Follow us on:
Perspectives

Articles tagged with: Manolo Palao

Smart cities y GCTI

Wednesday, 22 June 2016 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En iTTi prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidas sus demandas y necesidades) y de proveer de forma justa y eficiente para su satisfacción. 

Eso  -que, naturalmente, está sujeto a diferentes principios, leyes/regulaciones y prácticas- se realiza mediante la persecución de tres grandes objetivos (potencialmente antagónicos, por lo que hay que lograr su equilibrio): 1) materializar los beneficios de las actuaciones (rentabilidad económica, en lo privado; o social de lo económico, en lo público); 2) optimizar el riesgo (tanto el derivado de lo que se hace, cuanto el de lo que se omite); y 3) optimizar los recursos. 

Sin embargo, en la práctica, no pocas de las referidas actuaciones han adolecido de un considerable desgobierno en lo relativo a la aplicación de las tecnologías, derivando en notables fiascos, públicos y privados. 

* *

La smart city (ciudad inteligente) es un concepto relativamente moderno y aún poco cristalizado; pero  -entre otras características-  creemos que todos los expertos coincidirían en incluir al menos: a) un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios); y b) una alta concentración, diversidad, y poder de agentes y otros ‘interesados’ (con una amplísima superposición). 

Se dan, además, en el ámbito de la smart city, tres aspectos que, a nuestro parecer, merecen particular atención: 1) desequilibrio entre ‘tecnologías de las cosas’ y ‘tecnologías de las personas’; 2) amenazas a la privacidad; y 3) riesgos derivados de la alta integración no orgánica. 

1. Una notable mayoría de los sistemas de las grandes ciudades  -el paradigma es el manido ejemplo de la regulación del tráfico- pertenecen al dominio de la ‘tecnología de las cosas’, a la Internet de las Cosas (en este contexto urbano cabría señalar ‘de las Casas’); pero apreciamos un déficit en ‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia). Tal desequilibrio podría interpretarse como una carencia de equidad en la asignación de recursos tecnológicos y una excesiva delegación (cuando no dejación), por parte de los órganos de gobierno, en gestores técnicos (tecnólogos). 

2. El éxito  -al menos una parte-  de las ciudades inteligentes se basa en el análisis de los “Datos a lo Grande” (Big Data) que manejan lo que hoy son redes de propiedad privada como Uber (transporte urbano de viajeros), AirBnB (alojamientos), emisores de tarjetas de crédito, etc.

Los incuestionables beneficios en mejora de la calidad de vida que servicios como los citados aportan llevan asociados costes y riesgos poco divulgados e interiorizados: a) una seguridad cuestionable (“ciber-inseguridad” la llama el colombiano Prof. J. Cano); b) un riesgo creciente de deterioro de la intimidad, al que todos contribuimos pasivamente en nuestra interacción digital, y otros muchos activa y obsesivamente; c) en lo colectivo, un riesgo de ser regulados, en todo o en parte, por un Gran Hermano; y d) la creciente erosión de la confianza digital [i]. 

3. La ‘inteligencia’ (smartness) de las smart cities se basa principalmente en la integración de sistemas en red. Tanto más eficaz cuanto mayor sean la integración, la interconexión,  la centralización de las decisiones [gobierno] (aunque sean automáticas) y el tamaño [ii]. 

Pero ese crecimiento de las utilidades exponencialmente con el tamaño lleva parejo un crecimiento igualmente exponencial (a igualdad de medidas convencionales de seguridad) del impacto de una violación. Algo que sólo es contrarrestable en las etapas de especificación y diseño, creando sistemas modulares, cuasi-separables (bajo acoplamiento entre módulos) y degradables estratificadamente: sistemas muy ‘orgánicos’. Naturalmente, en las megalópolis  -crecientes en número y dimensión-  esta cuestión es vital. 

* *

Esos son [algunos de] los retos a los que, sin duda, hubo de enfrentarse la que es hoy la sociedad más digitalmente preparada del globo, según acaba de señalar el Foro Económico Mundial en su recién publicado informe “Global Information Technology Report 2015”. Hablamos de Singapur, la pequeña isla-ciudad, conocida como uno de los “cuatro dragones”, junto a Corea del Sur, Hong Kong y Taiwán, en honor al desarrollo industrial que todas ellas han alcanzado en las últimas décadas.

En el caso de Singapur, que celebrará este verano de 2015 su cincuenta aniversario como estado soberano, quienes tomaron la decisión de adoptar las tecnologías de la información como palanca para el crecimiento de la ciudad y convertirla en lo que tecnológicamente es hoy, lo hicieron en 1981, cuando el país tenía apenas quince años de vida. En aquel momento, el lugar, un pequeño territorio insular sin apenas recursos naturales, no contaba más que con la capacidad individual de sus nacionales como herramienta para crear riqueza. Tal vez por eso se adoptó una visión a muy largo plazo: ¡treinta años!

El mencionado 1981 fue el año del lanzamiento del primero de una serie de programas de digitalización que llegarían hasta la presente década: Programa de Informatización del Servicio Civil (1981); Plan Informático Nacional (1986); Programa Informática 2000 (1992); Programa Singapur UNO (1998); y el Plan Maestro Infocomm 21 (2000-2010).

El camino ha sido largo; pero, con toda seguridad, ha merecido la pena. Singapur no sólo ocupa el primer puesto entre las sociedades más “conectadas”; sino que, además, es el noveno país del mundo en el índice global de innovación del Foro Económico Mundial, el segundo en su índice de infraestructuras y el segundo, también, en el de educación.

Todo ello la convierte en la segunda economía más competitiva del mundo, sólo por detrás de la Suiza (según el FEM); lo que confirma que la construcción de una ciudad inteligente trasciende los aspectos meramente tecnológicos para adentrarse en el impacto global que la aplicación y uso de dicha tecnología tiene sobre las vidas de las personas que la habitan.

¡Excelentes decisiones y mejor aún (visionario) órgano de gobierno! ¡Envidiable!

* * *

Este artículo se publicó originalmente por la Asociación para el Progreso de la Dirección (APD). Revista APD, nº 307, págs. 42-44, abril de 2015. “’Smart cities’ y gobierno corporativo de las tecnologías de la información”. Manolo Palao y Miguel García-Menéndez.

------------------------------------

[i] “La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security", un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet”.

URL:: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital 

URL::http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf 

[ii] “Network externalities are defined as the increasing utility that a user derives from consumption of a product as the number of other users who consume the same product increases (Katz and Shapiro 1985). For example, the more people there are in a telephone network, the more users can be reached on the network, thereby increasing its usability. Fax machines, broadcast industry services, credit card networks, and computer hardware and software are examples of products exhibiting network externalities.”  McGee, J.; Thomas, H.; Wilson, D: Strategy. Analysis & Practice.  Mc Graw-Hill. 2005.  p.465. 

 

Un 2025 sin un mejor GCTI

Tuesday, 05 January 2016 Manolo Palao Posted in Corporate Governance of IT

Pretendo, bajo tan largo título, amparar unas líneas de reflexión personal sobre lo que en él se apunta, que son dos cosas.

Por una parte, imaginar un posible escenario 2025, sin que se haya producido una mejora generalizada del gobierno corporativo (GC) de las tecnologías de la información (TI).

Por otra, vaticinar que no parece previsible que tal mejora generalizada vaya a tener lugar entre nosotros, dada la ausencia o debilidad de vectores conducentes a mejoras sistemáticas.

* *

El GCTI es el proceso por el que el órgano de gobierno (OG) de una organización -consejo de administración, patronato, junta directiva...-:

1) establece la dirección (alineación, sincronía, objetivos, política, estrategia y grandes características) del uso de las tecnologías;

2) supervisa dicho uso;

todo ello al servicio de los objetivos, políticas y estrategias corporativas. El GCTI es, naturalmente, sólo un subconjunto -mejor, una “vista”- del GC.

Los objetivos, políticas y estrategias corporativas los fija el OG mediante la adopción (u omisión) de “decisiones políticas”, que deberían basarse en haber, previamente:

1) investigado e interpretado los cambiantes intereses y necesidades de los stakeholders  –las partes interesadas [i].

2) analizado los cambiantes factores externos (mercado, competencia, política, regulación, tecnología); y

3) analizado también los factores internos (cultura, estructura, recursos, procedi- mientos, madurez); éstos, más lentamente cambiantes.

Hoy día, nadie que viva en una sociedad desarrollada o en desarrollo puede ignorar que estamos viviendo una “revolución digital” (RD), con gran impacto en la sociedad, el mercado, la empresa y nuestras familias y personas. Tan amplia y profunda es esa RD que no considerarla debidamente, en los tres procesos del párrafo anterior, sería una omisión, por los administradores, de su deber de ejercer la diligencia debida[ii]. 

* *

El buen GC (y el de TI, que nos ocupa) produce dos grandes categorías de resultados: conformidad y “performancia”[iii]. “Performancia”: funcionamiento, rendimiento, desempeño, según el contexto.

La conformidad es el proceso -soportado por el control interno- y el resultado de que los actos y productos de la entidad sean conformes a: 1) las leyes; 2) los reglamentos y otras regulaciones; 3) la política y objetivos corporativos; 4) las normas externas de adopción voluntaria (ej.: ISO 9001); y 5) los contratos suscritos.

La “performancia”, a su vez, tiene tres grandes dimensiones: 1) la obtención de resultados (beneficios, servicio —según la naturaleza y objetivos de la entidad); 2) la optimización de los riesgos; y 3) la optimización de los recursos. La palabra “optimización” aquí no debe entenderse en el sentido matemático analítico, sino en el sentido de “satisfactorio” -sujeto a restricciones- propuesto por H. Simon.

La materialización de beneficios viene condicionada por la conformidad, y la optimización de riesgos, que conjuntamente reducen las contingencias; y por la optimización de recursos, sin la cual los beneficios potenciales no se alcanzarían plenamente.

Una faceta importante de la conformidad es la transparencia, la virtud por la que se comunica (o facilita la consulta de) la conformidad a terceros externos o internos. La transparencia fomenta la confianza y ésta mejora los resultados (imagen de marca, cuota de mercado, coste de la financiación).

La transparencia puede desbordar la conformidad, si por ejemplo se revela información no regulada por ninguna de las cinco causas que demandan conformidad, como he enumerado al definir ésta.

Entonces esa transparencia espontánea deviene una tercera gran dimensión del buen gobierno, junto con la conformidad y la performancia. Pero entonces, la transparencia ha de serlo sobre cuestiones de fondo, como el proceso de toma de decisiones [iv]. 

* * 

La RD, vertiginosa y explosiva, crece a mucho mayor ritmo que el buen GCTI, por rápido que este mejore. Pero esta rapidez de maduración del GCTI, en el mundo desarrollado y en España, parece baja, a juzgar por muy diversos indicadores. Si crece, lo hace en todo caso a órdenes de magnitud muy inferiores a los de la RD. Esto hace que la brecha O(RD) / O(GCTI), el ‘desgobierno TI’, ya históricamente grande, crezca aceleradamente.

“Por sus frutos los conoceréis”. La mera consulta de titulares de noticias generales y especializadas, internacionales y nacionales me exime, creo, de referenciar aquí muchas de esas señales e indicadores de desgobierno TI. 

* *

¿Cuál será la situación ‘general’ del GCTI dentro de diez años?

La pregunta no admite una respuesta mínimamente ‘seria’, al menos en la extensión prevista de estas líneas. 

Si toda la tecnología es inevitablemente ‘socio-técnica’ (no cabe, por el momento, pensar en tecnología operando fuera del marco de una sociedad), los constituyentes del GCTI[v] son eminentemente más ‘sociales’ que ‘técnicos’: comunicación, cultura organizativa, estrategia, estructuras organizativas, intereses,  micropolítica, necesidades, normas, poder, políticas, procedimientos, relaciones principal-agente, valores…

Los constituyentes citados en el párrafo anterior son en su mayoría internos a la organización, que en todo caso está inmersa en un mar de otros factores externos: clima, competencia, cultura, demografía, legislación, mercado,  política, reguladores, sindicatos  y patronales…

Vemos que el GCTI ‘en general’ está regido por muy numerosas variables y sus relaciones, que —por su naturaleza o por nuestra ignorancia— tienen comportamientos estocásticos, impredecibles [vi] [vii]. 

Pero sí parece que se puede avanzar que —salvo que aparezcan ‘cisnes negros’ (maléficos o benéficos)— los niveles actuales de conformidad, transparencia y performancia, propuetos más arriba como resultados virtuosos del GCTI continuarán creciendo lentamente —con mero crecimiento vegetativo—; y también pero más rápido crecerán los errores, fallos y actos delictivos. 

En esas tasas de crecimiento —lentas en el caso de las mejoras, rápidas en el de las consecuencias negativas— sin duda han de influir combinaciones de fuerzas —intereses políticos y económicos, ideologías, tradiciones, posiciones de ventaja, etc.— muchas de ellas de gran potencia y arraigo[viii].

Es difícil hacer proyecciones. Pero Turing nos dejó la reflexión de que si bien tenemos una visibilidad muy reducida, podemos ver muchas cosas que han de hacerse [ix]. Voy a señalar unas pocas que me parecen importantes y glosarlas brevemente:

      - Composición de los consejos de administración 

      - Buen GCTI,  confianza, seguridad y ciberseguridad 

      - Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

      - Cambio organizativo y cultural y proyectos de cambio

* *

Composición de los consejos de administración 

La edad, sexo y competencias digitales de los miembros de los consejos de administración vienen siendo objeto de estudio y debate, sin que se hayan producido (que yo conozca) muchos estudios profundos y conclusiones al respecto [x]. 

La edad media de los consejeros es elevada (sin que este término sea valorativo, es simplemente descriptivo); la media en España es de 60 años [xi] [xii]. En todo caso es una edad elevada en comparación con la de la fuerza de trabajo española, cuya ‘edad de jubilación’ es de 65 años, aunque se está estudiando subirla un par de años. 

El porcentaje de mujeres en los consejos es muy bajo [xiii], y de lento crecimiento (4% en los últimos 5 años)[xiv]. También en cargos de decisión, más en general, la mujer está infrarrepresentada [xv].   Esto contrasta con el —desde hace años alto y creciente— papel de la mujer en el mundo del trabajo [xvi]. Aunque persista una significativa brecha retributiva [xvii]. 

Los consejos se beneficiarían, a no dudarlo, del aumento de variedad en su seno [xviii] [xix]. Hace tiempo que se viene reconociendo la importancia de la(s) inteligencia(s) emocional(es)[xx] en el consejo [xxi] y aunque parece que hombres y mujeres no difieren mucho en tales inteligencias [xxii], no cabe duda de que la aportación femenina puede ser valiosa. 

Pero quizá el principal aspecto a comentar en relación a la composición del consejo y es el de los conocimientos y habilidades de sus miembros. Además de la importancia de la dimensión emocional, ya comentada, parecen necesarios ciertos conocimientos y competencias relacionadas con las TI. Aunque éstos no sustituyan a los primeros [xxiii].

Lamentablemente, la academia y la empresa no han sido capaces aún de cristalizar conjuntamente un conjunto de perfiles de conocimientos-habilidades que cubra el amplio campo de necesidades de profesiones TI y —por lo que a nuestro tema concierne— que alcance las funciones de gestión y de gobierno. Aunque, afortunadamente, existen algunos centros docentes y algunas certificaciones de prestigio, su generalización es insuficiente.

Algunos depositan una esperanza, a mi entender injustificada, en la natural evolución generacional, en la progresiva incorporación de las ‘generaciones digitales’. Dudo que haber sido destetado con un smart-phone, y el experimentar a diario, en el trabajo, el comercio y servicios y el ocio ‘vivencias digitales’ (las digital experiences) —por alta que sea la calidad de éstas—confiera globalmente a esas generaciones habilidad y competencia alguna en la producción, uso, gestión o gobierno de las TI. 

Ya han transcurrido varias generaciones ‘nativas automovilísticamente’, sin que se hayan observado habilidades y competencias ‘generalizadas’ en conducción segura, o mejora del tráfico urbano, por poner dos contraejemplos.

Creo pues que las mejoras en GCTI se irán produciendo por la incorporación a los consejos de personas de ambos sexos, que unan a los perfiles tradicionales otros, incluyendo conocimientos y experiencia técnicos en TI y en sistemas de información y sobre todo en su gestión y gobierno. Gestión y  gobierno que son muy distintos de la tecnología: siguiendo con el símil automovilístico, una cosa es saber fabricar o reparar automóviles, otra saber planificar una red viaria.  

Caben otros pronósticos y escenarios distintos a los de la incorporación de competencias mediante la incorporación de personas. En una cena reciente con la Prof. Valentine [xxiv], hablándole yo del borrador de este artículo, ella defendió su creencia de que en breve se verá una significativa incorporación de inteligencia artificial a los consejos, sobre este y otros temas. 

De forma independiente, mi colega en iTTi Mª  José de la Calle me ha enviado una nota en que propone  algo más avanzado: “otro posible escenario es que sobre el GCTI no tendrá sentido hablar cuando la tecnología impregne de tal modo la sociedad en general y las empresas en particular que se haga invisible y por tanto parte indivisible de todo, y si se gobierna lo que sea, vaya incluido”. Yo, la verdad, no lo veo en diez años. 

* *

Buen GCTI,  confianza, seguridad y ciberseguridad

Otras dos cuestiones merecen aquí un comentario. Me refiero a lo que considero usos inadecuados de los términos ‘confianza’ y ‘ciberseguridad’. En ambos casos, de forma general se incurre en cambios semánticos que pueden dificultar abordar y tratar los problemas adecuadamente. 

En el caso de la ‘confianza’, en la que se viene poniendo tanto énfasis[xxv], entiendo que el acento inicial no se  debiera poner en la confianza —que es un juicio subjetivo— sino en la seguridad  (en el plano de lo real) y la certeza (en el plano de lo ideal). Reemplazar seguridad por confianza es una “metonimia”[xxvi]: tomar el efecto por la causa. ¡Mal vamos si tenemos mucha confianza pero poca seguridad y poca certeza!

En el caso de la ‘ciberseguridad’ se viene cayendo en una “sinécdoque”[xxvii]: tomar el todo por la parte. Tanta insistencia en un aspecto crítico, pero parcial, de la seguridad puede distraernos (nos está distrayendo) de la jerarquía buen gobierno ---> seguridad ---> seguridad de la información ---> seguridad de las TI ---> ciberseguridad. 

La reiterada insistencia en ‘confianza’ y en ‘ciberseguridad’[xxviii] augura un debilitamiento del GCTI y de la seguridad. 

* *

Conciencia activa ciudadana sobre seguridad, libertad e intimidad 

Por una parte, la preocupación por las amenazas y riesgos informáticos (fraude, jaqueo, ciber-ataques, ciber-guerra) crece en las administraciones públicas, las empresas medianas y grandes y entre los profesionales. 

Por otra, mientras tanto, la masa de usuarios (adultos, jóvenes y niños) vive generalmente seducida por el consumismo digital que permite y facilita una enorme gama de servicios, muchos gratis o muy baratos que nos hace olvidar que ‘no hay almuerzo gratis’ y que ‘si no pagas, no eres el cliente, sino la mercancía’[xxix] [xxx]. Esto no niega los muchos beneficios derivados de las redes. 

Todo hace prever que, en los próximos años, el poder y la influencia de las grandes redes reforzará su posición monopolística u oligopolística [xxxi] y que los usuarios estarán más exhaustivamente analizados y manipulados, reduciéndose aún más su libre albedrío [xxxii].

La seducción de muchas redes, servicios y apps (y la vertiginosa difusión de las modas –los selfies—, p. ej.) se sobrepone a las precauciones de seguridad y de recato elementales y han conseguido, en muchos casos,  reducir la ‘ingeniería social’ a meras consultas a Internet.

Aparte de la cuantiosa información que voluntaria o inconscientemente vertemos cada minuto a las redes –‘y minuto’ no es una exageración, si llevamos el móvil en el bolsillo—,  está toda la información que nos capturan hackers y agencias de seguridad, éstas en gran medida usando los datos que vertemos (Tweet, Facebook, YouTube…) y los metadatos que genera nuestra actividad digital cotidiana. No parece que esa vigilancia vaya a disminuir, pese a las revelaciones de diversos whistleblowers (Chelsea Manning, WikiLeaks, Anonimous…). 

* *

Cambio organizativo y cultural y proyectos de cambio 

Si el GCTI fuera a mejorar en el futuro, habría que confiar en que ello se debiera —al menos en buena parte— no a cambios espontáneos, ‘brownianos’, sino a proyectos de mejora.

Sin embargo, pese a lo que se ha avanzado en gestión de proyectos (piénsese en el PMBOK), los grandes proyectos de cambio organizativo y cultural en las organizaciones presentan un descorazonador registro histórico: en los últimos 18 años, la tasa de fracasos de grandes proyectos de cambio ha seguido manteniéndose en torno al 70% (sí, setenta por ciento de tasa de fracasos)[xxxiii]  [xxxiv].

* *

Conclusión

En conclusión, pocos cambios a la vista.

Como nota de esperanza piénsese en los paradigmas darwinista y schumpeteriano [xxxv]: ‘supervivencia del mejor adaptado’ y ‘destrucción creativa’. Con todo lo mucho que tiene de mejorable, no podemos quejarnos de a dónde se ha llegado. Probablemente las organizaciones con mejor GCTI tienen los mejores billetes para el futuro.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 234, octubre-diciembre 2015. Referencia: NOVÁTICA-234, "Año 2025: El futuro de la Informática", pg. 40 – "Un 2025 sin un mejor gobierno corporativo de las tecnologías de la información" – Manuel Palao.   

-----------------------------------

[i]  Las que afectan o se sienten afectadas por la actividad de la entidad. “2.15. stakeholder. person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity”. ISO 31000:2009. Risk management - Principles and guidelines. 

[ii] Como establece el sudafricano Código King III de 2009, enmendado en 2012, <http://www.iodsa.co.za/?kingIII>, del que podría inspirarse nuestra CNMV y como reconoce alguna sentencia en España. 

[iii] Conformance and Performance. Vid. https://www.google.es/#q=conformance+performance 

[iv] Creo que las siguientes palabras del Prof. Han bien pueden ser extrapoladas del mundo de la política al de la empresa. “La transparencia que hoy se exige de los políticos es todo menos una reivindicación política. No se exige transparencia frente a los procesos políticos de decisión, por los que no se interesa ningún consumidor. El imperativo de la transparencia sirve sobre todo para desnudar a los políticos, para desenmascararlos, para convertirlos en objeto de escándalo”. B-C. Han. Psychopolitik: Neoliberalismus und die neuen Machttechniken. Frankfurt. S. Fischer Verlag, 2014, ISBN 978-3100022035. Versión española: 2014) Psicopolítica. Barcelona. Herder Editorial. ISBN 978-84-254-3368-9, pp. 23-24 . 

[v] Lo que COBIT 5 ha denominado sus enablers (componentes constructivos, habilitadores. No “catalizadores”, que es la perversa traducción que se le ha dado en versiones al español) pertenecen a 7 clases: 1. Principios, políticas y Marcos de Referencia; 2. Procesos; 3. Estructuras organizativas; 4. Cultura, ética y conducta; 5. Información; 6. Servicios, infraestructura y aplicaciones; 7. Personas, habilidades y competencias. Vid. ISACA. (2012). COBIT 5. A Business Framework for the Governance and Management of Enterprise IT. ISACA. Rolling Meadows. Illinois. p. 27. Hay versión española. 

[vi] Losprocesos estocásticos son impredecibles por no deterministas; más aún que los caóticos, que al ser deterministas, permiten algunas inferencias.

[vii] “Stochastic social science theory is similar to systems theory in that events are interactions of systems, although with a marked emphasis on unconscious processes. The event creates its own conditions of possibility, rendering it unpredictable if simply for the number of variables involved”.  <https://en.wikipedia.org/wiki/Stochastic#Social_sciences >. [a 11-10-2015].

[viii] “Tras ocho años de crisis, la banca no ha corregido los graves defectos de fondo del sector bancario. Pese a las enormes ayudas públicas que ha recibido una parte de la banca, el dinero prestado a tipos casi cero por el Banco Central Europeo (BCE), los avales del Estado y las enormes provisiones que han hecho las entidades para sanear sus balances, aún hay malas prácticas. Según la presidenta de la supervisión bancaria del BCE, Danièle Nouy, “todos los días surgen nuevas evidencias de una mala conducta profesional de los institutos de crédito”.

“El BCE dice que detecta malas prácticas bancarias a diario”. El País, 23-11-2015. <http://economia.elpais.com/economia/2015/11/23/actualidad/1448298820_320916.htm l>. [a 23-11-2015]. 

[ix] “We can only see a short distance ahead, but we can see plenty there that needs to be done”. A.M.Turing (octubre 1950), “Computing Machinery and Intelligence”, Mind LIX (236): 433–460, DOI:10.1093/mind/LIX.236.433,ISSN 0026-4423. http://mind.oxfordjournals.org/content/LIX/236/433 [a 11-10-2015].

[x] Una excepción puede ser la tesis doctoral y otros trabajos de la Prof. Elizabeth Valentine. Ver nota 25. 

[xi] La edad media de los consejeros en las compañías españolas es de 60 años. La razón de que sean de los más veteranos en el panorama internacional puede deberse a que el 76% de las compañías no tiene establecida una edad de retiro para estos expertos que se sientan en los consejos de administración (órganos administrativos de las sociedades mercantiles). El 24% restante la estipula entre los 65 y los 80 años. En los países anglosajones existe una tendencia generalizada a que la edad de retiro de los consejeros externos no exceda los 70 años”. 

Mateos, M. (13-11- 2015). “Los consejeros españoles son los mejor pagados de Europa”. Expansión. <http://www.expansion.com/emprendedoresempleo/desarrollocarrera/2015/11/12/5644d653e2704edc2f8b45c8.html> [a 26-11-2015]. 

[xii] La edad media de los consejeros en las compañías españolas analizadas es de 60 años”.  Spencer Stuar t. (2015). Índice spencerstuart de Consejos de Administración 2015. 19a Edición. p. 41. <https://www.spencerstuart.com/research-and-insight/spain-board-index-2015> [a 26-11-2015]. 

[xiii] El total de consejeras es de 142 y supone el 14% del total de los miembros de todos los Con- sejos [de 95 compañías cotizadas en el mercado español de las cuales 34 son del IBEX] frente a 2013 en que había 133 consejeras representando el 13%”. Fuente: Nota 10, p. 34. 

[xiv] Tal lentitud no debiera sorprender, aunque sí preocupar. El sufragio femenino se comenzó a conquistar en los países “occidentales” a finales del s. XIX, y se fue generalizando en el primer tercio del siglo XX. En España lo reconoció la Constitución de 1931, aunque estuvo suprimido durante un cuarto de siglo en la dictadura franquista. ¡Andorra lo reconoció en 1970 y Suiza en 1971! < https://es.wikipedia.org/wiki/Sufragio_femenino > [a 19-11-2015]. 

[xv] “...[L]a participación de las mujeres en cargos de decisión es también de las más bajas entre los países desarrollados”. El País. Editorial. (22-11- 2015).<http://elpais.com/elpais/2015/11/20/opinion/1448049355_745816.html> [a 21-11-2015]. 

[xvi] “Un índice elaborado por The Economist sitúa a España en el octavo lugar entre los países de la OCDE, destacando la presencia de mujeres en la universidad, el número de parlamentarias o la duración de los permisos de maternidad. A pesar de que la percepción general es que España no destaca en términos de igualdad, las cifras no dejan ni mucho menos mal a nuestro país en este campo. Según un índice elaborado por el semanario The Economist, la presencia de las mujeres españolas en el mercado laboral está entre las más destacadas entre los países de la OCDE. En concreto, en el puesto número 8, por detrás de Dinamarca y al mismo nivel que Bélgica, en un ranking que lideran los países escandinavos, Finlandia, Noruega y Suecia”. Economía Digital. (25-11-2015). “Las trabajadoras españolas, cerca de romper el techo de cristal de la desigualdad”. 

ED Empresas. <http://www.economiadigital.es/es/notices/2015/11/las-trabajadoras-espanolas-cerca-de-romper-el-techo-de-cristal-de-la-desigualdad-79614.php> [a 25-11-2015].

[xvii] Los hombres acaparan el 82% de los sueldos más altos, según Hacienda”. Miguel Jiménez. (19 NOV 2015). El País. <http://economia.elpais.com/economia/2015/11/18/actualidad/1447872182_528635.html> [a 25-11-2015].

[xviii] Martín Caparrós. “Siri, esa mujer”. El País Semanal. 1 dic. 2015. <http://elpais.com/elpais/2015/11/30/eps/1448901382_841637.html>. [a 1-12-2015]. 

[xix] Page, S. E.(2007).The Difference: How the Power of Diversity Creates Better Groups, Firms, Schools, and Societies. Princeton University Press. ISBN-13: 978-0691138541 ISBN-10: 0691138540. 

[xx] Morales, R. (3 de Marzo 2008). “Las mujeres aportan experiencias diferentes a los consejos de administración”. Tendencias 21. http://www.tendencias21.net/Las-mujeres-aportan-experiencias-diferentes-a-los-consejos-de-administracion_a2111.html. [a 25-11-2015]

[xxi] NACD. National Association of Corporate Directors. (2010). https://www.nacdonline.org/Resources/RSSDetail.cfm?RSSID=21165. [a 26-11-2015]

[xxii] " The report states that corporate success comes not from boards of directors subscribing conscientiously to the codes, but on having a board that is prepared to challenge management, a chairman with a high level of emotional intelligence, ...". McRitchie, J. (June 4, 2012). "Emotional Intelligence". Corporate Governance.

http://www.corpgov.net/2012/06/emotional-intelligence/. [a 26-11-2015] 

[xxiii] Goleman, D. ( Apr 29, 2011). "The Brain and Emotional Intelligence. Are Women More Emotionally Intelligent Than Men?".  Psychology Today.  https://www.psychologytoday.com/blog/the-brain-and-emotional-intelligence/201104/are-women-more-emotionally-intelligent-men. [a 26-11-2015]

[xxiv] “[P]eople without the emotional intelligence get leadership positions on technical and execution skills. Beyond a point, this results in failed leadership and causes damage to the organization”. Fuente: Nota 19.

[xxv] Elizabeth Valentine es una especialista en las competencias de los consejos de administración relativas a las TI y su gobierno. Junto con el Prof. Glenn Stewart, de la Queensland University of Technology (Australia) publicó el artículo “Gobierno empresarial de las tecnologías de aplicación a los negocios: una perspectiva detallada de tres aptitudes relativas a la gobernanza tecnológica para los consejos de administración”. Novática nº 229, julio-septiembre 2014, número monográfico sobre ‘Gobierno corporativo de las TI’. 

[xxvi] Por ejemplo, en el Foro Nacional para la Confianza Digital (FNCD): "El Foro Nacional de Confianza Digital (FNCD) es una iniciativa de cooperación industrial que se enmarca dentro del Plan de Confianza Digital." http://www.agendadigital.gob.es/FNCD/Paginas/que-es.aspx. [a 24-11-2015]

[xxvii] "... Un fenómeno de cambio semántico por el cual se designa una cosa o idea con el nombre de otra ...  Son casos frecuentes las relaciones semánticas del tipo causa-efecto...".  https://es.wikipedia.org/wiki/Metonimia. [a 17-10-2015]

[xxviii] "... Un tropo en el cual: ...Una parte de algo es usada para representar el todo". https://es.wikipedia.org/wiki/Sin%C3%A9cdoque. [a 17-10-2015]

[xxix] Microsoft CEO Satya Nadella: “The most pressing issue of our time is cyber security". Citado por Saran, C. (18 Nov 2015). "Microsoft CEO gets personal with IT security". computerweekly.com. http://www.computerweekly.com/news/4500257574/Microsoft-CEO-gets-personal-with-IT-security. [a 18-11-2015] 

[xxx] “There ain't  no such thing as a free lunch”.  https://en.wikipedia.org/wiki/There_ain't_no_such_thing_as_a_free_lunch  

“If you are not paying for it, you're not the customer; you're the product being sold” https://www.quora.com/Who-originally-suggested-that-if-youre-not-paying-for-the-product-you-are-the-product 

[xxxi] “When it was sold to Facebook for a billion dollars in 2012, Instagram employed only thirteen people … its value comes from the millions of users who contribute to their network without being paid for it”. Lanier, J. (2014). Who Owns the Future? Penguin Books. p XX. 

[xxxii] “For instance, Peter Thiel, founder of PayPal and foundational investor in Facebook, taught students in his Stanford course on startups to find a way to create ‘monopolies’”. ibíd. p. 54. 

[xxxiii] “La persona misma se positiviza en cosa, que es cuantificable, mensurable y controlable. Sin embargo, ninguna cosa es libre … El Big Data anuncia el fin de la persona y de la voluntad libre”. Vid. Nota 4, p. 26. 

[xxxiv] “Transformational-change initiatives have a dismal track record. In 1996, Harvard Business School Professor John Kotter claimed that nearly 70 percent of large-scale change programs didn’t meet their goals, , Boston, MA: Harvard Business School Press, 1996. and virtually every survey since has shown similar results.”   Hamel, G., Zanini, A. (23-10-2014). “Build a change platform, not a change program”.   Insights & Publications.. McKinsey.

http://www.mckinsey.com/Insights/Organization/Build_a_change_platform_not_a_change_program?cid=other-eml-alt-mip-mck-oth-1410. [a 19-11-2015]

[xxxv] McKinsey publica informes periódicos sobre este tema.

[xxxvi] La ‘destrucción creativa’. https://es.wikipedia.org/wiki/Destrucci%C3%B3n_creativa. [a 28-11-2015]

 

Ciudades inteligentes, Internet de las Cosas y Herencia

Friday, 17 June 2016 Manolo Palao Posted in iTTi Views

El que deja una herencia, deja pendencias

Del refranero popular.

Dichoso el día en que ni la fortuna ni la miseria se hereden”. 

Rafael Barrett [i]

El creciente y natural interés por las ciudades inteligentes —smart cities (SC)— y por el Internet de las Cosas (IoT, por sus siglas en inglés) viene provocando por doquier infinidad de eventos y publicaciones de muy diverso enfoque y también de muy variada calidad.

En su gran mayoría, describen ambos fenómenos —SC e IoT— como una revolución global y de gran impacto que ya ha comenzado y está acelerándose, por la rápida evolución de la tecnología, el crecimiento de la población y la aspiración y acceso crecientes a la tecnología por parte de cada vez mayores contingentes humanos. Esas descripciones, muy a menudo, anuncian —a veces con tintes evangelizadores— un futuro próximo de utopía feliz.

El objetivo de las SC es «una calidad de vida elevada, un desarrollo económico-ambiental durable y sostenible, una gobernanza participativa, una gestión prudente y reflexiva de los recursos naturales, y un buen aprovechamiento del tiempo de los ciudadanos»[ii]. Calidad de vida, sostenibilidad y eficacia serían los tres conceptos clave.

Las SC son ciudades en las que se dan «un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios) y una alta concentración, diversidad, y poder de agentes y otros “interesados”»[iii]. El concepto de SC está todavía cristalizándose, como lo prueba que una búsqueda somera en Google de las ciudades “más smart” de 2015 arroja listas sin coincidencia alguna [iv]. 

Dicho ‘uso intensivo’ consiste fundamentalmente en una amplia utilización de la Internet de las Cosas, que permite una creciente regulación ‘inteligente’ (mediante sensores y algoritmos y dispositivos actuadores) de redes, como las de semáforos, abastecimientos (comunicaciones, agua, gas, electricidad, etc.) y otros servicios (hospitales, emergencias, etc.). De todo ello hay experiencias piloto y aplicaciones que ya tratan bastante satisfactoriamente sistemas muy diversos. 

Son usos de la IoT que deberían ir acompañados de un mayor y mejor uso de ‘tecnologías sociales’, «‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia)»[v]. 

En ambos casos (‘tecnología de las cosas’ y ‘tecnología de las personas’) se trata de usos capital-intensivos, que globalmente se desarrollarán e implantarán en el mundo diferencialmente, según los planes del capital y la capacidad de endeudamiento de las ciudades. Por ello, sería bueno también que gobiernos, universidades y pequeños emprendedores centraran además su atención en ‘tecnologías blandas’[vi] alternativas o complementarias, muchas de rápida implantación, con baja inversión. 

* *

Tanta novedad y progreso nos puede distraer de mirar adecuadamente al pasado, llevándonos a ignorar la herencia histórica de las ciudades (y de gran parte de la infraestructura de la IoT). No es que esta perspectiva histórica sea la mejor ni la única. Se trata simplemente de que no debe obviarse.

«La prospectiva conduce inevitablemente a la ciencia ficción, porque es fácil deslizarse hacia el entusiasmo tecnológico»[vii].

Como reflexión histórica, las ciudades de la segunda de las dos listas de la Nota [iv], fueron fundadas en las fechas que indica la tabla adjunta. Una gran herencia; con sistemas físicos y culturales, con siglos de antigüedad. 

Las que se estiman[viii] ser las 10 mayores megalópolis actuales albergan unos 317 M de habitantes y en general crecen a un ritmo acelerado (ley gravitatoria). Parece lógico pensar que estas grandes concentraciones humanas, de rápido crecimiento, son o serán muy pronto importantes candidatas a evolucionar hacia SC —de hecho, dos de ellas, N. York y Tokio están en la Tabla de SC—.

Herencias antiguas tienen también la mayoría de las muchas que se denominan ‘nuevas ciudades’ (new towns) o ciudades planificadas [ix] (aparte de que  el adjetivo ‘nuevo’ en el nombre de la ciudad puede inducir a errores históricos: Nueva York es de 1624, como he señalado; y Nueva Delhi de 1911).  

La paradigmática new town británica Milton Keynes (de 1967, ya con un trazado viario mallado y no radial) "tiene el compromiso de convertirse en una Smart City”[x].

Quizá puedan salvarse de la losa histórica aquéllas de las nuevas ciudades chinas ‘millennials’ (nativas digitales)[xi] que lleguen a consolidarse, porque al parecer, bastantes están desiertas o casi[xii].

Por otra parte, cabe esperar que el desarrollo de la ‘industria 4.0’ —caracterizada, entre otras cosas, por la robotización, que da lugar a una industria cada vez menos mano_de_obra-intensiva[xiii]— pueda en parte atenuar algo el crecimiento urbano (y de las nuevas ciudades), dado que éste se debió en gran parte a la creciente demanda de mano de obra concentrada surgida tras la Revolución Industrial.[xiv]

Por lo que respecta a la IoT y pese al anunciado progreso de la ‘industria 4.0’, durante mucho tiempo, una parte significativa, si no la mayor parte, de las ‘cosas’ que maneje y de su infraestructura, seguirán siendo también ‘heredadas’. La capacidad de renovación del parque empresarial es limitada y la tasa de penetración ‘generalizada’ de las innovaciones es relativamente lenta [xv].  

«Investigaciones recientes prueban que, como media, los países han adoptado tecnologías tales como las de automóviles, camiones, ordenadores / computadoras personales, teléfonos o imágenes de resonancia magnética más de cuarenta y cinco años tras su invención»[xvi].

En España, el 41% del parque de vehículos (un total de 30M) tenía –con datos hasta 2013 inclusive— más de 15 años de antigüedad [xvii]. ¿Qué porcentaje del parque total dispone de conectividad con servicios web o de asistencia al aparcamiento / parqueo? 

* *

En Informática, la palabra ‘herencia’ —legacy— es una palabra de mal agüero. La ‘herencia’, generalmente, es un problema intricado, retorcido [xviii], una “patata caliente”. Supone problemas económicos (eficacia, eficiencia), operativos (facilidad, continuidad, mantenimiento) y de seguridad. 

Un sistema heredado es «un sistema informático (equipos informáticos o aplicaciones) que ha quedado anticuado, pero continúa siendo utilizado por el usuario (típicamente una organización o empresa) y no se quiere o no se puede reemplazar o actualizar de forma sencilla»[xix].

Las herencias informáticas, por la propia historia de la tecnología, son herencias relativamente recientes y frescas: difícilmente superan, en los casos extremos, los 30 – 40 años. 

Pero imaginen ustedes, entonces, lo que esas herencias —que de por sí consideramos pesadas— pueden suponer superpuestas a las de los sistemas físicos (operativos, fabriles, urbanos) que a su vez son sistemas heredados, muchos con una enorme carga histórica. 

Estamos ante lo que el Prof. Allenby [xx] (hablando del cambio climático) denomina una ‘condición’ (en el sentido de estado o situación) a la que hay que habituarse, e intentar tratar a medio-largo plazo; pero no ante un ‘problema’, como algo que permite confiar en una solución directa, relativamente pronta. Una ‘condición’ o ‘problema retorcido’. 

* *

Quizá uno de los riesgos y retos más importantes que plantea y planteará la herencia es el de la seguridad. Los sistemas heredados son intrínsecamente inseguros, porque fueron diseñados sin que la seguridad fuese una especificación de diseño. Y en las SC y en la IoT se están implantando sistemas informáticos heredados inseguros [xxi] [xii]; y los nuevos que se implantan, con frecuencia, se están implantando sin las precauciones de seguridad adecuadas [xxiii]. 

Muchas legislaciones permiten rechazar las herencias convencionales (conjunto de bienes y obligaciones que alguien cede a su muerte). Las herencias genéticas no son (por el momento) rechazables y las tecnológicas lo son rara vez.

Hay, por ello, y habrá durante años, tanto en las SC, cuanto en la IoT, temas de preocupación y de ocupación abundantes e importantes, para los especialistas en seguridad.

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 21/04/2016. Ref: Magazcitum, año 7, nº1, 2016 pág. 26. "Ciudades Inteligentes, Internet de las Cosas y Herencia" - Manolo Palao. 

-------------------------------

[i] http://www.mundifrases.com/frase/rafael-barrett-dichoso-el-dia-en-que-ni-la-fortuna/. Consultado  20160123.  

[ii] https://es.wikipedia.org/wiki/Ciudad_inteligente. Consultado 20160123.

[iii] Palao, M. y García-Menéndez, M. (abril 2015). “Smart Cities y Gobierno Corporativo de las Tecnologías de la Información”.  REVISTA APD. Monográficos 2015,  apd Asociación para el Progreso de la Dirección. Madrid.  

[iv] Arlington County, Virginia, EEUU; Columbus, Ohio, EEUU; Ipswich, Queensland, Australia; Mitchell, South Dakota, EEUU; New Taipei City, Taiwan; Rio de Janeiro, Brasil; Surrey, British Columbia, Canada; según Forbes: World's Top 7 Smart Cities Of 2015 Are Not The Ones You'd Expect http://www.forbes.com/sites/federicoguerrini/2015/01/28/worlds-top-7-smartest-cities-of-2015-are-not-the-ones-youd-expect/#585258cb419c.  

Barcelona, Berlín, Estocolmo, Hong Kong, Londres, Nueva York, París, Tokio, Toronto, Viena; según First Point Group: TOP 10 SMART CITIES IN THE WORLD  http://www.firstpointgroup.com/top-10-smart-cities-in-the-world-2/.

[v] Ver Nota 3.

[vi] Como educación, persuasión, invéntica, heurística, investigación operativa, economía compartida, autoconsumo, consorcio, etc. Ver, p. ej., http://tecnoblanda.blogspot.com.es/ y  Varela, G. (1997), “Los patrones de vinculación Universidad-Empresa en Estados Unidos y Canadá y sus implicaciones para América Latina”, en Casas, R. y Luna, M. –Coordinadoras. (1997). Gobierno, Academia y Empresas en México. Hacia una nueva configuración de relaciones. México, D. F.: Plaza y Valdés. p 55. 

[vii] El País (Editorial). (20160124). El beneficio de la catástrofe. http://economia.elpais.com/economia/2016/01/22/actualidad/1453485315_217905.html. Consultado 20160124. 

[viii] Ciudad de México, Delhi, Guangzhou, Jakarta, Karachi, Manila, Mumbai, Nueva York, Shanghái, y Tokio. https://es.wikipedia.org/wiki/Megal%C3%B3polis#Megal.C3.B3polis_m.C3.A1s_pobladas. Consultado  20160123.

[ix] https://en.wikipedia.org/wiki/List_of_planned_cities.  Consultado 20160126.

[x] http://en.webot.org/?search=Smart_city. Consultado 20160126.

[xi] «Los principales cambios en la planificación de nuevas ciudades sucedieron en la década de 2000, cuando las ciudades chinas experimentaron una suburbanización acelerada». Traducido de Wu, F. (2015). Planning for Growth: Urban and Regional Planning in China. Nueva York: Routledge. Ch. 6. 

[xii] http://www.dailymail.co.uk/news/article-2005231/Chinas-ghost-towns-New-satellite-pictures-massive-skyscraper-cities-STILL-completely-empty.html. Consultado 20160126.

[xiii] “[E]n un horizonte comprendido entre el 2025 y el 2035, el 47% de la población ocupada de EEUU se hallará en un riego muy alto de que el trabajo que desempeña sea realizado por un elemento no humano”. Niño Becerra, S. (5 de enero 2016).  “Reedición”.  LACARTADELABOLSA.  http://lacartadelabolsa.com/leer/articulo/reedicion. Consultado 20160105. 

[xiv] El movimiento de las nuevas ciudades surgió en un intento de corregir la congestión, hacinamiento e inconvenientes de las ciudades, «subproducto de la revolución industrial, generado por el círculo vicioso por el que la industria optó por establecerse próxima a las bases de población».

https://en.wikipedia.org/wiki/New_towns_movement#The_New_Towns_Movement_around_the_world . Consultado 20160125.

[xv] “Un 2% probablemente no es una mala aproximación de cuán deprisa, como media, la Humanidad puede avanzar la frontera de la innovación, y parece nuestra mejor previsión para el próximo cuarto de siglo…

Tras la espectacular iluminación, en 1882, del bajo Manhattan por Thomas Edison, la electrificación de la mitad de las fábricas [de EEUU] aún llevó unas cuatro décadas”. Traducido de Greenspan, A. (2007). The Age of Turbulence.  The Penguin Press. pp 473-6.

[xvi] Fuente: Traducido de Allenby, B. R. (2012). The Theory and Practice of Sustainable Engineering. Nueva York: Pearson Learning Solutions.  p 156. 

[xvii] Fuente: elaboración propia, a partir de datos publicados por la Dirección General de Tráfico. http://www.dgt.es/es/seguridad-vial/estadisticas-e-indicadores/parque-vehiculos/. Consultado 20160123.

[xviii] «Un "problema retorcido" (en inglés, "wicked problem") es … un problema que es difícil o imposible de resolver dado que presenta requisitos incompletos, contradictorios y cambiantes que generalmente son difíciles de reconocer. El término "retorcido" no se utiliza en un sentido de malvado, sino antes bien como resistencia a la solución».  https://es.wikipedia.org/wiki/Problema_retorcido.  Consultado 20160126. 

[xix] https://es.wikipedia.org/wiki/Sistema_heredado. Consultado 20160123. 

[xx] Ver Nota 16.

[xxi] “Al considerar los requisitos de un sistema operativo seguro, vale la pena reconocer cuán lejos de satisfacer tales requisitos están los sistemas operativos corrientes”. Traducido de: Jaeger, T. (2008). Operating Systems Security.  San Rafael, California: Morgan & Claypool. p 39. 

[xxii] “ [P]rácticamente, todos los sistemas operativos embebidos instalados son incapaces de satisfacer de forma significativa niveles altos de certificación de seguridad. Una de las razones de la falta de seguridad de los sistemas operativos es el enfoque adoptado históricamente para lograr la seguridad. En la mayoría de los casos, la seguridad de ‘atornilla’ a toro pasado… Lamentablemente, muchos de los sistemas que se usan en el mundo para monitorizar y controlar plantas y equipos en industrias tales como abastecimientos de agua, saneamiento y gestión de basuras, energía y refino del petróleo usan esos sistemas operativos, los mismos que hay instalados en un vulgar PC”. Traducido de David Kleidermacher, D. & Kleidermacher, M. (2012).  Embedded Systems Security: Practical Methods for Safe and Secure Software and Systems Development. Elsevier. p 27. 

[xxiii] «Las nuevas tecnologías (sistemas, dispositivos, etc.) se están implantando sin realizar ninguna prueba de seguridad». Traducido de Cerrudo, C. (2015). Hacking Smart Cities. RSA Conference 2015.

https://www.rsaconference.com/events/us15/agenda/sessions/1527/hacking-smart-cities.  Consultado 20160127.

  

El liderazgo de la Transformación Digital. Papel del CIO.

Friday, 16 October 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

La digitalización (la Transformación Digital) de la empresa es un tema que viene ocupando la atención de los propios empresarios, y la de académicos y profesionales, llegando a alcanzar los titulares de la prensa general[i]. 

Harvard Business Review” ha publicado recientemente una interesante investigación[ii], basada en una amplia encuesta[iii], en la que destaca el papel del CIO en esa transformación. 

En la presente “Referencia” revisamos y comentamos sucintamente dicho trabajo, cuyas grandes conclusiones generales nos parecen desoladoras: 

i. “La mayoría de las empresas carecen de los conocimientos y habilidades necesarios para tener éxito en los aspectos digitales de sus negocios”;

ii. “Si bien los CEOs generalmente entienden las oportunidades y amenazas del negocio digital, muchos tienen aún que elaborar y comunicar una visión de sus empresas, o desarrollar una estrategia que convierta dicha visión en realidad”; y

iii. “Los directivos no tecnológicos de la mayoría de las organizaciones carecen de las habilidades y conocimientos para ejecutar una estrategia digital, en los casos en los que se dispone de una”

Un 20% escaso de los encuestados, afortunadamente para ellos y sus empresas (y para el lector, como ejemplo a emular), pertenecen a lo que el estudio ha denominado “Líderes Digitales” (LD); que son aquellos que satisfacen dos criterios: 

1) Liderazgo digital.

2) Buena gestión [iv].

O sea, que simultanean una visión y estrategia digitales, con la capacidad para materializarlas. Ello se traduce en mayor crecimiento de la facturación y mayores márgenes de beneficio, en relación al resto.

El liderazgo digital comienza en la cúspide. Es positivo que la mayoría (69%) de los encuestados hayan declarado que sus CEOs comprenden las oportunidades y amenazas digitales; aunque sólo los de las organizaciones identificadas como LD los han traducido (sin delegar esta tarea) a una visión y estrategia digitales, claramente articuladas.

Más de la mitad de los LD consideran a sus responsables de Tecnologías de la Información (TI), I+D+i, mercadotecnia y servicios al cliente dotados de excepcionales conocimientos y habilidades digitales.

Resulta claro que los directivos de las empresas tienen que aprender sobre tendencias digitales y mantenerse actualizados. En ello los CIOs tienen la oportunidad de jugar un papel clave como evangelistas, líderes y entrenadores (“coaches”) digitales. Situar personal de TI en las líneas de negocio puede facilitar el aprendizaje en el trabajo. Pero hay que comunicar en un lenguaje de actividades y resultados del negocio; lenguaje poco familiar a los tecnólogos. 

Se confirma la tendencia, observada en los últimos años, hacia un peso creciente de las inversiones de base tecnológica impulsadas por las áreas funcionales (en lugar de por los servicios de TI). En los LD ello sucede con la cooperación de dichos servicios; pero en la restante mayoría de los casos, sucede de espaldas a aquéllos.

Las TI no son (ni deben ser) el cometido de todos; los directivos no tecnológicos no tienen por qué convertirse en expertos en TI. ¡No es ese el objetivo! Lo que sí tienen que saber es qué pueden hacer las TI por la empresa, y cómo usarlas.

Muchas empresas echan de menos un foro o marco formativo adecuado y los CIOs, que están bien posicionados para educar en esto, no siempre están bien equipados. Un consejo: si no se tiene claro por dónde empezar, hágase por formación en técnicas analíticas.

Por lo demás, el trabajo de HBR propone siete recomendaciones para los CIOs:

1) Construya confianza.

2) Apoye las iniciativas tecnológicas promovidas por el resto de áreas del negocio.

3) Extreme sus esfuerzos por promover el aprendizaje de lo digital. 4) Sea el guía al que recurre la empresa.

5) Hable en el idioma de sus interlocutores (no tecnólogos).

6) Dígale a la empresa qué es lo que resulta posible hacer con la tecnología a su alcance.

7) Contrate expertos externos para mantenerse actualizado. 

Buena lista para un sosegado examen de conciencia. Frente a estas siete virtudes capitales, hay otros siete pecados... 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 232, abril-junio 2015. Referencia: Ref. Autoriz. NOVÁTICA 232, pg. 74 – El liderazgo de la Transformación Digital. Papel del CIO – Miguel García-Menéndez, Manuel Palao.  

-----------------------------------

[i] Los medios generalistas (CNN, ElSemanalDigital.com, Fortune, The New York Times, …), los blogs especializados (Blogpodium, Dealb%k, Insights & Publications, NiemanLab, Siemens USA Newsroom, …) o los centros académicos de investigación (CDB, CISR, …) ofrecen regularmente análisis, comentarios y/o noticias sobre cómo la “digitalización” va permeando cada sector económico (bancos, fábricas, granjas, museos, periódicos, …) e, incluso, cada país (China, EEUU, Francia, …). Sirvan como muestra las siguientes referencias y citas:

- Westerman, George. “Leading Your Company’s Digital Transformation” [Video]. MIT. Sloan School of Management. Center for Digital Business, 19 de octubre de 2012. URL [a 2015.06.07]: http://sloanreview.mit.edu/article/video-leading-your-companys-digital-transformation/ 

- Benton, Joshua. “The leaked New York Times innovation report is one of the key documents of this media age”. NiemanLab, 15 de mayo de 2014. URL [a 2015.06.07]: http://www.niemanlab.org/2014/05/the-leaked-new-york-times-innovation-report-is-one-of-the-key-documents-of-this-media-age/   

- Woetzel, Jonathan; Gordon Orr; Alan Lau; Yougang Chen; Michael Chui; Elsie Chang; Jeongmin Seong and Autumn Qiu. “China’s digital transformation”. Insights & Publications. McKinsey Global Institute. McKinsey & Company, julio de 2014. URL [a 2015.06.07]: http://www.mckinsey.com/insights/high_tech_telecoms_internet/chinas_digital_transformation 

- Lohr, Steve. “Museums Morph Digitally. The Met and Other Museums Adapt to the Digital Age”. The New York Times Company, 23 de octubre de 2014. URL [a 2015.06.07]: http://www.nytimes.com/2014/10/26/arts/artsspecial/the-met-and-other-museums-adapt-to-the-digital-age.html 

- ”It’s no secret that most organizations around the globe are in need of digitizing their business model and change rapidly to meet new customer expectations and demands” (No es ningún secreto que la mayoría de las organizaciones alrededor del globo tengan la necesidad de digitalizar sus modelos de negocio y de cambiar rápidamente para dar respuesta a las nuevas expectativas y demandas de sus clientes), cita de Marc Huijbregts, Accenture, tomada del artículo: Huijbregts, Marc. “How to re-invent Fortune 500 Companies”. Accenture Blogpodium. Accenture, 7 de noviembre de 2014. URL [a 2015.06.07]: http://www.accenture-blogpodium.nl/innovation/re-invent-fortune-500-companies/ 

- Bray, Chad. “ABN Amro to Cut Jobs in Shift to Digital”. DealB%K. The New York Times Company, 14 de noviembre de 2014. URL [a 2015.06.07]: http://dealbook.nytimes.com/2014/11/14/abn-amro-to-cut-jobs-in-shift-to-digital/ 

- Hardy, Quentin. “Working the Land and the Data”. The New York Times Company, 30 de noviembre de 2014. URL [a 2015.06.07]: http://www.nytimes.com/2014/12/01/business/working-the-land-and-the-data.html 

- Levie, Aaron. “How companies can avoid the pains of digital disruption”. Fortune, 8 de diciembre de 2014. URL [a 2015.06.07]: http://fortune.com/2014/12/08/how-companies-can-avoid-the-pains-of-digital-disruption/ 

- Chambers, John. “How France is embracing digitization of everything”. Cable News Network (CNN), 22 de febrero de 2015. URL [a 2015.06.07]: http://edition.cnn.com/2015/02/21/intl_tv/chambers-france-digitization/ 

- “The good news for U.S. industry is this: The path to modernization is clear. Digitalization … the solution.” (La buena noticia para la industria estadounidense es ésta: El camino hacia la modernización es claro. La digitalización ... la solución), cita de Raj Batra, Presidente, Digital Factory, tomada del artículo: Batra, Raj. “Manufacturing Success Depends on Embracing Digitalization”. Siemens USA Newsroom. Siemens Corporation, 9 de abril de 2015. URL [a 2015.06.07]: http://news.usa.siemens.biz/blog/manufacturing-success-depends-embracing-digitalization 

- Ayerbe Dárceles, Paula. “BBVA renueva su cúpula en pos de la digitalización”. ElSemanalDigital.com, 6 de mayo de 2015. URL [a 2015..]: http://www.elsemanaldigital.com/bbva-renueva-su-cupula-en-pos-de-la-digitalizacion-141871.htm 

- Weill, Peter. “Digital Disruption in the Financial Services Industry” [Video]. MIT. Sloan School of Management. Center for Information Systems Research, enero de 2015. URL [a 2015.06.07]: http://cisr.mit.edu/publications-and-tools/publication-search/digital-disruption-in-financial-services/ 

[ii] Harvard Business Review Analytic Services. “Driving Digital Transformation: New Skills for Leaders, New Role for the CIO”. Harvard Business School Publishing, 2015. URL [a 2015.07.06]: https://enterprisersproject.com/digital-transformation-report  (Gratuito. Requiere registro). 

[iii] La encuesta tuvo 436 respuestas; de ellas, 299 correspondientes a miembros del Harvard Business Review Advisory Council. Cubrió empresas de todo el mundo, con amplia distribución sectorial y tamaño mediano-grande, por su plantilla y facturación. 

[iv] La ilustrativa ‘ficha técnica’ de la encuesta no da empero información suficiente sobre la metodología utilizada, las variables empleadas y los estadísticos resultantes, por lo que es prudente tomar esa clasificación con una pizca de sal.

 

Mi ignorancia del gobierno de TI

Saturday, 10 October 2015 Manolo Palao Posted in Corporate Governance of IT

“¡Dios santo! Llevo más de cuarenta años hablando en prosa sin saberlo…” [i]

Llevo más de cincuenta años trabajando en TI, que antes se llamaba informática  y que antes tenía nombres más prosáicos: ‘proceso de datos’, y aún antes, ‘mecanización administrativa’.

Y resulta que —salvados los tres o cuatro primeros años, en que fundamentalmente mi trabajo fue de cálculos de ingeniería— el resto del tiempo me he estado relacionando ampliamente con temas de gobierno de TI (GTI). Y yo, sin saberlo, como el M. Jourdain de Molière. 

Porque –igual que la TI antes se llamaba informática y antes proceso de datos y mecanización– el GTI, antes se llamaba buena gestión, o control interno, o —como reza el centenario Código Civil español— ‘desempeñar su encargo con toda la diligencia de un buen padre de familia’. 

No pretendo, claro, que TI y GTI sean un mero cambio de nombres: son, evidentemente, fruto de una evolución. 

Quiero también dejar sentado que, cuando hablo de ‘gobierno’, me refiero siempre a ‘buen gobierno’, porque se debe entender que ‘gobierno’ lo hay siempre, más o menos activo o acertado. Cuando no es observable o es malo, mejor llamarlo ‘desgobierno’. 

En la última década he dedicado bastante esfuerzo y atención al GTI —en su definición, variantes y buenas prácticas generalmente aceptadas. Pero…—.

Con el conocimiento aumenta la ignorancia 

Aclaro el subtítulo: a medida que aumenta nuestro conocimiento de algo, aumenta también nuestro conocimiento de lo que ignoramos; aflora o se explicita nuestra ignorancia. 

Se ha usado el símil de que el conocimiento es como una isla o un continente rodeado de un océano de desconocimiento, de ignorancia. Si imaginamos que —con trabajo y suerte— aumentamos nuestra isla de conocimiento, aumentamos también la costa de lo desconocido: el Mare In Cognito, o la Terra Ignota, como Ptolomeo denominó a lo entonces no cartografiado.

Así que, cuando para la revista Sistemas me pidieron unas reflexiones sobre GTI, algo“… basado en… su… experiencia sobre el tema. No es un artículo, son sus opiniones sobre la evolución del Gobierno de TI en las organizaciones…”, me ha parecido oportuno hablar de lo que ignoro –­que es más–, que de lo poco que sé –que es menos–.

La lista de lo que no entiendo, de lo que sé que ignoro es muy larga y sería ciertamente desproporcionada con la extensión de esta columna.  Por ello voy a referirme sólo a media docena de ignorancias, entre las que me preocupan particularmente:

- Gobierno corporativo y gobierno de TI

- Conformidad y rentabilidad

- La epidemia de ‘gobiernos TI’

- El rol del órgano de gobierno

- Los reguladores

- La formación en TI

He optado por no hacer referencia concreta a escuelas, estudios o autores. El lector especialista no las va a requerir y al más generalista confío en que le basten los trazos gruesos que siguen. Pero quedo abierto a cualquier solicitud de referencias. 

Gobierno corporativo y gobierno de TI

El gobierno de TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de la TI”.

El gobierno de TI es un subconjunto del gobierno corporativo. Un subconjunto integrado en toda la estructura y actividades del gobierno corporativo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corporativo de TI’.

Por ser un subconjunto o componente, el concepto predominante en el GTI es ‘gobierno’, siendo ‘TI’ secundario.

Aunque esa secundariedad no debe ni puede ocultar el doble hecho de que, en cualquier sector: i) la TI juega un papel relevante y creciente en todas las actividades empresariales; y ii) la TI encierra actualmente el mayor potencial singular de ventajas estratégicas, para el sector o cualquiera de sus empresas (incluidas algunas ajenas al sector: piénsese en la banca).

No entiendo, pues, el relativamente bajo peso que el GTI tiene aún en los foros profesionales, asociativos y académicos. 

Conformidad y rentabilidad

Parece generalmente aceptado que conformidad y rentabilidad son los dos objetivos inseparables y quizá antagónicos a corto plazo del gobierno de TI. Se les puede imaginar como ese dios Jano bifronte de la mitología romana.

Hay unos pocos estudios empíricos clásicos y referencias que prueban que la conformidad aumenta la rentabilidad (por ejemplo abaratando la financiación al aumentar la confianza). Pero, tales estudios son escasos. Ignoro por qué no se investiga más sobre ese tema, que me parece fundamental. 

La epidemia de ‘gobiernos TI’

Asistimos —en la escena internacional y en las nacionales— a oleadas de escándalos financieros, de robo de información y otros en que la TI tiene un papel relevante; y asistimos también a las aparentemente insuficientes o tardías reacciones de algunos legisladores y reguladores.

No entiendo que, junto a esa evidencia de déficit de gobierno y ese desgobierno, haya una proliferación –una epidemia– de supuestos ‘gobiernos TI’: gobierno del big data, gobierno de la seguridad, gobierno de la nube, gobierno de las licencias… ¡No recuerdo si también gobierno del gobierno!

Los equipos de mercadotecnia / marketing de muchos vendedores también han echado su leña a la hoguera: ‘la nueva versión de nuestro software de contabilidad le resuelve definitivamente su gobernanza financiera’.

‘Gobierno’, ‘gobernanza’, son términos que suenan bien en el mundo de los  negocios; como ‘revitalizador’ suena bien en el mundo de las cremas. Términos que se usan, tanto si se gobierna cuanto si se desgobierna; tanto si la crema revitaliza cuanto si su mejor cualidad —menos mal—es que es hipoalérgica.

No entiendo que no se hagan oír voces cualificadas contra tanta inflación conceptual y publicidad engañosa. 

El rol del órgano de gobierno

El gobierno corresponde, cuando no por ley, por definición y sentido común, al órgano de gobierno —consejo de administración, directorio, junta directiva…— de la entidad.

El gobierno corporativo de TI corresponde al órgano de gobierno; no a la unidad de TI. Incluso la gestión / administración de TI —la ‘tradicional’ responsabilidad de los directivos y técnicos TI– no lo es plenamente de éstos: lo es toda ella, salvo aquella pequeña parte que es gobierno o que es interfaz del gobierno.

No entiendo entonces que un gran número de órganos de gobierno carezca de miembro alguno con conocimientos y habilidades relativos a la TI y sus usos. Se observan destacados movimientos correctores pero, son tan infrecuentes aún, que siguen provocando titulares.

Aquel órgano de gobierno que gobierna la TI sin tener la capacitación adecuada, desgobierna; y si delega en un gestor u órgano técnico, abdica de sus responsabilidades. Si un gestor u órgano técnico asume funciones propias del órgano de gobierno, lo está usurpando.

Por ello, no entiendo la caterva de ‘gobernantes’ que a veces se observa en diversos escalones del organigrama corporativo —salvo quizá en los de cabecera, precisamente donde el gobierno debiera radicar—. Como si las comparsas hubieran asaltado la guardarropía del teatro y todos se hubieran hecho con casacas y guerreras, casi ocultas bajo tanto galón y entorchado. 

Los reguladores

Los reguladores parecen oscilar —influidos por los agentes sociales— en busca de un equilibrio entre el déficit y el exceso de regulación. Es una situación parecida al juego de cartas de las ‘siete y media’ (parecido a blackjack o veintiuna), situación que un autor español inmortalizó en los versos: “juego vil / que no hay que jugarlo a ciegas,/ pues juegas cien veces, mil, / y de las mil, ves febril / que o te pasas o no llegas” [ii].

Pero además, esa oscilación muy retardada respecto a los escándalos de desgobierno, se me antoja que viene teniendo lugar en torno a un listón francamente bajo, insuficiente.

No obstante, en algunos países ha habido avances prometedores. Sorprende mucho que —en un mundo altamente conectado, en tiempo real; aparte de viajes, congresos y otros intercambios— muchos reguladores mantengan tan altas inercias, introduzcan mejoras meramente decorativas y desdeñen emular a los pioneros.

¿Qué perversa dinámica sociopolítica mantiene a unos reguladores de espaldas a otros en su producción? ¿Qué mantiene, en general, ese listón tan bajo? Lo ignoro. 

La formación en TI

Parece evidente que hay un déficit cuantitativo y cualitativo global de formación de talento en TI. El excelente reciente número 133 de la revista Sistemas trató en detalle el tema.

Aparte de la gran diversidad de perfiles profesionales convencionalmente considerados necesarios, creo importante insistir en que son tan necesarios perfiles computacionales (computer sciences) cuanto perfiles sistémicos (sistemas generales e information systems). Los primeros están generalmente bien cubiertos (pienso en España) por las Escuelas de Ingeniería Informática; los segundos, insuficientemente, a mi juicio, en esas y otras escuelas de ingeniería y en otros estudios (económicas, administración…).

También se necesitan perfiles transdisciplinares y de éstos, aunque fueren una minoría, aquellos que puedan servir al interfaz gobierno-gestión: principios de economía, de organización, estudio del valor y del riesgo, gestión de programas y proyectos, recursos humanos, seguridad, resiliencia… además de sólidos fundamentos de TI.

Ignoro si las universidades en su conjunto están dispuestas y preparadas para reducir la brecha tradicional entre su producto y el que el mercado demanda. Opino que aquellas que, además de sus titulaciones académicas, facilitan a los alumnos la obtención de alguna de las certificaciones profesionales reputadas, establecen una pauta que se debería generalizar. Creo que los moocs (cursos virtuales abiertos masivos) que cada vez ofrecen más universidades de prestigio internacional moverán a muchas universidades a alinearse o serán preteridas.

* * *

Este artículo fué publicado originalmente por la Revista Sistemas, nº 136, septiembre 2015, editada por ACIS (Asociación Colombiana de Ingenieros de Sistemas). Referencia: Columnista. Mi ignorancia del gobierno de TI" – Manolo Palao.   

-------------------------------------------

[i] M. Jourdain, en: Molière. El Burgués Gentilhombre. Acto II, escena IV. 1670.

[ii] Pedro Muñoz Seca. La Venganza de Don Mendo, 1918.  

 

Digitalización de la Gestión del Cambio

Thursday, 20 August 2015 Manolo Palao Posted in iTTi Views

McKinsey&Company ha publicado recientemente un sugerente artículo [i] -aquí, en inglés- sobre la digitalización de la gestión del cambio. 

El artículo comienza recordándonos que “el 70% de los programas de cambio fracasan en el logro de sus objetivos” —una tasa de fracasos que se ha venido tristemente registrando a lo largo de las dos últimas décadas.

Los autores han encontrado que diversas empresas (sobre todo B2C) han usado algunas de las herramientas TI que emplean para influir en el comportamiento de sus consumidores (p. ej.: tecnología portátil / ponible, interfaces adaptativos, integración en plataformas sociales, cuadros indicadores / salpicaderos y mensajes personalizados) para dar apoyo más eficaz y duradero a su propio cambio interno.

Identificaron 5 áreas en concreto: i) aportar a la plantilla más y mejor realimentación (feedback), justo-a-tiempo, sobre el rendimiento; ii) personalizar la vivencia del personal, localizando, identificando, indicando los tiempos en los datos relativos a la tarea en curso específica; iii) soslayando la jerarquía, promoviendo la comunicación y cooperación horizontal: iv) desarrollando empatía, comunidad y propósito compartido mediante la promoción de foros, cuadros de indicadores compartidos, visualización de tareas y ludificación (gamification); y v) mostrando el progreso en tiempo real, ocasionalmente mostrando las contribuciones individuales a los logros.

A nuestro entender, no cabe duda de que las herramientas TI, hábilmente empleadas, pueden y deben asistir en la difícil empresa de gestión del cambio. Por tanto, bienvenidas sean las citadas prácticas.

Pero, carentes de estudios multivariantes, ponemos en cuestión la relevancia de dichas herramientas en proyectos de esta naturaleza, en los que —conforme a todas las principales escuelas— son las cuestiones micropolíticas, sociológicas y psicológicas las principales variables explicativas de un cambio con éxito sostenido. En tanto tenga lugar un avance significativo en el tratamiento de estas variables, hay poco motivo o ninguno para tirar cohetes. 

* * *

[i] Boris Ewenstein, B. et al. (July 2015). “Changing change management”.  Insights & Publications.  http://www.mckinsey.com/insights/leading_in_the_21st_century/Changing_change_management?cid=digital-eml-alt-mip-mck-oth-1507  

 

Digitization of change management

Thursday, 20 August 2015 Manolo Palao Posted in iTTi Views

McKinsey&Company has recently published a provoking article [i] on the digitization of change management. 

The article starts reminding us that “70 percent of change programs fail to achieve their goals”, a failure rate that has sadly been recorded at similar levels throughout the past two decades. 

The authors have found that companies (mainly B2C) have leveraged some of the IT tools they use to influence their consumer behavior (e.g.: wearable technology, adaptive interfaces, integration into social platforms, digital dashboards and personalized messages) to support more effective and lasting their own internal change. 

They identified 5 particular areas: i) providing more, better, just-in-time performance feedback to the staff; ii) personalizing the staff experience, localizing, identifying and timing data related to the specific task at hand; iii) sidestepping hierarchy, promoting horizontal communication and cooperation; iv)  building empathy, community, and shared purpose by promoting forums, shared dashboards, tasks visualizations and gamification; and v) demonstrating progress in real time, eventually showing individual contributions to the achievements.  

In our view, there is no doubt that IT tools, skillfully used, may and should assist in the difficult undertaking of change management. Accordingly, welcome the practices mentioned.

But, lacking multivariate studies, we question the relevance of said tools in projects of this nature, where —according to all mainstream schools— micro-political, sociological and psychological issues are the key factors of a successful and enduring change. Until a breakthrough takes place in dealing with those factors, there is little or nothing to write home about. 

* * *

[i] Boris Ewenstein, B. et al. (July 2015). “Changing change management”.  Insights & Publications.  http://www.mckinsey.com/insights/leading_in_the_21st_century/Changing_change_management?cid=digital-eml-alt-mip-mck-oth-1507 

 

¿Ciberinseguridad o Desgobierno?

Thursday, 18 June 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En el sector hay una máxima -que aún se dice a veces con retintín: “uno debe dar por supuesto que ya han entrado en su sistema” [i]. 

Que penetren en nuestro sistema es una cuestión de seguridad informática o, por usar el palabro de moda, de ciberseguridad. 

Que los hackers lleven meses en el sistema de un banco, con control (al menos parcial del mismo: por ejemplo, de parte de los cajeros automáticos) y que hayan suplantado la identidad de una variedad de empleados, pudiendo hacer —sin que el banco se aperciba— transferencias importantes a cuentas de los malhechores es una cuestión ciertamente de ciberinseguridad, pero también de desgobierno y quizá de desgobierno nacional o supranacional.

El Profesor colombiano Jeimy Cano en su libro de 2013 y en artículos más recientes se refiere a la “inseguridad de la información… como elemento práctico de gobierno corporativo” [ii].

Hace poco (febrero 2015), The New York Times publicó el avance de un informe de Kaspersky Lab [iii] sobre el reciente descubrimiento de una suplantación masiva de identidades de empleados en más de 100 bancos y otras entidades financieras en Rusia, Japón, Suiza, EE UU y los Países Bajos. Kaspersky Lab ha declarado tener pruebas de sustracciones por 300 M USD, aunque creen que el total podría ser el triple. Dicen haber informado de todo  ello a la Casa Blanca y al FBI. 

Durante casi dos años y desde finales de 2013, los hackers enviaron a empleados bancarios correos con código dañino, que en ocasiones les permitió hacerse con los caracteres que tecleaban los empleados, así como con vídeos, pantallazos y el control de diversos sistemas y cajeros automáticos. 

Los hackers se tomaron mucho tiempo para estudiar las rutinas de los empleados y de los bancos y limitaron sus sustracciones a cantidades ‘razonables’ que despertaran menos alarmas.

De este modo, hacían transferencias a cuentas pirata o retiraban dinero de cajeros, que lo entregaban por control remoto. La forma generalmente usada para robar las cuentas corrientes bajo su control era manipular al alza su saldo y vaciarla luego con transferencias a cuentas de los hackers. 

(El objetivo y ámbito de la usurpación de identidad se han considerado individuales tradicionalmente [iv]. Estos hackers han logrado un ataque mucho más rentable, haciéndolos corporativos).

Hay que suponer que entre la diversidad de sistemas penetrados habría bastantes que contasen con muchos de los recursos y procedimientos de seguridad más recomendados. 

¿Cómo entonces ha podido suceder algo así en más de un centenar de bancos? La única explicación plausible es desgobierno corporativo —o insuficiente buen gobierno— falta de control interno, incluido el informático, pero no limitado al mismo.

Al parecer, ningún banco se ha hecho eco de este incidente (en ese prurito de pretender mantener la confianza por el secretismo). El consorcio Financial Services Information Sharing and Analysis Center, a través del que los bancos comparten información sobre estos eventos se ha limitado a declarar que había informado a las entidades interesadas.

Mientras tanto, el Presidente Obama no recibió muy buena acogida el pasado 13 de febrero, en Stanford, al presentar y firmar su decreto sobre comunicación de eventos en que haya sido comprometida información personal o financiera. Ni siquiera asistieron muchos de los líderes de grandes empresas tecnológicas [v]. ¿Sería por tensiones anteriores (WikiLeaks, Snowden…), o sería por ser viernes y 13? 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 231, enero-marzo 2015. Referencia: Ref. Autoriz. NOVÁTICA 231, pg. 96 – ¿Ciberinseguridad o Desgobierno? – Miguel García-Menéndez, Manuel Palao.  

----------------------------------------------------

[i] https://www.nsslabs.com/blog/technology-future-bds-market-set-explode  Consultado 15/02/2015

https://www.nsslabs.com/blog/tags/breach-detection-systems Consultado el 15/02/2015

[ii] Cano, J. (2013).  Inseguridad de la información.  Una visión estratégica. MARCOMBO, S.A. Barcelona. ISBN: 9788426719812. EAN: 9788426719812. “[L]a inseguridad de la información, entendido como elemento práctico de gobierno corporativo que permite a los estrategas de la seguridad de la información pensar de manera complementaria y generar escenarios alternos a los tradicionales, para superar el síndrome de la falsa sensación de seguridad”. 

[iii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?emc=edit_th_20150215&nl=todaysheadlines&nlid=65935020&_r=0 Consultado el 15/02/2015

[iv] https://es.wikipedia.org/wiki/Robo_de_identidad Consultado el 15/02/2015

[v]  Jiménez, R. (13 FEB 2015).  “Obama tiende una mano a Silicon Valley tras el espionaje masivo”. El País. http://internacional.elpais.com/internacional/2015/02/13/actualidad/1423861487_812880.html 

 

Big Siblings, Big Hackers (pun intended)

Tuesday, 16 June 2015 Manolo Palao Posted in iTTi Views

The following are quotes from the Opening Statement by Ms. Flavia Pansieri Deputy High Commissioner for Human Rights at the United Nations Panel Discussion on the Right to privacy in the digital age [i]: 

[D]igital platforms are vulnerable to surveillance, interception and data collection. Deep concerns have been expressed as policies and practices that exploit this vulnerability have been exposed across the globe.” 

[P]ractices in many States reveal a sometimes deliberate lack of adequate national legislation and enforcement; weak procedural safeguards; and ineffective oversight. All of this contributes to widespread impunity for arbitrary or unlawful interference in the right to privacy.” 

* *

This other quote is from a video clip [ii] by Mr. Ben Wizner, Director, ACLU (American Civil Liberties Union) Speech, Privacy & Technology Project [iii]: 

[S]urveillance technologies have outpaced democratic controls… [G]overnments have placed mass surveillance ahead of cyber-security.

And I think that this is something that perhaps the broader public has not sufficiently understood… that there's actually a tension between the government's surveillance efforts, which include creating and exploiting vulnerabilities in communication systems, and the government's cyber security mission which is aimed at protecting us from malicious attacks from hackers, from foreign governments, from criminals.

That in effect, governments —particularly the US government and the British government, but not only those two governments— have made the strategic decision to weaken communication systems for everyone in order to facilitate mass surveillance.

* * *

-------------------------------------

[i] United Nations. (12 September 2014). Salle XX, Palais des Nations. url: http://www.ohchr.org/en/NewsEvents/Pages/DisplayNews.aspx?NewsID=15022&LangID=E retrieved 16/06/2015. 

[ii] https://www.youtube.com/watch?v=sBFDaeaI7s4&feature=youtu.be retrieved 16/06/2015

[iii] https://www.aclu.org/bio/ben-wizner retrieved 16/06/2015

 

On the Impact of the Internet on Whistleblowing

Sunday, 31 May 2015 Manolo Palao Posted in iTTi Views

Some people act according to their ethical / social / political beliefs and they act that way in spite of the costs and risks that such an attitude might entail. 

The behavior of many of them deviates often from their declared ideals, but in other cases it is pretty consistent. 

Occasionally, the price they pay is high and sometimes so high that —if publicly known— they are considered heroes, prophets or martyrs. 

If their sets of beliefs and their actions collide with the interests of the establishment, they are often proscribed as revolutionaries or criminals. 

But public opinion (except in non-democratic societies) is not monolithic and –for this reason­– individuals considered criminals by certain groups may be considered saints by others. 

The Internet (in those societies where it has already become a commodity) grants a powerful tool easy to use, with low-entry barriers, to propagate activism and hacktivism and is a field of operations for black and white hats.  

The ease of use and relative anonymity / impunity of the Internet may be a new mean for whistleblowers (who previously used the post or the newspapers) but it is hard to accept that it fosters the disclosure of wrongdoings. 

A different story is the strong pull effect of cases like WikiLeaks or Snowden.

The media (and in particular the group of syndicated newspapers that covered the WikiLeaks case) played a significant role, providing / increasing WikiLeaks’ legitimacy and meant an awakening for millions of citizens. 

And this cooperative relationship / reinforcement media-whistleblowers is apparently frequent, with its ups and downs. 

Prof. Gabriella Coleman [i] from McGill University, who has researched for years the cultures of hacking and digital activism, covers that issue —among many others— in an interesting book [ii], reporting a visit to the Canadian Security Intelligence Service (CSIS), the Canadian equivalent of the CIA, emphasized the role of the press. 

Mr. Ben Wizner [iii], Director of the Speech, Privacy, and Technology Project at American Civil Liberties Union, takes a similar stance [iv].

The current amplifying effect of the media and social networks is amazing. 

Bruce Schneier [v] has estimated [vi] that 700 million people modified their behavior as a result of Snowden’s disclosures, even if the mainstream media coverage was limited and biased by sorting out and publishing only the less technical issues.

* * *

----------------------------------

[i] http://gabriellacoleman.org  http://en.wikipedia.org/wiki/Gabriella_Coleman 

[ii] “The joke opened the door to further conversation concerning the media's central role in amplifying the power of Anonymous. One CSIS agent shared his anger at the media for making this collective of collectives more powerful than they ought to have been. I was, I have to admit, relishing the fact that the G-men and Anons, mutually opposed at one level, were nevertheless (very loosely) allied in holding an ambivalent attitude toward the mass media. We all agreed that the media had helped to make Anonymous what it was today” [emphasis, mine].  Coleman, G. (2014). Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous ISBN 9781781685839. Introduction. “I did it for the lulz”. 

[iii] https://www.aclu.org/bio/ben-wizner  

[iv] “So I think the journalists play a very, very vital role. Now I think that they have played that role extremely responsibly. I haven't heard of a single case where a journalist reporting on the Snowden documents has done so without first consulting with the governments that are most relevant and would be most affected.” Retrieved 20150531  from https://www.youtube.com/watch?v=0_AtTPh_ySo&feature=youtu.be&t=42 

[v] https://www.schneier.com 

[vi] “And running the numbers, I calculated that 700 million people on this planet have changed their behavior because of the Snowden documents of the NSA's activities. Now, maybe they didn't really change their behaviour very much, maybe it wasn't effective, but I can't think of another issue that changed the behaviour of 700 million people on this planet”. Retrieved 20150531  from https://www.youtube.com/watch?v=9F6gc8ToXjA&feature=youtu.be 

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk