Algunas ‘mejores prácticas’ de TI para el fracaso –y algunas ‘mejores prácticas’ para evitarlo

Así es, una mejor práctica no es una receta de cocina. La preparación que hagamos de un ‘platillo’ y su resultado depende de muchos factores referidos a las herramientas, nosotros mismos como çocineros’, de los ‘comensales’ y su entorno.

Una real mejor práctica es considerar la preparación del ‘platillo’ para garantizar su resultado. Así, intervienen el ecosistema tecnológico en operación –moderno, vigente, legacy, integrado, interconectado- plataforma tecnológica e infraestructura de soporte, la cantidad necesaria de especialistas con el perfil apropiado, la experiencia, competencias (conocimientos, aptitudes, actitudes), orientación técnica o de gestión, requisitos del negocio, apetito de riesgo, intereses personales, los recursos para la producción del servicio (en adición al ecosistema tecnológico y el personal de apoyo, se necesita información, aplicaciones, recursos financieros) y capacidades para asegurar el rendimiento esperado (modelo de gestión, organización implementada, procesos establecidos, conocimiento gestionado), ambos activos de servicio necesarios para entregar el servicio con el valor esperado (con la utilidad y la garantía de rendimiento esperada), aparte claro del presupuesto, coyuntura socio-económica, entorno regulatorio y legal, mercado (cultura, exigencias, demografía, restricciones, gobierno, importación/exportación).

Estamos propensos a decir sí o no a todo y esto varia como buena práctica de acuerdo a la cultura y clima organizacional, buscando no quedar mal –aunque esto es lo que ocurre al no cumplir si accedemos o no entregar si era posible y alguien después nos lo hizo ver.

Una real buena práctica es explicar qué debe hacer para satisfacer las solicitudes, luego de realizar el análisis previo correspondiente. Lo que sigue será una conversación más que una excusa.

Tampoco es una buena práctica blandir que se cumple con el acuerdo de nivel de servicio (SLA) aceptado por el cliente, o con el nivel de servicio organizacional (OLA) requerido y comprometido por las áreas internas de la empresa, cuando es evidente la existencia de reclamaciones al respecto, y tratamos de minimizar el impacto haciendo bromas a costa de clientes, usuarios –o peor, de nuestro soporte- ‘inexperto’. Puede haber un contrato en ambos casos, pero no es bueno mantener las relaciones a distancia.

Una real buena práctica es identificar y enfrentar cambios –incluso sustanciales, investiguemos con transparencia. Recuerde que las relaciones requieren confianza, que la confianza no sucede a menos que reconozca a los colegas y clientes como personas reales que, si les gusta, trabajarán con usted para arreglar lo que falla y que el propósito de los contratos no es definir las relaciones -es definir lo que sucede cuando no hay confianza y algo va seriamente mal.

Tomamos como buena práctica poner nombre a nuestros proyectos, desde hace poco incluso, no siempre ha sido así. Pero esta buena práctica de la dirección de proyectos la utilizamos para nombrar el proyecto como una implementación de software (y nos preocupamos de que el producto software funcione) y no como los resultados esperados por el negocio (no establecemos los requisitos y criterios de validación necesarios para el entregable). El trabajo de TI se realiza cuando el software satisface los requisitos y cumple con las especificaciones –se ha hecho el aseguramiento y control de calidad apropiados al producto software, su verificación. Entonces sabemos quién es culpable de no alcanzar los resultados esperados por el negocio ¿verdad?

Una real buena práctica implica identificar al real sponsor del proyecto. Me refiero no al que ha sido nombrado (otra ‘buena práctica’), sino al que le interesa el éxito del proyecto porque su reputación está en juego y actúa en beneficio del negocio, y no asume el encargo sólo por intereses personales. Otra es designar correctamente a alguien realmente encargado de realizar las validaciones oportunas, correctas y apropiadas.

Insistir en un retorno de inversión de la plataforma actual al instaurar la buena práctica del gobierno de TI es también una perjudicial para los proyectos donde la tecnología puede ayudar a los departamentos de negocios a ofrecer mejores resultados más rápido, o para aquellos proyectos que buscan ayudar a impulsar la satisfacción del cliente.

No podemos discutir que estos proyectos son críticos, por lo que una real buena práctica es que se necesita establecer correctamente los casos de negocio oportunos, necesarios y apropiados, y la organización debe implementar los cambios que sean identificados con prontitud.

El aumento de la eficacia de la misión y la eficiencia operativa son beneficios clave que se pueden lograr con el cloud computing. Recordemos la definición del NIST. Pero aplicar una estrategia al respecto es otra cosa, considerando por supuesto la seguridad en la nube. Tomamos como buena práctica la mera adopción de una solución comercial enfocada en IaaS, PaaS o SaaS. Sí hay orientaciones al respecto, pero dependerá de cada organización su definición y el éxito de su implementación ya que se deberá mantener las evaluaciones tecnológicas y las inversiones alineadas con las estrategias empresariales. Es una buena práctica reutilizar el recurso humano (exigirle más, por decirlo amablemente), pero debemos considerar que, probablemente, se requiera una reorganización de la organización de TI para ofrecer mayor agilidad empresarial y soporte a iniciativas empresariales clave.

Es una real buena práctica recordar que el ser humano es adaptable pero no es una máquina multitarea y tiene dignidad. Entonces conviene planificar –una buena práctica que muchas veces olvidamos por las presiones del mercado. Una buena planificación es muy importante porque en ella establecemos roles, responsabilidades, alcance del modelo de despliegue y servicios a emplear o entregar, controles, aspectos de diseño y de operación (que seguramente será necesario afinar), cumplimiento regulatorio y legal, integración de tecnología legacy con la nueva, cargas de trabajo, procesos establecidos, exposición al riesgo o apetito de riesgo, sponsor (real), ámbito de influencia, gobernabilidad, plazos, presupuestos, valor real para el negocio considerando las inversiones con base en su estrategia de negocio digital, entre otros muchos factores a considerar.  Otra real buena práctica es que todos los proyectos que se lancen deberían estar totalmente equipados, con “personal completo”, lo que significa que el proyecto nunca esperará a que un miembro del equipo esté disponible para trabajar en él.

Una buena práctica es emplear métodos ágiles, pero el pretender combinarla con la premisa de abaratar costos ya no lo es. La combinación es factible pero complicada en su control y gestión, y hasta contraproducente en cuanto a resultados esperados. Esto sólo si hablamos de contar con recursos y capacidades internas al país (on-shore); sin hablar de los recursos y capacidades que podrían verse interesantes fuera del país (off-shore).

Una real buena práctica es realizar una apropiada planificación tras reconocer que están implicados diferentes aspectos, no sólo el costo del recurso humano con el perfil adecuado, sino los costos de la tecnología a emplear y los mecanismos de seguridad necesarios, así como aspectos de locación, demográficos, culturares, idiomáticos, entre muchos otros.

¿Gestionas el cambio como un experto?

¿Gestionas el cambio como un experto?

Ya habíamos hablado de gestionar el cambio en una entidad pública. De hecho, también de limitaciones para un apropiado cambio, y máxime si se trata de proyectos.

Tenemos el know-how pero carecemos de la madurez para afrontar el cambio y reconocer dónde empezar.

Muchas veces esto está condicionado por el ambiente y la cultura de la empresa, lo que nos hace fallar y pensar que utilizamos una herramienta o contratamos el personal inadecuado o contratamos un consultor inexperto, y hasta que fuimos estafados –claro, fácil es echarle la culpa al otro ¿verdad?

Las organizaciones deben adaptarse a los cambios de escenario con proyectos cada vez más complejos, y entornos de gran incertidumbre y volatilidad. En toda empresa se realiza periódicamente un esfuerzo por determinar la mejor dirección para el negocio.

La cultura organizacional, su estructura, sus procesos, políticas, procedimientos y hasta sus valores pueden no estar en sintonía con ese cambio que se nos avecina y que demandará una nueva forma de interactuar, de pensar, de actuar.

El establecer controles que antes no existían ocasionará que, en la mayoría de los casos, las personas se resistan y respondan sólo por obligación a las exigencias de la organización.

De hecho, la cultura organizacional cambiará en la medida que cambien las personas y la posición que estas personas adopten frente al cambio, ya que son las personas las que hacen el cambio sostenible en el tiempo.

Una vez identificados los cambios que debemos realizar para asegurar esa dirección (entendiendo la necesidad del cambio y beneficios luego del cambio en el ecosistema de la organización), debemos establecer el valor del cambio y priorizar los principales ajustes (en procesos nuevos -o actualizándolos o complementándolos, procesos que pueden ser medidos, verificados y por ende adaptados en pro de la mejora continua, roles, estructura organizativa si es necesaria), entender a quién alcanza el cambio y cómo le beneficia (a clientes y stakeholders), establecer el compromiso e involucramiento de los participantes (recursos provistos en la oportunidad y cantidad requerida, personal suficiente, apropiado, capacitado, motivado), realizarlos (aplicando las 6W-2H), y mejorarlos.

Es sabido que el trabajo colaborativo genera pertenencia, nos permite apropiarnos del conocimiento, las habilidades y las actitudes que nos hace falta desarrollar para lograr los objetivos planteados. Es necesario entonces un poco de inteligencia emocional en el momento oportuno y de la manera apropiada y personalizada para sensibilizar a las personas ante lo que está por venir y así canalizar sus emociones –o motivación. Es importante entonces desarrollar una estrategia de comunicación y monitorizar la comunicación porque es clave para realizar ajustes cuando sea necesario.

¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.

Doxware, una variante del ransomware o del extortionware

Doxware, ¿es una evolución, una variante de malware, una nueva tendencia, o sólo un nuevo nombre? –porque nos gustan los nombres nuevos, sobre todo para lo que resulte amenazante[1].

Según la RAE, secuestrar es “Retener indebidamente a una persona para exigir dinero por su rescate, o para otros fines”; extorsión es “Presión que se ejerce sobre alguien mediante amenazas para obligarlo a actuar de determinada manera y obtener así dinero u otro beneficio”.

Ransomware suele instalarse en un sistema a través de un archivo adjunto de correo electrónico malicioso [usualmente de modalidad phishing], una descarga de software infectado y / o visitando un sitio o enlace malicioso. Cuando el sistema (independiente de la víctima) está infectado con ransomware, se bloquea, se cifran los archivos del usuario o se restringe el acceso del usuario a las funciones clave del equipo[2]. No se necesita mover datos, sólo cifrarlos[3]. Para evitar ataques, no sólo de ransomware, asegúrese de que todos los sistemas y software estén actualizados, proteja su red con tantas capas de seguridad como su presupuesto lo permita, cifre los datos sensibles, trate de no poner todos los huevos en la misma canasta, prevenga, eduque. El Grupo Smartekh nos ofrece un análisis gratuito de riesgo por ransomware.

Haciendo un poco de historia, la palabra doxxing; doxxing o doxing es un derivado de la palabra “docs” [“documentos” en idioma inglés]; el término es una versión abreviada de “dropping dox”, un método de venganza (algo así como dejar datos de alguien en el baño) que se remonta a la cultura hacker (y no tan hacker) de principios de los años 90[4].

Cuando doxxing y ransomware se combinan, esta combinación letal se conoce como Doxware[5]. Doxware entonces es el término usado para la técnica de acoso de encontrar, [secuestrar, extraer] y luego publicar información personal sensible de un usuario, incluyendo direcciones, números de teléfono e incluso números de Seguro Social[6].

Doxware normalmente escanea los archivos buscando frases clave que indican que son comunicación privilegiada, confidenciales o privados; así, el alcance de los archivos que doxware tiene como objetivo es menor que el ransomware ordinario, que se dirige a los discos duros completos[7].

Más preocupante es que los ciber delincuentes pueden tener acceso permanente a los datos personales y pueden exigir un rescate más de una vez. Incluso si se cede al chantaje, no hay ninguna garantía de que los archivos que han exfiltrado se eliminarán (apareció el extortionware). Los ataques basados en extorsión probablemente no aumentarán para el público en general, pero puede ser preocupante para los objetivos de alto valor, conocidos por tener datos valiosos. Con doxware el ataque es más personal, más selectivo, busca los blancos más atractivos, los que rindan más beneficios, los que maximicen el ROI. Es más, doxware puede exponer a las víctimas a acoso y humillación, pero también puede dejarlas vulnerables al robo de identidad[8].

El shadow IT, las redes sociales, el autoservicio de TI, hummmm. De hecho, preocupa a más de uno.

Confiamos en que evitamos la pérdida de los datos con los respaldos que realizamos, y en que recuperamos los servicios desde ahí, pero, en adición al tiempo y esfuerzo relacionados con el retorno real a la operación (dependiendo de la plataforma tecnológica desplegada, las capacidades existentes, y el tamaño del recurso comprometido), y del costo total de propiedad inherente, ¿qué fue de la pérdida de privacidad de los datos, no sólo por en dónde estaban sino, además, de quién son? ¿qué hay de un usufructo no alcanzado u oportunidades perdidas? ¿qué hay de los datos que son publicados y/o de posibles acciones legales por exposición no autorizada? ¿qué hay de la confianza perdida?, entre muchas otras interrogantes.

Recordemos, la ignorancia no es una defensa y el anonimato percibido no es un escape[9].

[1]       Fuente: http://searchdatacenter.techtarget.com/es/cronica/Doxware-Nueva-amenaza-de-ransomware-o-solo-extortionware-renombrado; disponible en marzo/2017

[2]       Fuente: https://www.techopedia.com/definition/4337/ransomware; disponible en marzo/2017

[3]       Fuente: http://www.networkworld.com/article/3174678/security/the-latest-ransomware-threat-doxware.html; disponible en marzo/2017

[4]       Fuente: http://computer.howstuffworks.com/what-is-doxxing.htm; disponible en marzo/2017

[5]       Fuente: https://www.topsec.com/it-security-news-and-info/what-is-doxware-ransomware; disponible en marzo/2017

[6]       Fuente; https://www.merriam-webster.com/dictionary/dox; disponible en marzo/2017

[7]       Fuente: https://www.techopedia.com/definition/32411/doxware; disponible en marzo/2017

[8]       Fuente: https://www.quora.com/What-is-Doxware-Malware; disponible en marzo/2017

[9]       Fuente: http://www.independent.co.uk/life-style/gadgets-and-tech/news/online-abuse-internet-sexting-doxxing-trolling-new-legal-guidelines-crime-prosecution-service-a7353536.html; disponible en marzo/2017

Internet de las cosas -IoT

Según Gartner, el “Internet de las cosas (IoT) es la red de objetos físicos que contienen tecnología incorporada para comunicarse y detectar o interactuar con sus estados internos o con el entorno externo”[1]; y añade que “el valor real del Internet de las cosas va más allá de los dispositivos interconectados”[2][3].

La interacción crea más datos (más complejidad en su tratamiento, más aplicaciones, mejores y más seguras que los traten, mayor necesidad de almacenamiento y procesamiento); la comunicación acarrea más riesgos que deben ser apropiadamente gobernados, una necesidad de mayor y mejor gestión de servicios (decisiones de toda índole más difíciles, para usuarios y operadores); las condiciones actuales y posibilidades futuras requieren recursos y capacidades diferenciados para asegurar que se mantiene el valor de los servicios (que promulga ITIL®) que entregamos –la sostenibilidad operativa.

Todos estamos involucrados y somos responsables del buen o mal uso que hagamos del IoT, en todo nivel. Además, debemos considerar que hay muchas cosas que considerar[4]: capacitación, público objetivo, requisitos de construcción, servicios incorporados, dispositivos (tipos, compromiso de seguridad, manipulación no autorizada[5], otros), disponibilidad, aplicaciones, redes, conectividad, plataforma tecnológica, ecosistema, riesgos directos e indirectos, actualizaciones de firmware o de software, aplicaciones que incorporen la seguridad desde el diseño, la arquitectura de las aplicaciones a este respecto, cifrado de datos, protección de datos personales, categorización de datos, datos sensibles en general, control de acceso, normativas, regulaciones, estándares, metadatos de los dispositivos, sistemas de monitorización y de protección contra intrusiones y ataques, tanto a nivel individual como colectivo[6], monitoreo continuo, localización de los datos porque lo que es delito informático en un país puede no serlo en otro, resiliencia[7], confidencialidad, integridad y disponibilidad, entre muchas otras posibilidades.

IoT no es una cosa; es la integración de varias cosas en una solución de negocio, es el corazón del negocio digital –bueno, cuando ya no sea una buzzword y realmente se de una transformación digital y contemos con tecnología concreta utilizable hasta en nuestros hogares[8] y por todos (refrigeradoras que podrán avisar a sus dueños cuando no haya alimento en ellos[9] es la promesa ¿recuerdan?). Sería bueno saber cuántos y cuáles dispositivos están accediendo a nuestra red local, y algo ‘raro’ como deshabilitar el bluetooth y las funciones que los dispositivos no usan todo el tiempo[10]. No queremos que “alguien” nos haga “gastar” más electricidad de lo habitual. Ya conocemos las deficiencias de seguridad existentes, que no nos pesquen desprevenidos, por ellas al menos[11].

[1]       Fuente: http://www.gartner.com/it-glossary/internet-of-things/; disponible en marzo/2017

[2]       Fuente: http://www.gartner.com/technology/research/internet-of-things/?s=1; disponible en marzo/2017

[3]       Fuente: http://view.ceros.com/gartner/iot/p/1; disponible en marzo/2017

[4]       Fuente: https://ricveal.com/blog/10-retos-seguridad-iot/; disponible en marzo/2017

[5]       Fuente: http://aunclicdelastic.blogthinkbig.com/el-reto-de-la-seguridad-en-iot/; disponible en marzo/2017

[6]       Fuente: http://www.csuc.cat/es/internet-of-things-un-reto-para-la-seguridad; disponible en marzo/2017

[7]       Fuente: http://www.ibm.com/developerworks/ssa/library/iot-trs-secure-iot-solutions1/index.html; disponible en marzo/2017

[8]       Fuente: http://techcetera.co/el-reto-para-la-seguridad-para-el-internet-de-las-cosas/; disponible en marzo/2017

[9]       Fuente: http://www.nacion.com/tecnologia/informatica/Seguridad-principal-reto-Internet-Cosas_0_1571442852.html; disponible en marzo/2017

[10]     Fuente: http://techcetera.co/tiene-el-internet-de-las-cosas-iot-algun-riesgo-para-su-hogar/; disponible en marzo/2017

[11]     Fuente: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/insecurity-in-the-internet-of-things.pdf; disponible en marzo/2017

Autoservicio de TI

Desplegar tecnología para lograr que los usuarios de ésta se ayuden cuando tienen dificultades con la tecnología (sí, más tecnología para la tecnología) es algo que por mucho tiempo se ha tratado –y en algunos casos esta “innovación” ha funcionado y en otros no; bueno, siempre hay espacio para mejorar.

Los medios de acceso son variados. Existen versiones de respuesta humana o incluso robótica. Las interfaces son cada vez más útiles y usables. Sistemas de información y flujos de trabajo unos más integrados –y útiles- que otros. Actividades unas mejor implementadas que otras, como emisión y renovación de la identificación del usuario, entrenamiento, disponibilidad de opciones tipo push-pull para instalaciones o actualizaciones, ejecución de políticas de retención, solicitudes variadas (provisión de recursos, programación de atenciones, consultas sobre funcionalidad u operación, requerimientos de reparación, de información), entre otras[1]. Todos gozan de una interesante y mayor agilidad, los que entregan (TI tradicionalmente), y los que reciben (siempre el usuario). La experiencia de usuario está garantizada –depende del usuario calificarla.

fig1

Empoderar a los consumidores (usuarios y clientes) de servicios especializados para que ellos mismos se auto atiendan cuando tienen necesidades relacionadas con la tecnología de la información está muy de moda hoy en día[2].

Los usuarios finales obtienen las herramientas que necesitan para maximizar la productividad, tienen acceso a una vasta base de conocimiento[3] –y hasta a información a la que antes no tenían acceso (y no hablo de seguridad sino de alcance, disponibilidad, re-utilización porque esta iniciativa depende de la calidad y cantidad de información disponible y las facilidades disponibles para accederla[4] y generarla, incluso por comunidades de usuarios[5], y las medidas adoptadas para retener su control), y los departamentos de TI reducen la tensión cotidiana de las llamadas que llegan al servicio de atención al cliente[6].

Interesante. Se reducen costos al pasar del “modo bombero” a un estado de eficiencia y efectividad, y se re-enfoca la mesa de servicio a incrementar la satisfacción del cliente o del usuario.

Sí, nada nuevo hasta aquí. Pero, Gartner[7] nos alerta de las generalidades en que hemos incurrido antes, lo cual nos fuerza a sincerar los resultados frente a las expectativas de esta innovación –y preparar un buen caso de negocio primero.

  • El autoservicio de TI reduce costos en el soporte nivel 1 principalmente con relación a las solicitudes varias que ya comentamos. Algunas cosas todavía requerirán una llamada al servicio de TI o la asistencia de un técnico de soporte. Es una mezcla cuyo balance debe ser cuidadosamente considerado con respecto al valor esperado, con el objetivo de no incurrir en gastos innecesarios –aunque suene trillado esto último.
  • El autoservicio de TI requiere cuidado y actualización constante; no es una inversión que se realiza una sola vez y nos olvidamos luego. Es un continuo asegurar que el servicio lo seguimos entregando ‑como área de TI- como fue comprometido, y nuestro “consumidor” lo sigue recibiendo –su apreciación del valor- de forma oportuna, consistente y constante. El conocimiento, hemos mencionado, juega un papel vital y como tal debe ser gestionado apropiadamente para mantener su vigencia y utilidad.
  • Los usuarios finales acudirán a los autoservicios sólo si no tienen alternativa, lo cual dependerá de la estrategia que implemente la organización para su “adopción”, ya que la inclinación a su aceptación potencialmente será variada –tanto como la cultura organizacional, la mentalidad de los usuarios, la brecha generacional, así como los plazos límite que se establezcan.
  • Para una implementación exitosa del autoservicio de TI se requiere de requisitos previos que lo complementen, como un conjunto correctamente seleccionado de herramientas y procesos, adecuados, probados, afinados, y mantenidos, por personas con roles y competencias técnicas apropiadas, que apoyen, por ejemplo: la automatización de las actividades antes enumeradas, entre otras; y a los usuarios en las decisiones que deben tomar y en las tareas que deben realizar. Si se implementa adecuadamente, el autoservicio puede mejorar la satisfacción del cliente, proporcionar análisis de tendencias de incidentes, identificar oportunidades de capacitación, permitir ejecutar escenarios del tipo “que pasa si” para determinar a dónde llegarán las finanzas de la compañía para el trimestre, y consolidar el conocimiento que existe actualmente en los silos en toda la organización de soporte. La retroalimentación obtenida de un piloto o varios] es atractiva –y útil, para identificar la diversidad de información que sea requerida y permitir flexibilidad y agilidad en satisfacerla.
  • Así es, no dejemos de lado la utilidad, usabilidad, garantía, no sólo de los servicios entregados, con base en procesos gestionados y sujetos a una mejora continua, sino también de los medios utilizados para su entrega, como la interface de usuario utilizada –portal bien diseñado, amigable e intuitivo por supuesto, con el que sea fácil pedir ayuda.

Como siempre, una buena venta del valor del servicio ayudará a que los usuarios lo adopten voluntariamente (menor rechazo inicial; servicios conscientes del contexto que conocen su rol, ubicación y equipo[8]; adopción más rápida; disponibilidad de diferentes medios de contacto; apoyo a las aplicaciones actualmente en uso –aunque no hayan sido provistas por el departamento de TI; naturalidad, facilidad y flexibilidad en el procesamiento de solicitudes; compromiso consciente; finalmente interiorización), buscar qué necesitan hacer, qué quisieran hacer y no pueden –aún, qué les ha funcionado, qué les molesta, y otros posibles aspectos a considerar[9] -una mejora continua de funcionalidad y alcances, promocionar lo realizado, buscando cada vez una mayor aceptación. Identificar los temas correctos que ayudarán a los usuarios a ayudarse a sí mismos, toma tiempo y esfuerzo, no olvidemos considerar el costo total de propiedad de la solución integral.

[1]        Fuente: http://www.techrepublic.com/blog/10-things/10-ways-it-can-use-self-service/; disponible en dic/2016

[2]        Fuente: http://www.computerworld.com/article/2500959/enterprise-applications/self-service-it.html; disponible en dic/2016

[3]        Fuente: http://www.servicenow.com/products/express/it-self-service-portal-for-smb.html; disponible en dic/2016

[4]        Fuente: http://whatis.techtarget.com/definition/customer-self-service-CSS; disponible en dic/2016

[5]       Fuente: https://www.atlassian.com/it-unplugged/best-practices-and-trends/technologies-for-self-service-success; disponible en dic/2016

[6]        Fuente: http://www.axiossystems.com/solutions/end-user-self-service; disponible en dic/2016

[7]        Fuente: http://www.gartner.com/newsroom/id/1426813; disponible en dic/2016

[8]        Fuente: http://www.bmc.com/it-solutions/it-self-service.html; disponible en dic/2016

[9]        Fuente: http://www.informationweek.com/strategic-cio/team-building-and-staffing/7-ways-to-avoid-self-service-it-pitfalls/a/d-id/1297292; disponible en dic/2016

Los proyectos –que apoyan los negocios

Moira Alexander[1] escribió para la revista especializada CIO[2] un artículo interesante donde planteaba algunos proyectos “que todo negocio puede poner en práctica este año para ayudar a asegurar que las personas, procesos y tecnologías están trabajando juntos de manera efectiva para crear mejores oportunidades o evitar perderlas”.

Estos proyectos son los siguientes:

  • Poner más énfasis en proyectos que apoyen la estrategia [de las organizaciones].
  • Re-evaluar las necesidades del comprador/cliente [retroalimentación].
  • Adoptar la mejora de procesos de negocio [incrementar la eficiencia –y rendimiento].
  • Revisar la oferta de servicios de los proveedores [las necesidades cambian].
  • Revisar y mejorar los sistemas de información y la tecnología [factor competitivo en este mundo globalizado].
  • Re-despliegue de recursos humanos [sin crear pánico, buscar que la tarea sea realizada de la manera apropiada por la persona apropiada y a la primera vez].

Sí, para sobrevivir debemos evolucionar; esto es, tener la capacidad de anticipar el futuro y transformar la empresa en una empresa digital[3]. Los CIO estratégicos aseguran que las inversiones en TI están siendo impulsadas por las ganancias que esta digitalización promueve, por el incremento en agilidad que se genera y por el incremento en la experiencia del usuario[4].

A la hora de las ideas, olvídese de los rangos –talento es talento (lo que hay dentro).

La comprensión de ITIL® nos permitirá optimizar los servicios de TI porque ahora podemos ver a estos servicios holísticamente –su ciclo de vida, y ayudará a crear mejores estrategias para mantener a los clientes contentos. Deberemos empezar entonces por evaluar la actual oferta de servicios de TI.

Aunque toda empresa es diferente, en cuanto a tecnología, siempre existirán las de adopción temprana y las tradicionales [que no siempre encuentran obstáculos]. No olvidemos establecer los factores críticos de éxito y sus respectivos indicadores.

Para mantener el talento emocionado por su trabajo, asegúrese de contar con un plan regular de rotación de proyectos para asegurar que van a obtener consistentemente proyectos frescos en adición a sus funciones, y de manera más regular. Y, claro, asegure que su talento balancee su carga laboral con la familiar (se distraiga) para evitar el stress.

[1]      Fuente: http://www.cio.com/author/Moira-Alexander/; disponible en mayo/2016.

[2]      Fuente: http://www.cio.com/about/about.html; disponible en mayo/2016

[3]      Fuente: http://www.cio.com/article/3072655/leadership-management/how-cios-can-guide-digital-business-transformation.html; disponible en mayo/2016

[4]      Fuente: http://core0.staticworld.net/assets/2016/01/14/2016-state-of-the-cio-executive-summary.pdf, disponible en mayo/2016

 

ITIL(R) Fundamentos

Introducción ITIL(R) Fundamentos

Este curso se preparó para Sistemas UNI, marzo/2016 y se dicta regularmente.

Sumilla

El curso se enfoca en los fundamentos del ciclo de vida del servicio.

Usualmente lo concerniente a la gestión resulta ser un poco pesado para personas con formación técnica.

El propósito es justamente proveer un marco de gestión previo y continuo para que se entienda mejor este punto en el proceso de transferencia de conocimiento de ITIL(R).

Mobility -¿un problema para la seguridad de la información?

Bueno, todos reconocemos lo que Blackberry desde 1999 ha significado (ok, ok, continúa significando) para el mundo de los dispositivos móviles.

Tuve uno y principalmente por su capacidad de mensajería BBM –me permitía chatear con y comunicarme al instante con mi equipo de trabajo y podía ver con claridad cuándo mi mensaje había sido recibido, leído y me estaban respondiendo.

Sin embargo, en lo que concierne a los dispositivos, algunos opinan que ya fue superado[2] por los smartphones (lo usual como libreta de direcciones, agenda, calendario, lista de tareas, bloc de notas, navegador, aplicaciones de redes sociales, cámara de fotografía integrada en todos los dispositivos, teclado QWERTY incorporado, y su capacidad para enviar y recibir correo electrónico de Internet accediendo a las redes de las compañías de telefonía celular que brindan este servicio[1]) e incluso que en 2016 descontinuará su producción[3]. Una mayor capacidad de configuración por parte del usuario es uno de los motivos –claro, de las app o sea, software. Una mejor gama de servicios, es otro motivo[4].

Para reforzar su oferta de gestión de contenido móvil (MCM) [conjunto de tecnologías que proporcionan acceso seguro a los datos corporativos en los smartphone, tabletas y otros dispositivos de punto –usuario- final[5]] dentro de BlackBerry Enterprise Service 12 (BES 12), BlackBerry ha llegado a un acuerdo para comprar WatchDox Ltd., una compañía en Palo Alto, California de sincronización-y-compartición segura de archivos empresariales[6]. Esta aplicación asegura los archivos compartidos en tanto dispositivos móviles como computadoras de escritorio y le permite mantener el control sobre cómo se accede a los archivos, se copian, imprimen, editan y comparten. Los archivos pueden ser borrados de forma remota o encerrados en caso de una violación de datos. Además, puede eliminar el acceso a los archivos comprometidos durante una violación de datos. En la misma tónica de mejora, y para complementar su oferta de seguridad, BlackBerry adquirirá Good Technology Inc. de Sunnyvale, California, uno de los mayores proveedores restantes de la tecnología de gestión de movilidad empresarial (EMM)[7] [enfoque global para asegurar y permitir a los empleados el uso de smartphones y tabletas[8]], mejor conocido por sus capacidades de tecnología de contenedores[9] de correo electrónico y de seguridad móvil, con el objetivo de gestionar dispositivos de forma segura a través de cualquier plataforma[10].

Así, Blackberry busca extender su presencia con mejor software y servicios. Estas adquisiciones son una prueba más de los intentos de BlackBerry para transformarse de un fabricante de hardware a una empresa de software y servicios y, posiblemente, de que las finanzas de la compañía están cambiando después de varios años de pérdidas. Más aún, considera la seguridad de por medio, una de las principales tendencias en 2016 para la movilidad empresarial[11]:

  • Asegurar la información más que los dispositivos;
  • Desarrollar apps más rápido, más rápidas y más económicas de desplegar;
  • Empezar a construiraplicaciones que haganmás sentido, ya que se utilizael móvilpara loque es bueno: ingresoy captura de datos,y las cosasque puedes hacercuando estás “remoto”;
  • Preocupación de que el número creciente de smartphones aumenta el tamaño y la uniformidad de la superficie de ataque, sobre todo en los dispositivos que no van a ser muy visibles o manejables por TI;
  • Dos grandes tendencias serán la movilidad como una plataforma de cómputo primaria y los dispositivos [convencionales] desvaneciéndose en un segundo plano (porque simplemente se vuelven muy integrados con lo que hacemos y ya no los notamos o identificamos).

Ahora, con respecto a su empresa, sabiendo que la masificación de los dispositivos portátiles en el consumidor está obligando a las empresas a priorizar en sus estrategias de negocios el llevar sus contenidos y aplicaciones en forma segura a las plataformas móviles aceptando la tendencia BYOD (mobile first)[12], ¿Tiene sentido ir a una oferta de gestión completa de movilidad empresarial (EMM)? ¿O debe buscar una característica especial de EMM?, ya sea de:

  • Gestión de dispositivos móviles (MDM) [el área administrativa que trata con el despliegue, aseguramiento, seguimiento, integración y gestión de dispositivos móviles, como smartphones, tablets y portátiles, en el lugar de trabajo[13]].
  • Gestión de aplicaciones móviles (MAM) [es la entrega y administración de software empresarial a los smartphones y tabletas corporativas y personales de los usuarios[14]].
  • Gestión de contenido móvil (MCM).
  • Gestión de la información móvil (MIM) [estrategia de seguridad independiente del dispositivo que implica mantener los datos confidenciales cifrados y permitir solamente su acceso o transmisión a las aplicaciones autorizadas]

¿Qué pasa con otras características, como el servicio móvil, correo electrónico, información o gestión de acceso de identidad (IAM) [marco para los procesos de negocio que facilita la gestión de identidades electrónicas; este marco incluye la tecnología necesaria para apoyar la gestión de la identidad[15]]? ¿Qué pasa si la seguridad es su prioridad –como en el caso de Blackberry?

El siguiente cuadro muestra una comparación a enero de 2015 entre diferentes soluciones[16].

EMM_comparison (1)

Fuente: http://searchmobilecomputing.techtarget.com/

[1]      Fuente: https://es.wikipedia.org/wiki/BlackBerry, diciembre/2015

[2]      Fuente: http://searchmobilecomputing.techtarget.com/blog/Modern-Mobility/Will-market-consolidation-burn-BlackBerry-in-2016?utm_medium=EM&asrc=EM_NLN_51903280&utm_campaign=20160101_Top%20enterprise%20mobility%20tips%20from%202015_elockhart&utm_source=NLN&track=NL-1819&ad=904893&src=904893, diciembre/2015

[3]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500250910/BlackBerry-devices-face-extinction-amid-continual-losses, julio/2015

[4]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500260395/BBM-Meetings-dropped-BlackBerry-phones-could-be-next, diciembre/2015

[5]      Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-content-management, marzo/2014

[6]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500244787/BlackBerry-adds-enterprise-file-sync-and-share-with-WatchDox, abril/2015

[7]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500252972/BlackBerry-buys-Good-Technology-to-boost-mobile-security, setiembre/2015

[8]      Fuente: http://searchmobilecomputing.techtarget.com/definition/enterprise-mobility-management-EMM, julio/2014

[9]      Fuente: http://whatis.techtarget.com/definition/secure-container, agosto/2015

[10]    Fuente: http://www.computerweekly.com/news/4500252954/BlackBerry-buys-Good-Technology-to-boost-device-management, setiembre/2015

[11]    Fuente: http://searchmobilecomputing.techtarget.com/feature/Experts-predict-2016-enterprise-mobility-trends?utm_medium=EM&asrc=EM_NLN_51903278&utm_campaign=20160101_Top%20enterprise%20mobility%20tips%20from%202015_elockhart&utm_source=NLN&track=NL-1819&ad=904893&src=904893, noviembre/2015

[12]    Fuente: http://www.solucionesorion.com/noticias/mobile-first-se-impone-como-concepto, abril/2013

[13]    Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-device-management, junio/2013

[14]    Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-application-management-MAM, junio/2014

[15]    Fuente: http://searchsecurity.techtarget.com/definition/identity-access-management-IAM-system, marzo/2015

[16]    Fuente: http://searchmobilecomputing.techtarget.com/news/2240239059/Enterprise-mobility-management-features-pricing-comparison, enero/2015

Seguridad de la información con la tendencia BYOD

El crecimiento y las innovaciones que brindan las redes sociales y las tecnologías de conectividad plantean una serie de oportunidades y riesgos para las empresas[1].

Bring Your Own Device (BYOD) es una tendencia cada vez más generalizada en la que las empresas permiten a los trabajadores llevar[2] [y utilizar –comprometiendo la seguridad de la información] sus dispositivos portátiles personales para llevar a cabo tareas del trabajo y conectarse a la red y recursos corporativos –la tecnología más avanzada aprovechable por la empresa pero sin los costos inherentes [¿qué tan cierto es esto y en qué grado?].

BYOD se requiere en algunos mercados verticales, como hospitales, escuelas, y algunas empresas manufactureras siguen exigiendo la movilidad y el uso que ofrecen estos dispositivos. ¿Su empresa requiere apoyar esta tendencia? ¿En dónde se requieren estos dispositivos? ¿Habrá que re-diseñar la red de datos?

Los usuarios adquieren dispositivos de su agrado y mantienen su status; ahorran los que permiten su uso –claro la empresa (menos costos en aparatos, licencias, renovaciones, seguros, entre otros –er, ahorros)[3]. En cualquier caso, su uso se incrementa:

BYOD

Todos ganan flexibilidad y movilidad; las empresas ganan además acceso remoto redefiniendo lo que significa “estar en la oficina”[4] [¿alguien dijo teletrabajo?] y personal más productivo [tal vez discutible esto último] pero, consideremos lo siguiente:

  • El control se complica:
    • Impacto en la confidencialidad-integridad-disponibilidad;
    • Re-evaluación de la clasificación de la información –y sus riesgos;
    • Los roles y autorizaciones;
    • Necesidad de incrementar recursos de red –para evitar degradación [¿qué consume más ancho de banda de comunicaciones, un Smartphone personal del cual ignoramos su configuración (aplicaciones instaladas) o una computadora propiedad de la empresa?];
    • Con BYOD, voz, vídeo, comunicaciones unificadas, y aplicaciones hambrientas de ancho de banda están siendo transportadas a través de la infraestructura inalámbrica, que probablemente no esté preparada para esta carga sin precedentes;
    • ¿Malware y rootkits? –claro que sí[5];
    • Necesidades adicionales/diferentes de protección Wi-Fi;
    • Control de tráfico;
    • Control de accesos;
    • Seguridad en la transmisión [¿VPN tal vez[6]?] y almacenamiento de los datos –cifrado de datos seguramente será una consideración de importancia;
    • ¿Problemas de identidad o filtración de información?;
    • Entre otros.
  • El entorno de trabajo se complica
    • Se debe reforzar el soporte técnico y mantenimiento de TI;
    • No olvidemos la gestión que sería requerida y los aspectos normativos y legales inherentes[7] [¿conocen –algunos seguramente recuerdan- términos como precedente jurídico?].
    • Entre otros.
  • Se vuelve menos confiable por la diversidad de alternativas tecnológicas, y su configuración[8].

Así, sería muy importante disponer de una solución Mobile Device Management (MDM) con la cual, entre otras funcionalidades se podría contar con[9]:

  • La instalación masiva de aplicaciones en los terminales conectados a la red
  • El control de las apps que pueden ser utilizadas permitiendo al personal de TI gestionar y bloquear tipos concretos de aplicaciones según categorías
  • El control de acceso de los dispositivos
  • La localización y el seguimiento de cualquier dispositivo
  • El bloqueo de funciones
  • La sincronización de archivos
  • El control de consumo telefónico y de datos
  • El borrado remoto de los datos de cualquier terminal
  • Y el establecimiento de una contraseña de bloqueo desde el servidor
  • Aplicación de políticas de DLP, cifrado y cumplimiento de normativas, mediante el bloqueo de dispositivos no cifrados o desbloqueados ilícitamente
  • Penalizaciones en caso de incumplimiento de roles[10]

La visibilidad lleva al control y el control lleva a la protección[11]. Así es, cada empresa tiene mucho que evaluar. Sobre todo porque el dispositivo NO le pertenece a la empresa así que hay MUCHAS limitaciones –pero el empleado debe ser consciente que para trabajar con sus propios dispositivos muchas veces debe renunciar a parte de su libertad y privacidad[12]. Entonces se debe establecer una política BYOD  para controlar su uso[13] la que debería tener en consideración lo siguiente:[14]

  • Personalización. Haga políticas específicas para casa caso sobre el uso y el acceso a la información por parte de los usuarios, puesto que cada uno de los trabajadores necesitará ciertas aplicaciones que quizá no le interesen a otros.
  • Restricción. La política de privacidad debe ser selectiva y restrictiva, ya no solo según el usuario, sino también según el tipo de datos a los que se tenga acceso [BYOD resulta atractivo porque las estrictas líneas de demarcación sobre lo que puede visitarse, descargarse y utilizarse en un dispositivo propiedad de la empresa se difuminan en un dispositivo propiedad del empleado, que incluye contenido tanto personal como profesional por diseño] –atenta contra el auto-servicio a que estaría acostumbrado el empleado.
  • Vincule las políticas y procesos de MDM con la estrategia general de administración y seguridad.

En adición a tener que implementar políticas de seguridad más estrictas –o “razonables” [cierto, ¿quién y cómo se definen? –no olvide crear la política antes de obtener la tecnología[15]], también se debe Invertir en sensibilización y capacitación de los usuarios. Los empleados deben ser entrenados en la importancia de adherirse a la política BYOD y los estragos que pueden ser causados por un fallo de seguridad. Una vez que la política BYOD está en su lugar y se comunica a los usuarios, debe haber una manera de monitorear y hacer cumplir la misma.

Tal vez sea conveniente analizar y sopesar si se debe desarrollar apps dedicadas –y seguras por supuesto- o continuar utilizando acceso web a los sistemas de información críticos. Recordemos no bajar la guardia –los ataques seguramente serán cada vez más selectivos. Si no tenemos madurez tecnológica para cumplir con las reglas y acuerdos establecidos para mantener la seguridad, poco se puede exigir [tal vez crear un perfil “de trabajo” y uno “personal”, para mantener separados apps y datos de cada uno podría ser una buena idea] -evitando proteger los datos corporativos con códigos de acceso personal[16].

No olvidemos nuestros procedimientos documentados [¿recuerdan las ISO, sobre todo la ISO9000?]. La auditoría es fundamental, para que sepamos cuándo se ha accedido a una aplicación, quién lo ha entrado, qué documentos ha utilizado, modificado, descargado, otros.

[1]      Fuente: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_guia_byod_W.pdf, enero/2014

[2]      Fuente: http://computerhoy.com/noticias/moviles/que-es-byod-ventajas-e-inconvenientes-7250, diciembre/2013

[3]      Fuente: http://www.isaca.org/chapters8/Montevideo/Events/Documents/presentacion%20-%20maximiliano%20alonzo%20-%20byod%20ventajas%20desventajas%20y%20consideraciones%20de%20seguridad.pdf, noviembre/2015

[4]      Fuente: https://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_ES.pdf, 2012

[5]      Fuente: https://www.sophos.com/es-es/products/your-needs/technology-case-studies/byod.aspx, noviembre/2015

[6]      Fuente: http://blog.ontrackdatarecovery.es/6-tips-para-mejorar-la-seguridad-byod/, agosto/2014

[7]      Fuente: http://viewer.zmags.com/publication/60f900a3, noviembre/2015

[8]      Fuente: http://www.flukenetworks.com/expertise/topic/byod, noviembre/2015

[9]      Fuente: http://www.trendmicro.es/productos/mobile-security/, noviembre/2015

[10]    Fuente: http://www.ibm.com/developerworks/ssa/cloud/library/cl-cloudbasedBYOD/, mayo/2013

[11]    Fuente: http://media.kaspersky.com/sp/business-security/win-security-battle.pdf, 2014

[12]    Fuente: http://www.pymesyautonomos.com/tecnologia/politicas-de-fugas-de-datos-seguridad-y-byod-cuando-el-enemigo-esta-detras-del-teclado, diciembre/2014

[13]    Fuente: http://searchdatacenter.techtarget.com/es/consejo/Como-crear-una-politica-de-BYOD, enero/2014

[14]    Fuente: http://www.raona.com/es/Solutions/Template/164/C%C3%B3mo-establecer-una-buena-pol%C3%ADtica-de-seguridad-para-tu-estrategia-BYOD, 2013

[15]    Fuente: http://content.maas360.com/www/content/eb/maas360-ten_commandments_of_byod_bring-your-own-device.pdf, octubre/2011

[16]    Fuente: http://f6ce14d4647f05e937f4-4d6abce208e5e17c2085b466b98c2083.r3.cf1.rackcdn.com/tips-to-avoid-seven-deadly-sins-mobile-security-pdf-6-w-1851.pdf, julio/2015