida implantación, con baja inversión. 

* *

Tanta novedad y progreso nos puede distraer de mirar adecuadamente al pasado, llevándonos a ignorar la herencia histórica de las ciudades (y de gran parte de la infraestructura de la IoT). No es que esta perspectiva histórica sea la mejor ni la única. Se trata simplemente de que no debe obviarse.

«La prospectiva conduce inevitablemente a la ciencia ficción, porque es fácil deslizarse hacia el entusiasmo tecnológico»[vii].

Como reflexión histórica, las ciudades de la segunda de las dos listas de la Nota [iv], fueron fundadas en las fechas que indica la tabla adjunta. Una gran herencia; con sistemas físicos y culturales, con siglos de antigüedad. 

Las que se estiman[viii] ser las 10 mayores megalópolis actuales albergan unos 317 M de habitantes y en general crecen a un ritmo acelerado (ley gravitatoria). Parece lógico pensar que estas grandes concentraciones humanas, de rápido crecimiento, son o serán muy pronto importantes candidatas a evolucionar hacia SC —de hecho, dos de ellas, N. York y Tokio están en la Tabla de SC—.

Herencias antiguas tienen también la mayoría de las muchas que se denominan ‘nuevas ciudades’ (new towns) o ciudades planificadas [ix] (aparte de que  el adjetivo ‘nuevo’ en el nombre de la ciudad puede inducir a errores históricos: Nueva York es de 1624, como he señalado; y Nueva Delhi de 1911).  

La paradigmática new town británica Milton Keynes (de 1967, ya con un trazado viario mallado y no radial) "tiene el compromiso de convertirse en una Smart City”[x].

Quizá puedan salvarse de la losa histórica aquéllas de las nuevas ciudades chinas ‘millennials’ (nativas digitales)[xi] que lleguen a consolidarse, porque al parecer, bastantes están desiertas o casi[xii].

Por otra parte, cabe esperar que el desarrollo de la ‘industria 4.0’ —caracterizada, entre otras cosas, por la robotización, que da lugar a una industria cada vez menos mano_de_obra-intensiva[xiii]— pueda en parte atenuar algo el crecimiento urbano (y de las nuevas ciudades), dado que éste se debió en gran parte a la creciente demanda de mano de obra concentrada surgida tras la Revolución Industrial.[xiv]

Por lo que respecta a la IoT y pese al anunciado progreso de la ‘industria 4.0’, durante mucho tiempo, una parte significativa, si no la mayor parte, de las ‘cosas’ que maneje y de su infraestructura, seguirán siendo también ‘heredadas’. La capacidad de renovación del parque empresarial es limitada y la tasa de penetración ‘generalizada’ de las innovaciones es relativamente lenta [xv].  

«Investigaciones recientes prueban que, como media, los países han adoptado tecnologías tales como las de automóviles, camiones, ordenadores / computadoras personales, teléfonos o imágenes de resonancia magnética más de cuarenta y cinco años tras su invención»[xvi].

En España, el 41% del parque de vehículos (un total de 30M) tenía –con datos hasta 2013 inclusive— más de 15 años de antigüedad [xvii]. ¿Qué porcentaje del parque total dispone de conectividad con servicios web o de asistencia al aparcamiento / parqueo? 

* *

En Informática, la palabra ‘herencia’ —legacy— es una palabra de mal agüero. La ‘herencia’, generalmente, es un problema intricado, retorcido [xviii], una “patata caliente”. Supone problemas económicos (eficacia, eficiencia), operativos (facilidad, continuidad, mantenimiento) y de seguridad. 

Un sistema heredado es «un sistema informático (equipos informáticos o aplicaciones) que ha quedado anticuado, pero continúa siendo utilizado por el usuario (típicamente una organización o empresa) y no se quiere o no se puede reemplazar o actualizar de forma sencilla»[xix].

Las herencias informáticas, por la propia historia de la tecnología, son herencias relativamente recientes y frescas: difícilmente superan, en los casos extremos, los 30 – 40 años. 

Pero imaginen ustedes, entonces, lo que esas herencias —que de por sí consideramos pesadas— pueden suponer superpuestas a las de los sistemas físicos (operativos, fabriles, urbanos) que a su vez son sistemas heredados, muchos con una enorme carga histórica. 

Estamos ante lo que el Prof. Allenby [xx] (hablando del cambio climático) denomina una ‘condición’ (en el sentido de estado o situación) a la que hay que habituarse, e intentar tratar a medio-largo plazo; pero no ante un ‘problema’, como algo que permite confiar en una solución directa, relativamente pronta. Una ‘condición’ o ‘problema retorcido’. 

* *

Quizá uno de los riesgos y retos más importantes que plantea y planteará la herencia es el de la seguridad. Los sistemas heredados son intrínsecamente inseguros, porque fueron diseñados sin que la seguridad fuese una especificación de diseño. Y en las SC y en la IoT se están implantando sistemas informáticos heredados inseguros [xxi] [xii]; y los nuevos que se implantan, con frecuencia, se están implantando sin las precauciones de seguridad adecuadas [xxiii]. 

Muchas legislaciones permiten rechazar las herencias convencionales (conjunto de bienes y obligaciones que alguien cede a su muerte). Las herencias genéticas no son (por el momento) rechazables y las tecnológicas lo son rara vez.

Hay, por ello, y habrá durante años, tanto en las SC, cuanto en la IoT, temas de preocupación y de ocupación abundantes e importantes, para los especialistas en seguridad.

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 21/04/2016. Ref: Magazcitum, año 7, nº1, 2016 pág. 26. "Ciudades Inteligentes, Internet de las Cosas y Herencia" - Manolo Palao. 

-------------------------------

[i] http://www.mundifrases.com/frase/rafael-barrett-dichoso-el-dia-en-que-ni-la-fortuna/. Consultado  20160123.  

[ii] https://es.wikipedia.org/wiki/Ciudad_inteligente. Consultado 20160123.

[iii] Palao, M. y García-Menéndez, M. (abril 2015). “Smart Cities y Gobierno Corporativo de las Tecnologías de la Información”.  REVISTA APD. Monográficos 2015,  apd Asociación para el Progreso de la Dirección. Madrid.  

[iv] Arlington County, Virginia, EEUU; Columbus, Ohio, EEUU; Ipswich, Queensland, Australia; Mitchell, South Dakota, EEUU; New Taipei City, Taiwan; Rio de Janeiro, Brasil; Surrey, British Columbia, Canada; según Forbes: World's Top 7 Smart Cities Of 2015 Are Not The Ones You'd Expect http://www.forbes.com/sites/federicoguerrini/2015/01/28/worlds-top-7-smartest-cities-of-2015-are-not-the-ones-youd-expect/#585258cb419c.  

Barcelona, Berlín, Estocolmo, Hong Kong, Londres, Nueva York, París, Tokio, Toronto, Viena; según First Point Group: TOP 10 SMART CITIES IN THE WORLD  http://www.firstpointgroup.com/top-10-smart-cities-in-the-world-2/.

[v] Ver Nota 3.

[vi] Como educación, persuasión, invéntica, heurística, investigación operativa, economía compartida, autoconsumo, consorcio, etc. Ver, p. ej., http://tecnoblanda.blogspot.com.es/ y  Varela, G. (1997), “Los patrones de vinculación Universidad-Empresa en Estados Unidos y Canadá y sus implicaciones para América Latina”, en Casas, R. y Luna, M. –Coordinadoras. (1997). Gobierno, Academia y Empresas en México. Hacia una nueva configuración de relaciones. México, D. F.: Plaza y Valdés. p 55. 

[vii] El País (Editorial). (20160124). El beneficio de la catástrofe. http://economia.elpais.com/economia/2016/01/22/actualidad/1453485315_217905.html. Consultado 20160124. 

[viii] Ciudad de México, Delhi, Guangzhou, Jakarta, Karachi, Manila, Mumbai, Nueva York, Shanghái, y Tokio. https://es.wikipedia.org/wiki/Megal%C3%B3polis#Megal.C3.B3polis_m.C3.A1s_pobladas. Consultado  20160123.

[ix] https://en.wikipedia.org/wiki/List_of_planned_cities.  Consultado 20160126.

[x] http://en.webot.org/?search=Smart_city. Consultado 20160126.

[xi] «Los principales cambios en la planificación de nuevas ciudades sucedieron en la década de 2000, cuando las ciudades chinas experimentaron una suburbanización acelerada». Traducido de Wu, F. (2015). Planning for Growth: Urban and Regional Planning in China. Nueva York: Routledge. Ch. 6. 

[xii] http://www.dailymail.co.uk/news/article-2005231/Chinas-ghost-towns-New-satellite-pictures-massive-skyscraper-cities-STILL-completely-empty.html. Consultado 20160126.

[xiii] “[E]n un horizonte comprendido entre el 2025 y el 2035, el 47% de la población ocupada de EEUU se hallará en un riego muy alto de que el trabajo que desempeña sea realizado por un elemento no humano”. Niño Becerra, S. (5 de enero 2016).  “Reedición”.  LACARTADELABOLSA.  http://lacartadelabolsa.com/leer/articulo/reedicion. Consultado 20160105. 

[xiv] El movimiento de las nuevas ciudades surgió en un intento de corregir la congestión, hacinamiento e inconvenientes de las ciudades, «subproducto de la revolución industrial, generado por el círculo vicioso por el que la industria optó por establecerse próxima a las bases de población».

https://en.wikipedia.org/wiki/New_towns_movement#The_New_Towns_Movement_around_the_world . Consultado 20160125.

[xv] “Un 2% probablemente no es una mala aproximación de cuán deprisa, como media, la Humanidad puede avanzar la frontera de la innovación, y parece nuestra mejor previsión para el próximo cuarto de siglo…

Tras la espectacular iluminación, en 1882, del bajo Manhattan por Thomas Edison, la electrificación de la mitad de las fábricas [de EEUU] aún llevó unas cuatro décadas”. Traducido de Greenspan, A. (2007). The Age of Turbulence.  The Penguin Press. pp 473-6.

[xvi] Fuente: Traducido de Allenby, B. R. (2012). The Theory and Practice of Sustainable Engineering. Nueva York: Pearson Learning Solutions.  p 156. 

[xvii] Fuente: elaboración propia, a partir de datos publicados por la Dirección General de Tráfico. http://www.dgt.es/es/seguridad-vial/estadisticas-e-indicadores/parque-vehiculos/. Consultado 20160123.

[xviii] «Un "problema retorcido" (en inglés, "wicked problem") es … un problema que es difícil o imposible de resolver dado que presenta requisitos incompletos, contradictorios y cambiantes que generalmente son difíciles de reconocer. El término "retorcido" no se utiliza en un sentido de malvado, sino antes bien como resistencia a la solución».  https://es.wikipedia.org/wiki/Problema_retorcido.  Consultado 20160126. 

[xix] https://es.wikipedia.org/wiki/Sistema_heredado. Consultado 20160123. 

[xx] Ver Nota 16.

[xxi] “Al considerar los requisitos de un sistema operativo seguro, vale la pena reconocer cuán lejos de satisfacer tales requisitos están los sistemas operativos corrientes”. Traducido de: Jaeger, T. (2008). Operating Systems Security.  San Rafael, California: Morgan & Claypool. p 39. 

[xxii] “ [P]rácticamente, todos los sistemas operativos embebidos instalados son incapaces de satisfacer de forma significativa niveles altos de certificación de seguridad. Una de las razones de la falta de seguridad de los sistemas operativos es el enfoque adoptado históricamente para lograr la seguridad. En la mayoría de los casos, la seguridad de ‘atornilla’ a toro pasado… Lamentablemente, muchos de los sistemas que se usan en el mundo para monitorizar y controlar plantas y equipos en industrias tales como abastecimientos de agua, saneamiento y gestión de basuras, energía y refino del petróleo usan esos sistemas operativos, los mismos que hay instalados en un vulgar PC”. Traducido de David Kleidermacher, D. & Kleidermacher, M. (2012).  Embedded Systems Security: Practical Methods for Safe and Secure Software and Systems Development. Elsevier. p 27. 

[xxiii] «Las nuevas tecnologías (sistemas, dispositivos, etc.) se están implantando sin realizar ninguna prueba de seguridad». Traducido de Cerrudo, C. (2015). Hacking Smart Cities. RSA Conference 2015.

https://www.rsaconference.com/events/us15/agenda/sessions/1527/hacking-smart-cities.  Consultado 20160127.

  

El banco: de oficina a interfaz virtual

Sunday, 12 June 2016 Maria Jose de la Calle Posted in iTTi Views

"... [L]os datos se están constituyendo en un nuevo recurso natural. Prometen ser para el siglo XXI lo que la máquina de vapor para el siglo XVIII, la electricidad para el XIX y los hidrocarburos para el XX. " IBM-2013[i]. 

* *

Las Tecnologías de la Información, -o TI- , son una de las tecnologías que están cambiando la forma en cómo se hace el negocio y en cómo relacionarse con el cliente. La estrategia de las empresas ha pasado de centrarse en sus productos y cómo venderlos, estrategia que se puede definir como hacia dentro, a una hacia el cliente o hacia fuera.

Esta transformación se ha producido obligada por la popularización del uso de las TI, en un principio los ordenadores personales y, posteriormente, los dispositivos móviles y las comunicaciones, los cuales han permitido una relación continua e inmediata del proveedor con el cliente, y a su vez de éste con otras personas cercanas de forma virtual. Esto ha provocado que opiniones, sugerencias, necesidades y estilos de vida de dichos clientes, registradas por el uso de dispositivos electrónicos, hayan pasado a centrar la atención de las empresas, que utilizando los mismos medios, intentan fidelizar al mismo cliente con mensajes más personalizados.

Por otra parte, los clientes han exigido otras maneras de relacionarse con las empresas para obtener online sus servicios y productos por medio de las TI, desde cualquier sitio y en cualquier momento.

La Banca no ha estado ajena a este proceso, pero quizás no ha sido todo lo ágil que el ciudadano demandaba. Además, en la pasada década su imagen quedó bastante dañada con los múltiples escándalos consecuencia de malas praxis. 

Esta situación ha sido aprovechada por multitud de pequeñas empresas tecnológicas -o grandes, como Apple o Google- que, apoyándose en su conocimiento de la tecnología, han creado nuevas formas de proveer servicios financieros tradicionalmente ofrecidos por el sector bancario, desde pagos y transacciones, monederos digitales o crowfunding hasta asesoría financiera e inversiones. Para ellas se ha acuñado el término Fintech, contracción de los vocablos ingleses “financial” y “technology”. Ejemplos hay muchos [ii]. 

Entre ellos podemos citar a TransferWise, una alternativa para las transferencias internacionales online mediante el denominado modelo ‘peer-to-peer' -o red de enlace entre pares- (P2P); la empresa hace de intermediario y si alguien desea transferir dinero, por ejemplo, a Estados Unidos desde Alemania, TransferWise se encarga de buscar a una o más personas que, a su vez, quieran transferir la misma cantidad de Estados Unidos a Alemania. O Robinhood, dedicada a las inversiones online que no cobra comisiones a sus clientes. O Kantox, startup española centrada en el intercambio de divisas entre empresas.

Estas pequeñas empresas cada una por separado no prestan todos los servicios de un banco, más bien se especializan en uno determinado, pero el cliente puede prescindir de la banca tradicional acudiendo a varias de ellas, dependiendo del producto o servicio que requiera en cada momento, teniendo todo centralizado desde la pantalla de su dispositivo y a golpe de click.

Las estrategias de los bancos para hacer frente a la revolución digital son diferentes [iii], desde realizar alianzas estratégicas con las Fintech -caso del BBVA con Dwolla, especialista en medios de pago-, o la compra de alguna de ellas -como la compra por BBVA de la startup finlandesa Holvi [iv]-, o a través de fondos de venture capital -como Banco Santander, con sus inversiones, entre otras, en iZettle, especializada en pagos vía móvil y Tablet; Ripple, dedicado a la tecnología Blockchain; o Kabbage, especializada en crédito directo a empresas-, o desarrollo internos -como el caso de CaixaBank o también el Banco Santander-.

Las TI no sólo han traído una nueva manera de acceder a productos y servicios desde un dispositivo electrónico, también ha supuesto el registro de todo lo que se hace por medio de ellos constituyendo una avalancha de datos de todo tipo, estructurados y no-estructurados -imágenes, vídeos, documentos-, lo que se ha denominado BigData, los cuales se pueden explotar de dos maneras. Una de ellas es mediante herramientas analíticas heredadas o emparentadas con la minería de datos; la segunda es aplicar algoritmos de inteligencia artificial, lo que se ha denominado computación cognitiva -cognitive computing, en inglés-, aunque esta clasificación encierra obvios solapes. 

Según McKinsey en el artículo "Cutting through the noise around financial technology" del pasado mes de febrero, las herramientas analíticas "prometen un potencial de transformación para predecir las 'siguientes mejores acciones', entender las necesidades del cliente, y entregar servicios financieros vía nuevos mecanismos que van desde los teléfonos móviles hasta los wearables [v]." 

En cuanto a la computación cognitiva, CaixaBank, junto con IBM, ha implantado un servicio de asesoramiento sobre comercio exterior para sus clientes [vi], basándose en IBM-Watson [vii], sistema de computación cognitiva al cual, por medio de sus algoritmos de aprendizaje, ha habido que enseñar a entender el español y entrenarlo para que pudiera responder preguntas y dudas técnicas relacionadas con el área de negocio en cuestión. (Carecemos de detalles de cuál ha sido la enseñanza más ardua: la del español o la de comercio exterior).

Con todo esto el banco está dejando de ser un lugar físico y dará igual si es un empresa o una miríada de ellas, ya que su interfaz con el usuario será virtual -una pantalla, por ejemplo- desde la cual interaccionar para solicitar y recibir productos y servicios, hacer consultas o reclamaciones, y todo ello a un asistente virtual en lenguaje natural. 

"Estás ya rodeado de robots, aunque no lo sepas"

El País, abril-2016[viii]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 152, 6-05-2016. Referencia: Especial/Banca y Seguros. Opinión, pg.28 – "El banco: de oficina a interfaz virtual" – María José de la Calle. 

-----------------------------------

[i]  "... data is becoming a new natural resource. It promises to be for the 21st century what steam power was for the 18th, electricity for the 19th and hydrocarbons for the 20th". Virginia M. Rometty, Chairman, President and Chief Executive Officer, IBM. 2013, IBM Annual Report. url [a 2016-04-17] http://www.ibm.com/annualreport/2013/bin/assets/2013_ibm_annual.pdf 

[ii] Estas son algunas ur's con listas de fintech [a 2016-04-17]: http://fintechinnovators.com , https://www.quora.com/Is-there-a-list-of-FinTech-startups , http://www.investopedia.com/articles/investing/123115/10-fintech-companies-watch-2016.asp 

[iii] Michela Romani, 2015-12-07. "Cómo se relacionan Santander, BBVA y CaixaBank con el 'fintech'". Expansión. url [a 2016-04-17] http://www.expansion.com/economiadigital/companias/2015/12/07/5665870b268e3eea0e8b45df.html 

[iv] Teppo Paavola 2016-03-07. "BBVA compra otra start up fintech". Expansión. url [a 2016-04-17] http://www.expansion.com/empresas/banca/2016/03/07/56dd65ec46163f1d7e8b4618.html 

[v] "But big data and advanced analytics offer transformative potential to predict “next best actions,” understand customer needs, and deliver financial services via new mechanisms ranging from mobile phones to wearables." Miklos Dietz, Somesh Khanna, Tunde Olanrewaju, and Kausik Rajgopal, Feb-2016. "Cutting through the noise around financial technology". McKinsey. url [a 2016-0417] http://www.mckinsey.com/industries/financial-services/our-insights/cutting-through-the-noise-around-financial-technology  

[vi] "CaixaBank e IBM potenciarán el asesoramiento a los clientes" 2016-04-11. "El Economista". url [a 2016-04-17] http://www.eleconomista.es/tecnologia/noticias/7483089/04/16/CaixaBank-e-IBM-implantan-el-primer-sistema-Watson-en-castellano.html  

[vii] "What is Watson?" IBM. url [a 2016-04-17] http://www.ibm.com/smarterplanet/us/en/ibmwatson/what-is-watson.html  

[viii] Beatriz Guillén, 2016-04-10. "Estás ya rodeado de robots, aunque no lo sepas". "El País". url [a 2016-04-17] http://tecnologia.elpais.com/tecnologia/2016/04/01/actualidad/1459507616_678873.html 

 

Miscelánea

Sunday, 22 May 2016 Maria Jose de la Calle Posted in iTTi Views

El DRAE define miscelánea como 'Obra o escrito en que se tratan muchas materias inconexas y mezcladas'. 

Esto es un poco lo que me propongo en este artículo, tratar una serie de aparentemente temas inconexos -de ciberseguridad, por supuesto-, aparecidos en distintos medios en los últimos meses, desde la guerra que han comenzado los publicistas y organizaciones que ponen contenidos gratuitos en la red a cambio de publicidad, contra los desarrolladores de app's que bloquean dicha publicidad; o las nuevas tácticas del ransomware; hasta la disputa de Apple con el FBI.

* *

Los ad-blockers

Los bloqueadores de publicidad -ad blockers, en inglés-, desde hace algunos meses vienen apareciendo en los medios más que como defensores de los usuarios de la web, que en mayor o menor medida somos todos, como enemigos tanto de las empresas de publicidad que utilizan la web como soporte de los anuncios de sus clientes, como de web's que ofrecen contenidos gratuitos financiándose con publicidad.

Los bloqueadores son app's que se añaden a los navegadores como extensiones, y que impiden la aparición molesta de anuncios mientras se visitan las páginas web. Los anuncios consumen recursos y ralentizan la navegación, constituyendo elementos invasivos, y produciendo una experiencia frustrante.

Según un estudio[i] llevado a cabo por Adobe y PageFair, se estima que unos 200 millones de personas utilizan estos bloqueadores en sus navegadores. Por otra parte, las pérdidas en los negocios relacionados con la publicidad debido a los bloqueadores supusieron unos 20.000 millones de dólares en el 2015.

Sumado a esto, en septiembre Apple anunció que iba a permitir los bloqueadores en el Safari del sistema operativo iOS9 para dispositivos móviles, a lo que se le sumó Samsung posteriormente para su propio navegador. Con esto, a los millones de personas -o más bien de ordenadores- que ya disponían de ellos, se le unía ahora la posibilidad de los dispositivos móviles.

En estos dispositivos, el coste en tiempo y dinero es importante, ya que, por una parte, funcionan con batería, con lo que es muy importante la rapidez en la obtención de lo que se busca, y por otro, el coste de la comunicación móvil se factura por cantidad de datos bajados. Muchos de los datos que se bajan pertenecen realmente a anuncios y no a lo que realmente se quiere obtener[ii].

Todo esto ha prendido la mecha en lo que el NYTimes ha dado en llamar la guerra de los bloqueadores en un artículo titulado así "The Ad Blocking Wars"[iii], entre los publicistas y los desarrolladores de las app's que bloquean la publicidad. Tanto en Europa como en EEUU hay iniciativas para parar el uso de este software, desde mostrar mensajes para que el usuario desactive el bloqueador para una página determinada, o una site, o pagar una cantidad si se quiere seguir en la página, caso de Wired o de The Washington Post; o sencillamente no permitir el acceso a los contenidos si está activado un bloqueador, caso de Le Monde o de Le Parisien

En dicho artículo, además de los problemas que causa al usuario la invasión de publicidad en las páginas, se menciona el tema de la privacidad de los datos, ya que, el software que muestra publicidad, recoge información sobre la página que se está visitando, el sistema que estamos utilizando -dispositivo y sistema operativo-, localización, etc. Todos tenemos experiencia de haber estado consultando, por ejemplo, coches o viajes, y que empiecen a inundarnos con publicidad sobre ellos y que nos llenen el correo de spam.

Para evitar esto se puede bien activar en los navegadores el llamado "Do Not Track", o añadir una extensión del mismo nombre, o con el servicio de "navegación privada", ya ofrecido por algunos.

Sin embargo, las piezas de software hechas para mostrar un anuncio no sólo pueden llevar incluido software para recoger datos del usuario que visita una página, también pueden llevar malware, tanto hecho a propósito para ello, cuanto porque cibercriminales lo hayan introducido. 

Ya Elias Manousos, CEO y co-fundador de RiskIQ, comentaba el pasado 4 de agosto de 2015[iv] en el Black Hat de Las Vegas el incremento del 60% en el número de anuncios conteniendo malware -malvertisement, en inglés- durante el primer semestre del año 2015 respecto del año anterior. Además añadía que el mayor incremento de malvertisement en los pasados 48 meses confirmaba que los anuncios digitales se habían transformado en el método preferido para distribución de malware, ya que este es difícil de detectar dentro de los anuncios, no reside en las páginas web y se entrega a través de las redes de publicidad, utilizando la capacidad de dichas redes para segmentar a los usuarios por perfiles y así dirigir diferentes mensajes a objetivos específicos de manera precisa.

Como ejemplo podemos citar el incidente que tuvo tuvo lugar el fin de semana del 11-12 de marzo de este año, cuando varias de las más grandes websites del mundo, como MSN, The New York Times, BBC, o AOL, expusieron a millones de personas a través de los anuncios en sus páginas, a software malicioso el cual cifraba datos y solicitaba un rescate a cambio de liberarlos, software tristemente famoso por la abundancia de casos, conocido como ransomware.

Tom Simonite, entre otros, se hizo eco de este hecho en su artículo "Are Ad Blockers Needed to Stay Safe Online"[v], en el que afirmaba que esto no es un problema nuevo -incluir software maliciosos en publicidad-, lo que sí es nuevo es el crecimiento alarmante de estas tácticas, tal y como afirmaba Elias Manousos citado en el párrafo anterior, y que, por tanto, sí son necesarios los bloqueadores de publicidad como medida de seguridad.

Es cierto que ciertas webs ofrecen contenidos gratuitos vendiendo espacio en su página para ser ocupado por publicidad; o apps que se ofrecen en dos modalidades, una gratuita con publicidad, y otra de pago sin publicidad. ¿Se podría eliminar la publicidad pagando por los contenidos, las apps o los servicios en general ofrecidos por internet?

En primer lugar, quizás tampoco todos estarían de acuerdo en ello, ya que la publicidad digital debe ser un gran negocio a juzgar por las cifras que se manejan en este sector, como los ya mencionados 20.000 millones de dólares de pérdidas en el 2015 debido a los bloqueadores.

En segundo lugar, si nos atenemos a medios más convencionales del cine o la televisión, las películas que vamos a ver muchas de ellas contienen publicidad, y por ver la película pagamos; en la televisión pasa lo mismo, las cadenas de pago también tienen publicidad, quizás no interrumpan un programa con ella, pero si la hay entre programas. Pagar en estos casos no nos asegura librarnos de ella.

Sin embargo, lo que hay que destacar es que hay una muy importante diferencia entre la publicidad más convencional y la publicidad digital, y esta es el tema de las [ciber]amenazas que pueden llegar a través de ella, como es el caso del ransomware distribuido a través de las redes de publicidad, expuesto anteriormente; o el intrusismo a la privacidad que se puede hacer desde ella.

Ransomware y sus nuevas tácticas

La importancia de este malware es indiscutible, por los daños que causa en organizaciones y particulares. Pero si hasta ahora el software malicioso entraba en el sistema por medio de un click de una persona sobre un fichero adjunto en un correo y en ese momento cifraba los datos de ese ordenador, la nueva táctica se centra en atacar a las organizaciones desde sus redes de ordenadores.

Dicha táctica consiste en que el ataque se realiza en varias fases, primero explotando alguna vulnerabilidad de los elementos conectados -como websites mal configuradas- para entrar, conseguir credenciales de administrador de servidores, y desde ahí extenderse por toda la red, pudiendo lanzar software para cifrar ficheros del sistema en servidores, o en estaciones de trabajo.

Este vector de ataque no es novedoso para otros tipos de malware. La cuestión es que cualquier ataque a una red se puede transformar en un ransomware, con lo que el daño se multiplica. Es posible que algunos ataques sean consecuencia de otros anteriores, aprovechados por quienes los realizaron.

Sobre este tema, Sean Gallagher explica esta nueva modalidad en el artículo "OK, panic—newly evolved ransomware is bad news for everyone"[vi] del 8 de abril, en el cual detalla un vector de ataque iniciado con una herramienta de test de penetración sobre un servidor JBOSS.

Una vez cifrado un fichero, se supone que es imposible, de momento, en un tiempo razonable descifrarlo. Este cifrado, entonces, constituye un medio para que por lo menos se pueda evitar, en el caso de que datos de una organización se roben, que sean utilizados para dañar a la organización. Y esto es una buena noticia para la seguridad, tanto de una organización como de un individuo.

Bueno, con el permiso de ciertos elementos de las fuerzas de seguridad que defienden que el cifrado fuerte no sea utilizado por los ciudadanos porque dificulta la persecución de los delincuentes, ... a los que no les importará utilizarlo. 

Apple y el FBI 

Esto nos conduce a otra noticia que lleva ya por lo menos un mes en los medios, y que parece que ha terminado con el descifrado del iPhone5C en cuestión por parte de una empresa.

La Oficina Federal de Investigaciones (FBI) de los Estados Unidos (EEUU) solicitó  ayuda a Apple con el fin de desbloquear el iPhone que usó  uno de los presuntos terroristas de San Bernardino, California. Apple se negó  a ello, aduciendo, entre otras cosas, [vii] que aquello que hiciera serviría como puerta trasera, que a la postre podría ser utilizada por cualquiera.

Apple argumenta que tendría que haber construido una herramienta para hackear sus propios teléfonos. Las investigaciones realizadas para hacer un cifrado fuerte y proteger la información se transformarían ahora en investigaciones para debilitar dicho cifrado.

Según el FBI, la técnica utilizada para desbloquear el iPhone 5C, sólo sirve para él. Así que a vuelto ha solicitar a Apple ayuda por vía judicial para desbloquear un teléfono iPhone en un caso contra un narcotraficante en una corte de Nueva York. Otra petición similar fue presentada ante un juez de Boston. Parece que el Gobierno de EEUU quiere conseguir un precedente judicial que obligue a compañías tecnológicas como Apple a colaborar con las fuerzas de seguridad cuando sea requerido por un juez. 

Pero la actitud del Gobierno de los EEUU no es única. El Gobierno Británico también apoya que las fuerzas del orden sean capaces de acceder a las comunicaciones de delincuentes y terroristas para prevenir actos criminales[viii]. Si los dispositivos no son seguros, no lo son en ningún sitio ni para nadie.

La postura de Apple es apoyada por otras empresas como Google, Facebook o Twitter, y ha abierto un debate que habrá que resolver antes o después. El Gobierno de Obama lleva buscando el apoyo de las empresas tecnológicas desde hace algún tiempo, con reuniones en Silicon Valley, al parecer sin resultados muy satisfactorios.

¿Está la privacidad reñida con la seguridad de las personas? ¿Estará cada vez menos segura la información de los ciudadanos?

Conclusión

Para cerrar, una última reflexión.

La seguridad de la información que debería ser una prioridad para todos ya que la falta de ella nos expone, tanto a ciudadanos como a organizaciones a muchos peligros, cuando se quiere implementar en cada una de sus facetas, surgen grupos -empresas de publicidad y Gobiernos, en los casos tratados- que se ponen en contra de ella, como si a las personas que forman parte de dichos grupos no les pudiera afectar la falta de seguridad.

Lo malo es que no sabemos en qué grado ni cuándo puede llegar a hacerlo. Por ello hay que seguir trabajando para encontrar una solución satisfactoria, sin menoscabar la privacidad y la libertad. Si nos quedamos sin ellas, ya no necesitaremos la seguridad.

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", mayo-2016, nº 311, pg.66, Ciberseguridad – "Miscelánea" – María José de la Calle.    

---------------------------------

[i] "The 2015 Ad Blocking report", Ago.10, 2015. PageFair. url [a 11-04-2016]       https://blog.pagefair.com/2015/ad-blocking-report/ 

[ii] Gregor Aisch, Wilson Andrews, Josh Keller, Oct.1, 2015. "The Cost of Mobile Ads on 50 News Websites", The New York Times. url [a 11-04-2016] http://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html?_r=1  

[iii] Kate Murphy, Feb.20, 2016. "The Ad Blocking Wars", The New York Times. url [a 11-04-2016] http://www.nytimes.com/2016/02/21/opinion/sunday/the-ad-blocking-wars.html?_r=0 

[iv] "RiskIQ Reports 260 Percent Spike in Malicious Advertisements in 2015", Ago.4,2015. RiskIQ. url [a 11-04-2016] https://www.riskiq.com/resources/press-releases/260-percent-spike-in-malicious-advertisements-2015 

[v] Tom Simonite Mar.16,2016. "Are Ad Blockers Needed to Stay Safe Online?". MIT Technology Review. url [a 11-04- 2016] https://www.technologyreview.com/s/601057/are-ad-blockers-needed-to-stay-safe-online/#/set/id/601060/ 

[vi] Sean Gallagher, Apr.8,2016. "OK, panic—newly evolved ransomware is bad news for everyone". ars technica. url [a 11-04-2016] http://arstechnica.com/security/2016/04/ok-panic-newly-evolved-ransomware-is-bad-news-for-everyone/

[vii]  Tim Cook, Feb.16,2016 "A Message to Our Customers". Apple. url [a 11-04-2016] http://www.apple.com/customer-letter/ 

[viii] Eduardo Archanco, 6, Nov. 2015. "Reino Unido también quiere obligar a Apple a espiar nuestros dispositivos". Applesfera. url [a 11-04-2016] http://www.applesfera.com/apple-1/reino-unido-tambien-quiere-obligar-a-apple-a-espiar-nuestros-dispositivos  

 

La seguridad y la salud

Tuesday, 26 April 2016 Maria Jose de la Calle Posted in iTTi Views

      "In the Future, Wearables Will Meld with Your Skin. Yes, eventually, you'll basically have an electronic tattoo" .

Brent Rose, Feb-2016[i]

La seguridad y el buen servicio [al paciente] ¿están reñidos?  

Según un informe publicado por Raytheon-Websense -ahora Forcepoint- en septiembre de 2015, y del cual da cuenta DarkReading[ii], los centros de salud tienen dos veces más probabilidades de sufrir un robo de datos que otros sectores.  

Y en el mismo artículo se puede leer que los profesionales de la salud tienen una tendencia cada vez mayor a tratar de saltarse las normas de seguridad con el fin, según ellos, de dar un mejor servicio a sus pacientes. 

Según Mike Orcutt en un artículo[ii] del 18 de febrero pasado, los hospitales están siendo [ciber]atacados más frecuentemente por varias razones.  

La primera, la creciente digitalización de estas organizaciones, y con ello, la de los datos de sus pacientes, que incluyen información personal que puede alcanzar un alto precio en el mercado negro. 

La segunda, la seguridad de los datos en estas organizaciones no se prioriza al mismo nivel que el propio cuidado de la salud. Como consecuencia, frecuentemente los sistemas están desactualizados o carecen del mantenimiento apropiado. Además, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente favorece el incumplimiento de las medidas de seguridad.  

Pero la falta de seguridad ¿no irá en contra del objetivo de dar un mejor servicio al cliente o de un acceso inmediato a los datos? ¿Acaso la seguridad de la información no busca precisamente proteger los datos de miradas no autorizadas, asegurando su disponibilidad y salvaguardando su integridad? ¿No garantizaría eso un mejor servicio? 

El que no se respete estrictamente una política de seguridad, resulta, cuanto menos, llamativo, habida cuenta de la información sensible que albergan los servidores informáticos de los centros sanitarios. Información relativa al estado de salud de los pacientes, a sus tratamientos y pruebas médicas; e incluso a su ADN (enfermedades hereditarias, etc.).

Yendo a casos concretos, en julio de 2014 la empresa Community Health Systems, Inc., -que gestiona 207 hospitales en 29 estados de los EEUU-, informaba[iv] de que en abril y junio de ese año había sufrido el robo de registros de sus bases de datos, con información de carácter personal -nombre, fecha de nacimiento, número de teléfono y seguridad social- relativos a 4,5 millones de pacientes que habían pasado por los centros sanitarios del grupo en los últimos 5 años. 

Sin duda, cabe pensar que ese grave compromiso de la seguridad de la compañía -particularmente, y como mínimo en su vertiente de la confidencialidad- ha podido verse afectado seriamente.  

Un caso más reciente es el del Hollywood Presbyterian Medical Center de Los Angeles (EEUU)[v] que, a principios del pasado mes de febrero sufrió una pérdida de disponibilidad al ver cómo sus recursos de información quedaban inaccesibles como consecuencia de un ataque de ransomware

El ransomware un tipo de ataque informático mediante el cual los delincuentes "secuestran" los equipos de la víctima, cifrando la información que contienen, que de ese modo, deja de estar disponible. 

La información "secuestrada" sólo es liberada tras el pago de un rescate ("ransom", en inglés), que en el caso del centro médico mencionado ascendió a varios miles de dólares. 

Aparte de la pérdida económica directa, las consecuencias de estos actos de chantaje van más allá. En este caso se produjo un "atasco" en el funcionamiento ordinario del hospital; hubo que proceder al traslado de algunos pacientes a otros hospitales; no se pudo acceder a los historiales médicos de los usuarios del centro; el servicio de correo-e quedó igualmente inutilizado, por lo que hubieron de recurrir a medios más convencionales (y anticuados, de la era pre-internet) como el papel y los faxes.  Por otro lado, de la misma manera que los atacantes fueron capaces de infectar con un tipo de código dañino los servidores de la institución, cabe la sospecha de que podrían haber introducido otro tipo de código para hacerse con información del hospital y con claves de acceso y credenciales de los usuarios de sus sistemas. 

Según Orcutt citado anteriormente, la urgencia del acceso a los datos en situaciones críticas para la salud del paciente es tan importante que favorece el incumplimiento de las medidas de seguridad, lo que viene a ser un contrasentido ya que esta falta de seguridad puede provocar, como se ha visto, una ralentización en los servicios y una falta de disponibilidad de esa información a la que tan urgentemente se necesitaba acceder.   

Si los sistemas se bloquean y no se tiene acceso, en primer lugar se causará un gran perjuicio al no poder decidir de forma inmediata qué acción tomar para un paciente en particular; o al no disponer de su historial para realizar un adecuado diagnóstico, o no poder aconsejar un tratamiento.  

Por otra parte, si personas o procesos no autorizados pueden acceder a la información quizá puedan también modificarla, por error o de manera intencionada para producir un daño, con lo que la integridad de la información quedará comprometida. Si no se cumple el principio de integridad, los datos no son fiables, y no se puede estar seguro de la bondad de un diagnóstico o de un tratamiento a seguir.

Si no se puede asegurar la confidencialidad de la información, con el perjuicio que puede ocasionar; si la disponibilidad de la información se ve comprometida al igual que su integridad, todo ello está totalmente en contra de ofrecer un buen servicio al cliente, como en los dos casos expuestos, en los que los daños o perjuicios al paciente han sido el resultado de los fallos de seguridad. 

Los datos asociados a la salud tienen mucha importancia, ya que están intrínsecamente unidos a la persona. Esto tiene, entre otras, estas dos graves consecuencias: 

- La primera, cuando se roban datos relacionados con la salud, la persona a la que pertenecen desafortunadamente no los puede cambiar por otros, con el fin de "desactivar" la importancia de ellos y no sufrir perjuicio. Esto se puede conseguir, por ejemplo, con el robo de una contraseña, de las llaves de casa o cualquier otro cosa no intrínsecamente ligada a la persona. 

- La segunda, no se sabe, a priori, quién va a disponer de esos datos, ni la forma ni el momento en que pueden hacer uso de ellos, hasta que se  materializa; no se puede prever el daño, como con una cuenta bancaria, cuyo fin es el robo de dinero. La seguridad es fundamental ya que puede afectar muy seria y directamente a nuestra vida y para siempre.

Móviles, apps y wearables

Las cosas podrían empeorar previo a una mejora ya que cada vez más los hospitales añaden más dispositivos conectados a sus redes, lo que potencialmente crea más formas en que los hackers puedan entrar. 

Un ejemplo de esto son los cada vez más utilizados dispositivos móviles con aplicaciones tanto para los profesionales de los centros de salud, como de los ciudadanos para acceder a sus datos o solicitar servicios de estos. A esto hay que añadir aquellas que tienen como función la monitorización del estado de algunos indicadores de salud, como el pulso o el ritmo cardíaco.

Una aplicación[vi] para móvil desarrollada por una spinoff del MIT, junto con un equipo del Massachusetts General Hospital, recoge de qué humor está la persona que habla, utilizando patrones de voz para detectar emociones.  Es una forma de recoger cambios de humor para poder hacer un seguimiento de personas con depresión o con trastornos bipolares.  

Los dispositivos que se llevan puestos -wearables- y que están conectados a Internet, pueden dar información acerca de la salud de la persona que lo lleve, y estos datos pueden transmitirse a un centro de salud. Esto simplifica un seguimiento continuo de la evolución de parámetros de salud, facilitando la prevención de algún problema o enfermedad, a la par que favorece una más rápida atención médica a través de consejos sobre lo que hacer en caso de algún problema o mediante la presencia de personal, si fuera necesario. 

Parte de la cita del comienzo es el título de un artículo[vii] donde se informa de que la empresa "mc10" ha creado un producto llamado "BioStamp Research Connect". Este es una especie de tirita un poco gruesa que se ajusta perfectamente a cualquier parte del cuerpo y que lleva sensores para monitorizar  el músculo dónde se coloque y también el corazón. 

Las mediciones y datos médicos se recogen para, por una parte, monitorizar el estado de salud de una persona, como ya se ha indicado, y por otro, con grandes cantidades de datos acumulados de distintos centros y pacientes,  servir a la investigación de las enfermedades, y a la creación de sistemas de ayuda para diagnóstico y tratamiento. 

Un ejemplo es el programa lanzado por Google el pasado 24 de febrero llamado "DeepMind Health" en colaboración con hospitales como el Royal Free Hospital London, con el que Google ya ha trabajado para crear una app llamada "Streams" para el diagnóstico de daños en el riñón. Señalar que en la página web de este proyecto se hace una mención especial al compromiso de mantener la privacidad y confidencialidad de los datos de los pacientes. 

Son evidentes las ventajas que esta tecnología aporta al bienestar de las personas, pero también se incurre en riesgos de seguridad de la información recogida y transmitida. En el caso de violación de la seguridad, afectaría directamente a la vida de dichas personas, pudiendo mermar y en muchos casos anular dichas ventajas.  

El futuro: Robótica e IA 

Mirando hacia el futuro y uniendo la Robótica con la Inteligencia Artificial, se podrá disponer, entre otras cosas, de asistencia médica remota, sustituir en muchos casos la presencia de un médico por un robot, el cual tendrá acceso al historial del paciente y a una cantidad ingente de datos e información con los que poder hacer un diagnóstico y recomendar un tratamiento. Como la plataforma RP-VITA -Remote Presence Virtual + Independent Telemedicine Assistant-, una colaboración entre iRobot e InTouch Health

Como contrapunto, el 25 de abril de 2015 Gizmodo se hizo eco de que investigadores de la Universidad de Washington en Seattle acababan de 'hackear' un robot quirúrgico para intervenciones a distancia -'tele-intervenciones"-, demostrando una gran debilidad de la seguridad en máquinas, las cuales, finalmente, reemplazarán a las manos de los cirujanos en los hospitales de todo el mundo. 

* *

La seguridad de la información y de las máquinas y dispositivos que recogen, transmiten, manipulan y consultan dicha información relacionada con la salud, y que pueden actuar en base a ella, ya no es una opción, es cuestión de vida o muerte.  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril-2016, nº 310, pg.46, Ciberseguridad – "La seguridad y la salud" – María José de la Calle.   

---------------------------------

[i] Rose, Brent (February, 8, 2016) "In the Future, Wearables Will Meld with Your Skin". Outside. url [a 28-02-2016] http://www.outsideonline.com/2053326/future-wearables-will-meld-your-skin 

[ii] Peters, Sara (September, 23, 2015) "Healthcare Organizations Twice As Likely To Experience Data Theft". DarkReading. url [a 28-02-2016] http://www.darkreading.com/risk/healthcare-organizations-twice-as-likely-to-experience-data-theft/d/d-id/1322312?_mc=sm_dr_editor_kellyjacksonhiggins&hootPostID=94d701cec4475551b0b4e78bdcfda408 

[iii] Ocutt, Mike (February, 18, 2016) "Hollywood Hospital’s Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime". MIT Technology Review. url [a 28-02-2016]  https://www.technologyreview.com/s/600838/hollywood-hospitals-run-in-with-ransomware-is-part-of-an-alarming-trend-in-cybercrime/ 

[iv] United States Securities and Exchange Commission (August, 8, 2014). url [a 22-02-2014] http://www.sec.gov/Archives/edgar/data/1108109/000119312514312504/d776541d8k.htm  

[v] Simonite, Tom (February, 16, 2016) "Hospital Forced Back to Pre-Computer Era Shows the Power of Ransomware". MIT Technology Review. url [a 22-02-2016] https://www.technologyreview.com/s/600817/hospital-forced-back-to-pre-computer-era-shows-the-power-of-ransomware/#/set/id/600825/  

[vi] Monegain, Bernie (February 24, 2016) "Mass General Hospital teams with MIT spinoff Cogito on behavioral health analyzer". HealthcareITNews. url [a 28-02-2016]  http://www.healthcareitnews.com/news/mass-general-hospital-teams-mit-spinoff-cogito-behavioral-health-analyzer 

[vii] Ver nota [i]

 

Algoritmos como Servicio

Tuesday, 19 April 2016 Maria Jose de la Calle Posted in iTTi Views

'Algorithms are the DNA of software. They codify the macrosteps of how  computers already run large parts of the world.' Gartner, Marzo/2016[i]

El DRAE define Algoritmo como 'Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema'. 

Es un concepto matemático que pasó a la informática y definió la disciplina científica conocida como Ciencias de la Computación. Dicha disciplina nace, según nos informa la Wikipedia, a principios de 1940 con la confluencia de la teoría de algoritmos, lógica matemática y la invención del programa almacenado en una computadora electrónica.

En general, no hay una manera única de ir desde unos datos de entrada a unos datos de salida, pero sí es muy importante la eficiencia de un algoritmo. Como medida de dicha eficiencia, se suelen estudiar los recursos (memoria y tiempo de proceso) que consume el algoritmo. Un buen algoritmo implica tiempo de desarrollo, no sólo para conseguir que sea eficaz, sino para que sea eficiente.

Todo programa contiene al menos un algoritmo. Hay muchos muy sencillos ('parsear' los caracteres de una palabra, calcular la media aritmética, ...); otros más complicados y clásicos (los ‘sorts’ que se enseñan a los estudiantes de Informática); otros aún más complicados (algoritmo de la mochila, ...). Muchos son públicos, algunos son muy antiguos (la criba de Eratóstenes, ...) y otros muy recientes. Hay libros y colecciones (repositorios) de algoritmos. Los hay de código abierto y otros tienen propietario. 

Los algoritmos codifican y encapsulan de una manera reutilizable propiedad intelectual de una empresa o conocimiento. Por citar algunos relevantes, los de búsqueda de Google, o de los que hace uso Amazon para recomendarnos otras compras, o los de las empresas de búsqueda de pareja, resaltando en estos momentos los de 'Aprendizaje Profundo' o 'Deep Learning' para Inteligencia Artificial, en los que que están invirtiendo mucho dinero empresas como la ya mencionada Google, IBM o Apple.

Otros ejemplos de algoritmos los tenemos, por ejemplo, en el mundo financiero. Las llamadas operaciones de alta frecuencia o HTF ('High Frequency Trading') que realizan ordenadores, lo que hacen es comprar y vender en literalmente milisegundos todo tipo de activos financieros en base a algoritmos para conseguir un beneficio en cada operación, tal y como explica el BBVA. La eficiencia y la eficacia de dichos algoritmos son vitales dado el volumen de dinero que mueven y, además, son secretos, con el fin de que nadie se adelante a los movimientos que una entidad vaya a realizar. En 2009 un ex-programador de Goldman Sachs fue detenido por el FBI, acusado de robar algoritmos; antes de irse de la entidad a Teza Technologies, empresa de HTF, se descargó  en un servidor de Alemania los códigos. 

Hay todo un debate internacional (y oposición UE–EEUU) sobre la patentabilidad de los algoritmos y formas alternativas de protegerlos.

Pese a su enorme difusión, hay una gran cantidad de muy buenos algoritmos desarrollados en las universidades y en los centros de investigación y apenas utilizados, que languidecen en las revistas donde se publican, a las que acceden, normalmente, otros académicos, pero que no llegan a la empresa.

Diego Oppenheimer y Kenny Daniel [ii] fueron muy conscientes de este hecho, el primero mientras trabajaba para Microsoft donde ayudaba a diseñar funcionalidades de análisis de datos para herramientas como Excel, y para lo que buscaba los mejores algoritmos para integrar en las aplicaciones, y el segundo, mientras realizaba su doctorado en inteligencia artificial en la 'University of Southern California', habiendo publicado para este fin muchos algoritmos muy bien aceptados por el mundo académico pero con poca oportunidad de que llegaran a las aplicaciones de empresas privadas. Para dar salida a todo esto, fundaron en el 2013 una empresa llamada "Algorithmia", una 'app store' para algoritmos. 

La idea era, por una parte, dar a los creadores una oportunidad para que sus algoritmos se utilizaran fuera del ámbito académico y ganar dinero por ello, vendiéndolos bien como código abierto para que el comprador lo integre en sus aplicaciones, o por uso como un servicio en la nube.

Por otra parte, se proponían ofrecer a las empresas unos algoritmos para sus aplicaciones y funciones de negocio, a un precio asequible, ya que no todas las empresas tienen la capacidad ni los recursos para crear algoritmos optimizados y encontrar las mejores soluciones a sus problemas, como las ya mencionadas Google o Amazon, o la misma Goldman Sachs.

Esto supone un nuevo negocio, en primer lugar para desarrolladores, que pueden ser creadores individuales no necesariamente ligados al mundo académico, y que de esta forma pueden obtener dinero de sus creaciones; y en segundo lugar, para las plataformas que sirven de punto de contacto entre los desarrolladores y los usuarios de los algoritmos.

Además, esto facilita a cualquier empresa su uso para resolver problemas de su negocio, como funciones analíticas, asistentes virtuales, o cualquier otro, contribuyendo a la digitalización de su organización.

Pero habría quizás que controlar de alguna manera la calidad del software que se pone en esas plataformas, con el fin de ofrecer la mejor calidad al cliente en cuanto a eficacia -que haga lo que dice que hace-, eficiencia, transparencia -que no haga más que lo que dice que hace y lo haga según los parámetros de eficiencia declarada-, y seguridad. Esa garantía de calidad debe probablemente basarse en código abierto, amplia y fácilmente asequible al escrutinio de la comunidad profesional; y en el recurso a normas y auditorías adecuadas.

Un mercado nuevo a tres bandas que debe regularse para que todos salgamos ganando sin que alguna de las partes domine a las otras.

*** 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 151, 5-04-2016. Referencia: Tendencias/IaaS. Opinión, pg.52 – "Algoritmos como Servicio" – María José de la Calle.

-------------------------------

[i] Bennett, Jo (March/11/2016) "Preparing for Algorithms and Autonomous Business". Smarter With Gartner. url [a 13-03-2016] http://www.gartner.com/smarterwithgartner/algorithms-autonomous-business/  

[ii] Finley, Klint (08-11-14). "Wanna Build Your Own Google? Visit The App Store For Algorithms". Wired. url [a 13-03-2016] http://www.wired.com/2014/08/algorithmia/ 

 

El «Ábrete sésamo» digital

Sunday, 27 March 2016 Maria Jose de la Calle Posted in iTTi Views

"The age of the password is over. We just haven’t realized it yet"[i].

Mat Honan - Wired, 11/2012

En el principio ... 

Diciendo las palabras entrecomilladas que forman parte del título de este artículo, se abría la puerta de la cueva donde los ladrones del cuento "Alí Babá y los 40 ladrones" guardaban su botín. Creían que esta contraseña era segura dado que sólo la conocían ellos, craso error, no pensaron que alguien los estuviera espiando y la escuchara, con lo cual, como no la cambiaban después de su uso, esa persona -Alí Babá- podía franquear la entrada cuando quisiera y apoderarse de parte del botín. 

Las contraseñas son tan viejas como la civilización y al mismo tiempo siempre ha habido personas dispuestas a hacerse con ellas o, en el caso digital, a "crakearlas". Por una parte, éstas se colocan con el fin de proteger un bien de la vista o acceso público, y así prevenir un daño que la revelación o el robo pudiera causar al bien en sí, a una organización o a las personas; y por otra, los atacantes quieren obtener algún beneficio que el acceso a ese bien les proporcione, normalmente en contra de los intereses de los atacados. 

Cuando se llegó  al mundo de los ordenadores y se quiso controlar el acceso a estos, se crearon unas pequeñas aplicaciones de acceso para capturar una identificación de usuario (UserID) que quería entrar y una contraseña asociada, la cual validaba al usuario, a diferencia del caso del cuento, en el que la contraseña era la llave de la puerta, independientemente de quién la tuviera. 

Uno de los primeros ordenadores con control de acceso fue, allá por 1961, el "Compatible Time-Sharing System" del MIT, usando un login -usuario y contraseña, que conformaban un proceso de autenticación- con el fin de repartir y controlar el tiempo de uso del mismo. Sin embargo, en 1962 un estudiante de doctorado llamado Allan Scherr quiso conseguir más tiempo del autorizado, para lo cual engañó al login con un simple ataque -hack-: localizó el fichero que contenía las contraseñas y las imprimió, con lo que consiguió tanto tiempo como deseara. 

... Y llegó internet

En el caso de la ciberseguridad, lo que se quiere proteger es la información, entendida esta tanto como el código que define lo que la máquina puede hacer como los datos que residen en ellas o que están en tránsito por redes y otros elementos que intervienen en las comunicaciones, así como la identidad de todo ello: tipo de máquina, sistema operativo y su versión, protocolo, etc. Para ello se instrumentan controles de acceso a las máquinas y redes, inspecciones de lo que circula por ellas, y, como los sistemas son vulnerables en mayor o menor grado, se cifra toda la información -o sería conveniente hacerlo-.

En su inicio las redes de ordenadores de las empresas eran privadas y sin acceso desde el exterior. Para buscar los usuarios y contraseñas de acceso, había que hacerlo desde dentro.

En los primeros años de desarrollo de la web, eran pocas las aplicaciones que estaban en la nube, una de las cuales fue el correo electrónico. Para el acceso se tenía un usuario -la propia dirección de correo- y una contraseña, usuario que serviría más adelante a otras aplicaciones, y práctica que se conserva en muchos casos, haciendo crecer la vulnerabilidad de la información: con un único usuario -y quizás la misma contraseña del correo- se accede a más sitios. 

Un ejemplo sería el uso en las redes sociales del correo corporativo, susceptible al envío de phising a los empleados a través de las mismas, indetectable por los antivirus de correo, y creando un vector de ataque para desplegar malware, tal y como contaba Yelena Osin el pasado julio de 2015 [ii] sobre el ataque sufrido por W.W.Grainger, proveedor industrial de EEUU. 

Con la generalización del uso de Internet, no sólo se tenía acceso al correo, también al banco, a la Administración del Estado, a diversas tiendas para realizar compras, a las redes sociales, y así un largo etcétera, y los tipos de dispositivos desde los cuales se podía acceder también se multiplicaron y se hicieron móviles, siendo utilizados profusamente para la vida cotidiana.

En cuanto a las empresas, en lugar de conectar sus ordenadores vía redes privadas, se conectaron vía Internet, facilitando la entrada desde el exterior de la organización. A esto hay que añadir que, al igual que en el ámbito privado, el terminal desde el cual se accedía a las aplicaciones y datos de la empresa también se hizo móvil y ya no estaba encuadrado dentro de unas paredes, pudiendo estar siempre conectados desde cualquier sitio y en cualquier momento. Los límites de la empresa dejaron de ser físicos, como eran las puertas, pudiendo ahora servir de 'puerta' cualquier dispositivo que tuviera una conexión a la empresa, no necesariamente por cable.

Con todo esto, el número de ataques a los sistemas aumentó, tanto por la facilidad de acceso como porque lo que se podía encontrar buceando por dispositivos y redes también devolvía más réditos.

Las intenciones de aquellos que entraban sin permiso cambiaron. Lo que al principio eran meros ataques con la intención de curiosear, de hacerse para uso propio con algún material para, como en el caso de Allan Scherr, obtener un beneficio personal, se transformó en delitos organizados de robos de información para terceros, robo de dinero, daños a instalaciones, y todo un glosario de delitos cuya novedad principal era -y es- la forma de llevarlos a cabo, desde cualquier sitio del planeta, sentado tranquilamente en una habitación, realizado de forma anónima en la medida de lo posible -en internet todo deja rastro-, y desde países distintos del del objetivo del ataque, dificultando con ello su persecución -Internet es global pero las leyes son locales. 

Según un informe de Symantec publicado en abril del 2014, en el año 2012 se produjeron 156 violaciones de seguridad con 93 millones de identidades divulgadas, en el año 2013 el número aument  hasta 253 -62% más- con 552 millones de identidades divulgadas -493 % más-.

Las violaciones de seguridad en las empresas en el 2014 aumentaron un 46% con respecto al 2013, según Gemalto en su "Breach Level Index 2014". Éstas ocasionan pérdidas monetarias, robo o destrucción de datos y daños a la imagen de la empresa, por citar algunas consecuencias no deseadas. Según un informe de "Kaspersky Lab" de septiembre de 2015, la media del presupuesto requerido para recobrarse de uno de estos incidentes de seguridad es de 551.000 $ para empresas grandes, y para pequeñas y medianas empresas es de 38.000 $.

Las contraseñas se fortifican: ¿y sirve de algo? 

A pesar de que el sistema de contraseñas parecía ser un poco débil, no se ha abandonado esta forma de control de acceso nacido en una época antes de Internet,  más bien se ha querido reforzar con las llamadas "contraseñas fuertes", contraseñas de al menos 8 caracteres sin significado, combinando letras, números y símbolos tipográficos, mayúsculas y minúsculas. 

Pero tanto débiles como fuertes, las maneras de obtener ilícitamente dichas contraseñas se han revelado bastantes efectivas. Entre ellas podemos citar: la fuerza bruta -ir probando contraseñas extraídas de los llamados diccionarios o listas de las mismas recopiladas a través de los años-; los programas keylogger  -recogen códigos de las teclas pulsadas-; el uso de los procesos habilitados para, en caso de olvido, poder dar de alta una contraseña sin conocer la anterior, utilizados por los atacantes, que, suplantando al propietario del "UserID", consiguen unas nuevas credenciales asociadas al usuario; o los ataques de phising. 

Es cierto que las empresas han adoptado la medida de seguridad de cifrar las contraseñas, sin embargo millones de hashes -contraseñas cifradas- más o menos crakeables, se descargan en los ataques a empresas como Linkedin, Yahoo, eHarmony o Ashley Madison y, los "buenos" las publican, los "malos" las venden, con lo que la práctica de reutilizar usuarios y contraseñas para distintos sitios de la web no es nada recomendable.  

¡Ay! Somos humanos y lo de recordar largas contraseñas que no respondan a patrones, que no signifiquen nada, que mezclen distintos tipos de caracteres en mayúsculas y minúsculas, y, además distintas para cada sitio al cual se acceda, y además tener que cambiarlas periódicamente, es una tarea poco menos que imposible. 

Para poder cargar con esta pesada carga se han creado programas de gestión de contraseñas, los cuales se supone que con una sola que conozcamos que nos permita ejecutar dicho programa para editar las demás, éstas permanecerán, cifradas, a buen recaudo. Claro, que esto tiene el peligro de que al "poner todos los huevos en la misma cesta", si se rompe la cesta nos quedamos sin nada. Esto es lo que le pasó al gestor de contraseñas "LastPass", en el que el pasado 15 de junio de 2015 la empresa que lo administra detectó una intrusión en sus servidores. Aunque parece que se consiguió mantener en secreto las contraseñas de los usuarios, se filtraron detalles importantes como direcciones de correos de usuarios y correos recordando contraseñas olvidadas. 

El sistema de contraseña, que se ha visto ineficaz, se basa en el factor de autenticación de lo que el usuario sabe. Pero hay otros factores de autenticación como "lo que se posee", un token, por ejemplo, que no hay que recordar nada pero se puede perder o se puede robar; o "lo que se es", es decir, la autenticación biométrica, aunque ésta, más que constituir una contraseña es más bien el UserID; o incluso "lo que se hace", llamado factor de comportamiento.  

La autenticación biométrica: ¿tendremos que "resetearnos"? 

Aparentemente el factor de autenticación por "lo que se es" tiene muchas ventajas ya que no hay que llevar nada adicional encima con lo que no se puede perder ni nos lo pueden robar -ya veremos-, no hay que recordar nada con lo que no se puede olvidar, y no se puede repudiar una acción que se haya realizado ya que es algo que nos define físicamente de forma única, y es muy difícil de falsificar.

Sin embargo, los sistemas biométricos no son perfectos y se caracterizan por unas tasas de falsos positivos o FAR (False Accept Rate), que indican la frecuencia de reconocimiento de un usuario cuando no debería serlo, y de falsos negativos o FRR (False Reject Rate), que indican la frecuencia de no reconocimiento del usuario, cuando debería haberlo sido.  Según la Agencia de Seguridad Nacional de EEUU, la NSA, la mayoría de los sistemas biométricos declaran un FAR que está en un rango de 1 entre 10.000 a 1 entre 1.000.000. Esto no pasa con las contraseñas habituales. 

Por otro lado, todo tiene dos caras, y las características que en principio pueden suponer una ventaja, por su propia definición también pueden suponer una desventaja. 

Pongamos como ejemplo el atributo de que nos definen "de forma única", el cual, por definición, se puede considerar como una invasión de la privacidad y crear resistencia a la cesión de dicha información, ya que las características biométricas que se vayan a utilizar de cara a una autenticación hay que digitalizarlas y almacenarlas en un servidor, lo que conduce a otra desventaja, que paso a explicar.  

Apunté anteriormente que las características biométricas no se podían robar, a lo que habría que añadir no se puede robar el objeto físico, como un dedo, en el caso de la huella dactilar o el iris del ojo; pero después de que dichas características estén digitalizadas, ya tienen la misma vulnerabilidad que cualquier otro dato virtual en una máquina, como tal susceptible de ser hackeada. No nos roban el iris del ojo pero sí sus características en forma de ceros y unos, que, para el caso, es lo mismo ya que es precisamente esto lo que interesa a la máquina que verifica la identidad del usuario. 

Llegados a este punto y volviendo al hecho de que son una característica física, suponen una clara desventaja frente a las contraseñas o los token ya estos  se pueden resetear si se roban o revelan, pero con aquellas no es posible hacer esto sin pasar por la mutilación.    

En el "Black Hat" de Amsterdam del año 2008, Matthew Lewis, un investigador de seguridad británico, realizó una demostración de un sistema -un biologger- para interceptar datos de autenticación biométricos que el scanner enviaba al servidor de procesamiento. Matthew puso de relieve la importancia de que los datos enviados deberían estar cifrados, cosa que, según él en ese momento -año 2008- la mayoría de los sistemas biométricos no cumplían.

Sin llegar a sofisticaciones ni herramientas especiales, un elemento biométrico fácil de copiar son las huellas dactilares ya que continuamente estamos tocando cosas donde se quedan las huellas como una mancha y  se pueden obtener de ahí, sin enterarse el propietario de las mismas. Al fin y al cabo eso es lo que la policía científica viene haciendo en la escena del delito, desde tiempos de Sherlock Holmes.  

Por consiguiente, se puede concluir, que la teórica seguridad de este tipo de autenticación no lo es tanto. 

El último factor : Lo que se hace, el comportamiento

Realmente lo que hacemos responde a unos patrones, patrones que aprovechan muy bien los departamentos de marketing para inundarnos con información de cosas que nos pueden gustar o amigos que podríamos hacer, o dependiendo de nuestros gustos y de dónde nos encontremos, lo que podemos hacer y visitar.

Estos patrones se podrían aprovechar para verificar nuestra identidad, para en caso de encontrar inconsistencias, solicitar algún dato más. Para ello se necesitaría un sistema que hiciera uso de lo que la nube ya tiene acerca de nosotros, qué sistema estamos utilizando, desde qué servidor, quienes somos, con quién hablamos, dónde vamos y qué hacemos ahí, de qué somos propietarios y qué nos gusta, lo que decimos, cómo lo decimos y nuestro tono de voz, y hasta cómo pensamos [iii].  

¡Uff! ¿Hasta qué punto queremos ceder nuestra privacidad -si es que no lo hemos hecho ya- para conseguir en teoría, más seguridad?  

El sistema de múltiple autenticación

Como todas por separado tienen más o menos debilidades, se están implantando nuevas formas de autenticación basadas en la combinación de al menos dos claves de distintos factores, llamado el sistema de doble autenticación. Un ejemplo de esto sería cuando después de autenticarnos con un usuario y contraseña al uso (lo que sabemos), nos envían al móvil (lo que tenemos) un código para confirmar una operación; otro ejemplo sería la propia tarjeta de crédito, que sería lo que tenemos, y el PIN, lo que sabemos. 

Especulando un poco y viendo los avances en Inteligencia Artificial, es posible que en un futuro cercano las máquinas nos reconozcan de manera análoga a como nosotros reconocemos a otras personas, simplemente con presentarnos y tendiendo una mano, con lo que somos y con lo que hacemos, confiando en que también habrán aprendido a tomar medidas de seguridad para no dejarse "hackear". 

* *

La ciberseguridad en la cumbre

De lo que hay que ser conscientes es de que la seguridad nunca está garantizada al 100%. En cada organización, alineados con la política de riesgos y la política de seguridad definidas, tendrán que existir unos umbrales de aceptación de falta de seguridad, de lo que pueda suponer de freno al negocio por lo que pueda constreñir, o de cambio de costumbres, según el activo, y establecer cuánto dinero se está dispuesto a gastar en su protección. 

Estos límites y normas relacionados con los riesgos en el uso de las TI son responsabilidad, en última instancia del órgano de gobierno de cada organización y debería formar parte de la agenda de dicho órgano de gobierno. Según la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo de las TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv].

Del 20 al 23 de enero se ha celebrado la reunión del Foro de Davos y que, de acuerdo con Fortune y la propia página del "Word Economic Forum", este año han dominado los temas tecnológicos frente a los bancarios de otras convocatorias, concretamente el de la Industria 4.0 y el de la ciberseguridad. Con esto parece que la tecnología va a estar muy presente a partir de ahora en los consejos de administración. !Por fin¡  

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", marzo-2016, nº 309, pg.82, Ciberseguridad – "El «Ábrete sésamo» digital" – María José de la Calle.  

-------------------------

[i] "La era de la contraseña ha terminado. Solo que aún no nos hemos dado cuenta de ello". Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired. url [a 02-02-2016]   http://www.wired.com/2012/11/ff-mat-honan-password-hacker/ 

[ii] Osin, Yelena (07-15-2015) "The Problem With Corporate Email Addresses on Social Networks". blog SecuryScorecard. url [a 02- 02-2016] http://blog.securityscorecard.com/2015/07/17/grainger-breach-social-engineering/?utm_content=17987083&utm_medium=social&utm_source=twitter    

[iii] Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired.  url [a 02-02-2016]    http://www.wired.com/2012/11/ff-mat-honan-password-hacker/  

[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance." url [a 02-02-2016]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816  

 

Centro de Datos definido por SW: hiperconvergencia

Wednesday, 16 March 2016 Maria Jose de la Calle Posted in iTTi Views

"Forget Hardware, Forget Software, Forget the Infrastructure ..."

Yevgeniy Sverdlik, dec-2015[i]

El centro de datos o Data Center (DC), se puede considerar el centro neurálgico de la empresa, ya que es el soporte de todos sus procesos y de la información generada y adquirida en el desarrollo de su actividad, y del crecimiento y evolución de la empresa, hecho que ya nadie discute.

El DC ha ido evolucionando al tiempo que la tecnología y las necesidades del negocio. Se han ido acumulando servidores y elementos de almacenamiento de varios fabricantes, de distintas épocas, en distintas localizaciones de la empresa o fuera de ella; servicios gestionados por la propia empresa o por proveedores externos; servidores replicados para seguridad; servidores dedicados a aplicaciones con cargas de trabajo intermitentes; DC alternativos para garantizar la recuperación ante desastres, etc. Sin olvidar las comunicaciones y los elementos de red, independientes de los propios servidores y de los elementos de almacenamiento ya mencionados. 

Esto ha ido creando, a lo largo del tiempo, silos de infraestructura tecnológica diversa, procedente de los distintos fabricantes, dificultando la compartición de recursos y la gestión de los mismos; y ralentizando las respuestas al negocio. Todo ello con presupuestos que han ido menguando en los últimos tiempos, mientras crecían las exigencias de eficiencia, eficacia y seguridad. 

Para paliar esta situación de desorden y complejidad, son varias las soluciones que se han ido probando, si bien, todas ellas parciales. Una de ellas ha sido la denominada "infraestructura convergente" (converged infrastructure) en la que se combinan los servidores con las unidades de almacenamiento en un sólo recurso. Ello ha permitido simplificar la gestión y ha favorecido la virtualización y la compartición de recursos. No obstante el hardware (HW) ha seguido manteniendo el protagonismo, al tiempo que el software (SW) ha actuado como mero elemento de soporte. Esta solución se ha mostrado adecuada para nuevos recursos a incorporar al DC, aunque no tanto para la integración de los elementos existentes.[ii] 

En paralelo, han surgido otras corrientes que tienen al SW como protagonista y que están permitiendo la definición, basada en SW, de elementos de infraestructura como las redes -Software-Defined Network, SDN- y los propios centros de datos -Software-Defined Data Center, SDDC-.

De la fusión de estas diferentes aproximaciones ha surgido una nueva: la hiperconvergencia, un concepto de los últimos dos años y que, análogamente a lo que ocurre con otras "novedades" del ámbito tecnológico, aún no parece gozar de una definición unánimemente aceptada. Sirva, por tanto, la definición ofrecida por TechTarget, para quién "Hiperconvergencia es un tipo de sistema de infraestructuras basado en una arquitectura de software que integra computación, almacenamiento, redes, recursos de virtualización y otras tecnologías todo ello empaquetado en una caja de hardware básico y soportado por un único fabricante"[iii].

El SW hace posible la virtualización de la infraestructura al tratar los recursos de la CPU, la memoria, el almacenamiento y las redes en un sólo dispositivo; permite centralizar el control y la gestión independientemente de dónde se encuentre la infraestructura física. El SW, además, facilita la automatización de muchas tareas aumentando con ello la eficacia, al distanciarse del HW mediante la definición de servicios. 

El hecho de que la hiperconvergencia esté soportada por el SW, proporciona la flexibilidad requerida para responder no sólo a las actuales sino a las futuras necesidades del negocio, en muchos casos sin tener que reemplazar componentes de la infraestructura, simplemente añadiendo nuevo SW o modificando/ reconfigurando el existente. 

Existe un amplio consenso en el sentido de que TI ha de cambiar la percepción que, de ella, se tiene desde el resto de áreas del negocio. Como señala el analista Thomas Bittman, de la firma Gartner, hoy TI es visto como lento, como un lastre y como un sitio donde siempre te dicen '¡No!'. Frente a ello, la nueva percepción ha de ser la de contribuir a la generación de valor, a acelerar los cambios en el negocio y a proteger la empresa.[iv] La Hiper-Convergencia puede facilitar este cambio en tanto que permite al departamento de TI descargarse de muchas de las tareas rutinarias que son automatizadas o simplificadas por ella.

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 150, 3-03-2016. Referencia: Especial/Centros de Datos. Opinión, pg.40 – "Centro de Datos definido por software: hiperconvergencia" – María José de la Calle.   

--------------------------------------- 

[i] Sverdlik, Yevgeniy, dec, 8, 2015. "Forget Hardware, Forget Software, Forget the Infrastructure". "Data Center Knowledge". url [a 13-02-2016] http://www.datacenterknowledge.com/archives/2015/12/08/gartner-enterprise-it-should-forget-hardware-software-infrastructure/ 

[ii] "The products can’t always be used by existing infrastructure. In other words, you can’t use a converged infrastructure appliance’s storage from existing legacy systems. In essence, you’re forced to create a separate resource island.". Hyperconverged.org, "Why hyperconverged infraestructure is different". url [a 13-02-2016] http://www.hyperconverged.org/understanding-converged-infrastructure/ 

[iii] "Hyper-convergence (hyperconvergence) is a type of infrastructure system with a software-centric architecture that tightly integrates compute, storage, networking and virtualization resources and other technologies from scratch in a commodity hardware box supported by a single vendor." url [a 13-02-2016] http://searchvirtualstorage.techtarget.com/definition/hyper-convergence 

[iv] Ver nota [i]

 

Integración de comunicaciones

Monday, 15 February 2016 Maria Jose de la Calle Posted in iTTi Views

La expresión "comunicaciones unificadas", UC (del inglés, Unified Communications) es relativamente nueva con unos antecedentes que podrían localizarse en la mensajería unificada (integración de voz, fax y correo-e). Además, dicha expresión no parece gozar de una acepción comúnmente aceptada; de un lado atiende a diferentes significados dependiendo del mercado al cual se represente; de otro, podría decirse que carece de "estabilidad" por cuanto -como todo lo referido a la tecnología- está en permanente evolución. Consecuentemente, se hace oportuno comenzar por aclarar el sentido de cada uno de los términos que la componen:

- en primer lugar, el sustantivo "comunicaciones" hace referencia a los medios que permiten que se establezca la interlocución, o la transmisión de algún tipo de señal, entre dos extremos, como por ejemplo, el telégrafo, el fax, el teléfono, etc. 

- en segundo lugar, el adjetivo "unificadas" sugiere aquello "que ha recibido unificación", esto es, que ha sido objeto de alguna "acción o efecto de unificar", de "hacer que cosas diferentes o separadas formen una organización, produzcan un determinado efecto, tengan una misma finalidad". 

La finalidad esencial de la comunicación es la de facilitar la transmisión de un mensaje a través de, o con ayuda de, un medio. Con la evolución de la Tecnología estos medios también han ido cambiando, y ampliándose en número, de forma que se ha pasado, en diferentes estadios de dicha evolución, por el teléfono fijo, por el fax, por el ordenador y sus redes, por el teléfono móvil, etc.; los cuales, a su vez, han permitido ser soporte de diversos tipos de mensajes: de voz, de correo-e, de carácter instantáneo, de vídeo, de datos.  

Pero los beneficios de esa variedad de mecanismos (medios) de comunicación y de mensajes, quedan, al mismo tiempo, eclipsados por la necesaria atención que el usuario ha de prestar a, y las diferentes identidades y credenciales que ha de manejar en cada uno de ellos, la dispersión de la información tratada (enviada, recibida, etc) y la falta de disponibilidad, tanto de la propia información como de los medios empleados para transmitirla, que no siempre están al alcance en todo momento y lugar. Solventar estas dificultades será la finalidad de las "comunicaciones unificadas": con ellas podrán utilizarse los diferentes medios para comunicarse, de las distintas formas posibles, con cualquiera,  en cualquier momento y en cualquier lugar, independientemente del dispositivo a utilizar y del formato o formatos en que se encuentre el mensaje. 

El usuario tendrá asociada una única identidad en los diferentes medios y empleará una sola interfaz desde la que podrá revisar sus mensajes de voz, fax, correo-e, etc., o iniciar una conversación con aquellos usuarios conectados, sobre cuya disponibilidad le mantendrá informado, permanentemente, el propio sistema de "comunicaciones unificadas". 

Algunos componentes de este tipo de sistemas serían: la ya mencionada la mensajería unificada; la mensajería instantánea; las herramientas de conferencia y colaboración en tiempo real, que incluyen audio, vídeo, conferencias a través de la web, compartición de espacios de trabajo y pizarras -virtuales-, ficheros, flujos de trabajo, planificaciones, etc.; y la integración con los procesos de negocio, pudiendo iniciar un proceso de comunicación desde dentro de una aplicación, facilitando por ejemplo una notificación o una petición o consulta.  

Si bien, todos estos componentes, por separado, no constituyen novedad alguna, si lo es la integración de todos ellos, integración que conduce a los retos de la compatibilidad y la interoperabilidad de los distintos componentes, y, en última instancia, al de nuevas funcionalidades que a raíz de la integración puedan surgir. Tal es el caso de la posibilidad de iniciar una llamada al autor de un documento que se está revisando, desde el propio documento. 

Las "comunicaciones unificadas" parecen portadoras de importantes ventajas; una, sin duda parece la optimización de los procesos del negocio; sin embargo, cuando se dan situaciones de baja o nula cobertura, aquellos procesos ligados a la necesidad de estar conectados, no funcionarán adecuadamente. Se necesitará, por tanto, tener en cuenta que puedan funcionar con o sin comunicación. Así lo proponía el pasado 8 de enero de 2016 el consultor de la firma Gartner, Robert Desisto, en su "Mobile Offline: Back to the Future".

Finalmente, la gran dependencia que podemos llegar a tener de estas plataformas de comunicación unificada, nos hace más vulnerables como "punto de fallo único", en disonancia con D. Pedro Calderón de la Barca que, en 1629 escribía "casa con dos puertas, mala es de guardar".  

* * * 

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 149, 27-01-2016. Referencia: Especial/Comunicaciones Unificadas. Opinión, pg.32 – "Integración de Comunicaciones" – María José de la Calle.   

--------------------------------------- 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk