Follow us on:
Perspectives

iTTi Views

Emigración reversa: de Silicon Valley a Lavapiés

Wednesday, 26 November 2014 Manolo Palao Posted in iTTi Views

Nick Leiber publicó el 22 de noviembre de 2014 un interesante artículo sobre políticas nacionales comparadas de atracción de talento; artículo que –desde su título– se centra en España: “Ante la puerta de España hay un felpudo de bienvenida a emprendedores” [i]. 

Cuenta, entre otros casos el de la Sra. Stacia Carr, californiana, que al considerar que “El Área de la Bahía [de San Francisco]  está sobresaturada, es muy cara e hipercompetitiva” decidió el año pasado vender la startup que allí tenía y emigrar a Madrid, acogiéndose a un “visado para actividad emprendedora” [ii]. 

La apodada ‘Ley de Emprendedores’ [iii] define varias categorías de visados y permisos de residencia para estimular la inmigración en España de inversores, emprendedores y otros extranjeros no comunitarios. 

La Sra. Carr y un socio español han lanzado recientemente una empresa digital para ayudar a entrenadores a impartir remotamente clases de gimnasia (fitness). La nueva empresa está alojada en una incubadora del Instituto Empresa. 

Arrancar el negocio en España le pareció a la Sra. Carr “un reto, que requería más documentación de la esperada”. También la obtención del permiso de residencia supuso retos; incluso, para su primera estancia, se hubo de acoger a un visado de turista, dado que en los consulados que consultó en su país no sabían aún cómo aplicar la reciente Ley. Ya en España, encontró a “los funcionarios sin preparación para contestar a sus preguntas”. (Hay que señalar también que sólo hablaba inglés).

Aun así, su socio español, opina que “las ciudades españolas, como Madrid o Barcelona, tienen costes inferiores y menos competidores, pero conservan al talento suficiente para arrancar, si se las compara con imanes europeos de las startups, como Londres o Berlín”. 

* *

La actual y tristemente muy desequilibrada ‘balanza de talentos’ está dando, como resultado, una ebullición, en los cuatro puntos cardinales, de iniciativas creativas (que destacan, entre numerosos fracasos). Pero además, va a dar como resultado colateral positivo una polinización a gran escala, no sólo en lo tecnológico, sino también en lo cultural –y como subconjunto de lo cultural– en la cultura cívica y de administrado. 

Ojalá que aquéllos emigrantes españoles, a quienes –con el tiempo– se les ocurra volver, aporten no solo un historial de éxitos tecnológicos y económicos, sino también de buenas experiencias culturales, cívicas, de gobierno, gestión y administración.

*  *  *

[i] Leiber, N. (22 Noviembre 2014). “At Spain’s Door, a Welcome Mat for Entrepreneurs”. The New York Times.

[ii] Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización. Artículo 68.  

[iii] Ver nota [ii].

 

On transparency and information for accountability

Wednesday, 30 July 2014 Manolo Palao Posted in iTTi Views

Whether in the market-place, business, politics or the media, ‘transparency’ has been a trending word over many years. My focus here is just on corporate responsibility. 

‘Transparency’ –beyond its immediate dictionary meaning- is a relative term. 

Transparency ranges from crystal clarity to the opacity of coal. In Physics, the degree of transparency is measured by the magnitude ‘transmittance’. Transmittance, by the way, may depend (anisotropy) on the direction of the beam of light relative to the object. 

These high-school notions lead me to the issue of whether the quest of transparency deserves so much attention and publicity or it is a smoke screen –consciously or unconsciously set- to conceal what really matters, the real grail, the information for accountability.   

Every person or legal entity has multiple accountabilities, individual, social, economic, legal, principal-agent, etc., and multiple stakeholders holding rights to their performance and compliance.

Exercizing said rights is conditioned, among other things, to the accessibility to relevant, sufficient, reliable, timely, clear, complete and accurate information.

Any non-crystalline glaze, any filter, any hindrance to that access infringes important and even fundamental rights.

Anisotropy too, because asymmetric accesses translate into insider information.

 

Related perspective(-s):

1.- Hechos relevantes [2013] 

2.- iTTiGloss: Accountability

3.- iTTiGloss: Corporate Governance of IT

 

Sobre transparencia e información para rendición de cuentas

Wednesday, 30 July 2014 Manolo Palao Posted in iTTi Views

‘Transparencia’ viene siendo una palabra de moda hace muchos años, en el mercado, negocios, la política o los medios. Aquí me centraré sólo en la responsabilidad corporativa.

La ‘transparencia’, más allá de su significado directo en el diccionario, es un término relativo.

La transparencia va de la diafanidad del cristal a la opacidad del carbón. En Física, el grado de transparencia se mide por la magnitud ‘transmitancia’. Por cierto, la transmitancia puede depender (anisotropía) de la dirección relativa al objeto del rayo de luz. 

Estas nociones de bachillerato, me llevan a la duda de si la cruzada por la transparencia merece tanta atención y publicidad, o si se tratará de una cortina de humo que oculta lo que realmente importa, el auténtico grial, la información para la rendición de cuentas.

Toda persona física o jurídica tiene múltiples responsabilidades, individuales, sociales, económicas, legales, de agente-principal, etc.; y múltiples legítimos interesados, con derechos sobre su rendimiento y cumplimiento. 

El ejercicio de tales derechos queda condicionado, entre  otras cosas, por la accesibilidad a información pertinente, suficiente, fidedigna, oportuna, clara, completa y precisa.

Cualquier veladura no diáfana, cualquier filtro, cualquier obstáculo que se interponga a tal acceso, conculca derechos importantes e incluso fundamentales.

También la anisotropía, porque los accesos asimétricos se traducen en información privilegiada.

 

Related perspective(-s):

1.- Hechos relevantes [2013] 

2.- iTTiGloss: Accountability

3.- iTTiGloss: Corporate Governance of IT

 

Presunción de inocencia

Tuesday, 27 May 2014 Manolo Palao Posted in iTTi Views

Hace unos 39 siglos se esculpió el ‘Código de Hammurabi’ (conservado en el Louvre), que es considerado como la primera codificación conocida de derechos y obligaciones humanos. Como referencia, quizá más familiar, Moisés bajó del Sinaí, con las Tablas de la Ley, 5 ó 6 siglos después.

Hace unos 75 años, Isaac Asimov acuñó las ‘Tres Leyes de la Robótica’ —luego evolucionadas a la Roboética— codificando derechos y obligaciones de robots, demonios y otro software de Inteligencia Artificial.

En 2002 Rodney Brooks, director del MIT Artificial Intelligence Laboratory pronosticaba que —igual que históricamente se han ido reconociendo ciertos derechos (p. ej. a un trato digno) a muchos animales y, sobre todo a las mascota—, es plausible que surjan corrientes de reconocimiento de derechos a algunas de esas máquinas, sobre todo a las más antropomorfas y a las que ‘convivan’ en nuestros hogares —robots domésticos más humanoides que las nuevas aspiradoras.

Si bien muchos profesionales de los SI (sistemas de información) y las TIC (tecnologías de la información y las comunicaciones) estamos sujetos —por convicción y/o adhesión— a un código ético profesional, a ciertos compromisos respecto al uso de los SITIC, eso no obliga en general a otras personas.

Y eso permite un pernicioso, generalizado y continuado linchamiento impune de los SITIC, e indirectamente de sus profesionales. Pernicioso, porque nos impone un sambenito a los profesionales; —pero sobre todo— porque puede desembocar en un fallo sistémico. Me explicaré.

Pero antes, descendamos a lo concreto. Creo que las siguientes referencias son autoexplicativas y se aceptarán como meros botones de muestra de algo mucho más generalizado.

«La juez sustituye la fianza de un millón de euros al alcalde de Seseña por otra de 10.000. Emite un auto de rectificación para aclarar un error informático debido a "introducir más dígitos de los que procedían"». [1] [Las negritas son mías].

«La patronal fotovoltaica Asif pidió un análisis a una empresa, que concluyó que podía tratarse de que el contador considerara que las 12 de la mañana eran las 12 de la noche o fallos informáticos.» [2]

«La lista de premiados (Premios Max de la SGAE entregados el 3 Mayo de 2010), publicada en la página web de la SGAE "por un error informático"». [3]

«La primera crisis del euro
EE UU busca el ordenador fantasma
Los reguladores bursátiles descartan el factor humano como causa del pánico que sacudió a Wall Street
(SANDRO POZZI | Nueva York 07/05/2010) » [4]

«No podemos permitir que un error tecnológico espante a los mercados y provoque pánico" [desplome bursátil], señaló el congresista demócrata Paul Kanjorski. El propio presidente, Barack Obama, pidió aclarar el desplome para "evitar que algo así vuelva a suceder"». [5]

«Las máquinas se apoderan de Wall Street y provocan el pánico en el mercado» SANDRO POZZI - Nueva York - 07/05/2010 [6]

« Un senador aprovechó ayer para reclamar que se ponga coto a las máquinas en las operaciones bursátiles. El demócrata Ted Kaufman denunció que se había puesto de manifiesto una vez más "el potencial de los ordenadores gigantes de alta capacidad para alterar el mercado y crear el caos" en lo que denominó "la batalla de los algoritmos". Kaufman presentará una enmienda a la ley de reforma financiera para que se endurezca la regulación.»

«Aguirre envió cartas con errores de ortografía a profesores de Madrid». [7]
«En cambio, la presidenta ha negado tajantemente que la carta que envió a los docentes, pidiéndoles un "mayor esfuerzo" por la crisis, tuviera faltas de ortografía, como se ha demostrado. Aguirre ha atribuido la ausencia de algunas tildes a los "duendes de la tecnicalitis [sic]" informática, que hicieron que la empresa de las nóminas "escaneara" mal la misiva y olvidase "teclear los acentos"». [8]   

Como no parece probable que ni Hammurabi ni Moisés vayan, a estas alturas, a ocuparse de este tema, nos incumbe a los profesionales —sobre todo a través de nuestras asociaciones— intentar reencauzarlo.  

* * * 

Para reencauzarlo parecen obligadas ciertas reflexiones, actitudes y actuaciones.

En primer lugar, reconocer que todo error es humano.

Lucius Annaeus Seneca —cordobés, coetáneo de Jesucristo, tutor y consejero de Nerón— ya afirmó que «errare humanum est perseverare diabolicum» [errar es humano y perseverar diabólico].

Lo que fue parafraseado —y convertido en eslogan—, por Alexander Pope (1688-1744) [más papista que el papa], en su famoso verso: «To err is human, to forgive divine» [errar es humano, perdonar divino]. [9]

El famoso HAL 9000 [10] no era tan perverso como parecía. Simplemente fue programado así (‘heurístico-algorítmico’ [¡signifique esto lo que signifique!]). Pero eso era ciencia ficción: intentemos mantenernos en la realidad.

En segundo lugar, aceptar que

“.... sin duda es un abuso del lenguaje ... y si ... [el]... error lo hubiesen tenido hace 20 años, sería un error "mecanográfico" o hace 100 años, un error "Plumo-gráfico" ... la cuestión es tipificar el error sobre el instrumento y no sobre la persona que lo comete ...pues al final, como todos los errores, es humano(gráfico). [11]

En tercer lugar, aceptar que, pese a todo, hay / ha habido muchos [¡demasiados!] “errores informáticos / tecnológicos”, esto es, errores humanos en materias informáticas / tecnológicas. En algunos de los cuales he/(¿quizá hemos?) incurrido por omisión o acción.

El excelente reciente «artículo de Darren Dalcher en Novática 200, ... cita algunos importantes errores informáticos que efectivamente fueron tales. Como caso más relevante, al final de la sección 2 se dice que el fracaso en la introducción de un sistema informático en la Oficina de Recaudación del Reino Unido causó que no se enviasen recordatorios a los asalariados sobre que tenían que actualizar sus contribuciones al sistema nacional de seguros. Y que ahora 10 millones de personas sufren recortes en sus pensiones debido a eso!!» [12]

Otro proyecto valorado por Darren por el impacto del proyecto en la fase de producción en “un sistema de envío de ambulancias que fue entregado a los usuarios (al tercer intento) y falló posteriormente en producción dando lugar a potenciales pérdidas de vidas humanas”.

Dice Darren [13]: “La práctica contemporánea de desarrollo de software se caracteriza sistemáticamente por proyectos descontrolados, entregas retrasadas, presupuestos excedidos, funcionalidad recortada, y una calidad cuestionable, lo que a menudo se traduce en cancelaciones, reducción del alcance, y un ciclo significativo de revisiones”.

Y continúa: “El resultado neto es una acumulación de desperdicios, medidos tradicionalmente en términos financieros. Por ejemplo, en 1995, los proyectos fallidos en EEUU costaron ... un total de 140 000 M USD; ... en 1996, 100 000 M USD; ... en 1998 75 000 M USD”.

A mí, en este artículo, me interesa resaltar un aspecto que el artículo citado de Darren (y toda la excelente Monografía de la que forma parte) tratan, pero sólo de forma secundaria: el de las pérdidas y molestias ocasionadas por el uso de sistemas una vez que fueron dados de alta para su explotación.

Incluso, cuando no hay evidencia de defectos o fallos en el proyecto, pueden evidentemente darse fallos en la explotación. 

En 2007 el Ayuntamiento de Torrelodones (Madrid) [14] –por lo que parecía tratarse de un simple error administrativo -emitió dos veces recibos (distintos) pro-forma para el cobro de la ‘tasa de recogida de basura’.

La empleada / funcionaria encargada del tema me contesta al teléfono (a la tercera llamada; en las anteriores ‘estaba desayunando’) y reconoce que sí, que lo que me acontece es un error -“parte de un error masivo”- y que «... nada, que arreglado». Cuando entonces le pido confirmación fehaciente de que lo mío (ya que no lo de todos), ha sido corregido, como error masivo del Ayuntamiento, que es de su res- ponsabilidad, me dice imperturbable que ¡para eso, que presente un recurso!, y que entonces se revisará mi duplicado.

O sea que unos miles de recibos erróneos se corrigen con unos miles de recursos administrativos.

Mientras, yo sigo teniendo dos recibos pro-forma enviados por el Ayuntamiento: el correcto y el erróneo. ¿O serán los dos erróneos? ¿Y los demás masivos? Afortunadamente, pagado que fue uno de los recibos, el silencio administrativo condonó (espero) el otro.

¡Séneca tenía razón: perseverar en el error es diabólico!  

 

En cuarto lugar, está la cuestión del huevo o la gallina (o más académicamente, de la recursividad).

Me parece evidente, a estas alturas de este breve e informal artículo, que todos debemos aceptar que en la raíz de todo error ‘informático’ hay un error ‘humano’.

La cuestión ahora es de trazabilidad y —sobre todo— de imputabilidad (chargeability).

¿En qué estrato(s) organizativo(s) radica la responsabilidad por el error?

En quinto lugar, está la cuestión del temido y temible ‘fallo sistémico’.

Parece mentira que los denunciantes de ‘fallos informáticos’ (políticos o periodistas, muchos de ellos — por lo que no es tan sorprendente—; profesionales, en otras ocasiones —más difícil de comprender—) no entiendan o ignoren el principio básico de que NUNCA se debe culpar al sistema. (¡Aunque fuese verdad!).

Culpar al sistema es concitar un ‘fallo sistémico’: la profecía que se autocumple.

Los protocolos de actuación de portavoces de células de emergencia, entidades en crisis, y —a mucha menor escala— los de los ‘chaquetas rojas’ (o ‘verdes’ o ‘azules’) en aeropuertos u otros servicios públicos coinciden: siempre hay que decir: i) que las causas se desconocen y se están investigando; y ii) que se ha debido probablemente a un fallo humano: NUNCA a un FALLO DEL SISTEMA.

Reconocer la causa humana es atenerse a la verdad, pero además es políticamente interesante: ¿Si falla el sistema, qué nos queda?

De hecho, ciertos manuales de gestión de incidentes recomiendan acusar en público (incluso en falso, o sin suficiente información) a algún empleado y luego disculparse ante los vejados y compensarles de algún modo).

En sexto lugar, reconocer que «un sistema informático (por el hecho de estar construido por humanos y –ojo- especificado o solicitado por humanos) es imposible que sea infalible». [15] 

En séptimo lugar, recordar que, por una parte, los errores (humanos) pueden no ser indeseables sino tolerados e incluso buscados –como en ciertas fases del proceso científico o técnico: prueba y error–; y por otra que (como se sabe en gestión de la calidad) no todo error acarrea necesariamente una disfunción o un defecto.

Los defectos o fallos son discrepancias entre producto / proceso y especificaciones / estándares (o características deseables, incluso no especificadas).

“Un «defecto» [/fallo] es una instanciación individual de alguna no conformidad con algún requisito, mientras que un producto / proceso / servicio defectuoso [deffective], contiene uno o más «defectos».” [16]

"Los defectos se clasifican, generalmente, en tres grandes grupos. Estos grupos son [17]: I) defectos inherentes (resultantes de la fabricación o de las materias primas); II) defectos fabricados (resultantes de la transformación de las materias primas en una pieza, producto o servicio terminado); y III) defectos inducidos por el servicio (generados durante el funcionamiento de algún componente)”.

Los defectos pueden deberse a una materia prima / componente defectuoso, o a una pieza / componente defectuoso (procedente de un proceso previo), a una puesta a punto ('setup') /ensamblaje o mantenimiento defectuoso de la maquinaria / material, a métodos erróneos, o a errores humanos [18]

A la postre, todos los defectos se deben a errores humanos. Esta es la razón por la que la lucha contra los defectos es fundamentalmente una cuestión de formación y motivación del personal.

Los errores pueden clasificarse según 10 grandes criterios [19]: 1) omisiones; 2) errores debidos a falta de comprensión; 3) errores de identificación; 4) errores debidos a falta de experiencia; 5) errores voluntarios (consentidos); 6) errores inadvertidos; 7) errores debidos a lentitud; 8) errores debidos a falta de normas o estándares; 9) errores por sorpresa; y 10) errores intencionales.

No todos los errores causan defectos / defectuosos / fallos. Sí los suelen causar los: a) olvidos; b) errores debidos a desconocimiento; c) errores de identificación; d) errores de inexperiencia; e) errores voluntarios; f) errores por inadvertencia; g) errores debidos a lentitud; h) errores debidos a falta de estándares o normas; i) errores por sorpresa; y j) errores intencionales.

Se han estudiado y publicado correlaciones fuertes entre errores y defectos [20]. Por ello se conocen diversas grandes estrategias de prevención de defectos.

Por otra parte, muchos defectos / ‘defectuosos’ [deffective] se pueden prevenir-evitar con técnicas de poka-yoke [21] (si bien éstas pueden resultar más fáciles en el mundo ‘real’ (industria manufacturera, p ej) que en el ‘virtual’ (aplicaciones web, p ej).

Frente a errores, defectos y fallos sólo hay una panacea: calidad. Pero calidad integral. 

En octavo lugar, aceptar que «[L]os usuarios (y sobre todo los responsables últimos del trabajo de los usuarios) deben saber que un sistema informático ... es imposible que sea infalible. Y por lo tanto son tanto, o yo diría que aún más responsables, ellos de las consecuencias de no verificar que el sistema funciona, como los propios informáticos.

 

“Una vez en cierta empresa donde trabajé [Llorenç Pagés] hace ya muchos años nos asignaron un supervisor del trabajo informático una de cuyas frases favoritas era: "Me gusta la Informática porque es una ciencia exacta, es como las Matemáticas o el ajedrez, exacta". Claro, con esta mentalidad ¡cualquier error en un sistema informático es culpa del informático!!». [22] 

 

* * * 

Para concluir.

Los sistemas informáticos son frecuentemente imputados de haber causado errores, en ocasiones graves.

Ello es falso (por cuanto el origen de todo error es humano) e imprudente (por cuanto culpar al sistema degrada su credibilidad).

La presunción de inocencia es ciertamente un derecho. También de los sistemas y de quienes los desarrollan. 

Pero la historia demuestra que los derechos se conquistan y que —hasta que son ampliamente reconocidos y respetados (y luego, de vez en cuando)— hay que invertir mucho activismo y tiempo. 

 

* * * 

(Una primera versión de este artículo fue publicada en Novática 206, verano del 2010 y en el blog "Gobernanza de TI", en enero del 2011. Posteriormente se han introducido algunos cambios o añadidos, entre ellos el relativo a la Presidenta de la Comunidad de Madrid y el del PP y las elecciones en Asturias, marzo del 2012.)

[2] En "Las eléctricas desmienten el timo de los huertos solares nocturnos" http://www.elpais.com/articulo/sociedad/Francia/ofrece/Espana/intercambio/residuos/nucleares/elpepusoc/20100505elpepisoc_3/Tes 20100505

[3] Telediario 1 TV1 4 mayo.

[4] http://www.elpais.com/articulo/economia/EE/UU/busca/ordenador/fantasma/elpepueco/20100507elpepueco_13/Tes#

[5] http://www.elpais.com/articulo/economia/EE/UU/replantea/negociacion/electronica/derrumbe/bursatil/elpepueco/20100508elpepieco_7/Tes

[6] http://www.elpais.com/articulo/economia/maquinas/apoderan/Wall/Street/provocan/p...

[8] http://politica.elpais.com/politica/2011/09/07/actualidad/1315392263_896264.html 

[9] http://www.answerbag.com/q_view/666955 

[10] IBM, desplazando cada carácter al precedente, según algunos]. http://en.wikipedia.org/wiki/HAL_9000 

[11] El autor de la feliz frase, que reproduzco con permiso, es Dídac López, Presidente de ATI, en correo cruzado con motivo de la preparación de este artículo.

[12] Contribución de Llorenç Pagés Casas, Director de Novática, con motivo de la preparación de este artículo.

[13] Dalcher, Darren: “El éxito de los proyectos de software: yendo más allá del fracaso”. Novática 200. Julio-agosto 2009, p 45. 

[14] Donde resido y tengo mi despacho. Naturalmente, por si alguien manifestara más interés, tengo un expediente completo y detallado. Naturalmente, sin que el incidente se haya resuelto satisfactoriamente aún (junio de 2010). 

[15] Ver Nota 11. 

[16] Juran, J M: Ed. Juran Quality Handbook, 1979, p. 23-19. 

[17] Juran, J M: Ed. Juran Quality Handbook, 1979, p. 23-19. 

[18] Hayward, G. P.: Introduction to Nondestructive Testing, ASQC, Wisconsin, 1978, p. 2. 

[19] Hiroyuki Hirano: Kaizen, 1988.

[20] Juran, J M: Ed. Juran Quality Handbook, 1979, p. 18-22.

[21] Hiroyuki Hirano & Nikkan Kogyo Shimbun: Poka-yoke, Ernst & Young, 1991. Ver también http://es.wikipedia.org/wiki/Poka-yoke.  

[22] Ver Nota 11.

 

 

Troyanos materiales o la seguridad de las ‘cosas’

Friday, 09 May 2014 Manolo Palao Posted in iTTi Views, IT Consequences

‘Troyanos’  es como ahora mal llamamos a los ‘caballos de Troya’, sometidos, como solemos estar, a la presión terminológica gringa.  Igual que ahora llamamos ‘químicos’ (y no ‘productos químicos’) al gas sarín y similares; además de  a ese viejo y respetable señor de la barba y la bata blanca. 

Los  caballos de Troya han sido físicos –materiales– siempre, desde hace 44 siglos [i], donde las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al precursor: el de Troya. Físicos, huecos y de madera. 

Con el surgir de la informática, los ‘troyanos’, en los últimos digamos 40-50 años,  se han sublimado y -de físicos y de madera- han pasado a ´lógicos’, al software y a la Nube. Y de algún modo, nos hemos acostumbrado a su presencia entre nosotros. Presencia ‘lógica’ pero no física, y nos hemos acostumbrado / resignado a su vida expansiva, a los riesgos que suponen, a los antivirus…

Vivimos –es ya un tópico-  en un mundo crecientemente interconectado e interdependiente, caracterizado por la alta  ‘interconexión de las ‘cosas’ [ii]. El  "Internet de las ‘cosas’ [things]".

Troyanos sólo lógicos, hemos tenido en los últimos 40-50 años; ¡pero sólo hasta ahora!

Porque, ahora, ya hay ‘troyanos’ físicos’ (aunque no de madera, sí de silicio). Las sospechas enunciadas en los últimos años, se han convertido en evidencias [iii].

En  mi opinión, la diferencia fundamental –desde un punto de vista de seguridad (seguridad de las cosas)- entre los troyanos ‘lógicos’ y los’ físicos’ es que mientras los primeros, los lógicos, dependen de una probabilidad de infección  (0 ≤ p ≤1), el parque de productos o componentes con un troyano ‘físico’ tienen la infección con toda certeza (p=1). 

Si un producto o componente tiene un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente [iv].

Y esto plantea --a gobiernos, empresas, científicos y profesionales-- un reto enorme  y probablemente muy subestimado [v].  Porque el alcance del riesgo rebasa --en órdenes de magnitud-- a las hasta ahora consideradas ‘infraestructuras críticas’  (como señala la Nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y un muy largo etcétera.

Abordar a tiempo y con eficacia esta temática exigirá, con toda seguridad, esfuerzos titánicos (en concienciación, divulgación, conciertos internacionales, tratados y leyes, marcos y normas,  grandes inversiones) que se traduzcan  en gestión y control de calidad, evaluaciones y certificaciones de procesos y productos y sus productores, auditorías y aseguramiento.  

Y que las evaluaciones, auditorías y certificaciones se realicen con competencia e independencia extremas. ¿Será esto posible?

No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y por ende la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras, que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales [vi]. 

Por acabar con una nota más ligera, no todo es malo en el tema de los ‘troyanos materiales’ (potenciales o reales). Acabo de adquirir un excelente portátil “Lenovo” con una calidad- precio muy atractiva, probable consecuencia del boicot a dicha marca (razonable, a mi juicio) de muchas agencias gubernamentales y –por su influencia—de muchas grandes empresas.  

Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé (o piense y calle) el atacante.

* * *

Este artículo se publicó por primera vez en la revista "Magazcitum", el 5 de Febrero del 2014. 

----------------------------------------------

[i]  http://en.wikipedia.org/wiki/Trojan_War 

[ii] “Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”.  Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

[iii] Pierluigi Paganini An undetectable Hardware Trojan is reality

[iv] Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

[v] "In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, ..." Stealthy Dopant-Level Hardware Trojans. 

[vi]  Por ejemplo,  el recientemente creado Centro de Ciberseguridad Industrial que se centra (en español) en la seguridad de la información industrial, intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo  -el mundo corporativo-.  O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI, que se ha propuesto desarrollar un marco de competencias de los futuros ciber-líderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.

 

Profiling emerging leaders

Monday, 17 March 2014 Manolo Palao Posted in iTTi Views

Robert Denker has recently published a post entitled "Five key things to look for in emerging leaders"

His survey –for  rd&partners – found  the  following  5 top emerging competencies: 

  • Effective at collaboration

  • Delivers consistent and collective results

  • Manages her and others’ time

  • Effective in relationship management

  • Active meeting contributor

Little to do with Chicago-school portfolio management or cutting-edge SW technologies, to name a few.

Profiling with only 5 criteria may make it hit the news; if you want to be serious, you’ll probably be considering 50+. 

 

The emerging turf battle between information and physical security pros

Friday, 15 November 2013 Manolo Palao Posted in iTTi Views

[ENGLISH]

 

A recent article by Stacy Collett with that title places the following question:

 

“As security threats increasingly cross role boundaries, information and physical security pros struggle to get along, so what are the best practices for uniting both teams under a common goal?”

 

The article provides many links to expand the information and in summary states that the “the best practices for uniting both teams under a common goal” would include:

  1. The use of more and better metrics.

  2. The key role of the CFO.

  3. Deal with the increasingly well documented IT pros' greatest fears and apparent needs.

  4. Envisioning the security team of tomorrow.

  5. Becoming aware of the important and increasing insider threats .

  6. Managing the paradox of increasing the flexibility of access and use while the security perimeter expands.

 

Even though we understand the argument in support of the statement of “The CFO's critical role in promoting cybersecurity” This would just introduce a third player in the battle ground.

Our proposed solution: right corporate governance exerted by the governing body and hereupon the best possible team with as many players as advisable

 


 [ESPAÑOL]  

La contienda sobre competencias que está surgiendo entre los profesionales informáticos y los de la seguridad física

 

Un reciente artículo en inglés de Stacy Collett con dicho título plantea la siguiente pregunta:

 

“A medida que las amenazas a la seguridad traspasan roles competenciales, los profesionales informáticos y los de la seguridad física pugnan por entenderse. ¿Cuáles son pues las mejores prácticas para unificar ambos equipos bajo un objetivo común?”

 

El artículo –que ofrece múltiples enlaces para ampliar la información- expone en resumen que “las mejores prácticas para unificar a ambos equipos bajo un objetivo común” contemplarían:

  1. El uso de más y mejores métricas.

  2. El papel clave del Director Financiero (CFO).

  3. Atender a las cada vez más documentadas preocupaciones por la seguridad y por las necesidades de formación, a estos efectos, de los informáticos.

  4. Hay que (re)diseñar el equipo humano de seguridad del mañana.

  5. Y tomar conciencia del importante y creciente riesgo interno (de los propios empleados).

  6. Gestionando la paradoja de que el perímetro de seguridad crece, pero hay que aumentar la flexibilidad de uso y acceso.

 

Aunque entendemos el argumento a favor del punto 2. anterior, creemos que sus inconvenientes son mayores que las ventajas: lo más probable es que se introduzca un tercer jugador en discordia.

Solución que proponemos: buen gobierno corporativo ejercido por el órgano de gobierno, y a partir de ahí, el mejor equipo posible, con tantos jugadores como convenga.

 

 

Related perspective(-s):

1.- Uso de las redes sociales en la empresa: riesgos de seguridad 

2.- iTTi Gloss: Corporate Governance of IT

 

 

Indian National Cyber Security Policy / Política de Ciberseguridad Nacional de la India

Tuesday, 05 November 2013 Manolo Palao Posted in iTTi Views

[ENGLISH]

India has recently published the "Indian National Cyber-security Policy" (INCSP).  A sound policy on that matter  -and ensuring its compliance- is of the utmost importance for India, for the reasons stated in the notification (in a nutshell: IT has been, and is, a crucial driver of India’s economic growth and also of its citizens’ current and future quality of life).

But the soundness and right management of INCSP aren’t just an Indian domestic issue; they should be a concern for many other governments and international companies, considering that India is a gigantic supplier of outsourced services.

Nevertheless, the only two occurrences in the document of the word “international” refer to “international best practices” and “international frameworks”.

In our opinion a security policy of a services-exporting nation should include a consideration of its international stakeholders.


[ESPAÑOL]

Recientemente se ha publicado la “Política de Ciberseguridad Nacional de la India” (PCNSI) [texto en inglés]. Una acertada política en este ámbito  -y la garantía de su cumplimiento-  es de suma importancia para la India por las razones explicitadas en el documento de su publicación (que se resumen en que las TI han sido, y son, no sólo un crítico motor de crecimiento de su economía, sino también de la actual y futura calidad de vida de sus ciudadanos).

Pero el acertado planteamiento y gestión de la PCSNI no es únicamente un tema doméstico indio; debe importar  -dada la condición de la India de gigantesco proveedor de servicios de TI externalizados-  a muchos otros gobiernos y multinacionales.

Sin embargo, las dos únicas apariciones de la palabra (en inglés) "internacional" hacen referencia a "mejores prácticas internacionales" y "marcos internacionales".

Somos de la opinión de que un país exportador de servicios debiera contemplar en su política de seguridad a sus "grupos de interés" (stakeholders) internacionales.

 

Related perspective(-s):
 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk