Follow us on:
Perspectives

Mi ignorancia del gobierno de TI

Saturday, 10 October 2015 Manolo Palao Posted in Corporate Governance of IT

“¡Dios santo! Llevo más de cuarenta años hablando en prosa sin saberlo…” [i]

Llevo más de cincuenta años trabajando en TI, que antes se llamaba informática  y que antes tenía nombres más prosáicos: ‘proceso de datos’, y aún antes, ‘mecanización administrativa’.

Y resulta que —salvados los tres o cuatro primeros años, en que fundamentalmente mi trabajo fue de cálculos de ingeniería— el resto del tiempo me he estado relacionando ampliamente con temas de gobierno de TI (GTI). Y yo, sin saberlo, como el M. Jourdain de Molière. 

Porque –igual que la TI antes se llamaba informática y antes proceso de datos y mecanización– el GTI, antes se llamaba buena gestión, o control interno, o —como reza el centenario Código Civil español— ‘desempeñar su encargo con toda la diligencia de un buen padre de familia’. 

No pretendo, claro, que TI y GTI sean un mero cambio de nombres: son, evidentemente, fruto de una evolución. 

Quiero también dejar sentado que, cuando hablo de ‘gobierno’, me refiero siempre a ‘buen gobierno’, porque se debe entender que ‘gobierno’ lo hay siempre, más o menos activo o acertado. Cuando no es observable o es malo, mejor llamarlo ‘desgobierno’. 

En la última década he dedicado bastante esfuerzo y atención al GTI —en su definición, variantes y buenas prácticas generalmente aceptadas. Pero…—.

Con el conocimiento aumenta la ignorancia 

Aclaro el subtítulo: a medida que aumenta nuestro conocimiento de algo, aumenta también nuestro conocimiento de lo que ignoramos; aflora o se explicita nuestra ignorancia. 

Se ha usado el símil de que el conocimiento es como una isla o un continente rodeado de un océano de desconocimiento, de ignorancia. Si imaginamos que —con trabajo y suerte— aumentamos nuestra isla de conocimiento, aumentamos también la costa de lo desconocido: el Mare In Cognito, o la Terra Ignota, como Ptolomeo denominó a lo entonces no cartografiado.

Así que, cuando para la revista Sistemas me pidieron unas reflexiones sobre GTI, algo“… basado en… su… experiencia sobre el tema. No es un artículo, son sus opiniones sobre la evolución del Gobierno de TI en las organizaciones…”, me ha parecido oportuno hablar de lo que ignoro –­que es más–, que de lo poco que sé –que es menos–.

La lista de lo que no entiendo, de lo que sé que ignoro es muy larga y sería ciertamente desproporcionada con la extensión de esta columna.  Por ello voy a referirme sólo a media docena de ignorancias, entre las que me preocupan particularmente:

- Gobierno corporativo y gobierno de TI

- Conformidad y rentabilidad

- La epidemia de ‘gobiernos TI’

- El rol del órgano de gobierno

- Los reguladores

- La formación en TI

He optado por no hacer referencia concreta a escuelas, estudios o autores. El lector especialista no las va a requerir y al más generalista confío en que le basten los trazos gruesos que siguen. Pero quedo abierto a cualquier solicitud de referencias. 

Gobierno corporativo y gobierno de TI

El gobierno de TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de la TI”.

El gobierno de TI es un subconjunto del gobierno corporativo. Un subconjunto integrado en toda la estructura y actividades del gobierno corporativo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corporativo de TI’.

Por ser un subconjunto o componente, el concepto predominante en el GTI es ‘gobierno’, siendo ‘TI’ secundario.

Aunque esa secundariedad no debe ni puede ocultar el doble hecho de que, en cualquier sector: i) la TI juega un papel relevante y creciente en todas las actividades empresariales; y ii) la TI encierra actualmente el mayor potencial singular de ventajas estratégicas, para el sector o cualquiera de sus empresas (incluidas algunas ajenas al sector: piénsese en la banca).

No entiendo, pues, el relativamente bajo peso que el GTI tiene aún en los foros profesionales, asociativos y académicos. 

Conformidad y rentabilidad

Parece generalmente aceptado que conformidad y rentabilidad son los dos objetivos inseparables y quizá antagónicos a corto plazo del gobierno de TI. Se les puede imaginar como ese dios Jano bifronte de la mitología romana.

Hay unos pocos estudios empíricos clásicos y referencias que prueban que la conformidad aumenta la rentabilidad (por ejemplo abaratando la financiación al aumentar la confianza). Pero, tales estudios son escasos. Ignoro por qué no se investiga más sobre ese tema, que me parece fundamental. 

La epidemia de ‘gobiernos TI’

Asistimos —en la escena internacional y en las nacionales— a oleadas de escándalos financieros, de robo de información y otros en que la TI tiene un papel relevante; y asistimos también a las aparentemente insuficientes o tardías reacciones de algunos legisladores y reguladores.

No entiendo que, junto a esa evidencia de déficit de gobierno y ese desgobierno, haya una proliferación –una epidemia– de supuestos ‘gobiernos TI’: gobierno del big data, gobierno de la seguridad, gobierno de la nube, gobierno de las licencias… ¡No recuerdo si también gobierno del gobierno!

Los equipos de mercadotecnia / marketing de muchos vendedores también han echado su leña a la hoguera: ‘la nueva versión de nuestro software de contabilidad le resuelve definitivamente su gobernanza financiera’.

‘Gobierno’, ‘gobernanza’, son términos que suenan bien en el mundo de los  negocios; como ‘revitalizador’ suena bien en el mundo de las cremas. Términos que se usan, tanto si se gobierna cuanto si se desgobierna; tanto si la crema revitaliza cuanto si su mejor cualidad —menos mal—es que es hipoalérgica.

No entiendo que no se hagan oír voces cualificadas contra tanta inflación conceptual y publicidad engañosa. 

El rol del órgano de gobierno

El gobierno corresponde, cuando no por ley, por definición y sentido común, al órgano de gobierno —consejo de administración, directorio, junta directiva…— de la entidad.

El gobierno corporativo de TI corresponde al órgano de gobierno; no a la unidad de TI. Incluso la gestión / administración de TI —la ‘tradicional’ responsabilidad de los directivos y técnicos TI– no lo es plenamente de éstos: lo es toda ella, salvo aquella pequeña parte que es gobierno o que es interfaz del gobierno.

No entiendo entonces que un gran número de órganos de gobierno carezca de miembro alguno con conocimientos y habilidades relativos a la TI y sus usos. Se observan destacados movimientos correctores pero, son tan infrecuentes aún, que siguen provocando titulares.

Aquel órgano de gobierno que gobierna la TI sin tener la capacitación adecuada, desgobierna; y si delega en un gestor u órgano técnico, abdica de sus responsabilidades. Si un gestor u órgano técnico asume funciones propias del órgano de gobierno, lo está usurpando.

Por ello, no entiendo la caterva de ‘gobernantes’ que a veces se observa en diversos escalones del organigrama corporativo —salvo quizá en los de cabecera, precisamente donde el gobierno debiera radicar—. Como si las comparsas hubieran asaltado la guardarropía del teatro y todos se hubieran hecho con casacas y guerreras, casi ocultas bajo tanto galón y entorchado. 

Los reguladores

Los reguladores parecen oscilar —influidos por los agentes sociales— en busca de un equilibrio entre el déficit y el exceso de regulación. Es una situación parecida al juego de cartas de las ‘siete y media’ (parecido a blackjack o veintiuna), situación que un autor español inmortalizó en los versos: “juego vil / que no hay que jugarlo a ciegas,/ pues juegas cien veces, mil, / y de las mil, ves febril / que o te pasas o no llegas” [ii].

Pero además, esa oscilación muy retardada respecto a los escándalos de desgobierno, se me antoja que viene teniendo lugar en torno a un listón francamente bajo, insuficiente.

No obstante, en algunos países ha habido avances prometedores. Sorprende mucho que —en un mundo altamente conectado, en tiempo real; aparte de viajes, congresos y otros intercambios— muchos reguladores mantengan tan altas inercias, introduzcan mejoras meramente decorativas y desdeñen emular a los pioneros.

¿Qué perversa dinámica sociopolítica mantiene a unos reguladores de espaldas a otros en su producción? ¿Qué mantiene, en general, ese listón tan bajo? Lo ignoro. 

La formación en TI

Parece evidente que hay un déficit cuantitativo y cualitativo global de formación de talento en TI. El excelente reciente número 133 de la revista Sistemas trató en detalle el tema.

Aparte de la gran diversidad de perfiles profesionales convencionalmente considerados necesarios, creo importante insistir en que son tan necesarios perfiles computacionales (computer sciences) cuanto perfiles sistémicos (sistemas generales e information systems). Los primeros están generalmente bien cubiertos (pienso en España) por las Escuelas de Ingeniería Informática; los segundos, insuficientemente, a mi juicio, en esas y otras escuelas de ingeniería y en otros estudios (económicas, administración…).

También se necesitan perfiles transdisciplinares y de éstos, aunque fueren una minoría, aquellos que puedan servir al interfaz gobierno-gestión: principios de economía, de organización, estudio del valor y del riesgo, gestión de programas y proyectos, recursos humanos, seguridad, resiliencia… además de sólidos fundamentos de TI.

Ignoro si las universidades en su conjunto están dispuestas y preparadas para reducir la brecha tradicional entre su producto y el que el mercado demanda. Opino que aquellas que, además de sus titulaciones académicas, facilitan a los alumnos la obtención de alguna de las certificaciones profesionales reputadas, establecen una pauta que se debería generalizar. Creo que los moocs (cursos virtuales abiertos masivos) que cada vez ofrecen más universidades de prestigio internacional moverán a muchas universidades a alinearse o serán preteridas.

* * *

Este artículo fué publicado originalmente por la Revista Sistemas, nº 136, septiembre 2015, editada por ACIS (Asociación Colombiana de Ingenieros de Sistemas). Referencia: Columnista. Mi ignorancia del gobierno de TI" – Manolo Palao.   

-------------------------------------------

[i] M. Jourdain, en: Molière. El Burgués Gentilhombre. Acto II, escena IV. 1670.

[ii] Pedro Muñoz Seca. La Venganza de Don Mendo, 1918.  

 

Ciberseguridad empresarial. Primeras aproximaciones prácticas

Tuesday, 15 September 2015 Prof. J.Cano Posted in IT Consequences

Introducción

La evolución acelerada de la tecnología y las comunicaciones en todas las esferas de la vida y particularmente en las empresas, demanda entender ahora una realidad interconectada, donde los productos y servicios se definen en medio de lo que se llama un ecosistema digital. 

Las empresas deben comprender que el escenario de operación, ya no es del todo conocido y que se requiere superar la distinción vigente de la seguridad de la información, como ejercicio de práctica interna para proteger la organización de vulnerabilidades y fallas de seguridad y control que puedan comprometer tanto la dinámica de negocio como la de sus terceros, en los cuales la empresa es custodio de sus datos, por una nueva y complementaria que se ha denominado ciberseguridad.

La ciberseguridad, desde el punto de vista empresarial, es una realidad que prepara a la organización para comprender un escenario de amenazas digitales propias del ecosistema donde opera y establece un conjunto de nuevas prácticas de defensa y anticipación antes desconocidas y poco nombradas. La ciberseguridad empresarial no puede ni debe confundirse con el ejercicio que se hace a nivel nacional para proteger y defender las infraestructuras críticas de la nación, como quiera que dicho ejercicio escapa a las disposiciones que un país hace para reconocer su ecosistema digital de gobierno y cómo se mantiene la operación del mismo a pesar de los posibles ataques.

En este sentido, la ciberseguridad se enmarca en el contexto de lo empresarial, más allá de una nueva exigencia de cumplimiento, como una responsabilidad de marca mayor que implica a los miembros de la junta directiva para entender y construir una estrategia corporativa que permita proteger y asegurar la resiliencia de las operaciones y la reputación de la empresa, como quiera que al estar expuesta en su ecosistema, se hace vulnerable a las tendencias y posiciones en las redes sociales y demás expresiones digitales disponibles a la fecha.

Así las cosas, la ciberseguridad juega un papel relevante en las empresas del siglo XXI habida cuenta que los impactos de los posibles ciberataques, bien focalizados sobre la infraestructura tecnológica, o a través de campañas mediáticas de desprestigio, o provocando la pérdida de propiedad intelectual o sanciones legales, establecen una nueva realidad que las empresas modernas deben asumir ahora como la nueva frontera del precio que se debe pagar por estar interconectados y haciendo parte de una red de contactos y conexiones, muchas de ellas compartidas por terceros con los cuales otras industrias igualmente contratan.

Este documento presenta una breve revisión del concepto de ciberseguridad desde la perspectiva de las empresas, como una primera aproximación para ilustrar los conceptos, prácticas y retos que las organizaciones deben asumir por ser parte de un entorno hiperconectado, con relaciones asimétricas, abundancia de propuestas y servicios novedosos, que en cualquier momento tiene la capacidad de cambiar la historia y motivar cambios hasta el momento inimaginados. 

La ciberseguridad en la empresa. Algunas precisiones conceptuales

Si bien, es cierto que un ciberataque puede ocurrir en cualquier momento y de cualquier forma, los especialistas en ciberseguridad de las empresas no están para reducir este tipo de riesgo, sino para que las organizaciones tomen riesgos de manera inteligente. Para lo cual se requiere al menos dar respuesta a las siguientes preguntas: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvi)

- ¿Cuáles son los riesgos asociados con esta nueva iniciativa tecnológica del negocio? ¿El negocio está informado sobre el incremento del nivel de exposición de la empresa con esta iniciativa? 

- ¿Cómo esta iniciativa tecnológica del negocio será diseñada para generar la mejor experiencia en el cliente y el menor riesgo de pérdida de datos por un ciber ataque?

- ¿El negocio conoce con claridad la dinámica y amenazas del ecosistema digital donde se enmarca la iniciativa tecnológica que se quiere desarrollar? 

Responder estas preguntas, establece en la empresa un entendimiento extendido de lo que significa operar en un entorno interconectado donde, las empresas no pueden protegerse ellas solas, sino que requieren conectar y desarrollar cooperación interempresarial para construir una distinción de defensa y anticipación completamente distinta a lo que se tiene en el ejercicio interno de seguridad de la información.

En este contexto, el primer ejercicio para movilizar esfuerzos hacia la ciberseguridad empresarial, es reconocer y construir su ecosistema digital, para enumerar sus proveedores de servicios y tecnología, las expectativas de los posibles clientes, las agencias gubernamentales y sus capacidades de acción, la sociedad civil y sus grupos relevantes y los aseguradores con sus propuestas de cobertura frente ciberataques.

Una vez recreado el mapa de actores y relaciones propios del ecosistema digital, la empresa, sabiendo que no puede eliminar de sus análisis la materialización de un ciberataque, debe fundamentar sus acciones para alcanzar lo que la literatura llama resiliencia digital, donde: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvii-xviii)

- La empresa comprende los riesgos de los ciberataques y puede tomar decisiones, donde los retornos de las iniciativas tecnológicas planteadas, justifican el incremento del riesgo.

- La empresa tiene la confianza que los riesgos de los ciberataques son manejables, más que los estratégicos – los cuales no ponen en riesgo la posición competitiva de la empresa o su existencia.

- Los clientes y los negocios tienen confianza en la economía en línea – donde los riesgos sobre los activos de información y los fraudes en línea no son freno para el crecimiento del comercio digital.

- El riesgo de ciberataques no limita a las empresas de continuar tomando ventaja de las innovaciones tecnológicas.

El ejercicio de resiliencia digital debe procurar la continuidad de los negocios, fundada en la capacidad de la empresa para gestionar los incidentes de seguridad y asegurar la disponibilidad de los sistemas, basado no solamente en sus posibilidades técnicas y operacionales, sino con el apoyo de sus socios estratégicos en el ecosistema digital donde participa. 

La ciberseguridad en la empresa y sus nuevos normales

Las empresas entienden que las prácticas básicas de seguridad de la información, sustentadas en los estándares conocidos (p.e ISO 27002) establecen los elementos que articulan las estrategias que se desarrollen para asegurar la nueva función de ciberseguridad de la organización.

Esto supone que se debe pasar de un enfoque basado en proteger y asegurar, el cual moviliza las actividades al interior de la organización para cultivar un adecuado tratamiento de la información y soportar las exigencias propias del cumplimiento regulatorio, a otro basado en defender y anticipar donde la organización censa y responde de acuerdo con su lectura del ambiente, las tendencias identificadas y los retos de negocio que crean entornos disruptivos que afectan su posición estratégica y competitiva (Cano, 2014).

Lo anterior significa que las prácticas que conocemos de la seguridad de la información asociadas con autenticación, autorización, auditabilidad y no repudio, deben ser complementadas con otras que den cuenta de las exigencias de anticipación que ahora las empresas requieren para mantener ahora su nivel de “ciber-riesgo” (Frapolli, 2015, p.1.3).

Las prácticas complementarias, que podemos llamar propias de la ciberseguridad de las empresas, deben estar fundadas en actividades relacionadas con:

- Análisis de escenarios – Una práctica que establece y proyecta contextos posibles de amenazas y riesgos emergentes, con el fin de motivar reflexiones y acciones que preparen a la organización frente a situaciones imprevistas y eventos no esperados.

- Ciber inteligencia – Una función de monitoreo y valoración de información sobre amenazas, que desarrolla pronósticos sobre vectores de ataques y objetivos que los atacantes pueden materializar en el contexto del ecosistema digital donde opera la organización.

- Juegos de guerra – Se diferencian de las pruebas de vulnerabilidades tradicionales, donde se contratan terceros para identificar fallas en la infraestructura que habilitan una fuga y/o pérdida de información, en cuanto a que en los juegos de guerra se busca comprender la información a proteger, sabiendo las fallas de seguridad que el atacante puede concretar y así poder ver las limitaciones que la empresa tiene para enfrentar un ciberataque, particularmente en la forma de establecer su estrategia de comunicaciones y su proceso de toma de decisiones (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.150)

- Defensa activa – Que implica pasar de una postura pasiva de respuesta frente ataques del exterior, a una reflexión que modela y anticipa los nuevos movimientos de los atacantes, para lo cual: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.134-135)

    - Establece los perfiles de actividades que son consideradas normales en la organización, para poder ver los cambios inusuales, y así alertar y actuar en consecuencia.

    - Integra los resultados de la ciber-inteligencia para plantear hipótesis de posibles intrusiones peligrosas y emergentes.

    - Consulta y afina los resultados del Centro de operaciones de seguridad (en inglés SOC – Security Operation Center), que filtrando los posibles falsos positivos y descifrando los nuevos patrones o vectores de ataque, permite focalizar las acciones que son decisivas para enfrentar y tratar de contener los posibles atacantes. 

La ciberseguridad en la empresa y sus nuevos retos 

La ciberseguridad en el contexto empresarial tiene un foco completamente diferente a las connotaciones del concepto en el escenario de la protección de la gobernabilidad de una nación. Mientras a nivel de país, la ciberseguridad adquiere una distinción de práctica transversal que conecta los sistemas de protección de cada una de las entidades que hacen parte del sistema de gobierno nacional para hacer más resiliente la operación gubernamental, a nivel empresarial se revelan las conexiones propias de la corporación y la sensibilidad de las mismas frente a su capacidad de resistencia a ciberataques que comprometen su modelo de operaciones.

En razón a lo anterior, se requiere formular una nueva función de protección del modelo de negocio, basado en la lectura del ecosistema digital, que incorpore nuevas habilidades y capacidades para defender y anticipar nuevos escenarios de ciberataques, las cuales deben responder a retos empresariales como: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.163)

- Priorizar los activos de información basado en los riesgos de negocio.

- Integrar las prácticas complementarias previamente enunciadas en el entorno de la tecnología de información empresarial.

- Incorporar el concepto de ciber-riesgo dentro del sistema de riesgos empresariales y los procesos de gobierno corporativo.

- Establecer estrategias de protección diferenciadas de acuerdo con en el nivel de sensibilidad de los activos identificados.

- Mantener y sostener la capacidad de respuesta a incidentes, que permita incorporar y asegurar las lecciones aprendidas y aumentar la resiliencia corporativa.

Estos retos se deben traducir en planes de acción y estrategias concretas que permitan asegurar la incorporación de los “nuevos normales” y así cambiar, no solamente la estrategia de participación de la empresa en su entorno digital, sino activar un nuevo conjunto de habilidades y recursos que construyan un nivel de resiliencia mayor dentro de su ecosistema digital para lo cual es clave tener en cuenta: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.191)

- Las definiciones de política pública nacional e internacional vigente.

- Los aportes de la sociedad civil, las comunidades académicas y de investigación.

- La dinámica de los mercados y cambios en internet, que hablen de acciones coordinadas para estabilizar y normalizar operaciones comprometidas.

Finalmente y no menos importante, se hace necesario incorporar dentro de la agenda empresarial a nivel de junta directiva (Rai, 2014), la lectura de algunos deberes claves de los miembros del directorio, como práctica de gobierno corporativo que reconoce las amenazas externas y las volatilidades propias del ecosistema digital donde se encuentra la organización.

En este escenario, los miembros de junta deben asegurar que sus actuaciones son consistentes con esta realidad y dar cuenta de sus acciones respecto de estos eventos, para movilizar y asegurar su debido cuidado y diligencia frente a los intereses de la empresa y el cuidado de la imagen corporativa. Por tanto, cada miembro de junta debe asegurar el cumplimiento de al menos cinco deberes (Frappolli, 2015, p. 3.16 - 3.17) frente a la dinámica de las tensiones que provoca un ciberataque y las exigencias que la ciber seguridad demanda tanto para la organización como para sus ejecutivos de primer nivel.

Deber de cuidado - Cada miembro de junta debe mantenerse informado de los eventos y noticias relevantes sobre ciber seguridad y/o ciber ataques con el fin de asegurar un tono adecuado de las discusiones en el contexto de los objetivos y estrategias de la organización.

Deber de lealtad - Cada miembro de junta no debe tener o participar en negocios que compitan con la organización para cual sirve, y más aún, comunicar situaciones adversas de las cuales tenga conocimiento que afecten las condiciones de seguridad y control que tenga la empresa de la cual es miembro en su directorio ejecutivo.

Deber de divulgación - Los miembros de junta están obligados a revelar los hechos que son relevantes para los grupos de interés de la empresa para cual trabajan. En particular, establecen el mecanismo y la estrategia que permite dar cuenta de eventos desafortunados de seguridad de la información con impactos en alguno de sus grupos de interés.

Deber de obediencia - Los miembros de junta deben ceñir sus actuaciones a la Constitución y la ley, así como frente a los fundamentos del gobierno corporativo. Esto es, asegurar las prácticas y estándares requeridos para aumentar la resistencia de la empresa frente a ataques informáticos, así como motivar y apoyar comportamientos adecuados en el tratamiento de la información de la empresa.

Deber de verificación - Los miembros de junta deben contar con mecanismos para validar las acciones que sobre el tema de seguridad de la información se adelantan en la empresa, motivar los planes de mejora que sean del caso y asegurar los recursos necesarios para incorporar las buenas prácticas tanto en personas, procesos y tecnología.

Reflexiones finales

Si bien a lo largo de este documento se han enunciado algunas ideas sobre la ciberseguridad en el contexto empresarial, es importante anotar algunos de los retos legales propios de la tensión existente entre el uso abierto y libre del ciberespacio y la protección del mismo como espacio de estrategias competitivas e innovación: (García, 2013, p.87-90)

- La neutralidad de la red.

- La regulación del ciberespacio.

- Las amenazas para derechos y garantías individuales.

- Las responsabilidad de los proveedores de los servicios.

- Los problemas de la jurisdicción sobre los alcances de las conductas punibles en internet.

- Las tecnologías emergentes estructurales como computación en la nube, computación móvil, las redes sociales, los grandes datos y su analítica y el internet de las cosas.

Estos retos completan el escenario volátil, incierto, complejo y ambiguo (Johansen, 2009) que configura la realidad de las organizaciones modernas enmarcadas dentro de un ecosistema digital en permanente movimiento y evolución. Así las cosas, la ciberseguridad empresarial debe prepararse para las nuevas amenazas digitales derivadas ahora de su relacionamiento con cada uno de los actores del ecosistema donde participa:

- Las agencias de regulación

- Los proveedores de servicios y productos

- Los vendedores de tecnologías de información y comunicaciones

- Las asociaciones industriales

- Los clientes corporativos y los consumidores

- El gobierno y sus agencias de seguridad y control

- Los atacantes

- La sociedad civil

Lo anterior implica entender con claridad qué significa ser una empresa digital (Dörner y Edelman, 2015) o con maestría digital (Westerman, Bonnet y McAfee, 2014), esto es:

- Lectura y análisis de los comportamientos y expectativas de los clientes que se desarrollan dentro y fuera del contexto de negocio, así como fuera de su sector, para identificar las tendencias que pueden entregar o destruir valor.

- Uso de nuevas capacidades para mejorar la forma como se atiende a los clientes y se mejora su experiencia como usuario.

en pocas palabras los procesos tecnológicos y organizacionales que permiten que una empresa sea ágil y rápida para responder y anticipar los cambios disruptivos del entorno y capitalizar las oportunidades que se derivan de los mismos (Dörner y Edelman, 2015).

Por tanto, la ciberseguridad empresarial debe apoyar y movilizar a la organización para establecer su nivel de exposición al ciber-riesgo, entendiendo sobre que parte de la cadena de valor tendrá control y cuanto desea invertir en conocer sus clientes finales (Weill y Woerner, 2015). Esto significa que deberá desarrollar escenarios de análisis, donde se desconecten los puntos de la realidad conocida, se incorporen los resultados de la ciber inteligencia realizada, para nuevamente conectarlos (De Jong, 2015) y así expandir el entendimiento de su ecosistema y revelar aspectos ocultos de futuros inciertos o riesgos inesperados (Roxburgh, 2009).

La ciberseguridad empresarial por tanto, es una nueva práctica corporativa que demanda explorar por debajo de la superficie institucional y en medio de la vorágine de propuestas emergentes, aspectos novedosos de la realidad que motiven y descubran agentes de riesgo inéditos o renovados, que puedan comprometer la dinámica de los negocios y establecer condiciones adversas que limiten su participación en las oportunidad de su sector.

Si lo anterior es correcto, la ciberseguridad empresarial se convierte en un nuevo estándar de las operaciones de las empresas con presencia global, que reconocen que no existen límites geográficos para que un atacante, o actor no identificado, pueda concretar un ciberataque y crear un escenario de inestabilidad e incertidumbre que comprometa sus virtudes corporativas y alianzas estratégicas.

* * *

El Prof. Jeimy J. Cano, PhD, CFE, Director de la revista ‘Sistemas’ de la Asociación Colombiana de Ingenieros de Sistemas (ACIS) es Analista Asociado de iTTi.

Este artículo fue publicado originalmente en el blog ‘IT Insecurity’, el 7 de septiembre de 2015, en la siguiente URL: http://insecurityit.blogspot.com.co/2015/09/ciberseguridad-empresarial-primeras.html”.  

--------------------------------------

Referencias

- Cano, J. (2014) Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2014/11/transformando-la-funcion-de-la.html 

- De Jong, R. (2015) Anticipate. The art of leading by looking ahead. New York, NJ. USA: Amacon.

- Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Digital. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means 

- Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.

- García, P. (2013) El derecho de internet. En Segura, A. y Gordo, F. (coords) (2013) Ciberseguridad global. Oportunidades y compromisos en el uso del ciberespacio. Granada, España: Editorial Universidad de Granada. 69-90

- Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

- Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

- Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20 

- Roxburgh, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.

- Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34

- Westerman, G., Bonnet, D. y McAfee, A. (2014) Leading digital. Turning technology into business transformation. Boston, MA. USA: Harvard Business Review Press.

 

El Sector Público y la Seguridad

Friday, 11 September 2015 Maria Jose de la Calle Posted in iTTi Views

"¿qué nos protege? Supongo que los fundamentalistas religiosos dirían que la fe. Los académicos, que el conocimiento. Los médicos, que la ciencia. El policía, que una pistola de nueve milímetros. El político, que la ley. Pero en realidad, ¿qué nos protege?" ( Katzenbach, John. 2007. "El hombre equivocado"). 

En esta novela el autor cuenta como un hacker a través de la red convierte la vida de una estudiante y su familia en una pesadilla.

El sector público es crítico en este tema, ya que posee información de todo tipo -direcciones y teléfonos, financiera, de salud, de formación, vida laboral, judicial, etc.-, sobre personas y organizaciones, mucha de la cual hay que entregarle por ley, como los datos fiscales o datos de identificación para el NIF o el pasaporte o el carnet de conducir, y otros pueden recabarlos, igualmente apoyados en leyes, de organizaciones con las cuales se tenga una relación contractual, como el banco o el proveedor de servicios de telecomunicaciones.

Dependiendo del tipo de información, la filtración de datos puede afectar a la privacidad y seguridad de las personas, y por ende a sus vidas, como el caso de la protagonista de la novela con la que he abierto el artículo, o al funcionamiento de una empresa.

Son muchas las noticias acerca de pérdidas o filtraciones de datos, o ataques a las instituciones públicas. Wikipedia[i] ofrece un listado de pérdidas de datos del Reino Unido, debido a malas prácticas o descuidos, como pérdida de usb's conteniendo información sin cifrar, o venta de ordenadores en eBay de hospitales sin borrar los datos de pacientes.

El pasado mes de junio se publicó la noticia, de la cual se hizo eco IT Reseller[ii] de un ataque contra el parlamento alemán con nuevas variantes del troyano bancario Swatbanker[iii], que incorporaba funciones de filtro para el dominio “Bundestag.btg”. Cualquier ordenador infectado que accediera a la intranet del Bundestag, transferiría a los atacantes los datos del "cliente", introducidos en formularios, y los datos del navegador, además de las respuestas del servidor, haciéndose tanto con los datos de acceso como con información detallada del servidor. 

Y, también en este mismo mes de junio, un ataque de denegación de servicio a varias web del gobierno de Canadá mantuvo caídos los servicios asociados[iv].

Pero el sector público, además de su función de administrador de los bienes públicos tiene también como función garantizar la seguridad de los ciudadanos para lo que se sirve, entre otros medios, de la información que posee y recoge -supuestamente- dentro de lo que la ley le permite, ley que puede primar en ciertos casos la merma en los derechos de privacidad de los ciudadanos por mor de una mayor seguridad.

Algunos ejemplos ya conocidos serían la "Patriot Act" de Estados Unidos aprobada tras los atentados del 11-S, o la aprobación de una ley este año en el Reino Unido según la cual se pueden llevar a cabo actuaciones de hacking en equipos ajenos, o la interceptación de teléfonos de cualquier persona sin autorización judicial[v]. También, la intención del gobierno británico de prohibir el cifrado fuerte en las comunicaciones[vi], en línea con el director del FBI que argumentó que Apple y Google deben limitar la solidez del cifrado en smartphones para apoyar las iniciativas de aplicación de la Ley de Seguridad Nacional, cosa que a los ciudadanos los hace más vulnerables. ¿Pero no era el objetivo que los ciudadanos estuvieran más seguros?

En este punto y para terminar creo que viene bien una cita de hace 50 años del arquitecto inglés Cedric Price (1934-2003): “Technology is the answer, but what was the question?” 

* * *

[i] https://en.wikipedia.org/wiki/List_of_UK_government_data_losses (último acceso 11/09/2015)

[ii] http://www.itreseller.es/seguridad/2015/06/el-parlamento-aleman-atacado-por-malware (último acceso 11/09/2015)

[iii] http://www.siliconweek.es/security/descubren-un-troyano-que-se-mueve-golpe-de-peticiones-de-pago-y-facturas-irreales-60054 (último acceso 11/09/2015)

[iv] http://www.tripwire.com/state-of-security/latest-security-news/canadian-government-websites-taken-down-in-cyber-attack-anonymous-claim-responsibility/ (último acceso 11/09/2015)

[v] Análisis de la actualidad internacional: “Hacia una Patriot Act del viejo continente: quo vadis Europa?”, de Angel Vallejo y Julia Rubiales – p. 7 http://www.realinstitutoelcano.org/wps/portal/web/rielcano_es/contenido? (último acceso 11/09/2015)

[vi] http://www.businessinsider.com/david-cameron-encryption-back-doors-iphone-whatsapp-2015-7?r=UK&IR=T (último acceso 11/09/2015)

 

Digitalización de la Gestión del Cambio

Thursday, 20 August 2015 Manolo Palao Posted in iTTi Views

McKinsey&Company ha publicado recientemente un sugerente artículo [i] -aquí, en inglés- sobre la digitalización de la gestión del cambio. 

El artículo comienza recordándonos que “el 70% de los programas de cambio fracasan en el logro de sus objetivos” —una tasa de fracasos que se ha venido tristemente registrando a lo largo de las dos últimas décadas.

Los autores han encontrado que diversas empresas (sobre todo B2C) han usado algunas de las herramientas TI que emplean para influir en el comportamiento de sus consumidores (p. ej.: tecnología portátil / ponible, interfaces adaptativos, integración en plataformas sociales, cuadros indicadores / salpicaderos y mensajes personalizados) para dar apoyo más eficaz y duradero a su propio cambio interno.

Identificaron 5 áreas en concreto: i) aportar a la plantilla más y mejor realimentación (feedback), justo-a-tiempo, sobre el rendimiento; ii) personalizar la vivencia del personal, localizando, identificando, indicando los tiempos en los datos relativos a la tarea en curso específica; iii) soslayando la jerarquía, promoviendo la comunicación y cooperación horizontal: iv) desarrollando empatía, comunidad y propósito compartido mediante la promoción de foros, cuadros de indicadores compartidos, visualización de tareas y ludificación (gamification); y v) mostrando el progreso en tiempo real, ocasionalmente mostrando las contribuciones individuales a los logros.

A nuestro entender, no cabe duda de que las herramientas TI, hábilmente empleadas, pueden y deben asistir en la difícil empresa de gestión del cambio. Por tanto, bienvenidas sean las citadas prácticas.

Pero, carentes de estudios multivariantes, ponemos en cuestión la relevancia de dichas herramientas en proyectos de esta naturaleza, en los que —conforme a todas las principales escuelas— son las cuestiones micropolíticas, sociológicas y psicológicas las principales variables explicativas de un cambio con éxito sostenido. En tanto tenga lugar un avance significativo en el tratamiento de estas variables, hay poco motivo o ninguno para tirar cohetes. 

* * *

[i] Boris Ewenstein, B. et al. (July 2015). “Changing change management”.  Insights & Publications.  http://www.mckinsey.com/insights/leading_in_the_21st_century/Changing_change_management?cid=digital-eml-alt-mip-mck-oth-1507  

 

Digitization of change management

Thursday, 20 August 2015 Manolo Palao Posted in iTTi Views

McKinsey&Company has recently published a provoking article [i] on the digitization of change management. 

The article starts reminding us that “70 percent of change programs fail to achieve their goals”, a failure rate that has sadly been recorded at similar levels throughout the past two decades. 

The authors have found that companies (mainly B2C) have leveraged some of the IT tools they use to influence their consumer behavior (e.g.: wearable technology, adaptive interfaces, integration into social platforms, digital dashboards and personalized messages) to support more effective and lasting their own internal change. 

They identified 5 particular areas: i) providing more, better, just-in-time performance feedback to the staff; ii) personalizing the staff experience, localizing, identifying and timing data related to the specific task at hand; iii) sidestepping hierarchy, promoting horizontal communication and cooperation; iv)  building empathy, community, and shared purpose by promoting forums, shared dashboards, tasks visualizations and gamification; and v) demonstrating progress in real time, eventually showing individual contributions to the achievements.  

In our view, there is no doubt that IT tools, skillfully used, may and should assist in the difficult undertaking of change management. Accordingly, welcome the practices mentioned.

But, lacking multivariate studies, we question the relevance of said tools in projects of this nature, where —according to all mainstream schools— micro-political, sociological and psychological issues are the key factors of a successful and enduring change. Until a breakthrough takes place in dealing with those factors, there is little or nothing to write home about. 

* * *

[i] Boris Ewenstein, B. et al. (July 2015). “Changing change management”.  Insights & Publications.  http://www.mckinsey.com/insights/leading_in_the_21st_century/Changing_change_management?cid=digital-eml-alt-mip-mck-oth-1507 

 

El Turismo y la Nube

Monday, 10 August 2015 Maria Jose de la Calle Posted in iTTi Views

El DRAE -Diccionario de la Real Academia Española- nos ofrece para la entrada "Turismo" cuatro acepciones, en la primera de las cuales se define como "Actividad o hecho de viajar por placer", y en la segunda como "Conjunto de los medios conducentes a facilitar estos viajes". 

Y un medio que facilita los viajes es la información acerca de otros medios, como los lugares posibles a los que se puede ir, dependiendo de los gustos y objetivos de quienes vayan a realizar el viaje, el transporte para realizarlo, las estancias, qué visitar -dónde, cuándo, precios, etc-, así como cualquier información complementaria relacionada. 

Esto, desde el punto de vista de la empresa que "vende" viajes tiene un gran interés, primero para conocer los gustos de sus clientes, pasados y futuros, y así poder ofertar por anticipado sus productos, y segundo, para contar con otras empresas, como transportes, hoteles, restaurantes, guías, museos, espectáculos, y un largo etcétera, que configuran la oferta completa. Todo esto conforma un buen ejemplo de la llamada "empresa extendida"[i], a cual en su visión estratégica del negocio tiene en cuenta el resto de elementos que intervienen en la cadena o red logística, desde los proveedores hasta el cliente, sin olvidarnos de los empleados, a través de la tecnología y la implementación de estrategias empresariales que facilitan la comunicación. 

La información -y los datos- hoy día está. Y para que sea útil debe ser entregada de forma completa, precisa, relevante y consistente, y en tiempo. De gestionar todo esto se ocupa el "Big-Data", pero de la entrega, o mejor dicho, de la posibilidad de acceso a dichos datos procesados y puestos de manera que resulten de utilidad, se ocupa, aparte de aplicaciones varias de presentación de la información, lo que hemos dado en llamar Internet, la red de redes, y, de nuevo acudiendo al DRAE, "Red informática mundial, descentralizada, formada por la conexión directa entre computadoras mediante un protocolo especial de comunicación.". 

El "Big-Data" necesita una gran capacidad de proceso y de unos algoritmos que no siempre cualquier empresa se puede permitir. Tecnológicamente hablando, de la mano de la conectividad y la generalización de la banda-ancha, ha surgido un concepto como es el de Computación en la Nube -del inglés, Cloud Computing- que, según Wikipedia, "permite ofrecer servicios de computación a través de internet" y "acceder a un catálogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa". 

Estas son las ventajas que, desde el punto de vista de la empresa de turismo puede tener el servicio de Computación en la Nube: capacidad de almacenamiento, aplicaciones y capacidad de cómputo, a petición, en el momento que se requiera y donde se requiera. En realidad, las mismas que para cualquier organización de cualquier otro sector, pero que en este, por su propia idiosincrasia, los requisitos del negocio hacen más patente la necesidad de plataformas tecnológicas que aglutinen la información y los servicios que las distintas empresas relacionadas y localizadas en todo el mundo prestan y se prestan entre sí, así como la información sobre y para el cliente final, que no es otro que el viajero. 

Los viajes serían más fácilmente personalizables al poder disponer de la información de hoteles, transportes, actividades, etc a golpe de click e interrelacionada. 

Desde la perspectiva del viajero, este llevaría en su mano su agencia de viajes donde encontraría toda la información necesaria antes, durante y después de su viaje, desde donde podría consultar detalles de cada momento y lugar donde se encontrara, resolver dificultades, modificar o ajustar lo previsto inicialmente.

Para terminar, una mirada al futuro y algunos datos proporcionados por el informe del 2014 de la Organización Mundial del Turismo [ii], en el cual podemos encontrar que de 1.087 millones de turistas internacionales que hubo en el 2013, se prevé llegar a 1.800 millones en 2030 y, que actualmente el sector Turismo supone el 9% del PIB y 1 de cada 11 puestos de trabajo, que muestran la importancia económica de este sector, y en el que la tecnología tiene la capacidad de servir de motor de transformación y crecimiento. 

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 144, julio 2015. Referencia: Análisis/ Opinión, pg. 24 – "El Turismo y la Nube" – María José de la Calle.  

--------------------------------------------

[i] Sobre este tema véase el libro de Ross, Jeanne; Weill, Peter; Robertson, David C. (2006). Enterprise Architecture As Strategy: Creating a Foundation for Business Execution. Harvard Business Review Press. ISBN 978-1591398394.

[ii] "Panorama OMT del turismo internacional". url: http://dtxtq4w60xqpw.cloudfront.net/sites/all/files/pdf/unwto_highlights14_sp_hr.pdf consultado 9/06/2015 

 

"Wearables" y la protección de datos personales

Thursday, 30 July 2015 Maria Jose de la Calle Posted in iTTi Views

"... parece mentira que no hayamos conseguido una navegación segura, que comprar online signifique pasar a formar parte de una base de datos, se quiera o no, o que usar nuestro correo electrónico pueda ser todavia una excelente via de entrada para el malware y los virus".

"El consumidor recibe mensajes del tipo: 'No ejecute aplicaciones peligrosas'... pero ¿cómo puede saber cuáles lo son? ¡Si además, potencialmente, todas lo son realmente!".

                         Radia Perlman "DISI 2008: Adventures in Network Security"[i]

Esto lo decia la Dr. -en Ciencias de la Computación por el MIT- Radia Perlman [ii] en el año 2008, en Madrid con motivo de las jornadas organizadas por la Cátedra UPM (Universidad Politecnica de Madrid ) Applus+ de Seguridad y Desarrollo de la Sociedad de la Información "Dia Internacional de la Seguridad de la Información, DISI". 

A pesar de las leyes de protección de datos, en realidad, tal y como afirma la Dr. Perlman, no somos dueños de los datos que "voluntariamente" dejamos en Internet cuando interactuamos con la Red. Podriamos, por ejemplo, una vez conseguido el objetivo de nuestra interacción, ser capaces de borrar nuestro rastro, si asi lo deseáramos, y no que todo lo que hacemos queda registrado y perdemos el control sobre ello. 

Utilizamos herramientas que no sabemos muy bien que es lo que hacen, además de para lo que se supone que están hechas, y recibimos mensajes ominosos acerca del peligro que podemos correr utilizandolas. 

Y aún hay más. En esta misma sección y en el otoño del 2014 ya apunté, bajo el titulo '"Internet de las cosas” o la peligrosa transformación del mundo real en virtual"[iii], que la conectividad de los objetos cotidianos a internet ampliaba el margen de inseguridad de la vida misma al poder ser “manipulados” de forma remota, ellos mismos o los datos que se intercambian, violando el principio de 'integridad' de la seguridad de la información. 

Un subconjunto de dichos dispositivos lo constituyen los "wearables" o, en español, lo que podemos llevar encima, como relojes, pulseras, gafas, etc., integrando cámaras, micrófonos y sensores que pueden constituir medidores de nuestros parámetros biológicos y de nuestro entorno próximo. Y en el caso de dispositivos como marca-pasos y prótesis activas varias, no sólo medidores, sino actuadores.

A los objetos cotidianos se les provee de más funcionalidades, permiten grabar y transferir datos, están hechos para ser llevados regularmente y para registrar información sobre nuestros propios hábitos y estilos de vida, y, una vez que los datos se almacenan de forma remota, pueden ser compartidos con terceros, a veces sin que la persona afectada sea consciente de ello.

Como ejemplo podemos citar rastreadores de movimiento, indicadores cuantitativos relacionados con la actividad fisica, calorias quemadas o distancias recorridas, pulso u otros indicadores de salud. Estos son datos que se refieren a personas fisicas -nosotros- que se pueden identificar, por tanto son datos personales y como tales hay que tratarlos. Pasamos, entonces a otro principio de la seguridad de la información, el de la 'confidencialidad'.

Las vulnerabilidades de dichos dispositivos entrañan riesgos significativos para nuestra privacidad y, además, dado que los tenemos con nosotros casi permanentemente, puede crear un sentimiento de estar siempre vigilados.

Para paliar estos desafios de privacidad, el órgano consultivo europeo de protección de datos conocido como Grupo de Trabajo del Articulo 29 (GT29/ WP29)[iv] aprobó en el pasado año 2014 el primer Dictamen conjunto sobre internet de las cosas (IoT)[v].

De dicho Dictamen se puede resaltar lo siguiente: 

"Las organizaciones que coloquen la privacidad y protección de datos en la vanguardia del desarrollo de productos, estarán en buenas condiciones para asegurar que sus productos y servicios respetan los principios de privacidad desde el diseño (PbD) y están dotados de la privacidad por defecto de forma amigable, que esperan los ciudadanos de la UE."[vi]

"Los datos personales deben ser recogidos y tratados de manera leal y licita. El principio de equidad requiere especificamente que los datos personales nunca se recojan y procesen sin que el individuo realmente sea consciente de ello. Este requisito es tanto más importante en relación con la IoT al estar los sensores realmente diseñado para no ser invasivos, es decir, tan invisibles como sea posible."[vii]

Debemos dotarnos de una serie de normas para un uso adecuado de la tecnologia y conseguir para todos un acceso digital de calidad en todas las facetas de la vida, apoyando la confianza y la innovación.

Poco a poco ...

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 05/07/2015. 

--------------------------------------

[i] Véase el siguiente vídeo: https://www.youtube.com/watch?v=zDyQ5TleDYg 

[ii] A Radia Perlman se la conoce como "la madre de Internet" por su desarrollo en 1985 del STP (spanning tree protocol) y a lo largo de su carrera ha desarrollado más de 100 patentes, muchas de ellas dedicadas a la seguridad en Internet. http://solutionists.ieee.org/radia-perlman/ 

[iii] María José de la Calle. Magazcitum, Oct-2014. http://www.magazcitum.com.mx/?p=2697 / http://www.ittrendsinstitute.org/perspectives/item/internet-de-las-cosas 

[iv] Véase http://www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php 

[v] Véase https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1 

[vi] "Organisations which place privacy and data protection at the forefront of product development will be well placed to ensure that their goods and services respect the principles of privacy by design and are equipped with the privacy friendly defaults expected by EU citizens." https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1 

[vii] "Personal data should be collected and processed fairly and lawfully. The fairness principle specifically requires that personal data should never be collected and processed without the individual being actually aware of it. This requirement is all the more important in relation to the IoT as sensors are actually designed to be non-obtrusive, i.e. as invisible as possible. https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1 

 

¿Soy miembro de junta directiva moderno? (por el Prof. Jeimy Cano, PhD, CFE)

Monday, 27 July 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Las juntas directivas durante los últimos cinco años han estado bajo presiones intensas y escrutinio permanente sobre sus actuaciones y resultados en su ejercicio de gobierno corporativos en todos los sectores (Leblanc, 2015)[i]. La caída de los precios del petróleo, las inestabilidades bursátiles, las crisis económicas, los ciber ataques y las nuevas reglas del ordenamiento mundial, han sido entre otras, elementos que han ocupado las agendas de los ejecutivos de las mesas directivas. 

En este sentido, el ejercicio del gobierno corporativo, si bien nunca ha sido una responsabilidad fácil para los miembros de junta, si se ha convertido en una exigencia de claridad, proyección, perspectiva y aseguramiento que le permita a las empresa, navegar en medio de las incertidumbres de su entorno y posicionarse en un sector particular. La tradición estratégica nos habla de ventajas competitivas sostenibles, pero la realidad de un mundo interconectado y global nos advierte sobre ventajas competitivas transitorias, de aquellas que deben ser aprovechadas en el momento justo, explotarlas y dejarlas. 

Todos estos elementos, claramente afectan la organización y la forma como se enfrenta a la realidad de sus negocios. Amén de lo anterior, es claro que las operaciones de la empresa tendrán que ajustarse conforme mayor sea la exposición de ésta a la realidad interconectada, donde el flujo de información es la constante, la visibilidad de la empresa es mayor y el uso de las redes sociales, la norma base del mercadeo y posicionamiento de marca. 

Este entramado de intereses y significados que delinea un ecosistema digital donde ahora se mueve la organización, revela nuevas oportunidades y riesgos novedosos, que deben ser conocidos, analizados y estudiados por los miembros de junta directiva, como quiera que no hacerlo, podrán ser cuestionados, no solo por los entes de supervisión externa, sino por las exigencias legales al interior de la organización, que cubren las responsabilidades y cumplimientos normativos requeridos para el adecuado tratamiento del riesgo legal y reputacional.

Así las cosas, se hace necesario que los miembros de junta salgan de su “aislamiento natural” de la dinámica de las organizaciones, para visibilizar la realidad de las operaciones, toda vez que ahora es la dinámica de los mercados, las competencias digitales, la capacidad para asumir la sobrecarga de la información, los riesgos emergentes y la capacidad de anticipación, se convierten en competencias básicas para tener asiento en la complejidad de un gobierno corporativo, que ya no es de dominio exclusivo de la empresa, sino que se conecta y define desde las múltiples relaciones y realidades de su entorno.

Por tanto, ser miembro de una junta directiva hoy, representa una responsabilidad con una mayor exigencia, como quiera que la asimetría de sus decisiones o aportes, estará en su capacidad para desarrollar y refinar comportamientos que lean la incertidumbre estructural el entorno, analizar las contradicciones de los mensajes en los mercados y leer la rarezas propias de las tecnologías emergentes y disruptivas que se advierten en la diferentes industrias (Charan, 2015)[ii]. 

En consecuencia, los próximos cinco años, deberán los miembros de junta acompañarse de coaches o mentores que les ayuden a repensar sus prácticas, para movilizar sus reflexiones y acciones hacia una vista más dinámica de la vida empresarial, teniendo claro los aspectos naturales del cumplimiento legal y aseguramiento de la reputación corporativa, y así dar cuenta de sus contribuciones renovadas que permitan entre otras: (Harvard Business Review – Redhat, 2015)[iii]

- Anticipar los riesgos y amenazas en el ecosistema digital

- Movilizar la organización hacia un liderazgo digital

- Proveer la orientación requerida para desarrollar capacidades digitales

- Aprender de la dinámica del entorno y sus efectos disruptivos

- Plantear escenarios de mediano y corto plazo que motiven la preparación para eventos inciertos. 

Si lo anterior es correcto, los miembros de junta directiva deben elaborar la pintura del futuro digital de la empresa (ídem), creando un entendimiento conjunto con la operación de la organización, con el fin de establecer una ventana de aprendizaje de doble vía, que por un lado identifique tendencias y por otro, repiense las prácticas internas de la organización. 

El no avanzar en este ejercicio de “futuro digital” y mantenerse en las condiciones tradicionales de participación de las juntas directivas, compromete la movilidad de la organización en la esfera del mundo global, inhibe conversaciones estratégicas propias de los negocios, aumenta el analfabetismo digital de la empresa y sobre manera, compromete la capacidad de aprender y desaprender de la organización, requerida para pensar “por fuera de la caja” en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009)[iv].

Un miembro de junta moderno, adicional a la experiencia tradicional que debe tener en el ejercicio de la dirección, en el manejo de presiones políticas, en la construcción de relaciones estratégicas y capacidad de influencia en los entes gubernamentales, debe mantener su vista en la creación de valor de la empresa, esto es, en la capacidad de la organización de superar sus propios miedos y conquistar mercados antes inexplorados.

Por tanto, y sabiendo que el ecosistema digital estará presente en todas las decisiones que se tomen a nivel empresarial, el miembro de junta deberá consultar su perfil de riesgo, su nivel de tolerancia a la incertidumbre y sobre todo, su visión digital de futuro de la empresa, para movilizar los retos corporativos apalancados en un gobierno ágil y efectivo de la tecnología de información disponible.

Si bien esta breve reflexión no pretende analizar en profundidad la realidad de los miembros de junta de las empresas hoy, si buscan explorar nuevos espacios de análisis y oportunidades de encuentro, para que la realidad de las organizaciones no sea sólo una vista de la lectura de un cuerpo colegiado clave para el futuro de la empresa, sino un ejercicio de aprendizaje y desaprendizaje mediado por un ecosistema digital emergente y la participación de aquellos que están conectados con la nueva realidad digital de las organizaciones. En pocas palabras, un liderazgo abierto (Li, 2014)[v] y digital que transforma lo invisible en visible.  

* * *

Jeimy Cano, PhD, CFE, es Director de la Revista "Sistemas" de la Asociación Colombiana de Ingenieros de Sistemas (ACIS). El Prof. Cano es, además, Analista Asociado de iTTi. 

Este artículo fue publicado inicialmente en el servicio Pulse de LinkedIn, el 17 de julio de 2015, en la dirección: https://www.linkedin.com/pulse/soy-un-miembro-de-junta-directiva-moderno-jeimy-cano-ph-d-cfe 

----------------------------------------

[i] Leblanc, R. (2015) 2015 Top 10 trends in corporate governance. Recuperado de: http://www.canadianlawyermag.com/5406/2015-Top-10-trends-in-corporate-governance.html 

[ii] Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus Books Group. 

[iii] Harvard Business Review – Redhat (2015) Driving digital transformation: New skills for leaders, new role for the CIO. Recuperado de: https://hbr.org/resources/pdfs/comm/RedHat/RedHatReportMay2015.pdf 

[iv] Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers. 

[v] Li, C. (2014) Liderazgo abierto. De qué modo la tecnología social puede transformar su manera de lidera. Buenos Aires, Argentina: Ediciones Gránica, S.A. 

 

¿Ciberinseguridad o Desgobierno?

Thursday, 18 June 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En el sector hay una máxima -que aún se dice a veces con retintín: “uno debe dar por supuesto que ya han entrado en su sistema” [i]. 

Que penetren en nuestro sistema es una cuestión de seguridad informática o, por usar el palabro de moda, de ciberseguridad. 

Que los hackers lleven meses en el sistema de un banco, con control (al menos parcial del mismo: por ejemplo, de parte de los cajeros automáticos) y que hayan suplantado la identidad de una variedad de empleados, pudiendo hacer —sin que el banco se aperciba— transferencias importantes a cuentas de los malhechores es una cuestión ciertamente de ciberinseguridad, pero también de desgobierno y quizá de desgobierno nacional o supranacional.

El Profesor colombiano Jeimy Cano en su libro de 2013 y en artículos más recientes se refiere a la “inseguridad de la información… como elemento práctico de gobierno corporativo” [ii].

Hace poco (febrero 2015), The New York Times publicó el avance de un informe de Kaspersky Lab [iii] sobre el reciente descubrimiento de una suplantación masiva de identidades de empleados en más de 100 bancos y otras entidades financieras en Rusia, Japón, Suiza, EE UU y los Países Bajos. Kaspersky Lab ha declarado tener pruebas de sustracciones por 300 M USD, aunque creen que el total podría ser el triple. Dicen haber informado de todo  ello a la Casa Blanca y al FBI. 

Durante casi dos años y desde finales de 2013, los hackers enviaron a empleados bancarios correos con código dañino, que en ocasiones les permitió hacerse con los caracteres que tecleaban los empleados, así como con vídeos, pantallazos y el control de diversos sistemas y cajeros automáticos. 

Los hackers se tomaron mucho tiempo para estudiar las rutinas de los empleados y de los bancos y limitaron sus sustracciones a cantidades ‘razonables’ que despertaran menos alarmas.

De este modo, hacían transferencias a cuentas pirata o retiraban dinero de cajeros, que lo entregaban por control remoto. La forma generalmente usada para robar las cuentas corrientes bajo su control era manipular al alza su saldo y vaciarla luego con transferencias a cuentas de los hackers. 

(El objetivo y ámbito de la usurpación de identidad se han considerado individuales tradicionalmente [iv]. Estos hackers han logrado un ataque mucho más rentable, haciéndolos corporativos).

Hay que suponer que entre la diversidad de sistemas penetrados habría bastantes que contasen con muchos de los recursos y procedimientos de seguridad más recomendados. 

¿Cómo entonces ha podido suceder algo así en más de un centenar de bancos? La única explicación plausible es desgobierno corporativo —o insuficiente buen gobierno— falta de control interno, incluido el informático, pero no limitado al mismo.

Al parecer, ningún banco se ha hecho eco de este incidente (en ese prurito de pretender mantener la confianza por el secretismo). El consorcio Financial Services Information Sharing and Analysis Center, a través del que los bancos comparten información sobre estos eventos se ha limitado a declarar que había informado a las entidades interesadas.

Mientras tanto, el Presidente Obama no recibió muy buena acogida el pasado 13 de febrero, en Stanford, al presentar y firmar su decreto sobre comunicación de eventos en que haya sido comprometida información personal o financiera. Ni siquiera asistieron muchos de los líderes de grandes empresas tecnológicas [v]. ¿Sería por tensiones anteriores (WikiLeaks, Snowden…), o sería por ser viernes y 13? 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 231, enero-marzo 2015. Referencia: Ref. Autoriz. NOVÁTICA 231, pg. 96 – ¿Ciberinseguridad o Desgobierno? – Miguel García-Menéndez, Manuel Palao.  

----------------------------------------------------

[i] https://www.nsslabs.com/blog/technology-future-bds-market-set-explode  Consultado 15/02/2015

https://www.nsslabs.com/blog/tags/breach-detection-systems Consultado el 15/02/2015

[ii] Cano, J. (2013).  Inseguridad de la información.  Una visión estratégica. MARCOMBO, S.A. Barcelona. ISBN: 9788426719812. EAN: 9788426719812. “[L]a inseguridad de la información, entendido como elemento práctico de gobierno corporativo que permite a los estrategas de la seguridad de la información pensar de manera complementaria y generar escenarios alternos a los tradicionales, para superar el síndrome de la falsa sensación de seguridad”. 

[iii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?emc=edit_th_20150215&nl=todaysheadlines&nlid=65935020&_r=0 Consultado el 15/02/2015

[iv] https://es.wikipedia.org/wiki/Robo_de_identidad Consultado el 15/02/2015

[v]  Jiménez, R. (13 FEB 2015).  “Obama tiende una mano a Silicon Valley tras el espionaje masivo”. El País. http://internacional.elpais.com/internacional/2015/02/13/actualidad/1423861487_812880.html 

 

Big Siblings, Big Hackers (pun intended)

Tuesday, 16 June 2015 Manolo Palao Posted in iTTi Views

The following are quotes from the Opening Statement by Ms. Flavia Pansieri Deputy High Commissioner for Human Rights at the United Nations Panel Discussion on the Right to privacy in the digital age [i]: 

[D]igital platforms are vulnerable to surveillance, interception and data collection. Deep concerns have been expressed as policies and practices that exploit this vulnerability have been exposed across the globe.” 

[P]ractices in many States reveal a sometimes deliberate lack of adequate national legislation and enforcement; weak procedural safeguards; and ineffective oversight. All of this contributes to widespread impunity for arbitrary or unlawful interference in the right to privacy.” 

* *

This other quote is from a video clip [ii] by Mr. Ben Wizner, Director, ACLU (American Civil Liberties Union) Speech, Privacy & Technology Project [iii]: 

[S]urveillance technologies have outpaced democratic controls… [G]overnments have placed mass surveillance ahead of cyber-security.

And I think that this is something that perhaps the broader public has not sufficiently understood… that there's actually a tension between the government's surveillance efforts, which include creating and exploiting vulnerabilities in communication systems, and the government's cyber security mission which is aimed at protecting us from malicious attacks from hackers, from foreign governments, from criminals.

That in effect, governments —particularly the US government and the British government, but not only those two governments— have made the strategic decision to weaken communication systems for everyone in order to facilitate mass surveillance.

* * *

-------------------------------------

[i] United Nations. (12 September 2014). Salle XX, Palais des Nations. url: http://www.ohchr.org/en/NewsEvents/Pages/DisplayNews.aspx?NewsID=15022&LangID=E retrieved 16/06/2015. 

[ii] https://www.youtube.com/watch?v=sBFDaeaI7s4&feature=youtu.be retrieved 16/06/2015

[iii] https://www.aclu.org/bio/ben-wizner retrieved 16/06/2015

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk