13 fuerzas que dan forma al futuro de la TI

La tecnología siempre nos sorprende, ya sea por sus saltos cuánticos (en China, en cifrado de datos, memoria, nanotecnología) o, al menos, por una constante evolución y socialización (desde las primeras herramientas de la Edad de Piedra, hasta las supercomputadoras de hoy). La fuerza impulsora es variada, desde la supervivencia hasta más allá del mero conocimiento o descubrimiento, pasando por guerras y riquezas.

Con respecto a las tecnologías de la información, las fuerzas son varias. En ese sentido apoyan las nuevas formas del Centro de Datos, el empleo de la computación social (redes sociales), de nuevos dispositivos (smartphones, superficies inteligentes, IP-TV, 3D) o formas de trabajo (BYOD seguras), o de nuevas formas de lugar de trabajo (autenticidad, transparencia, confianza, cultura, cambios demográficos, virtual, entre algunas formas).

Algunas ya son conocidas. Tenemos, por ejemplo, (1) automatización de las tareas comunes (pero controladas), que decanta en (2) velocidad para tomar decisiones y desarrollar estrategias que tengan un impacto directo en el negocio, (3) agilidad entre departamentos estableciendo habilidades blandas y colaboración eficiente, y (4) flexibilidad requerida para hacer frente a la competitividad globalizada  y siempre cambiante de nuestro mundo actual (coyuntura, mercado, gustos, preferencias, servicios, entre otros factores a considerar), que genera una (5) hipercompetición la cual conduce a acuerdos de menor costo en el mercado de compradores de servicios TI, siendo la amenaza real la sostenibilidad de estos acuerdos, la (6) consumerización porque el comportamiento de los consumidores tiene el poder de redefinir el modo en que las empresas de TI trabajan, sin olvidar que todo eso acarrea problemas de (7) seguridad y privacidad, tanto en la identificación de los agujeros en la seguridad como en la búsqueda de talento para hacerles frente, y la necesidad de que el (8) gasto en TI esté más gobernado que antes.

Otras son innovadoras en su planteamiento. Tenemos, por ejemplo, una mayor (9) colaboración entre TI y otras unidades de negocio, además que la nube proporciona más opciones que antes (controlando aspectos de nivel de servicio, seguridad en la transmisión y almacenamiento de datos, localización de datos, entre otros a considerar), siendo su utilización muchas veces resultado de decisiones estratégicas y tácticas para la tecnología impulsadas por las unidades de negocio no-TI, o la creación de una (10) simbiosis entre la automatización, que provee los datos suficientes y patrones repetibles, y la inteligencia artificial para impulsar el proceso, de modo que, considerando (11) la información correcta, en el momento y lugar adecuados (ubicuidad de la información), se podría acelerar el desarrollo y la puesta en marcha de nuevos servicios.

Otras son resultado de la (12) acumulación de datos, y la necesidad inherente de aplicar (13) analítica. No perdamos de vista que los servicios financieros también serán alterados radicalmente –no sólo por el ransomware, lo que acarreará también mayores innovaciones en las TI.

Varias maneras de mejorar tu SLA

Es importante revisar cómo este tema avanza y, aunque lo vemos a diario ya que las bases están cubiertas, aún no lo interiorizamos apropiadamente.

Ya hemos conversado sobre la importancia que reviste un SLA apropiado para colocar servicios en la nube, aunque los proveedores de servicios en nube son (normalmente) reticentes a cualquier modificación en sus SLA estándar.

También hemos comentado cómo para una TELCO 2.0, un SLA correctamente ideado e implementado es un diferenciador importante, y una garantía de éxito.

Has contratado un servicio que establece lo que está comprendido en él y lo que no (alineado con los objetivos del negocio –estando articulados TI y el negocio en primer lugar –objetivos, expectativas, planificación, rediseño de procesos pueden ser factores previos importantes de considerar), y su vigencia.

El servicio contratado contempla recursos y capacidades que se deben entregar, está sujeto a restricciones, a plazos, a una calidad en la prestación, disponibilidad comprometida, responsabilidades de cada parte, procedimientos de escalamiento, pago, compensaciones, entre otros factores. Decir que se entrega algo que ha sido contratado no es lo mismo que evidenciarlo. Lo que buscamos son evidencias de dicho cumplimiento. Para ello gestionamos el servicio al establecer los estándares de medición, procedimientos para los reportes (contenido, frecuencia, entre otros aspectos a considerar), procesos para resolver controversias, cláusulas de indemnización en caso de incumplimiento por propios o terceros, mecanismos de actualización del SLA sobre todo cuando cambian los requisitos del servicio por cambios en la coyuntura socio-económica-cultural, modernización de la tecnología subyacente, cambios en las cargas de trabajo, existen mejoras en los procesos y herramientas de medición, o los recursos o las capacidades del proveedor del servicio (interno, y lo llamamos OLA o nivel de servicio organizacional, o externo, los SLA).

Chris Drumgoole, de Terremark, nos dice que “todo el mundo sabe que las cosas se rompen – es la naturaleza de la vida. Es cómo responder a las cosas que se rompen lo que te diferencia como proveedor de servicios en la nube”.

Entonces, resulta razonable establecer criterios para desarrollar las métricas que ambas partes deberán utilizar para realizar sus mediciones. Comúnmente medimos la disponibilidad del servicio, la tasa de defectos, la calidad técnica (incluyendo precisión y exactitud), tiempo de respuesta del personal de soporte, nivel de seguridad, velocidad, capacidad de respuesta y la eficiencia. Todo esto y más dependiendo del servicio contratado. Es más, podríamos considerar como SLA los resultados del negocio, una evolución más para reflejar la adición de nuevos servicios. Lo importante es que estas métricas hayan sido definidas con cuidado, sean periódicamente revisadas y actualizadas, sean las realmente necesarias, puedan realmente obtenerse (si es automático, mejor), estén controladas, tengan sentido, y motiven un comportamiento apropiado de ambas partes.

No debemos olvidar nuestro ecosistema tecnológico, el que controlamos normalmente (independiente de nuestro modo de operación), y el que aparece con el Shadow IT el cual también debe ser apropiadamente gobernado. Es evidente debemos incluir la Shadow IT en la Gestión de eventos, incidentes, problemas y solicitudes y, por ende, estaría representada esta gestión en los contratos con terceros o UC según ITIL®, y formaría parte del sistema de reportes de rendimiento y cuadros de mando.

Esto ayuda a incrementar el reconocimiento del valor que entrega IT al negocio como un todo.

22 maneras de lograr reuniones más productivas -y seguras

22 maneras de lograr que las reuniones sean más productivas -y seguras

Para los no expertos, u olvidadizos, conviene recordarlas –aunque no sean las únicas. No olvidemos, sin embargo, la seguridad de la información.

El objetivo de toda reunión es lograr algo –ideas, avanzar en los proyectos, resolver problemas, mejorar servicios, entre otros. Buscamos un efecto positivo en la moral de los colaboradores, así como en el rendimiento del equipo y de la organización. Los líderes dirigen reuniones para hacer el trabajo.

Las reuniones pueden ser realmente productivas, de calidad, si contamos con las herramientas de colaboración adecuadas y configuradas apropiadamente para reducir las fallas de seguridad de las aplicaciones, y así evitar que los datos de toda la organización sean vulnerables (utilizando cifrado de datos, contraseñas seguras, evitar descargas automáticas, entre otras medidas) y, lo que es más importante, la mentalidad correcta, con la capacitación apropiada en cuanto a seguridad de la información.

La colaboración es una habilidad muy personal, y cada uno de nosotros trabaja de manera diferente (consideremos la generación en que nacimos), usamos herramientas diferentes –lo que crea problemas de seguridad de la información.

Unos prefieren una videoconferencia sobre una llamada telefónica o comunicación vía WhatsApp; otros prefieren utilizar el chat o el correo electrónico (cuidando la netiquette -reglas de convivencia/etiqueta en la red) para intercambiar archivos, por ejemplo; otros, el teletrabajo; otros utilizar sus propios dispositivos de comunicación (BYOD), buscando siempre movilidad (y asegurar que esa movilidad no comprometa la seguridad); por ejemplo. Como vemos, aparecen muchos riesgos de seguridad.

Con respecto a las reuniones, debemos considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Determinar la necesidad de la reunión que se convoca. ¿No podemos obtener los mismos resultados mediante una llamada telefónica o un correo electrónico, por ejemplo?
  2. Designar el facilitador. Conviene un líder que puede reforzar las grandes ideas articuladas en la reunión, ayudar a una discusión positiva y asignar actividades de seguimiento.
  3. El objetivo de la reunión (por qué necesitamos reunirnos, qué ha ocurrido que demanda reunirnos). Las reuniones más eficaces son aquellas donde los objetivos son claros (enfocados, accionables/realizables con autorizaciones y recursos, oportunos). Este tipo de reuniones son las que generan un impacto positivo en el negocio, sobre las medidas de productividad, innovación y cuota de mercado.
  4. Programar una agenda pensando en tareas y no en tópicos ayuda, estableciendo a priori el tiempo que invertiremos en cada tarea propuesta (tiempo sincerado en relación con el alcance del trabajo que se espera completar de dicha tarea), y estableciendo la persona directamente responsable a cada tarea. ¿Serán suficientes 30 minutos en total?, considerando lo anterior o, como dicen, menos es mejor, si contamos con alguna estadística interna.
  5. La sensibilidad de la información que se tratará, las herramientas que se utilizarán, y los medios que se emplearán, todo antes, durante y después de la reunión. Necesitamos identificar los mecanismos de seguridad que serán empleados en cada caso, por todos los participantes, directos e indirectos (asesores internos y externos, asistentes, entre otros).
  6. Anticipar reacciones fuertes o negativas durante la reunión –considerando los posibles participantes, y condiciones que originan la necesidad de reunirse. El silencio podría ser considerada una reacción fuerte –y debemos aprender a tolerarlo. Tal vez una retroalimentación utilizando herramientas colaborativas puede ser útil, para evitar una relación ‘cara a cara’ que podría tomar tiempo.
  7. La zona horaria en que se encuentran los posibles participantes –o la posible situación a tratar, para realizar la convocatoria en SU horario, no el nuestro. Se supone que, aunque lejanos, hemos mantenido el contacto siempre ¿verdad?
  8. El mejor horario para agendar las reuniones y evitar distracciones ¿de martes a jueves tal vez? (luego que las cosas ocurridas el fin de semana han sido resueltas, y antes de los preparativos del siguiente fin de semana) ¿entre las 09:00 y las 11:00 horas? (después del desayuno y antes de la hora del almuerzo) ¿o entre las 14:00 y las 16:00 horas? (después del almuerzo y antes de la hora de salida) Cada organización tiene –y mantiene- sus tiempos en que se encuentran más alertas.
  9. Con qué información necesitamos contar -antes de la reunión para ser difundida y trabajada por los asistentes con anticipación.
  10. Asegurar la puntualidad (de inicio y de fin), un factor de respeto en equipos de trabajo –y además porque todos andamos muy ocupados ¿verdad? ¿Ofrecemos premios a los puntuales y castigo para los tardones? O nos basamos en la ética y respeto mutuo.
  11. Debemos establecer expectativas claras para la participación. Debe quedar claro lo que realizaremos (trabajar algo, coordinar algo, decidir sobre algo –aunque hay cosas que no pueden esperar a las reuniones); así, los participantes pueden expresar responsabilidad personal por una determinada acción. Si utilizamos una reunión para informar algo, que sea realmente crítico, o buscar emplear otros medios. Bueno, depende de la cultura organizacional.
  12. Tener en claro la información que necesitamos obtener, como resultado de la reunión. Esto implica una gestión de conocimiento.
  13. Identificar o programar con tiempo el tipo de reunión que sostendremos (presencial, remota/virtual), asegurando que todos los participantes contemos con lo necesario en cada caso y con la debida anticipación. No olvidemos repasar la “tarea” de la última reunión. Cuánta anticipación dependerá, dirán muchos, de la urgencia, sin considerar el trabajo previo a realizar, cuya calidad no estará garantizada.
  14. Convocar a las personas en la correcta cantidad (cuantos menos sean, mejor), con la adecuada competencia y experiencia, cantidad y nivel de información requerida, nivel de responsabilidad y autoridad para asignar y designar recursos, y a los que necesiten los resultados de la reunión. En otras palabras, convocar a los esenciales.
  15. La preparación previa que requiramos, como conocer la presentación que haremos para no leer las presentaciones y aburrir a los participantes, conocer a quién nos dirigimos, conocer cuáles son sus intereses, conocer el balance de su poder e influencia, entre otros aspectos.
  16. La comodidad del lugar (ubicación, sonoridad, control ambiental, espacio personal, tamaño del lugar, mobiliario apropiado y en buenas condiciones – ¿una mesa redonda tal vez?, iluminación, disponibilidad y acceso a los servicios, entre otros aspectos). Tal vez convenga realizar una determinada reunión fuera del salón de clase (la sala de reuniones habitual), especialmente si son pocos participantes. Igual, dependerá de la cultura organizacional y, quizá, también, de lo que se vaya a tratar.
  17. La herramienta a emplear –incluso utilizar algunas que hasta hace un tiempo podrían no haber sido autorizadas en la empresa, pero que ahora son necesarias para “mantenerse on-line” (fuera del lugar de trabajo, en cualquier sitio, y a toda hora).
  18. El medio a emplear (video conferencia, audio conferencia, por ejemplo), y no olvidemos antes y durante la reunión a aquellos que asisten de forma virtual –también son participantes.
  19. Asegurar, por supuesto, que no haya distracciones al utilizar dispositivos personales y otra agenda personal (realizando trabajos que no tienen relación con el propósito de la reunión, generando distracción y, por tanto, retrasos). Utilicemos las herramientas que realmente necesitemos, apaguemos lo demás, por respeto a los participantes.
  20. Cómo lograr no ser el único que habla (no estamos dando una disertación) –cuidemos el ego. Recordemos que la participación es lo que hace una reunión ya que tienen la oportunidad de proporcionar otras perspectivas sobre la tarea a realizarse, a hacer que las ideas fluyan. Todos tenemos derecho a defender nuestras ideas y a trabajar a partir de la crítica honesta -y constructiva por supuesto.
  21. Cómo hacemos para permanecer en el tema porque, puede ser inevitable que existan desvíos, por la cultura organizacional o de los propios participantes o interés de alguno de los participantes. Por ejemplo, si la conversación está saliendo del tema, lideremos el asunto (re-enfoquemos la reunión, el punto tratado), no tengamos miedo de intervenir y traer la conversación de nuevo a los temas descritos, y registremos todos los puntos relevantes planteados para una futura discusión.
  22. No olvidar recapitular al final de la reunión lo trabajado, los acuerdos (compromisos) tomados (las fechas objetivo concretas, los siguientes pasos, las tareas a ejecutar), de registrar todo convenientemente, y de realizar el seguimiento correspondiente (hecho de una manera que promueve la reflexión y el aprendizaje, y minimice las reacciones defensivas), previa difusión de lo realizado para que todos sepan que se hará con las decisiones tomadas.

Muchos de nosotros sabemos lo difícil que es hacer nuestro mejor trabajo y permanecer comprometidos con los resultados mutuos en un ambiente donde las reuniones no nos comprometen a aportar nuestras mejores ideas de manera eficiente y efectiva. Nadie desea críticas, reclamos, quejas, echar la culpa, aburrimiento o pensar que hemos malgastado nuestro valioso tiempo o el de nuestros colaboradores, y peor si hemos tenido que desplazarnos para nada.

Una vez que se hayan establecido estándares para reuniones eficientes, eficaces y entretenidas, su equipo seguirá [los estándares] – y las reuniones pueden comenzar a ser la mejor parte de su día de trabajo.

¿Algo que agregar o mejorar?

Bueno, hemos visto bastante sobre cómo realizar reuniones efectivas y planteando un esquema de seguridad en ellas.

Con respecto a la seguridad de la información antes, durante, y después de estas reuniones, cabe considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Si la cultura organizacional interviene, ¿dónde queda la política de seguridad de la empresa?
  2. El asunto se complica si consideramos a los terceros en esto – ¿podremos hacer que se sujeten a nuestras reglas/políticas de seguridad o utilicen nuestras herramientas? ¿qué opinan?
  3. ¿Qué opciones tecnológicas podríamos ofrecer –o necesitamos implementar en adición- en estos casos?
  4. ¿Requeriremos (y podremos lograr) una transformación digital?
  5. ¿Cuáles serían las nuevas restricciones?
  6. ¿Propondremos herramientas en la nube –incluidas las redes sociales?
  7. ¿Qué protección brindaríamos y cómo mantendremos la seguridad si utilizamos la nube o redes sociales –y la sincronización de la información para evitar ‘malos entendidos’ o ‘desfase’, o excusas similares?
  8. ¿Qué políticas, normas o procedimientos nuevos estableceremos –o cómo afinamos, agilizamos, flexibilizamos lo existente?
  9. ¿Qué pasa con los cuidados que los propios usuarios debemos tener presente durante el uso de los servicios en nube o de redes sociales, como por ejemplo, a quién entregamos nuestro número de teléfono o correo electrónico?
  10. ¿Qué hay sobre los dispositivos o componentes que dejamos de lado en favor de los nuevos (independiente del motivo del reemplazo)? ¿Tenemos como norma adoptada y accionable destruirlos o borrar su contenido?
  11. Si utilizamos esquemas de comunicación como teletrabajo, ¿cómo garantizamos la identidad del interlocutor? ¿Cómo garantizamos la confidencialidad de la información tratada?
  12. ¿Deberá ser necesaria la firma de acuerdos de confidencialidad?
  13. ¿Podremos controlar que no se utilicen dispositivos (personales o provistos por la empresa) que hayan sido objeto de rooting, jailbreaking u obteniendo de otro modo acceso privilegiado al dispositivo?

En general, no sólo se trata de crear una ilusión de seguridad, es necesario medir la efectividad del esfuerzo. Queda abierto el debate.

¿Quién más desea ser un design thinker?

Para desarrollar una estrategia digital, tendremos que aprender (y usar) nuevas técnicas como el design thinking.

Este método está enfocado en fomentar la innovación en las organizaciones [con base en las personas, en sus conocimientos y en su habilidad por imaginar lo diferente] de una forma eficaz y exitosa.

Las organizaciones que son capaces de crear un clima de Innovación encuentran las grandes ventajas de la participación activa y entusiasta de sus equipos humanos, con ideas nuevas y proyectos motivadores.

Es obvio de lo anterior que el equipo de trabajo es la clave.

Hoy, a medida que el terreno de la innovación se expande para abarcar procesos y servicios centrados en el ser humano, así como productos, las empresas están pidiendo a los diseñadores que creen ideas en lugar de simplemente hacerlas estéticamente atractivas.

El design thinking lleva implícita la necesidad de observar a los usuarios [clientes] con el objetivo de buscar soluciones que se centren en ellos.

Entonces, en el ámbito actual de los negocios, podríamos anotar que es un enfoque en la empatía de los clientes y las soluciones de prototipado rápido a los problemas de los clientes (un sentido de urgencia para evitar que el pez chico se coma al grande), de una forma que sea tecnológicamente factible y comercialmente viable (que se obtenga valor para el cliente). Hablamos, por supuesto, del prototipado de las ideas más prometedoras, y no lo confundamos con el de una pantalla de menú de una aplicación de recursos humanos, por ejemplo.

Tradicionalmente son cinco pasos que se siguen [no precisamente de forma línea]:

  1. Empatizar con las personas que disfrutarán de nuestro trabajo, mediante observación y entrevistas, hay que entenderlas, intentar sentir lo que sienten, identificar lo que les interesa, es buscar descubrir y comprender los supuestos personales y organizacionales y las inclinaciones alrededor de un punto focal –cómo abordo el desafío.
  2. Definir, para identificar cuáles son sus actuales ideas, y poder seleccionar qué necesidades concretas del cliente vamos a solucionar, es identificar e interpretar las tendencias y patrones –cómo interpreto mis hallazgos.
  3. Idear, ya estamos listos para uno de los momentos más atractivos del método, la eclosión creativa para generar ideas (las reglas innegociables en toda sesión de lluvia de ideas son: no criticar las aportaciones de los demás, generar cuantas más ideas mejor y hacerlo en un clima distendido y de diversión profesionalizada), es desarrollar conjuntos de mapas divergentes y provocativos utilizando creatividad, datos, intuición e investigación –qué es lo que creo.
  4. Prototipar, convertir las mejores ideas en diseños reales que las personas puedan ver, tocar y con las que puedan interactuar, es informar esfuerzos de planeamiento de largo aliento, inspirar innovación, y crear hoy el futuro –cómo construyo mi idea.
  5. Testear, con una pequeña muestra, dejar que toquen y experimenten, aguantar la respiración [y esperar pacientemente saber qué funcionó y que no], sin perder la sonrisa, y escuchar sus opiniones finales (la bendita, esperada y preferible retroalimentación) –cómo pruebo y mejoro la idea

Bueno, creo que algunos de nosotros hemos estado utilizando este modelo (independiente a la profesión), por varios años, aunque no le llamamos así; de hecho, no le poníamos nombre y, a mi entender, y en algunos aspectos, es una cuestión de sentido común que se va ganando con la experiencia, compromiso y perseverancia.

No me malentiendan, evidenciarlo ahora, aunque no sea nuevo en concepto, resulta útil para todos, con o sin experiencia.

Design thinking no se trata de crear productos o empresas, sino de tomar medidas concretas para hacer de nuestro mundo un lugar mejor.

Es una forma de pensar, está centrada en las personas, es colaborativa, es optimista, es experimental. Busca una perspectiva adaptable, resistente y transformacional.

Cómo la organización necesita capacitar a sus colaboradores en ciberseguridad

Las encuestas seguramente mostrarán que los trabajadores siguen violando las políticas de seguridad para seguir siendo productivos.

Las amenazas de información modernas vienen en muchas formas: de los hackers que buscan robar propiedad intelectual a los empleados inconscientes que no saben que están poniendo los datos en riesgo.

Cierto, los seres humanos somos el eslabón más débil –hasta que los hacemos un activo fuerte.

[Sin duda] la empresa capacita a sus colaboradores de acuerdo con su política de seguridad para inculcarles el papel crítico que desempeñan en mantener su lugar de trabajo seguro mediante una vigilancia más estrecha para proteger contraseñas personales y datos confidenciales, y en reconocer las amenazas (¿ransomware por ejemplo?).

Toquemos el punto de la capacitación y preguntémonos:

  • ¿cómo realizamos estas capacitaciones? Por ejemplo, en línea o presencial, otras formas
  • ¿en dónde realizamos estas capacitaciones? Por ejemplo, en un local especialmente acondicionado (interno o interno a la organización), en la oficina del jefe inmediato, en el módulo de trabajo del colaborador al cual reemplazará o con el cual trabajará, otros
  • ¿en qué oportunidades realizamos esta capacitación? Por ejemplo, el primer día/semana/mes de labores, tan pronto o luego que el colaborador ha ingresado, o antes que el colaborador se integre formalmente a la empresa, agrupamos los colaboradores ingresantes en un periodo determinado, una vez al año, por pedido expreso, por necesidad evidente [una re-capacitación por ‘afianzamiento’ tal vez], otras opciones
  • ¿cuál es el propósito de la capacitación? Por ejemplo, una inducción, la que esperamos no sea sólo de seguridad ocupacional, difundir la política institucional, difundir la política de seguridad, aclarar el acuerdo de confidencialidad que el colaborador firmará al ingresar a laborar y que le será recordado por el área competente al retirarse de la empresa, otros
  • ¿mantenemos un registro de las capacitaciones realizadas? Por ejemplo, en archivo texto, hoja de cálculo, archivos personales, base de datos, otros, y consideramos también las evaluaciones de entrada y de salida, tanto de colaboradores como de capacitadores
  • ¿cómo aseguramos la asistencia? Por ejemplo, por disposición normativa, coordinación con el jefe inmediato, obligación contractual, amenaza a la continuidad laboral por incumplimiento, otros
  • ¿cómo controlamos la asistencia y entrega/accedo al material correspondiente? Por ejemplo, identificación de la computadora desde donde realizamos la capacitación [dirección IP, nombre de máquina], identificación del usuario que ingresa al módulo en línea de capacitación, presencial con un supervisor, listado actualizado de participantes, otros
  • ¿mantenemos un historial de estas capacitaciones por cada colaborador? Por ejemplo, para emplearlas como insumo de la evaluación semestral o anual
  • ¿de qué manera aseguramos el resultado esperado –y continuo- de esta capacitación? Por ejemplo, evaluaciones inopinadas periódicas con registro de resultados en el archivo personal, resultados tangibles [objetivos] de labores realizadas registrados en el archivo personal, otros
  • ¿por qué realizamos estas capacitaciones? Por ejemplo, por mero cumplimiento normativo, porque así lo pidió el jefe [actual], o porque la empresa realmente ha interiorizado la necesidad, entre otros
  • Seguramente tenemos algunas otras inquietudes. Compártanlas por favor, en beneficio de todos.

Démonos cuenta [si aún no lo hemos hecho] de que la seguridad es un facilitador.

Crear una cultura de seguridad en una empresa puede ser complicado. En la organización la cultura implica una balanceada intersección entre personas y organización –es lo que hace únicas a las empresas, afecta la forma en que implementamos las cosas y lo que tiene sentido en el ecosistema de la organización.

En este ecosistema, los profesionales de la seguridad de la información debemos darnos cuenta que hemos evolucionado de siempre ser vistos como meramente tecnólogos, a gente de proceso, a ser verdaderamente un socio comercial y profesional de negocios -me incluyo ¿te incluyes?

En aras de afianzar esta cultura de ciberseguridad, por ejemplo, nada como ser transparente en qué estamos haciendo y cómo lo estamos haciendo los profesionales de la seguridad de la información, y explicarlo en el lenguaje del negocio -¿de qué manera lo haces tú?

Pero, también es obvio que la organización debe evolucionar, debe buscar un equilibrio entre proteger los datos y capacitar a los colaboradores para que sean productivos (no olvidemos la triada procesos-personas-tecnología), incorporando los altos ejecutivos del negocio en este esfuerzo de capacitación para que entiendan a cabalidad [y con esfuerzo y tiempo, también interioricen que no es sólo responsabilidad del departamento de TI] los requerimientos y necesidades de ciberseguridad [algo que ya no se puede ignorar].

La organización busca protegerse contra el mal comportamiento del usuario final, amenazas de día cero, sitios Web comprometidos y hacks entre equipos de escritorio y entre equipos de escritorio y servidores, seguramente empleará para esto alguna herramienta especializada (¿secure desktop as a serviceSDaaS?).

Bastante se ha hablado también que no es una cuestión de si vamos a ser atacados [o que vaya a violar nuestra seguridad], es una cuestión de cuándo esto ocurrirá, y que debemos estar preparados.

El problema seguramente es cómo lograr que tanto la organización como los colaboradores interioricen esta necesidad y objetivo –de manera continua porque, recordemos que la seguridad es un proceso, no un producto.

¿Cómo pueden las compañías asegurarse de que sus políticas y procesos de seguridad estén al día con las amenazas modernas? Una política de seguridad clara y bien entendida sería un inicio. Una sensibilización y formación [en contraposición (o complemento tal vez) a una capacitación] apropiadas, seguidas de las auditorias correspondientes, serian también aconsejables. El tipo de sensibilización [compromiso e interiorización posterior] que logremos en estos programas de formación es la clave. Enfrentamos entonces el cómo, cuándo, con qué, quién, para qué, formamos y hay un desafío en el contenido y orientación de la formación.

Como estado, es evidente que hay bastante más que hacer. Los esfuerzos de PCM-ONGEI podrían no ser suficientes y están lejos de ser completos.

En el ámbito educativo, algunas universidades contemplan carreras de ingeniería que incluyen cursos de ciberseguridad en su currículo, y otras ofrecen carreras especificas relacionadas con la seguridad informática; sin embargo, este interés en la seguridad de la información se centra aún –erróneamente- en carreras de ingeniería relacionadas con las tecnologías de la información.

Las certificaciones ayudan, pero, a pesar que hay un gran número de ellas, podrían no ser suficientes [en el tiempo] o apropiadas [orientación, alcance] para todo tipo de organización [deberemos tener en cuenta sus prioridades, objetivos y metas estratégicas, sus impulsores de valor].

Seis factores críticos para crear una mejor estrategia de seguridad de TI

¿Qué necesitamos para establecer una hoja de ruta funcional de la seguridad de las TI de la empresa?

Recordemos que un solo tipo y un solo nivel de seguridad de la información podría no ser suficiente para una determinada organización. ¿Qué modelo de defensa en profundidad adoptaría, de entre los varios que existen? Tampoco debemos olvidar la estrategia a seguir si ocurriera alguna brecha en esta seguridad de la información.

Pero, debemos empezar, y lo hacemos de la siguiente manera:

  1. Identificar, clasificar, y etiquetar los recursos, los activos de información, considerando su importancia –o implicancia en los procesos de la organización, ya sean estos recursos físicos o virtuales, tangibles o intangibles.

Debemos responder con certeza el por qué debo considerarlos.

¿Convendría que los mismos sistemas que se han puesto en marcha se actualicen automáticamente en una base de datos ad-hoc a medida que cambia el inventario de recursos?

Las organizaciones deben tener pleno conocimiento de lo que tienen, valorar lo que tienen y lo que no pueden permitirse perder, además de crear un plan integral para proteger estos activos críticos.

Tendríamos, entonces, que pensar en un conjunto automatizado de herramientas para rastrear y clasificar los recursos.

  1. Proteger el acceso a los recursos, tratarlos conforme a su clasificación y prioridad establecida, de acuerdo a su impacto en el negocio (las consecuencias).

Claro, tenemos que sincerar el cómo realizaremos la protección para lo cual seguramente necesitaremos realizar primero un análisis de brecha. ¿Hemos realizado nuestro FODA?

Consideremos las nuevas tendencias para crear valor de TI, e incluso de los usuarios al emplear la tecnología como shadow IT o BYOD.

Tendríamos, entonces, que establecer una línea base correcta y sincerada –de todo, sin olvidar o menospreciar los recursos y capacidades existentes, desde el punto de vista del valor que se espera del servicio de TI.

El intercambio de información –correcta, completa, contextual, oportuna, clara- se vuelve crítico.

  1. Detectar amenazas y ataques, considerando el triángulo procesospersonas-tecnología, identificando riesgos en las operaciones que es donde se provee el valor de un servicio.

Tendríamos, entonces, que entender y asegurar que todos en la organización tengan claro que la detección de amenazas (un sospechoso siguiéndote a tu casa –bueno, tal vez una amenaza algo más sofisticada, especializada, escalable -¿que afecte la privacidad?, ¿porque el enemigo está adentro?), detección de vulnerabilidades (una ventana abierta –situación que se advierte con un escaneo de vulnerabilidades [y no debemos remitirnos solamente al perímetro]), y detección de ataques (el sospechoso metiéndose a tu casa por la ventana abierta) son tres cosas distintas.

De hecho, es crucial el dominio del tema, la provisión de la tecnología apropiada, y hacer y dejar hacer.

¿Recordamos los honeypot? De repente ya hemos sido víctimas de un hacker y aún no lo sabemos.

  1. Responder a las amenazas y ataques, considerando que posiblemente requiramos apoyo externo o una mayor capacitación y experiencia internas.

¿Cuáles serían las estrategias que adoptaríamos?

Tendríamos, entonces, que tomar medidas proactivas sobre un riesgo identificado y preparar las reactivas (de acción inmediata ante la ocurrencia del evento) –evitando acciones bomberiles.

Las medidas proactivas deberían ser pensadas, planeadas, diseñadas, implementadas, probadas, afinadas, y con responsabilidad asignada, con recursos y capacidades presupuestados, que den cumplimiento a normas internas y/o legales, que busquen evitar deudas, multas, pagos no presupuestados, litigios, pérdida de confianza y clientes, daños a la reputación y pérdida de confianza de las partes interesadas, publicidad negativa y pérdida de activos, entre otros aspectos negativos.

Es decir, una verdadera proactividad en una empresa con alto nivel de madurez, que está preparada para el cambio.

Realizar lo importante para evitar [en lo posible] las emergencias –o, al menos, reducir su frecuencia o impacto.

Ciertamente el error humano sigue siendo una amenaza para la seguridad, pero si trabajamos la cultura organizacional seguramente podremos compensar algunos riesgos de seguridad y privacidad de la información empresarial –los internos a la organización, por lo menos, concientizar al usuario.

  1. Es claro entonces que la educación en ciberseguridad debe ser parte integral de la cultura del lugar de trabajo, es hacer que la ciberseguridad sea tarea de todos. Sabemos que esta educación en ciberseguridad no significa asistir a un [solo] curso o seminario –por único que sea en su género, significa hacer de la seguridad una iniciativa cultural colaborativa y continua.

Es ayudar a todos en la empresa a comprender que los ciber delincuentes representan una amenaza no sólo para la empresa, sino también para ellos y sus familias, también (filtración de datos personales, por ejemplo, y las posibles amenazas que esto conlleva).

Sin embargo, cuando ocurra una brecha de seguridad, evitemos actitudes incorrectas en un líder o equipo de infosec porque pueden resultar en una peor violación de privacidad / seguridad y en una afectación negativa a la moral y motivación en el entorno laboral –lo que, potencialmente, podría conducir a la aparición de más riesgos o a elevar la graduación de los existentes.

La importancia de tener una actitud positiva y fuerte de seguridad y privacidad es tal que tanto los líderes como los empleados deben ver la privacidad como un valor que desean experimentar, promover, proteger y formar.

  1. Mejorar la analítica (para una mejora continua de todo el proceso).

Tendríamos, entonces, que realizar una labor analítica de predicción, porque nos dice dónde reforzar la protección –un poco de inteligencia de negocio siempre ayuda. Lo que implica un estado de cambio constante en los servicios y su gestión, lo que implica además gestionar proyectos.

Todo lo anterior es una tarea realizada de forma periódica (¿una auditoría particular o integrada?) o por demanda del mercado (¿tal vez necesidad?), siempre en evolución (nuevos hallazgos de día-cero, ahora además con la IoT –agregamos complejidad a lo complicado), un espacio, una oportunidad para mejorar.

Sigamos el ciclo de Deming, de mejora continua.

Tengamos presente que hemos pasado de un modelo donde se hacía hacking por diversión o fama, a la ciberguerra propiamente dicha, con objetivos claros y concretos, como destrucción, negación de un servicio, destruir la imagen de una empresa, incluso de monetizar la información obtenida.

 

Cómo crear un plan contra violación de datos en 9 pasos

Cómo crear un plan contra violación de datos en 9 pasos

Primero tengamos presente que se pueden considerar varios escenarios posibles en un plan contra violación de datos.

Esto porque no podemos anticiparnos a todas las situaciones posibles en que un determinado hackeo se puede desarrollar, y aun así este plan debe ser flexible, como un planeamiento para la recuperación de desastres y planificación de continuidad de negocio (la colaboración en lugar del aislamiento) –y veremos que es muy parecido. Interesante, varios proyectos pueden salir de este esfuerzo.

De hecho, conviene realizar un análisis de los procesos de negocio y las necesidades de continuidad, sin olvidar las necesidades de seguridad de la información, algo que cada empresa debe emprender, y dependerán de los objetivos de la organización sobre el punto de recuperación (RPO) y el tiempo de recuperación (RTO).

Bueno, al grano –y con anticipación porque es importante, de modo que podamos reducir las urgencias o el riesgo durante las urgencias.

  1. Sabemos que debemos empezar con una evaluación de riesgos, para priorizar qué sistemas recuperar y restaurar primero (establecer los componentes esenciales –inventario de por medio del hardware necesario y del software requerido para restaurar la producción; los datos, su tipo y sensibilidad, almacenado/procesados/transportados haciendo uso de estos componentes) –porque ponernos a pensar durante la emergencia podría ser contraproducente. Conviene realizar un análisis de impacto sobre el negocio (BIA) para identificar los procesos críticos (con sus procedimientos por supuesto) y priorizarlos de acuerdo con su impacto en la organización.
  2. No olvidemos implementar controles preventivos (con sus procesos estandarizados, normalizados, documentados), como primer paso tras analizar las brechas, de seguridad de la información, y de recursos y capacidades existentes (financieros, organizacionales, de personal, competencias, experiencia, entre otros).
  3. Conviene establecer umbrales y adecuarlos a los niveles correspondientes de respuesta que hayamos establecido –o que podamos establecer, así como los criterios de evaluación correspondientes al tipo de datos que se verían comprometidos, con base en nuestros recursos y capacidades internos o los que podamos conseguir.
  4. Así como los médicos en la sala de urgencias seleccionan y clasifican a los pacientes para evaluar la prioridad de su atención de acuerdo con sus posibilidades de supervivencia y recursos disponibles, igual debemos realizarlo nosotros, determinando el alcance de ese impacto, cuáles son los sistemas más importantes (misión crítica) y datos (más importantes) y que, por lo tanto, necesitan atención en primer lugar, cómo aislar y proteger los datos (nivel de seguridad necesario para los datos y aplicaciones, ubicación), y cuánto tiempo se espera que dure la interrupción –antes de activar otros medios de continuidad.
  5. De hecho, debemos construir flexibilidad de modo que la empresa pueda responder de la manera que, coyunturalmente (no siempre contará con los recursos y capacidades suficientes o apropiados), le convenga (para no incurrir en problemas legales por incumplimiento con la ley de protección de datos personales, por ejemplo).
  6. Es muy importante establecer, difundir, y mantener vigente la matriz RACI correspondiente, y que ésta sea lo más granular posible, para asegurar que los roles, funciones, y responsabilidades (del personal clave tanto interno como externo, y de apoyo, considerando su disponibilidad y la capacidad de su ubicación oportuna) sobre un conjunto de actividades sean conocidas, claras, justas, entendidas, asumidas, adoptadas, interiorizadas, comprometidas, evitando una situación de juez y parte. Por ejemplo, habría que identificar las personas en la organización que tienen la autoridad para declarar un desastre y por ende, colocar el plan en efecto.
  7. No olvidemos detallar cuándo y cómo invertir en el equipo ejecutivo de gestión de crisis para que se cumplan los requisitos legales y normativos adecuados con respecto a las infracciones de datos. Las personas de relaciones públicas de la compañía pueden ayudar a informar adecuadamente a los clientes y consumidores.
  8. El negocio deberá establecer sistemas alternativos, como decidir cuál de las funciones de la organización son esenciales, y repartir el presupuesto disponible conforme a este criterio, o a establecer acciones manuales (considerando por supuesto la sensibilidad de los datos) que se disparan ante un evento, en la medida que sea posible lo que requeriría posiblemente un esfuerzo de capacitación adicional.
  9. Por supuesto, debemos ejecutar simulacros [lo más reales posibles] de eventos basados en tipos específicos de desastres [no idea, sino realidad], incluyendo brechas de seguridad. Así, la organización deberá proveer los recursos necesarios, establecer si necesita ayuda externa, planificar y programar los simulacros (al elefante nos lo comemos por tajadas), difundir su realización, establecer las estrategias de recuperación, diseñar los escenarios, priorizarlos, evaluar cada qué tiempo realizarlos y obtener la autorización del cuándo realizarlos (no vaya a ser que programemos una prueba justo cuando existe en el mismo día un evento crucial para la organización), cómo los va a realizar (la creación previa de plantillas de verificación ayuda a simplificar este proceso), afinar los planes y mantenerlos vigentes (como dijo Dwight ‘Ike’ Eisenhower, “el plan es nada, la planificación lo es todo”), entre otros factores.

¿Gestionas el cambio como un experto?

¿Gestionas el cambio como un experto?

Ya habíamos hablado de gestionar el cambio en una entidad pública. De hecho, también de limitaciones para un apropiado cambio, y máxime si se trata de proyectos.

Tenemos el know-how pero carecemos de la madurez para afrontar el cambio y reconocer dónde empezar.

Muchas veces esto está condicionado por el ambiente y la cultura de la empresa, lo que nos hace fallar y pensar que utilizamos una herramienta o contratamos el personal inadecuado o contratamos un consultor inexperto, y hasta que fuimos estafados –claro, fácil es echarle la culpa al otro ¿verdad?

Las organizaciones deben adaptarse a los cambios de escenario con proyectos cada vez más complejos, y entornos de gran incertidumbre y volatilidad. En toda empresa se realiza periódicamente un esfuerzo por determinar la mejor dirección para el negocio.

La cultura organizacional, su estructura, sus procesos, políticas, procedimientos y hasta sus valores pueden no estar en sintonía con ese cambio que se nos avecina y que demandará una nueva forma de interactuar, de pensar, de actuar.

El establecer controles que antes no existían ocasionará que, en la mayoría de los casos, las personas se resistan y respondan sólo por obligación a las exigencias de la organización.

De hecho, la cultura organizacional cambiará en la medida que cambien las personas y la posición que estas personas adopten frente al cambio, ya que son las personas las que hacen el cambio sostenible en el tiempo.

Una vez identificados los cambios que debemos realizar para asegurar esa dirección (entendiendo la necesidad del cambio y beneficios luego del cambio en el ecosistema de la organización), debemos establecer el valor del cambio y priorizar los principales ajustes (en procesos nuevos -o actualizándolos o complementándolos, procesos que pueden ser medidos, verificados y por ende adaptados en pro de la mejora continua, roles, estructura organizativa si es necesaria), entender a quién alcanza el cambio y cómo le beneficia (a clientes y stakeholders), establecer el compromiso e involucramiento de los participantes (recursos provistos en la oportunidad y cantidad requerida, personal suficiente, apropiado, capacitado, motivado), realizarlos (aplicando las 6W-2H), y mejorarlos.

Es sabido que el trabajo colaborativo genera pertenencia, nos permite apropiarnos del conocimiento, las habilidades y las actitudes que nos hace falta desarrollar para lograr los objetivos planteados. Es necesario entonces un poco de inteligencia emocional en el momento oportuno y de la manera apropiada y personalizada para sensibilizar a las personas ante lo que está por venir y así canalizar sus emociones –o motivación. Es importante entonces desarrollar una estrategia de comunicación y monitorizar la comunicación porque es clave para realizar ajustes cuando sea necesario.

¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.