El reto

“¿Cómo será la seguridad ligada al [mal] uso de los ordenadores dentro de diez años?“. ¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto  -por cuanto en él cabe-  hacen, aún, más complejo. Y eso por no hablar de la suerte que, para entonces, habrá corrido el sustantivo “ordenador”  -“computadora” en otras geografías hermanas-  dada la velocidad con la que todo tipo de “cosas” computadorizadas se están incorporando a la actividad diaria de organizaciones e individuos, lo que provoca que el sentido tradicional del referido vocablo se desdibuje a cada minuto que pasa. Pero esa, afortunadamente, es otra historia.

El entrecomillado con el que se inicia el párrafo anterior reproduce el “sencillo” encargo recibido desde la Dirección de “Novática” para la redacción de este artículo. Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance. 

“Novática” ya tuvo este mismo atrevimiento hace quince años. Entonces, cuando la revista cumplía su vigesimoquinto año de vida acercando la realidad informática a todos los miembros de la familia ATI, reunió a un grupo de profesionales a los que encomendó la tarea de esbozar un escenario localizado veinticinco años más adelante en el tiempo: en 2025. Ahora, recientemente, ha vuelto a hacerlo con motivo del cuadragésimo aniversario de la revista, que se acaba de celebrar. 

Como le decía, el presente artículo hereda ese mismo mandato y ese mismo espíritu, en un reto que se antoja -al menos, aparentemente- menor, si se considera que la solicitud requerirá aventurarse “sólo” diez años en el futuro. De nuevo, para situarse en 2025. 

En cualquier caso, estamos a sólo una década de comprobar las capacidades predictivas de unos y otros autores, incluido un servidor. 

Seguridad, ¿qué seguridad?

Puede parecer absurdo, pero la primera duda que surge a la hora de comenzar a jugar a predecir el futuro tiene que ver con una cuestión relacionada con el lenguaje: ¿qué denominación adoptar? Los puristas defenderán con uñas y dientes los matices que diferencian los diversos calificativos que, a lo largo del tiempo, han ido recibiendo las actividades, las técnicas, etc., relacionadas con la mitigación de los peligros asociados al uso (incluido, especialmente, el mal uso) de los ordenadores por parte de organizaciones e individuos: seguridad informática, seguridad de la información, ciberseguridad, etc.

La firma de análisis de mercado Gartner ha aportado, recientemente, su granito de arena a este debate y, bajo su programa “Smarter with Gartner” (Más Inteligente con Gartner), ha abogado por un universo de múltiples “seguridades”: la física; la de las Tecnologías de Operación (TO), propias de los entornos industriales; la de las Tecnologías de la Información (TI), propias de los entornos corporativos; la de la información (a secas); la de la Internet de las Cosas (IoT, del inglés “Internet of Things”); o, simplemente, la de naturaleza cibernética. Según la consultora estadounidense, todas ellas quedan, hoy, amparadas bajo el paraguas general que conforma la seguridad digital[i]. 

Esa creciente toponimia de la seguridad hace difícil adivinar cuál será el término al uso dentro de una década. Pocos se opondrán, hoy, a identificar “cyber” (ciber) como el prefijo del momento; razón por la que se ha descartado para la cabecera de este artículo. Propuestas anteriores -el caso de “InfoSec” (InfoSeg), por ejemplo, puede servir de paradigma- han tenido también su momento de gloria que, sin embargo, parece haber pasado. Eso es lo que hace pensar que “ciber” ya no será el término de moda en 2025. Más al contrario, va camino de “quemarse” mucho antes, si no está chamuscado ya en este momento, como también comienzan a señalar otras voces[ii]. No obstante, piensen los nostálgicos  -mal de muchos, …-  que no es el único término en peligro; otros, como, “governance” (gobernanza/gobierno) o el propio “digital”, elegido, finalmente, para el título de este artículo, están amenazados del mismo uso y abuso. (El caso de “ordenador” ha quedado, ya, explicado). 

En cuanto a “digital”, si bien ocupa también, como acaba de señalarse, las portadas de todo cuanto se publica en estos días en materia tecnológica, parece que aplicado a la seguridad ha disfrutado hasta ahora sólo de un corto recorrido, lo que podría darle, aún, posibilidades de desarrollo futuro. Por eso ha sido el término elegido en esta ocasión. 

Incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha optado por hablar de riesgos para la “seguridad digital” en su reciente revisión[iii] de la “Recomendación del Consejo relativa a las Directrices de la OCDE para la seguridad de los sistemas y las redes de información: Hacia una cultura de la seguridad”, publicada originalmente en 2002. Reconforta saberlo, por cuanto ello parece avalar la primera apuesta futurista que se desliza en este artículo.

Pero, realmente, ¿seguridad o resiliencia?

La seguridad, con todas sus tradicionales -milenarias- connotaciones, es un término demasiado asentado como para que uno pueda temer por su desaparición (a diferencia de lo que, presumiblemente, ocurrirá, más pronto que tarde, con los ejemplos anteriormente mencionados). Pero, por encima del debate léxico, lo verdaderamente relevante es que, cada vez más, nos adentramos en una época de total desconfianza. Estamos ante un panorama desalentador en el que ya se oyen algunas voces que comienzan a plantear hasta qué punto merece la pena sumirse en la transformación digital, dadas las penalidades cibernéticas que las organizaciones sufren día tras día[iv]. 

Casos como el del fabricante de juguetes Vtech[v] que el pasado noviembre sufrió un acceso no autorizado a su tienda virtual de aplicaciones, comprometiendo datos personales, tanto de niños (nombres, fechas de nacimiento, sexo), como de sus padres (nombres, direcciones electrónicas y postales, contraseñas, etc.); o el más reciente descubrimiento de debilidades en productos de su competidor Fisher-Price[vi], susceptibles de causar similares consecuencias, son una muestra de hasta dónde [los malos] están dispuestos a llegar y de nuestra propia fragilidad, contribuyendo al consenso generalizado sobre el hecho de que nadie está libre, ya, de semejante lacra. 

Abusando del tópico, lo cual no lo hace menos cierto, la conclusión pasa por reconocer, una vez más, que la seguridad plena resulta inalcanzable. Y por pensar que, dado que la seguridad nunca será resuelta, a cambio, habrá de ser administrada. Esto se traduce en un cambio de paradigma en el que se está abandonando un enfoque para la seguridad basado en ‘la prevención y la protección’, para abrazar otro nuevo, fruto de una cierta resignación, que se apoya en ‘la detección y la corrección’ (incluidas la respuesta y la recuperación). ¡Un obligado cambio de modelo que se acentuará en los próximos años! 

Toma sentido, de este modo, el objetivo básico por el que ha de moverse toda empresa: perdurar en el tiempo  -priorizar cualquier otra meta resultaría absurdo a partir del incumplimiento de esa condición básica-. Y, en el escenario descrito, la seguridad se antoja insuficiente como garantía de esa perdurabilidad. En su lugar, el nuevo fetiche se denomina resiliencia[vii]. 

Apuestas arriesgadas

No todas lo serán y, probablemente, no todas lo serán tanto; pero traspasado el umbral de los primeros atrevimientos  -pronosticar la desaparición del prefijo “ciber”, el efecto “freno” de la inseguridad sobre la actual corriente digitalizadora o el cambio de paradigma desde “seguridad” hacia “resiliencia” (que no resulta nuevo, en todo caso)-  llega el momento de cumplir verdaderamente el encargo y enumerar algunas otras tendencias -que lo son hoy y, previsiblemente, lo serán en 2025-. 

Desafíos globales

En primer lugar, y a fin de contextualizar los grandes retos que le esperan a nuestro planeta en la próxima década, cabe mencionar al Foro Económico Mundial que en su último informe sobre riesgos globales[viii] destaca la escasez de recursos esenciales -particularmente, agua y otros alimentos-, las consecuencias del cambio climático y otros eventos meteorológicos extremos, y la inestabilidad social, entre los riesgos más preocupantes. Paralelamente, la firma McKinsey apunta, también, a factores demográficos al identificar algunas de las fuerzas globales que estarían redibujando el sistema operativo de la economía mundial[ix]: la creciente urbanización (con la consiguiente migración desde las zonas rurales a las ciudades, especialmente, en determinados países emergentes) y el envejecimiento de la población. McKinsey no olvida, sin embargo, la digitalización y la globalización favorecida por esa misma digitalización y por el desarrollo de las redes de telecomunicaciones, al enumerar las fuerzas motrices del nuevo contexto económico mundial. 

Si bien no se trata, a priori, salvo en los últimos casos, de retos directamente relacionados con ‘lo digital’, sí pueden ser motivo todos ellos de algunas otras amenazas claramente ligadas a lo tecnológico. Amenazas que vemos hoy y seguiremos viendo en los próximos años: guerras (del agua u otras, incluido el terrorismo), con su traslación al ciberespacio; aumento de la brecha digital entre colectivos de población por razón de su origen geográfico, o edad, que pueden suponer pérdida de oportunidades (incluido el empleo) para el desarrollo personal y profesional; ‘hacktivismo’ reivindicativo de carácter político o social; ciberdependencia y la consiguiente ciberdebilidad/ciberexposición (entre otras, al aumento del desempleo, de nuevo) de las sociedades más tecnificadas; etc. 

Ciberestrategias

El carácter global de gran parte de las problemáticas expuestas hasta aquí justifica, en una importante medida, la mayor preocupación que hoy existe entre los estados -frente al caso de las empresas-  por lo que podría denominarse “la problemática ‘cíber’”. Hoy, uno de cada cuatro estados dispone, o está en vías de hacerlo, de una ciberestrategia[x]. Es de esperar que para 2025 sean alguno más. 

Por el contrario, diríase sin temor a errar que el número de empresas que estarían en disposición de declarar que disponen de una estrategia tal dista mucho del 25% del censo total mundial. Por tanto, será deseable, también, que esta cifra crezca a lo largo de la década que comienza.

Asimismo, confiemos en ver algún otro país abanderando una estrategia internacional de ciberseguridad (además de los EEUU[xi]). No parece muy coherente seguir planteando estrategias nacionales en un espacio sin fronteras como es, de momento, el ciberespacio. (Por cierto, como no lo parece promover mercados únicos digitales circunscritos a un continente). 

Derecho a la intimidad

Sin abandonar el ámbito gubernamental, otro importante debate que heredará la nueva década será el de la dicotomía “seguridad - intimidad”. (Lamentablemente el auge del ya citado terrorismo -“cíber” y del otro-  contribuirá en muy poca medida a dilucidarlo).

Algún ciudadano de a pie  -realmente, lo he escuchado de una ciudadana-,  ya aboga por demandar algo así como un servicio de ‘ciberburbuja’, una especie de cápsula virtual en la que cobijar sus comunicaciones electrónicas con terceros, sus incursiones en las redes sociales, etc., de forma que tuviese garantía plena de que sólo sus allegados participasen de sus intercambios de información, en lugar de dejarlas tan expuestas, a la vista  -y a la memoria-  de casi cualquiera, como parece que están en la actualidad. Una especie de vuelta al recogimiento, tras un período de exhibicionismo desmedido.

Sin duda, una excelente propuesta  -la de las “ciberburbujas”-,  a desarrollar en esta década post-Snowden que vivimos; pero que habrá de ir acompañada, en los años por venir, de unas mayores cotas de sensibilización por parte de los propios usuarios-ciudadanos.

Y, hablando de Edward Snowden, tal vez, veamos el desenlace  -una década da para mucho-  de la aventura iniciada por el técnico estadounidense en el verano de 2013, con la polémica revelación de las, no menos polémicas, prácticas de la Administración de su país, en materia de cibervigilancia indiscriminada.

Consejos de administración

Retomando, de nuevo, el hilo de las empresas, se hace oportuno reparar en la situación de los consejos de administración y su actitud frente a la ciberseguridad.

Una valoración muy optimista de la situación vivida hasta ahora permitiría afirmar que ‘lo cíber’  -y, por extensión, ‘lo digital’-  no ha sido un tema que interesara, en demasía, a los señores consejeros. En ello pueden haber influido los antecedentes, particularmente los académicos, de estos individuos; y su edad, la cual dibuja, a su vez, un perfil académico determinado: juristas y economistas componen, mayoritariamente, el censo de consejeros actual, lo que podría contribuir a alejarlos de la responsabilidad que hoy les toca asumir en plena era digital.

En 2025 la Biología estará haciendo su trabajo y habrá comenzado a colocar en los consejos a unos nuevos sesentones -la firma Spencer Stuart sitúa la edad media del consejero español en los sesenta años[xii]-.  La diferencia con sus actuales colegas será que, para entonces, aquellos habrán desarrollado toda o gran parte de su carrera tras el debut de la Internet comercial (1995), lo que supondrá un mínimo de treinta años interactuando con el medio digital. Como consecuencia, la confianza en el efecto del salto generacional lleva a imaginar unas futuras agendas corporativas distintas a las que manejan hoy la mayoría de consejeros. 

Mientras se produce ese salto, otros parecen ser los incentivos que contribuirán a acercar el mensaje ‘cíber’ a los consejos de administración: haber sufrido en carne propia  -o en las proximidades-  algún incidente digital; el mandado de los organismos reguladores; la opinión de las agencias de calificación y las pólizas cibernéticas (presumiblemente, también, para los ciudadanos, en cuyo caso vendrán asociadas al seguro del hogar o a la factura del sistema de alarma que nos remita nuestra compañía de seguridad).

Digitalización no, “software-ización” 

Todo apunta, y todo el mundo parece defender -en este texto se ha hecho más arriba-, que estamos asistiendo a un proceso general de digitalización. Un proceso en el que los elementos E-I-T (Electrónica-Informática-Telemática) están provocando un cambio de modelo en la forma en que personas, empresas y administraciones se están comportando, relacionando y operando, individualmente y entre ellas. Sin embargo, un análisis más reposado del fenómeno permite identificar un denominador común en todo el proceso, y en la electrónica, la informática y la telemática, en particular: el software. 

Es de esperar que en la década que comenzamos haya nuevos avances en la forma de escribir software  -no sólo en el “cómo”, sino también en el “quién”; un “quién” hasta ahora reservado, mayoritariamente, para programadores humanos-. Es de esperar, asimismo, que ese mismo software, que cada vez más lo permea todo, siga ocupando el segundo puesto entre los eslabones más débiles de la seguridad, sólo por detrás del que ocupan los individuos que lo crean y, sobre todo, que lo usan.

Las flaquezas (vulnerabilidades) que presentan, de forma inherente, los sistemas cibernéticos lo son en gran medida por las flaquezas (vulnerabilidades) de su software. Nada, salvo el optimismo, apunta a que los esfuerzos en mejorar la calidad del software den mejores frutos que los recogidos hasta la fecha; más, si cabe, en un contexto en el que la frenética necesidad de contribuir a aumentar ese volumen de software  -“software-izar”-  en busca de nuevas funcionalidades amenaza con dejar de lado otros atributos de la calidad, como la seguridad.

Ciberincidentes

Los futuros incidentes digitales, como los de hoy, van a seguir estando provocados por atacantes o saboteadores (externos e/o internos), crecientes en número y capacidades (ejércitos de un solo hombre, delincuencia organizada, estados); errores y negligencias de los usuarios; y fallos de los propios sistemas (de nuevo, mala calidad, unida a configuraciones incorrectas u obsolescencia, entre otros factores). 

Dada esa variada casuística, que probablemente se mantendrá dentro de diez años, es evidente que no todos los incidentes merecen, ni van a merecer, el calificativo de “ciberataque”. Lo verdaderamente arriesgado aquí es apostar por la proporción, que deparará el futuro, de un tipo de incidente frente a otros. Hoy, dos de cada tres ciberincidentes están provocados por alguna causa o causante interno, tal y como declaraba hace unos meses el responsable de ciberseguridad de una conocida multinacional española del sector energético. De la misma manera, dos de cada tres ciberincidentes no son fruto de un ataque. La masiva eclosión de software que se avecina, aludida anteriormente, hace pensar que los fallos y los errores  -por este orden-  serán los reyes de la fiesta de los incidentes en el futuro. 

Nuevos ciberespacios y viejas consecuencias

Ese ámbito artificial creado por medios informáticos que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo paisaje en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas sobre el mundo real.

Los catalizadores que hoy conocemos para impulsar el crecimiento del nuevo espacio ciber-físico, guardan una estrecha relación con lo que se ha dado en llamar “Internet de las Cosas”, paradigma en el que prima la conectividad entre máquinas, realizada con un cierto  -elevado-  grado de autonomía. Es, por tanto, el espacio, entre otros, de los vehículos autónomos de todo tipo (terrestres, aéreos y marinos); el de los robots, industriales o militares; y, en suma, el de formas de inteligencia artificial existentes y venideras. 

Sin embargo, si en algún contexto se materializa, de forma clara, en la actualidad, el espacio ciber-físico es en el ámbito de los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles). ¡Aunque dichos sistemas están también presentes en otros entornos (desde la construcción  -edificios inteligentes-,  pasando por las tecnologías de la información  -centros de proceso de datos-,  hasta la medicina  -robots expendedores de medicamentos o robots cirujanos-, etc.!

En estos ámbitos, en los que los espacios físico y cibernético están, cada vez, más entrelazados, y en los que la Internet de las Cosas y la Internet Industrial de las Cosas podrán ser objetivo y fuente, al mismo tiempo, de ciberataques, puede preverse para los próximos años un aumento de los sabotajes dirigidos a las tecnologías empotradas inteligentes, como la “infección” de equipos robóticos  -y otras formas de inteligencia artificial-  con algún tipo de software dañino que modifique su comportamiento hasta el punto de hacer que se vuelvan, incluso, contra los humanos. 

Las consecuencias de los incidentes, provocados o fortuitos, en estos nuevos espacios ciber-fisicos, lejos de resultar novedosas, son -y van a serlo cada vez más acentuadamente- similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente que la acción del hombre ha causado siempre antes de la irrupción de la era digital. 

* *

Pero, para no errar solo en los pronósticos  -insisto, “mal de muchos, …”-,  permítame que dé voz, ahora, a una serie de expertos, todos amigos y profesionales internacionalmente reconocidos, cuyos testimonios, a buen seguro, aportarán el verdadero valor que pueda encerrar este artículo. 

La opinión de los expertos

Vaya por delante mi más sincero agradecimiento a las desinteresadas y, al mismo tiempo, interesantísimas contribuciones de todos ellos. 

Ignacio Paredes (@IParedes), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

“En el particular ámbito de la ciberseguridad en entornos industriales, confío en poder ver en 2025 sistemas de supervisión de la seguridad capaces de capturar y correlacionar los eventos que tengan lugar a nivel de planta industrial, con los que ocurran en los dispositivos y equipos de la informática corporativa, con los registrados por los elementos de ciberseguridad y con aquellos que tengan como escenario el mundo físico (disturbios, guerras, tensiones políticas, caídas de la bolsa, …) con el fin de: por un lado, obtener una visión completa del estado de una determinada instalación industrial; y, por otro, de predecir la evolución del riesgo que afecte a la misma”.

Diego Andrés Zuluaga Urrea, Colombia

CISO, ISAGEN

Coordinador Regional para Colombia, CCI

“En diez años preveo una seguridad adaptativa al entorno, en escenarios donde los dispositivos, cada vez más, estarán integrados e hiperconectados. La frontera entre vida laboral y personal cada vez se hace más difusa. El individuo es un solo ser que aporta a diferentes grupos sociales donde se desempeña de una u otra forma. De ese modo, la seguridad deberá entender la información, su clasificación y el contexto en el cual se está usando y, de acuerdo con ello, habrá de contribuir a separar los niveles y profundidad de acceso que cada circunstancia requiera, y a protegerla frente a las nuevas amenazas. Se emplearán, para ello, tecnologías de análisis de datos del entorno y de la información misma, que permitirán adaptarse a las circunstancias.

Asimismo, en mi ámbito profesional más cercano, la industria, yo esperaría que la ciberseguridad estuviese presente ‘por diseño’ en todos los sistemas de control industrial y que fuera tan natural como lo es hoy en las redes corporativas, con sistemas de gestión y mejora continua, liderados desde áreas que entiendan integralmente las necesidades conjuntas de las TO y de las TI. Cabe pensar que, para entonces, los incidentes sobre este tipo de infraestructuras serán habituales y su impacto dependerá de la preparación y resiliencia de las organizaciones que los reciban”.

Patrick C. Miller (@PatrickCMiller), EEUU

Socio-Director, Archer Energy Solutions

Presidente Emérito, EnergySec

“Tal vez parezca una locura; pero creo que, en diez años, uno de los temas que marcará tendencia será la seguridad de Inteligencia Artificial (IA). Estamos acercándonos a la IoT y a la IIoT (Internet Industrial de la Cosas, del inglés ‘Industrial Internet of Things’). Cuando sean una realidad, producirán más datos y presentarán tal complejidad, que la única forma de gestionar los ‘sistemas’ y obtener el valor esperado de ellos será mediante la aplicación de inteligencia artificial. La IA se empleará para administrar y analizar datos; pero, también, para que los sistemas se gestionen a sí mismos, de forma autónoma (por ejemplo, auto-reparación, auto-optimización, etc.). Imagino que los ‘hackers’ comenzarán a explotar la funcionalidad y las debilidades de la IA, así como a utilizar la propia IA para atacar a otros sistemas. Esto dará como resultado una situación en la que tendremos IA frente a IA”. 

Robert M. Lee (@RobertMLee), EEUU

Fundador y CEO, Dragos Security

Profesional del Año en el campo de la Ciberseguridad Industrial (EEUU, 2015-16)

“Con respecto a lo que hoy es tendencia y a lo que esperamos ver dentro de una década, estará centrado en el crecimiento e integración de los datos. Justo ahora existe un gran debate alrededor de la IIoT, la convergencia entre las TI y las TO, y el valor que, para las operaciones, pueden tener prácticas como la supervisión de la seguridad de las redes. A lo que creo que forzará todo esto es a un cambio en la forma en que observamos y tratamos los datos de nuestro entorno. Confío en que ello suponga que tendremos un mayor acceso a los datos  -léase, más infraestructura gestionada-,  más ojos sobre esos datos  -por ejemplo, Centros de Operaciones de Seguridad de TI/TO-  y que veamos innovación en el modo de obtener datos de forma menos invasiva  -por ejemplo, mediante Redes Industriales Definidas por Software-.  Creo que esto marcará la tendencia debido a la importancia y al valor de los datos, así como a la implicación de los diferentes interesados y al creciente número de dispositivos conectados a redes dentro del conjunto de los sistemas de control industrial”.

Claudio Caracciolo (@HoleSec), Argentina

Embajador de Seguridad, Eleven Paths/Telefónica Digital Identity & Privacy

Coordinador regional para Argentina, CCI

“Claramente, los modelos de integración entre redes continuarán fusionándose, cada vez más, en la próxima década.

En la industria, los sistemas de control industrial tendrán como requisito de diseño la movilidad para su propia supervisión y control. Además, los conflictos violentos relevantes, como guerras o atentados, que afecten a este tipo de sistemas harán que sea necesario poner en marcha modelos de defensa más eficaces.

En ese sentido, los fabricantes deberán optimizar sus esfuerzos, por lo que contratarán expertos en ciberseguridad para revisar sus productos y redefinir sus procesos. De igual modo, preveo un crecimiento de la actividad consultora en materia de ciberseguridad industrial. Las empresas de servicios de seguridad tendrán mayores conocimientos y contratarán expertos del mundo de las TO y del de la seguridad corporativa para diseñar planes conjuntos de protección de infraestructuras industriales  -algunas ya lo están haciendo y, de hecho, creo que esos servicios se convertirán en un producto de uso común en un par de años-.

Finalmente, el concepto de ‘red de auto-defensa’ (del inglés, ‘self-defending network’), promovido, años atrás, por el fabricante estadounidense Cisco, deberá llegar también a los sistemas industriales. Estamos en la etapa de ‘revisión y rediseño’, luego pasaremos por la de ‘prueba/verificación periódica’ y, finalmente, creo que llegaremos al ‘modelo de auto-defensa’”.

Samuel Linares (@InfoSecManBlog), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

“La seguridad ‘transparente’: ese es, para mí, uno de los grandes retos de la próxima década.

Tradicionalmente, todas las medidas de seguridad han sido, y son, muy ‘intrusivas’ desde el punto de vista del usuario. Creo que, a largo plazo, todo debería ser, y será, más ‘transparente’. Se tratará de que, aunque la seguridad esté ahí, implantada a todos los niveles, no la notemos; no tengamos que realizar ninguna acción explícitamente, en nuestra calidad de meros usuarios. (Si la cámara de mi ordenador portátil ‘ve’ que soy yo, y ‘nota’ que soy yo, yo no debería tener que hacer nada y, al mismo tiempo, debería resultar autenticado favorablemente).

Un segundo reto será la visibilidad total de las infraestructuras.

La integración, la correlación y la supervisión total de las infraestructuras corporativas, e industriales, integrando  -mediante analítica de datos, por ejemplo-  toda la información disponible sobre la operación de los procesos productivos (apoyada en sistemas SCADA), la prevención de riesgos laborales, la ciberseguridad, la seguridad física, la seguridad medioambiental, etc.”.

César Cerrudo (@CesarCer), Argentina

CTO, IOActive Labs

Promotor y Miembro de la Junta Directiva, SecuringSmartCities.org

“Es difícil predecir un escenario a diez años, sobre todo cuando se trata de tecnología, ya que todo cambia y avanza muy velozmente.

Lo que si me atrevo predecir es que, en una década, casi todo tendrá software y estará conectado a Internet, o a alguna otra red; incluso, tal vez, nuestro cuerpo o partes de nuestro cuerpo. Esto hará que la ciberseguridad sea más importante que nunca.

En el caso de las ciudades, toda su infraestructura también estará conectada y todo será digital. Los servicios se adaptarán a las necesidades de los ciudadanos en tiempo real gracias a la información recolectada desde miles de sensores y fuentes diversas. La superficie de ataque digital a una ciudad será inmensa; y, seguramente, habrá organismos dedicados específicamente a lidiar con ciberataques a las ciudades y a tratar de mantenerlas seguras”.

Jeimy Cano (@ITInsecure), Colombia

Director, Revista “Sistemas” de la Asociación Colombiana de Ingenieros de Sistemas (ACIS)

Analista Asociado, iTTi

“La ciberseguridad está inmersa en una dinámica internacional volátil, incierta, compleja y ambigua, lo que la hace inestable y cambiante conforme se advierten nuevas formas de convergencia en un mundo digitalmente modificado.

En este sentido, los responsables de esta materia deberán tener claras, al menos, seis habilidades clave para navegar en medio de lo desconocido, recalibrar la estrategia, ubicar el punto al cual quieren ir y mantener el equipo de trabajo en marcha para evitar la parálisis[xiii]:

1. Anticipar cambios en el entorno digitalmente modificado.

2. Retar los supuestos y el statu quo, para pensar de forma no convencional.

3. Interpretar los datos y puntos de vista, más que sólo confirmar la evidencia de sus propias creencias.

4. Decidir qué hacer tras revisar las opciones y tener la capacidad de explorar posibilidades hacia adelante.

5. Alinear los intereses e incentivos de los directivos, basados en diferentes puntos de vista.

6. Aprender de los éxitos y errores a través de laboratorios y pilotos, capitalizando las lecciones aprendidas y por aprender. 

En este escenario, la ciberseguridad deberá estar atenta a cambios inesperados y contradictorios que perturben la realidad de sus actuales estándares.

Algunas reflexiones a futuro podrían girar en torno a temas como resiliencia móvil, ecosistemas digitales emergentes o diseño ciberseguro de instalaciones; cada uno de los cuales está asistido por la tendencia de una mayor digitalización de la interacción entre personas y organizaciones; y, particularmente, la de la acelerada convergencia de lo físico y lo lógico a nivel global”.

* * 

Ahora mantenga la paciencia. En tan sólo una década podrá comprobar cuántos aciertos y cuántos errores ocultaban estas páginas. ¡Aguarde hasta entonces!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Secciones técnicas. NOVÁTICA 235, pgs.62-67 – "Seguridad digital 2025" – Miguel García-Menéndez. 

---------------------------------------------

[i] Gartner, Inc. “Understanding your new role in Digital Security” (Comprender su nuevo papel en la Seguridad Digital). Obtenido vía @iTTiresearch en Twitter. URL (a 2015.11.27) :: https://twitter.com/iTTiresearch/status/608295938185170944  

[ii] Dickson, John B. “We need a new word for cyber” (Necesitamos un nuevo término para ciber). Dark Reading (DarkReading.com). 23 de noviembre de 2015. URL (a 2015.11.28) :: http://www.darkreading.com/attacks-breaches/we-need-a-new-word-for-cyber/a/d-id/1323278 

[iii] Organización para la Cooperación y el Desarrollo Económico (OCDE). “Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and Companion Document” (Gestión, para la Prosperidad Económica y Social, del Riesgo para la Seguridad Digital. Recomendación de la OCDE y Documento de Acompañamiento). OCDE. 17 de septiembre de 2015. URL (a 2015.12.01) :: http://www.oecd-ilibrary.org/docserver/download/9315051e.pdf? 

[iv] Scott, John. “What are cyber disruptions costing businesses?” (¿Cuánto les están constando las ciberperturbaciones a las empresas?). Entrevista a Jason Healy, autor del éxito editorial de 2012 “A Fierce Domain, Cyber Conflict 1986 to 2012” (Un Dominio Feroz. Ciberconflictos 1986-2012) y fundador y miembro senior de la Iniciativa de Políticas Cibernéticas del Centro Brent Scowcroft sobre Seguridad Internacional del gabinete de análisis estratégico estadounidense The Atlantic Council. Aparecida en “Agenda” del Foro Económico Mundial. 26 de octubre de 2015. URL (a 2015.11.29) :: https://agenda.weforum.org/2015/10/what-are-cyber-disruptions-costing-businesses/ 

[v] Kleinman, Zoe. “Children's electronic toy maker Vtech hacked” (El fabricante de juguetes electrónicos para niños, Vtech, ‘hackeado’). BBC News/Technology. 27 de noviembre de 2015. URL (a 2016.04.06) :: http://www.bbc.com/news/technology-34944140 

[vi] Yadron, Danny. “Fisher-Price smart bear allowed hacking of children's biographical data” (El osito inteligente de Fisher-Price permitía el ‘hackeo’ de datos biográficos de los niños). 2 de febrero de 2016. URL (a 2016.04.06) :: https://www.theguardian.com/technology/2016/feb/02/fisher-price-mattel-smart-toy-bear-data-hack-technology 

[vii] Calder, Alan P. “Cyber security is no longer sufficient to ensure business sustainability. Cyber resilience should become the new boardroom priority” (La ciberseguridad ya no es suficiente para asegurar la sostenibilidad del negocio. La ciberresiliencia debería convertirse en la nueva prioridad del consejo de administración). Obtenido vía @info_CCI en Twitter. URL (a 2016.04.07) :: https://twitter.com/info_CCI/status/582441048112304128 

[viii] Foro Económico Mundial. “The Global Risks Report 2016” (El Informe de Riesgos Globales 2016). En su página 13, figura 1.2, señala los cinco riesgos de mayor preocupación para los próximos diez años, según la Encuesta de Percepción de Riesgos Globales realizada en 2015. 14 de enero de 2016. URL (a 2016.04.07) :: http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf 

[ix] Dobbs, Richard; James Manyika, and Jonathan Woetzel. “The four global forces breaking all the trends” (Las cuatro fuerzas globales que están rompiendo todas las tendencias). McKinsey & Company (McKinsey Global Institute). Abril de 2015. URL (a 2016.04.07) :: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/the-four-global-forces-breaking-all-the-trends 

[x] ENISA. “National Cyber Security Strategies in the World” (Estrategias Nacionales de Ciberseguridad en el Mundo). Agencia Europea para la Seguridad de las Redes y la Información (ENISA). Abril de 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world 

[xi] The White House. “International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World” (Estrategia Internacional para el Ciberespacio). La Casa Blanca, Washington (EEUU), mayo de 2011. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xii] Spencer Stuart. “International comparation” (Comparativa internacional). Extracto y comparativa de la serie “Board Index 2015” (Índices de los Consejos 2015), 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xiii] Krupp, Steven and Paul J. H. Schoemaker. “Winning the long game. How strategic leaders shape the future” (Ganar en el largo plazo. ¿Cómo moldean el futuro lo líderes estratégicos?). PublicAffairs. 2 de diciembre de 2014. URL (a 2015.12.01) :: http://www.amazon.com/Winning-Long-Game-Strategic-Leaders/dp/161039447X 

Los asuntos relacionados con la composición de los consejos de administración son un clásico como temas de estudio y análisis dentro de la disciplina del gobierno corporativo. La participación, o no, de ejecutivos de la empresa en el consejo; su presencia equilibrada, en número (con respecto al resto de consejeros); la separación, o no, entre la figura del presidente del consejo de administración y la del consejero delegado; etc., son ejemplos del habitual debate en esa materia.

A ellos se ha sumado en los últimos años uno particularmente polémico -al menos, en algunos ámbitos-: el de la menor -escasa- presencia de mujeres en dichos consejos.

* *

Una búsqueda en Google de la cadena “Women on Boards” (Mujeres en los Consejos) puede arrojar, fácilmente, un resultado de millones de entradas [239.000.000, en la consulta que hemos lanzado al tiempo que escribíamos estas líneas], que, en todo caso, se traducen en la multitud de páginas y portales de Internet desde los que, bajo esa consigna, se aboga por elevar el porcentaje de participación femenina en los consejos de administración (WomenOnBoards.net, WomenOnBoards.org.mv, WomenOnBoardsKenya.co.ke, WomenOnBoard.be, CatalystWomenOnBoard.org, Get-Women-On-Board.eu, WOB.org.nz, 2020WOB.com, European.EWOB-network.eu, WomenCorporateDirectors.com, OnBoardNow.org, son sólo algunos ejemplos). 

* *

A pesar de las corrientes legislativas -y de otra naturaleza (códigos de autorregulación, recomendaciones varias, etc.)- que, en fechas recientes, se han venido viendo en los países del hemisferio occidental a favor de la diversidad de género en los consejos de administración y otros órganos de gobierno -algunos consejos de ministros han hecho bandera de esta noble causa-, las cifras de participación de mujeres en las estructuras corporativas aún se revelan alejadas de la paridad [i].

* *

Sin embargo, este agitado panorama que parece envolver la discusión sobre la composición de los consejos de administración no quedaría, hoy, completo sin incluir otro nuevo elemento de debate: la necesidad de dotarlos, también, de una cierta diversidad digital.

“Lo digital” ha impregnado la Sociedad, por completo, en todos sus ámbitos; y continuará haciéndolo[ii]. De ahí que el momento actual no ofrezca cabida a consejos “monocolor”, al sentido clásico; esto es, consejos en los que haya homogeneidad en la carencia de competencias digitales entre sus miembros. Consecuentemente, la incorporación de sabiduría digital se hace incuestionable y urgente. 

* *

Como en el caso de la diversidad de género, elevar la cuota de participación de consejeros con antecedentes tecnológicos -cuota que, en el caso de muchas empresas, permanece a cero- no hará sino enriquecer a la organización. Así lo defiende el Prof. Peter Weill, Presidente del Centro para la Investigación de los Sistemas de Información (CISR, por sus siglas en inglés) de la Escuela de Dirección Sloan, del Instituto de Tecnología de Massachusetts, cuando declara que “la diversidad digital enriquece y favorece a las organizaciones por la complejidad actual, en plena oleada de la digitalización y de cambios en los modelos de negocio” [iii]. Y así lo están entendiendo un número cada vez mayor de compañías de sectores tradiciones que han comenzado a incorporar a sus consejos de administración a profesionales con bagaje tecnológico o en el sector tecnológico. Wal-Mart Stores Inc., con las incorporaciones de Marissa Mayer, primero, y Kevin Systrom, después, a su consejo; o The Walt Disney Company, con la de Jack Dorsey al suyo, han sido ejemplos pioneros.

Sin embargo -siempre ha de haber algún contrapeso; dejaría de llamarse debate, en otro caso-, desde el bufete neoyorquino Skadden, Arps, Slate, Meagher & Flom y Asociados, el socio Marc S. Gerber advierte de que “los consejos de administración necesitan permanecer sensibles ante el hecho de tener miembros con el conocimiento suficiente para formular las preguntas adecuadas y comprender las implicaciones de las respuestas, sin convertirse en un consejo ‘balcanizado’, constituido por numerosos expertos, que lo sean sólo en temas específicos” [iv]. Gerber añade, además, que “un consejo de administración de alto rendimiento [siempre] puede recurrir a cuantos consultores expertos y asesores necesite”. 

* *

¡Tal vez, una vez más, en el punto medio se encuentre el equilibrio!

En su caso particular, olvídese de cuotas y de si uno, dos, o más, consejeros “digitalizados” son suficientes; y trate de dotar a su órgano de gobierno de las competencias digitales necesarias, independientemente de que éstas provengan de la incorporación de savia nueva al consejo de administración o, simplemente, de una mayor interacción de los miembros de aquel con colectivos de jóvenes profesionales procedentes de las diferentes partes de la empresa, idea que compartimos y que también parece contarse entre las recomendaciones del citado Prof. Weill.

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Ref. Autoriz. NOVÁTICA 235, pg. 78 – "Diversidad digital" – Miguel García-Menéndez, Manuel Palao.  

--------------------------------------

[i] Foro Económico Mundial. “It’s official: companies with women on the board perform better”. 8 de diciembre de 2015. URL (a 2016-03-30):: https://www.weforum.org/agenda/2015/12/its-official-women-on-boards-boost-business/ 

[ii] iTTi. “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. 30 de mayo de 2015. URL (a 2016-03-30):: http://es.slideshare.net/iTTi_news/el-manifiesto-itti 

[iii] Weill, Peter y Jennifer W. Christensen. “Resposibilities of the Board in a Digital Economy”. Seminario. 22 de octubre de 2015. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

[iv] Gerber, Marc S. “US Corporate Governance: Have We Crossed the Rubicon?”. Skadden's 2016 Insights – Governance. Enero de 2016. URL (a 2016-03-30):: http://cisr.mit.edu/publications-and-tools/publication-search/boards-digital-disruption/ 

Fieles a nuestra cita trimestral con Uds. y en respuesta a la amable invitación-petición realizada por los responsables de “Novática”, procedemos, a continuación, a realizar el “cierre del ejercicio” 2014 de ésta, [n|v]uestra Sección Técnica. 

Hace un año, en idénticas circunstancias, abogábamos  -seguimos haciéndolo-  por la consideración como “hechos relevantes”[i] de aquellos eventos relativos al uso que las organizaciones hacen de la Informática y sus disciplinas afines, susceptibles de influir, en mayor o menor medida, sobre las decisiones de inversión en las referidas organizaciones, que pudiesen estar barajando los diferentes interesados. Hoy hemos de confesar  -no sin lamentarlo-  que la incorporación de tales “hechos” a un registro específico o, incluso, al registro general custodiado por la CNMV[ii] no ha pasado de ser, simplemente, nuestro deseo. 

No obstante, adoptando una perspectiva más optimista, el ejercicio que ahora concluimos podría calificarse como aquel en el que ha comenzado a vislumbrarse una cierta conciencia tecnológica entre los líderes corporativos de nuestro entorno. Varios han sido los nombres propios que han alzado la voz este año mostrando, y reivindicando, una preocupación  -y, en casi todos los casos, ocupación-  por las Tecnologías de la Información y su contribución (o, en su caso, consecuencias) para el progreso de sus respectivas organizaciones.

* *

Francisco González, Presidente del consejo de administración del banco español BBVA[iii], presentaba en Madrid, el pasado 29 de abril, el libro “C@mbio [Ch@nge]. 19 ensayos fundamentales sobre cómo Internet está cambiando nuestras vidas”[iv], reconociendo en Internet “el mayor agente de cambio de nuestra época”. 

En palabras de González “la sociedad ha cambiado: las personas [conectadas] están mejor informadas y son más exigentes, sus hábitos de consumo, sus preferencias, sus criterios de decisión son diferentes” y, por ello, “los bancos tienen que desarrollar un modelo de negocio adaptado al mundo digital y basado en el conocimiento […] para ofrecer a los clientes lo que quieren, cuando y como lo quieren”.

Asimismo, González aprovechaba la ocasión para acuñar una nuevo calificativo para el sector bancario: en su opinión “la industria financiera convencional se está convirtiendo en lo que yo llamo la industria BIT ([b]anca, [i]nformación y [t]ecnología)”, ajustándose, de ese modo, a la concepción de “la tecnología como una ventaja competitiva clave”, según reza en su presentación corporativa. Sobre dicha conversión hablaba José Olalla, CIO de Banca Digital de BBVA, durante su charla, ofrecida el pasado 25 de noviembre en las dependencias del Instituto de Empresa de Madrid, la segunda de una serie de conferencias dedicadas a presentar la “Transformación Digital en BBVA”. 

* *

Javier Monzón, Presidente del consejo de administración de la firma tecnológica española INDRA[v], optaba por la vía de las advertencias sobre las consecuencias [negativas] de las Tecnologías de la Información. Y lo hacía en el marco del desayuno de trabajo organizado por la Confederación Española de Directivos y Ejecutivos (CEDE)[vi] el 23 de septiembre pasado, bajo el título “Los retos de la sociedad digital: Ciberseguridad”[vii].

Durante su intervención, Monzón recordaba que “vivimos en un mundo de amenazas crecientes, cada vez más avanzadas, sofisticadas y complejas, y con un mayor impacto y frecuencia”. A pesar de ello, el Presidente de INDRA no evitaba referirse a las oportunidades que la transformación digital, y la propia ciberseguridad, ofrecen para la reindustrialización del país. 

* *

Julio Linares, Vicepresidente del consejo de administración de Telefónica[viii], protagonizaba, el 21 de octubre, el acto de presentación del Cuaderno de la Fundación CEDE “Revolución digital. Impacto de las nuevas tecnologías en el directivo”[ix]. 

Con la sesión se pretendía informar de las oportunidades, retos y, nuevamente, amenazas que las Tecnologías de la Información suponen para el desempeño de la función directiva y para las empresas. 

* *

Sin duda, los tres ejemplos expuestos merecen nuestro aplauso (aunque pudiera pensarse que en los dos últimos casos  -INDRA y Telefónica-  se deba a intereses por “explotar” lo digital). Lo merecen, muy especialmente, las iniciativas de CEDE. Iniciativas que bien podrían servir de ejemplo para otras entidades similares, como el IC-A[x], al que ya nos hemos venido refiriendo en estas páginas, por cuanto constituirían una excelente palanca para elevar este discurso de la contribución (y consecuencias) de las Tecnologías de la Información, acercándolo a los consejos de administración de las empresas de nuestro país.

Por otro lado, y en relación a esos mismos consejos, habría que señalar que las tres empresas citadas, BBVA, INDRA y Telefónica, pertenecen al índice IBEX-35 de las principales compañías cotizadas en España. Sin embargo, sólo una de las firmas que componen dicho índice  -nos referimos al Grupo Santander-  sigue marcando la diferencia al haber dotado a su consejo de administración, ya en tiempos del desaparecido Emilio Botín, de una comisión específica de Tecnología, Productividad y Calidad. Tal vez el resto aún no lo haya hecho porque no vean necesaria esa distinción entre los temas TI y los no TI, como defendió nuestro buen amigo Daniel Hernández Arroyo, Vicepresidente para Europa de Gobierno Corporativo y Control Interno de Barclays, durante la sesión de presentación de la última monografía de “Novática” dedicada al “Gobierno Corporativo de las TI”, que tuvo lugar en el Instituto de Empresa, en Madrid, el pasado 3 de noviembre. 

Confiemos en que, con una comisión específica dentro del consejo, o sin ella, la conciencia sobre la imparable ola digital se incremente entre nuestros consejeros. Permaneceremos atentos a la evolución de los acontecimientos durante el ejercicio que viene.

* *

Permítannos finalizar felicitando a “Novática” por su cuadragésimo aniversario, que celebra en estos días, y desearles a todos Uds. un exitoso año 2015, en lo profesional y, particularmente, en lo personal. 

¡Felicidades!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 230, octubre-diciembre 2014. Referencia: Ref. Autoriz. NOVÁTICA 230, pg. 91 – "Cierre de ejercicio: Nombres propios" – Miguel García-Menéndez, Manuel Palao.  

---------------------------------

[i] Palao García-Suelto, Manolo; Miguel García Menéndez, “Hechos relevantes [2013]”. Novática, 225, pág. 70. ATI. URL [a 20141208]: http://www.ati.es/novatica/2013/225/Nv225-Digital-Reducido.pdf. 

También en http://www.ittrendsinstitute.org/perspectives/item/hechos-relevantes-2013 

[ii] Comisión Nacional del Mercado de Valores (CNMV) de España. URL [a 20141208]: http://www.cnmv.es. 

[iii] Grupo BBVA. URL [a 20141208]: http://www.grupobbva.com. 

[iv] Sala de Prensa de BBVA. “Se presenta ‘C@mbio. Cómo Internet está cambiando nuestras vidas’”. 29 de abril de 2014. URL [a 20141208]: http://prensa.bbva.com/actualidad/notas-de-prensa/francisco-gonzalez-los-bancos-tienen-que-desarrollar-un-modelo-de-negocio-adaptado-al-mundo-digital-y-basado-en-el-conocimiento__9882-22-c-108018__.html 

[v] INDRA. URL [a 20141208]: http://www.indracompany.com. 

[vi] CEDE, Confederación Española de Directivos y Ejecutivos. URL [a 20141208]: http://www.directivoscede.com. 

[vii] CEDE. “Nuevo Desayuno CEDE con Javier Monzón”. Desayunos de Trabajo. 23 de septiembre de 2014. URL [a 2014/09/26]:: http://www.directivoscede.com/es/actividades/desayunos-trabajo/nuevo-desayuno-cede-javier-monzon. 

[viii] Telefónica. URL [a 20141208]: http://www.telefonica.com. 

[ix] CEDE. “La Fundación CEDE presenta un nuevo Cuaderno sobre la Revolución Digital”. 21 de octubre de 2014. URL [a 20141208]:: http://www.directivoscede.com/es/noticias/cede/fundacion-cede-presenta-un-nuevo-cuaderno-sobre-revolucion-digital. 

[x] IC-A, Instituto de Consejeros-Administradores. URL [a 20141208]:: http://www.iconsejeros.com. 

En iTTi prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidas sus demandas y necesidades) y de proveer de forma justa y eficiente para su satisfacción. 

Eso  -que, naturalmente, está sujeto a diferentes principios, leyes/regulaciones y prácticas- se realiza mediante la persecución de tres grandes objetivos (potencialmente antagónicos, por lo que hay que lograr su equilibrio): 1) materializar los beneficios de las actuaciones (rentabilidad económica, en lo privado; o social de lo económico, en lo público); 2) optimizar el riesgo (tanto el derivado de lo que se hace, cuanto el de lo que se omite); y 3) optimizar los recursos. 

Sin embargo, en la práctica, no pocas de las referidas actuaciones han adolecido de un considerable desgobierno en lo relativo a la aplicación de las tecnologías, derivando en notables fiascos, públicos y privados. 

* *

La smart city (ciudad inteligente) es un concepto relativamente moderno y aún poco cristalizado; pero  -entre otras características-  creemos que todos los expertos coincidirían en incluir al menos: a) un uso intensivo de lo digital (con una dependencia globalizada de infraestructuras y servicios); y b) una alta concentración, diversidad, y poder de agentes y otros ‘interesados’ (con una amplísima superposición). 

Se dan, además, en el ámbito de la smart city, tres aspectos que, a nuestro parecer, merecen particular atención: 1) desequilibrio entre ‘tecnologías de las cosas’ y ‘tecnologías de las personas’; 2) amenazas a la privacidad; y 3) riesgos derivados de la alta integración no orgánica. 

1. Una notable mayoría de los sistemas de las grandes ciudades  -el paradigma es el manido ejemplo de la regulación del tráfico- pertenecen al dominio de la ‘tecnología de las cosas’, a la Internet de las Cosas (en este contexto urbano cabría señalar ‘de las Casas’); pero apreciamos un déficit en ‘tecnologías de las personas’: Administración-e, sanidad-e, educación-e, voto-e, mayor democracia participativa (que no asamblearia). Tal desequilibrio podría interpretarse como una carencia de equidad en la asignación de recursos tecnológicos y una excesiva delegación (cuando no dejación), por parte de los órganos de gobierno, en gestores técnicos (tecnólogos). 

2. El éxito  -al menos una parte-  de las ciudades inteligentes se basa en el análisis de los “Datos a lo Grande” (Big Data) que manejan lo que hoy son redes de propiedad privada como Uber (transporte urbano de viajeros), AirBnB (alojamientos), emisores de tarjetas de crédito, etc.

Los incuestionables beneficios en mejora de la calidad de vida que servicios como los citados aportan llevan asociados costes y riesgos poco divulgados e interiorizados: a) una seguridad cuestionable (“ciber-inseguridad” la llama el colombiano Prof. J. Cano); b) un riesgo creciente de deterioro de la intimidad, al que todos contribuimos pasivamente en nuestra interacción digital, y otros muchos activa y obsesivamente; c) en lo colectivo, un riesgo de ser regulados, en todo o en parte, por un Gran Hermano; y d) la creciente erosión de la confianza digital [i]. 

3. La ‘inteligencia’ (smartness) de las smart cities se basa principalmente en la integración de sistemas en red. Tanto más eficaz cuanto mayor sean la integración, la interconexión,  la centralización de las decisiones [gobierno] (aunque sean automáticas) y el tamaño [ii]. 

Pero ese crecimiento de las utilidades exponencialmente con el tamaño lleva parejo un crecimiento igualmente exponencial (a igualdad de medidas convencionales de seguridad) del impacto de una violación. Algo que sólo es contrarrestable en las etapas de especificación y diseño, creando sistemas modulares, cuasi-separables (bajo acoplamiento entre módulos) y degradables estratificadamente: sistemas muy ‘orgánicos’. Naturalmente, en las megalópolis  -crecientes en número y dimensión-  esta cuestión es vital. 

* *

Esos son [algunos de] los retos a los que, sin duda, hubo de enfrentarse la que es hoy la sociedad más digitalmente preparada del globo, según acaba de señalar el Foro Económico Mundial en su recién publicado informe “Global Information Technology Report 2015”. Hablamos de Singapur, la pequeña isla-ciudad, conocida como uno de los “cuatro dragones”, junto a Corea del Sur, Hong Kong y Taiwán, en honor al desarrollo industrial que todas ellas han alcanzado en las últimas décadas.

En el caso de Singapur, que celebrará este verano de 2015 su cincuenta aniversario como estado soberano, quienes tomaron la decisión de adoptar las tecnologías de la información como palanca para el crecimiento de la ciudad y convertirla en lo que tecnológicamente es hoy, lo hicieron en 1981, cuando el país tenía apenas quince años de vida. En aquel momento, el lugar, un pequeño territorio insular sin apenas recursos naturales, no contaba más que con la capacidad individual de sus nacionales como herramienta para crear riqueza. Tal vez por eso se adoptó una visión a muy largo plazo: ¡treinta años!

El mencionado 1981 fue el año del lanzamiento del primero de una serie de programas de digitalización que llegarían hasta la presente década: Programa de Informatización del Servicio Civil (1981); Plan Informático Nacional (1986); Programa Informática 2000 (1992); Programa Singapur UNO (1998); y el Plan Maestro Infocomm 21 (2000-2010).

El camino ha sido largo; pero, con toda seguridad, ha merecido la pena. Singapur no sólo ocupa el primer puesto entre las sociedades más “conectadas”; sino que, además, es el noveno país del mundo en el índice global de innovación del Foro Económico Mundial, el segundo en su índice de infraestructuras y el segundo, también, en el de educación.

Todo ello la convierte en la segunda economía más competitiva del mundo, sólo por detrás de la Suiza (según el FEM); lo que confirma que la construcción de una ciudad inteligente trasciende los aspectos meramente tecnológicos para adentrarse en el impacto global que la aplicación y uso de dicha tecnología tiene sobre las vidas de las personas que la habitan.

¡Excelentes decisiones y mejor aún (visionario) órgano de gobierno! ¡Envidiable!

* * *

Este artículo se publicó originalmente por la Asociación para el Progreso de la Dirección (APD). Revista APD, nº 307, págs. 42-44, abril de 2015. “’Smart cities’ y gobierno corporativo de las tecnologías de la información”. Manolo Palao y Miguel García-Menéndez.

------------------------------------

[i] “La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security", un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet”.

URL:: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital 

URL::http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf 

[ii] “Network externalities are defined as the increasing utility that a user derives from consumption of a product as the number of other users who consume the same product increases (Katz and Shapiro 1985). For example, the more people there are in a telephone network, the more users can be reached on the network, thereby increasing its usability. Fax machines, broadcast industry services, credit card networks, and computer hardware and software are examples of products exhibiting network externalities.”  McGee, J.; Thomas, H.; Wilson, D: Strategy. Analysis & Practice.  Mc Graw-Hill. 2005.  p.465. 

Una imagen vale más que mil palabras

El brutal atropello -sorprendentemente no mortal- de Mario Valencia [i] por parte del agente de policía de Arizona, EE.UU., Michael Rapiejko, ocurrido el 19 de febrero de 2015; la muerte de Eric Courtney Harris [ii] provocada, supuestamente de manera accidental, por el veterano ayudante del sheriff de Tulsa (Oklahoma, EE.UU.), Robert Bates, el pasado 2 de abril de 2015; o la ejecución de Walter L. Scott [iii], dos días después, el 4 de abril, a manos del agente de policía Michael T. Slager, en North Charleston (Carolina del Sur, EE.UU.), han formado parte del sumario de los noticieros televisivos de medio mundo, ampliando un ya notable registro de lamentables acontecimientos similares [iv],[v]. 

Un elemento común a todos los casos citados: la omnipresencia de “lo digital”; más concretamente, de la tecnología de video digital, que se ha integrado en todo tipo de dispositivos, desde equipos de bolsillo (teléfonos o similar, lo que nos ha permitido conocer de primera mano el caso Scott), hasta aparatos electrónicos corporales (wearables, según su denominación inglesa, del estilo de las minicámaras que llevan como parte de su equipo los más vanguardistas agentes de la ley y que nos han convertido en testigos directos de los casos Valencia y Harris). 

En cualquiera de estas dos variantes, “lo digital” vuelve a mostrarse disruptivo; en esta ocasión en relación a una actividad pública como lo es la policial. Y ello, por cuanto va a modificar, si no está haciéndolo ya, algunos de los más reprochables usos y costumbres de la citada actividad. 

Mientras se determinan los pros y contras del despliegue de minicámaras entre las fuerzas del orden -en el lado de los beneficios, la materialización de una nueva estrategia pública de mejora en la rendición de cuentas y de una mayor transparencia; en el lado de las desventajas, la complejidad y coste derivados de la gestión y tratamiento de la ingente cantidad de datos de video recabados- el uso de esta tecnología va configurando un nuevo escenario para el enfrentamiento, para el ataque y la defensa; va abonando el terreno para viejos conflictos, como las protestas sociales, habilitados por nuevos medios: los digitales. 

En toda confrontación los medios materiales y físicos que la hacen posible constituyen su armamento. Las herramientas digitales no son una excepción. Son las nuevas “ciberarmas” empleadas, como se ha apuntado, tanto en la defensa, como en el ataque.

En el plano defensivo, las agencias policiales dotan a sus miembros de cámaras corporales, entre otros motivos como garantía de “higiene profesional”, de aval de una labor profesionalmente realizada. En este sentido, el ejemplo más paradigmático puede ser el del Departamento de Policía de Seattle (Washington, EE.UU.), que en febrero de 2015 [vi] habilitó un canal de YouTube [vii] en el que muestra videograbaciones de las actuaciones de sus agentes. 

En el lado del “ataque” -en este caso “denuncia”, dado que no pretende ser más que otro mecanismo de defensa ante los excesos y abusos policiales- estarían las posibilidades ofrecidas por los teléfonos móviles (vimos la muerte de Walter gracias a la grabación realizada por el inmigrante dominicano Feidin Santana), en combinación con las redes sociales que se han convertido en el campo de acción de activismos de todo tipo. 

Las guerras de YouTube

Pocos ejemplos muestran mejor la rápida y reciente explosión de lo digital, de la creciente ubicuidad de la imagen digital, que las famosas fotografías de la romana Via della Conciliazione, tomadas en 2005 y 2013, por los fotógrafos Luca Bruno y Michael Sohn para la agencia Associated Press [viii].

El 4 de abril de 2005, tras el fallecimiento del Papa Juan Pablo II, Bruno retrató una calle atestada de fieles dirigiéndose en procesión hacia la basílica de San Pedro, donde presentarían sus respetos al cadáver papal. La gente aparece caminando con normalidad, con los brazos hacia abajo y solo es visible, en el primer plano de la imagen, un único teléfono móvil (¡Faltan dos años y medio para la llegada del iPhone!).

La fotografía de Sohn, tomada en la noche del 13 de marzo de 2013, tras la elección del cardenal Jorge Bergoglio como nuevo Pontífice, muestra una escena bien distinta: la multitud avanza hacia la Plaza de San Pedro para presenciar el primer discurso del Papa Francisco, pero, esta vez lo hace con los brazos en alto, sujetando sus teléfonos móviles y tabletas, que guardarán para la historia el jubiloso momento (¡Es el sexto año de la era iPhone!).

Sin embargo, como se ha apuntado al principio de esta reflexión, cámaras, móviles y redes sociales no siempre han sido protagonistas de escenas tan inocentes. En 2009, durante el reivindicativo “Movimiento Verde” iraní, un móvil e Internet mostraron la muerte de la joven estudiante Neda Salehi Agha Soltan [ix] ¡Posteriormente, las autoridades prohibirían captar imágenes de su funeral! Dicha prohibición trataba de atajar el que se ha demostrado como uno de los mayores potenciales de estos nuevos medios: su capacidad de movilización, la cual fue ampliamente explotada durante las “primaveras” que recorrieron el norte de África en 2011.  

Pero sería en el marco de la contienda de Irak, desarrollada a lo largo de la primera década del siglo XXI, donde realmente adquiriría sentido tildar al video digital como una verdadera ciberarma. En su informe de 2009, elaborado para el Instituto de Estudios Estratégicos del Ejército de los EE.UU., “YouTube War: Fighting in a world of cameras in every cell phone and Photoshop on every computer”[x] (“La Guerra de YouTube: Luchando en un mundo de cámaras en cada teléfono móvil y Photoshop en cada ordenador”), la académica y analista Dra. Corie E. Dauber señalaba el impacto de las grabaciones en video -habitualmente de ataques a blancos aliados- realizadas y difundidas por los insurgentes. Un impacto que se materializó en el desaliento de al menos una parte de la opinión pública occidental -objetivo prioritario de las citadas grabaciones- respecto de la utilidad del conflicto.

Sería solo el principio ...

La macabra presencia mediática del “Cibercalifato”

La Primera Guerra del Golfo (1990-91), que siguió a la invasión de Kuwait por parte de Irak, fue la guerra de la cadena estadounidense CNN, que la retransmitió en directo a todo el mundo. Durante la Segunda Guerra del Golfo (2003-2011), que acabó con el régimen de Saddam Husein en Irak, la cadena catarí Al-Jazeera se dio a conocer en Occidente. La actual contienda que el mundo mantiene con el Estado Islámico de Irak y el Levante (EI), no ha requerido periodistas: el desarrollo tecnológico ha facilitado a los terroristas grabar, montar en sus propios “estudios” y divulgar sus acciones, sin la cobertura que habría ofrecido la prensa convencional.

Dichos estudios de campaña, verdaderos laboratorios de medios, son y han sido objetivo prioritario de las fuerzas occidentales desde los tiempos de la Guerra de Irak. Como relata la Dra. Dauber en su estudio, ya en ese momento el tratamiento que recibían ese tipo de instalaciones era el de infraestructuras críticas para el uso: se mantenían aisladas de Internet y solo cuando su producción videográfica estaba preparada, era trasladada a aquellos otros puntos desde donde se la podía subir a la red. De ese modo, la combinación de las capacidades tecnológicas que hoy ofrece el video digital con las que aporta Internet, han hecho del conjunto una verdadera “ciberarma” y han convertido al autoproclamado califato en un “cibercalifato”, cuya presencia en Internet, descrita parcialmente en el reciente “The ISIS Twitter Census”[xi], ha resultado clave para las pretensiones del EI desde diferentes perspectivas:

- En primer lugar, como se ha señalado en alguno de los casos mencionados más arriba, EI ha sabido aprovechar la capacidad de movilización de sus acciones propagandísticas, consiguiendo atraer a Irak y Siria a varios miles de combatientes que han acudido en su apoyo desde todos los rincones del globo. 

- En segundo, las macabras imágenes difundidas por EI a lo largo del último año -la más estremecedora, sin duda, la muerte del piloto jordano, Muath al-Kaseasbeh[xii], quien fue quemado vivo a principios de año- han buscado doblegar los ánimos de quienes han tenido la fortuna de verlas desde la distancia. 

El terror desde la comodidad de un sofá parece menor, pero no debería despreciarse el potencial de estas ciberarmas de difusión masiva.

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 29/11/2015. Ref: Magazcitum, año 6, nº3, 2015 pág. 16. "[Ciber]Armas de difusión masiva" - Miguel García-Menéndez. 

---------------------------------------------------

[i] Lisaius, Som. “Marana police video shows cruiser ram crime spree suspect”. Tucson News Now, 14 de abril de 2015. URL [a 2015.04.26]: http://www.tucsonnewsnow.com/story/28801395/marana-police-dash-cam-video-shows-cruiser-ram-crime-spree-suspect 

[ii] Ortiz, Erik. “Oklahoma Man Eric Harris Fatally Shot by Deputy Who Meant to Fire Taser”. NBC News, 12 de abril de 2015. URL [a 2015.04.26]: http://www.nbcnews.com/news/us-news/oklahoma-man-eric-harris-fatally-shot-police-accident-instead-tased-n340116. 

[iii] Smith, Michael S. y Matt Apuzzo. “South Carolina Officer Is Charged With Murder of Walter Scott”. International New York Times, 7 de abril de 2015. URL [a 2015.04.26]: http://www.nytimes.com/2015/04/08/us/south-carolina-officer-is-charged-with-murder-in-black-mans-death.html. 

[iv] López, Germán y Anand Katakam. “Interactive map: US police have killed at least 5,600 people since 2000”. Vox Media, 9 de abril de 2015. URL [a 2015.04.26]: http://www.vox.com/2014/12/17/7408455/police-shootings-map. 

[v] Katakam, Anand. “Police-involved deaths (2000-2015)”. Anand Katakam/CartoDB, 9 de abril de 2015. URL [a 2015.04.26]: https://anandkatakam.cartodb.com/viz/e13166bc-854f-11e4-abdb-0e018d66dc29/embed_map. 

[vi] Área de Comunicación del Departamento de Policía de Seattle. “SPD Launches YouTube Channel for Bodyworn Video”. Blog “SPD Blotter”, 25 de febrero de 2015. URL [a 2015.04.26]: http://spdblotter.seattle.gov/2015/02/25/spd-launches-youtube-channel-for-bodyworn-video/. 

[vii] Departamento de Policía de Seattle. “SPD BodyWornVideo”. YouTube, febrero de 2015. URL [a 2015.04.26]: https://www.youtube.com/channel/UCcdSPRNt1HmzkTL9aSDfKuA. 

[viii] Dellaverson, Carlo. “Witnessing papal history changes with digital age”. NBCNews, 14 de marzo de 2013. URL [a 2015.05.02]: http://photoblog.nbcnews.com/_news/2013/03/14/17312316-witnessing-papal-history-changes-with-digital-age. 

[ix] El Mundo. “Neda, el ‘Ángel de Irán’”. ElMundo.es, 23 de junio de 2009. URL [a 2015.05.02]: http://www.elmundo.es/elmundo/2009/06/23/internacional/1245737789.html 

[x] Dauber, Corie E. “YouTube War: Fighting in a World of Cameras in Every Cell Phone and Photoshop on Every Computer”. Strategic Studies Institute, 16 de noviembre de 2009. URL [a 2015.05.04]: http://www.strategicstudiesinstitute.army.mil/pubs/display.cfm?pubID=951.  

[xi] Berger, J.M. y Jonathon Morgan. “The ISIS Twitter census: Defining and describing the population of ISIS supporters on Twitter”. The Brookings Institution, marzo de 2015. URL [a 2015.05.05]: http://www.brookings.edu/research/papers/2015/03/isis-twitter-census-berger-morgan. 

[xii] Uno de los primeros ‘tweets’ recogiendo la noticia del brutal asesinato del piloto jordano Muath al-Kaseasbeh, publicado el 3 de febrero de 2015. URL [a 2015.05.05]: https://twitter.com/reecegeisler/status/562673337315647488. 

La digitalización (la Transformación Digital) de la empresa es un tema que viene ocupando la atención de los propios empresarios, y la de académicos y profesionales, llegando a alcanzar los titulares de la prensa general[i]. 

“Harvard Business Review” ha publicado recientemente una interesante investigación[ii], basada en una amplia encuesta[iii], en la que destaca el papel del CIO en esa transformación. 

En la presente “Referencia” revisamos y comentamos sucintamente dicho trabajo, cuyas grandes conclusiones generales nos parecen desoladoras: 

i. “La mayoría de las empresas carecen de los conocimientos y habilidades necesarios para tener éxito en los aspectos digitales de sus negocios”;

ii. “Si bien los CEOs generalmente entienden las oportunidades y amenazas del negocio digital, muchos tienen aún que elaborar y comunicar una visión de sus empresas, o desarrollar una estrategia que convierta dicha visión en realidad”; y

iii. “Los directivos no tecnológicos de la mayoría de las organizaciones carecen de las habilidades y conocimientos para ejecutar una estrategia digital, en los casos en los que se dispone de una”. 

Un 20% escaso de los encuestados, afortunadamente para ellos y sus empresas (y para el lector, como ejemplo a emular), pertenecen a lo que el estudio ha denominado “Líderes Digitales” (LD); que son aquellos que satisfacen dos criterios: 

1) Liderazgo digital.

2) Buena gestión [iv].

O sea, que simultanean una visión y estrategia digitales, con la capacidad para materializarlas. Ello se traduce en mayor crecimiento de la facturación y mayores márgenes de beneficio, en relación al resto.

El liderazgo digital comienza en la cúspide. Es positivo que la mayoría (69%) de los encuestados hayan declarado que sus CEOs comprenden las oportunidades y amenazas digitales; aunque sólo los de las organizaciones identificadas como LD los han traducido (sin delegar esta tarea) a una visión y estrategia digitales, claramente articuladas.

Más de la mitad de los LD consideran a sus responsables de Tecnologías de la Información (TI), I+D+i, mercadotecnia y servicios al cliente dotados de excepcionales conocimientos y habilidades digitales.

Resulta claro que los directivos de las empresas tienen que aprender sobre tendencias digitales y mantenerse actualizados. En ello los CIOs tienen la oportunidad de jugar un papel clave como evangelistas, líderes y entrenadores (“coaches”) digitales. Situar personal de TI en las líneas de negocio puede facilitar el aprendizaje en el trabajo. Pero hay que comunicar en un lenguaje de actividades y resultados del negocio; lenguaje poco familiar a los tecnólogos. 

Se confirma la tendencia, observada en los últimos años, hacia un peso creciente de las inversiones de base tecnológica impulsadas por las áreas funcionales (en lugar de por los servicios de TI). En los LD ello sucede con la cooperación de dichos servicios; pero en la restante mayoría de los casos, sucede de espaldas a aquéllos.

Las TI no son (ni deben ser) el cometido de todos; los directivos no tecnológicos no tienen por qué convertirse en expertos en TI. ¡No es ese el objetivo! Lo que sí tienen que saber es qué pueden hacer las TI por la empresa, y cómo usarlas.

Muchas empresas echan de menos un foro o marco formativo adecuado y los CIOs, que están bien posicionados para educar en esto, no siempre están bien equipados. Un consejo: si no se tiene claro por dónde empezar, hágase por formación en técnicas analíticas.

Por lo demás, el trabajo de HBR propone siete recomendaciones para los CIOs:

1) Construya confianza.

2) Apoye las iniciativas tecnológicas promovidas por el resto de áreas del negocio.

3) Extreme sus esfuerzos por promover el aprendizaje de lo digital. 4) Sea el guía al que recurre la empresa.

5) Hable en el idioma de sus interlocutores (no tecnólogos).

6) Dígale a la empresa qué es lo que resulta posible hacer con la tecnología a su alcance.

7) Contrate expertos externos para mantenerse actualizado. 

Buena lista para un sosegado examen de conciencia. Frente a estas siete virtudes capitales, hay otros siete pecados... 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 232, abril-junio 2015. Referencia: Ref. Autoriz. NOVÁTICA 232, pg. 74 – El liderazgo de la Transformación Digital. Papel del CIO – Miguel García-Menéndez, Manuel Palao.  

-----------------------------------

[i] Los medios generalistas (CNN, ElSemanalDigital.com, Fortune, The New York Times, …), los blogs especializados (Blogpodium, Dealb%k, Insights & Publications, NiemanLab, Siemens USA Newsroom, …) o los centros académicos de investigación (CDB, CISR, …) ofrecen regularmente análisis, comentarios y/o noticias sobre cómo la “digitalización” va permeando cada sector económico (bancos, fábricas, granjas, museos, periódicos, …) e, incluso, cada país (China, EEUU, Francia, …). Sirvan como muestra las siguientes referencias y citas:

- Westerman, George. “Leading Your Company’s Digital Transformation” [Video]. MIT. Sloan School of Management. Center for Digital Business, 19 de octubre de 2012. URL [a 2015.06.07]: http://sloanreview.mit.edu/article/video-leading-your-companys-digital-transformation/ 

- Benton, Joshua. “The leaked New York Times innovation report is one of the key documents of this media age”. NiemanLab, 15 de mayo de 2014. URL [a 2015.06.07]: http://www.niemanlab.org/2014/05/the-leaked-new-york-times-innovation-report-is-one-of-the-key-documents-of-this-media-age/   

- Woetzel, Jonathan; Gordon Orr; Alan Lau; Yougang Chen; Michael Chui; Elsie Chang; Jeongmin Seong and Autumn Qiu. “China’s digital transformation”. Insights & Publications. McKinsey Global Institute. McKinsey & Company, julio de 2014. URL [a 2015.06.07]: http://www.mckinsey.com/insights/high_tech_telecoms_internet/chinas_digital_transformation 

- Lohr, Steve. “Museums Morph Digitally. The Met and Other Museums Adapt to the Digital Age”. The New York Times Company, 23 de octubre de 2014. URL [a 2015.06.07]: http://www.nytimes.com/2014/10/26/arts/artsspecial/the-met-and-other-museums-adapt-to-the-digital-age.html 

- ”It’s no secret that most organizations around the globe are in need of digitizing their business model and change rapidly to meet new customer expectations and demands” (No es ningún secreto que la mayoría de las organizaciones alrededor del globo tengan la necesidad de digitalizar sus modelos de negocio y de cambiar rápidamente para dar respuesta a las nuevas expectativas y demandas de sus clientes), cita de Marc Huijbregts, Accenture, tomada del artículo: Huijbregts, Marc. “How to re-invent Fortune 500 Companies”. Accenture Blogpodium. Accenture, 7 de noviembre de 2014. URL [a 2015.06.07]: http://www.accenture-blogpodium.nl/innovation/re-invent-fortune-500-companies/ 

- Bray, Chad. “ABN Amro to Cut Jobs in Shift to Digital”. DealB%K. The New York Times Company, 14 de noviembre de 2014. URL [a 2015.06.07]: http://dealbook.nytimes.com/2014/11/14/abn-amro-to-cut-jobs-in-shift-to-digital/ 

- Hardy, Quentin. “Working the Land and the Data”. The New York Times Company, 30 de noviembre de 2014. URL [a 2015.06.07]: http://www.nytimes.com/2014/12/01/business/working-the-land-and-the-data.html 

- Levie, Aaron. “How companies can avoid the pains of digital disruption”. Fortune, 8 de diciembre de 2014. URL [a 2015.06.07]: http://fortune.com/2014/12/08/how-companies-can-avoid-the-pains-of-digital-disruption/ 

- Chambers, John. “How France is embracing digitization of everything”. Cable News Network (CNN), 22 de febrero de 2015. URL [a 2015.06.07]: http://edition.cnn.com/2015/02/21/intl_tv/chambers-france-digitization/ 

- “The good news for U.S. industry is this: The path to modernization is clear. Digitalization … the solution.” (La buena noticia para la industria estadounidense es ésta: El camino hacia la modernización es claro. La digitalización ... la solución), cita de Raj Batra, Presidente, Digital Factory, tomada del artículo: Batra, Raj. “Manufacturing Success Depends on Embracing Digitalization”. Siemens USA Newsroom. Siemens Corporation, 9 de abril de 2015. URL [a 2015.06.07]: http://news.usa.siemens.biz/blog/manufacturing-success-depends-embracing-digitalization 

- Ayerbe Dárceles, Paula. “BBVA renueva su cúpula en pos de la digitalización”. ElSemanalDigital.com, 6 de mayo de 2015. URL [a 2015..]: http://www.elsemanaldigital.com/bbva-renueva-su-cupula-en-pos-de-la-digitalizacion-141871.htm 

- Weill, Peter. “Digital Disruption in the Financial Services Industry” [Video]. MIT. Sloan School of Management. Center for Information Systems Research, enero de 2015. URL [a 2015.06.07]: http://cisr.mit.edu/publications-and-tools/publication-search/digital-disruption-in-financial-services/ 

[ii] Harvard Business Review Analytic Services. “Driving Digital Transformation: New Skills for Leaders, New Role for the CIO”. Harvard Business School Publishing, 2015. URL [a 2015.07.06]: https://enterprisersproject.com/digital-transformation-report  (Gratuito. Requiere registro). 

[iii] La encuesta tuvo 436 respuestas; de ellas, 299 correspondientes a miembros del Harvard Business Review Advisory Council. Cubrió empresas de todo el mundo, con amplia distribución sectorial y tamaño mediano-grande, por su plantilla y facturación. 

[iv] La ilustrativa ‘ficha técnica’ de la encuesta no da empero información suficiente sobre la metodología utilizada, las variables empleadas y los estadísticos resultantes, por lo que es prudente tomar esa clasificación con una pizca de sal.

En el sector hay una máxima -que aún se dice a veces con retintín: “uno debe dar por supuesto que ya han entrado en su sistema” [i]. 

Que penetren en nuestro sistema es una cuestión de seguridad informática o, por usar el palabro de moda, de ciberseguridad. 

Que los hackers lleven meses en el sistema de un banco, con control (al menos parcial del mismo: por ejemplo, de parte de los cajeros automáticos) y que hayan suplantado la identidad de una variedad de empleados, pudiendo hacer —sin que el banco se aperciba— transferencias importantes a cuentas de los malhechores es una cuestión ciertamente de ciberinseguridad, pero también de desgobierno y quizá de desgobierno nacional o supranacional.

El Profesor colombiano Jeimy Cano en su libro de 2013 y en artículos más recientes se refiere a la “inseguridad de la información… como elemento práctico de gobierno corporativo” [ii].

Hace poco (febrero 2015), The New York Times publicó el avance de un informe de Kaspersky Lab [iii] sobre el reciente descubrimiento de una suplantación masiva de identidades de empleados en más de 100 bancos y otras entidades financieras en Rusia, Japón, Suiza, EE UU y los Países Bajos. Kaspersky Lab ha declarado tener pruebas de sustracciones por 300 M USD, aunque creen que el total podría ser el triple. Dicen haber informado de todo  ello a la Casa Blanca y al FBI. 

Durante casi dos años y desde finales de 2013, los hackers enviaron a empleados bancarios correos con código dañino, que en ocasiones les permitió hacerse con los caracteres que tecleaban los empleados, así como con vídeos, pantallazos y el control de diversos sistemas y cajeros automáticos. 

Los hackers se tomaron mucho tiempo para estudiar las rutinas de los empleados y de los bancos y limitaron sus sustracciones a cantidades ‘razonables’ que despertaran menos alarmas.

De este modo, hacían transferencias a cuentas pirata o retiraban dinero de cajeros, que lo entregaban por control remoto. La forma generalmente usada para robar las cuentas corrientes bajo su control era manipular al alza su saldo y vaciarla luego con transferencias a cuentas de los hackers. 

(El objetivo y ámbito de la usurpación de identidad se han considerado individuales tradicionalmente [iv]. Estos hackers han logrado un ataque mucho más rentable, haciéndolos corporativos).

Hay que suponer que entre la diversidad de sistemas penetrados habría bastantes que contasen con muchos de los recursos y procedimientos de seguridad más recomendados. 

¿Cómo entonces ha podido suceder algo así en más de un centenar de bancos? La única explicación plausible es desgobierno corporativo —o insuficiente buen gobierno— falta de control interno, incluido el informático, pero no limitado al mismo.

Al parecer, ningún banco se ha hecho eco de este incidente (en ese prurito de pretender mantener la confianza por el secretismo). El consorcio Financial Services Information Sharing and Analysis Center, a través del que los bancos comparten información sobre estos eventos se ha limitado a declarar que había informado a las entidades interesadas.

Mientras tanto, el Presidente Obama no recibió muy buena acogida el pasado 13 de febrero, en Stanford, al presentar y firmar su decreto sobre comunicación de eventos en que haya sido comprometida información personal o financiera. Ni siquiera asistieron muchos de los líderes de grandes empresas tecnológicas [v]. ¿Sería por tensiones anteriores (WikiLeaks, Snowden…), o sería por ser viernes y 13? 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 231, enero-marzo 2015. Referencia: Ref. Autoriz. NOVÁTICA 231, pg. 96 – ¿Ciberinseguridad o Desgobierno? – Miguel García-Menéndez, Manuel Palao.  

----------------------------------------------------

[i] https://www.nsslabs.com/blog/technology-future-bds-market-set-explode  Consultado 15/02/2015

https://www.nsslabs.com/blog/tags/breach-detection-systems Consultado el 15/02/2015

[ii] Cano, J. (2013).  Inseguridad de la información.  Una visión estratégica. MARCOMBO, S.A. Barcelona. ISBN: 9788426719812. EAN: 9788426719812. “[L]a inseguridad de la información, entendido como elemento práctico de gobierno corporativo que permite a los estrategas de la seguridad de la información pensar de manera complementaria y generar escenarios alternos a los tradicionales, para superar el síndrome de la falsa sensación de seguridad”. 

[iii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?emc=edit_th_20150215&nl=todaysheadlines&nlid=65935020&_r=0 Consultado el 15/02/2015

[iv] https://es.wikipedia.org/wiki/Robo_de_identidad Consultado el 15/02/2015

[v]  Jiménez, R. (13 FEB 2015).  “Obama tiende una mano a Silicon Valley tras el espionaje masivo”. El País. http://internacional.elpais.com/internacional/2015/02/13/actualidad/1423861487_812880.html 

María-José de la Calle

Miguel García-Menéndez

Permítanos sumarnos, desde iTTi, a las actividades que, con motivo de la celebración del Día Internacional de la "Internet de las Cosas" (IoTDay), están teniendo lugar en la jornada de hoy. Y permita que lo hagamos con una reflexión acerca de los beneficios -algunos, al menos- de este nuevo paradigma. Sirva ello de contrapunto a anteriores análisis que, sobre los riesgos vinculados a la "IoT", hemos ido recogiendo en nuestras "Perspectives". Riesgos relacionados con el peligro que puede suponer la interconexión -a través de la Red- de aquellos objetos que nos rodean y que, por dicho medio, intercambian datos -bien entre ellos mismos, bien con nosotros- para alcanzar alguna meta determinada.

Ejemplo de ello son piezas como "'Internet de las cosas' o la peligrosa transformación del mundo real en virtual", la cual ofrece una perspectiva sobre la inseguridad que puede causar que las cosas del mundo real hereden las debilidades de los dispositivos computacionales que las tratan e interconectan, o "Troyanos materiales o la seguridad de las 'cosas'", que presenta la problemática de los troyanos 'físicos' (integrados en el hardware) que puede incorporar "de fábrica" cualquier producto o componente electrónico, de los que constituyen nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y, aún, un muy largo etcétera. 

A partir de la relación dada en el párrafo anterior, cabría interpretar las consecuencias de la adopción de esos mismos objetos desde una perspectiva de las oportunidades y de los beneficios.

Tómese como ejemplo el automóvil, protagonista de la "Internet de los Coches" (o "de los Carros", como sin duda preferirán muchos de Uds.). Actualmente, y gracias a los mecanismos de posicionamiento por satélite que puede incorporar, cualquier vehículo sería capaz de guiarnos hasta nuestro destino. En el caso de los coches [hiper-]conectados las funcionalidades se amplían: mantienen el contacto y un permenente intercambio con el taller, gracias a una serie de sensores que permiten conocer el estado del propio vehículo, advierten de la necesidad de realizarles una próxima revisión, se comunican con sensores urbanos, los cuales informan sobre el estado del tráfico sugiriéndonos rutas alternativas o estacionamientos cercanos donde aparcar, etc. Nadie pondrá en tela de juicio que todo esto facilita la vida. Más aún lo hará el vehículo del futuro -ya presente- dotado de capacidades autónomas (vehículo autónomo o vehículo sin conductor) que permitirá un uso más generalizado del automóvil entre el colectivo de personas con alguna incapacidad.

Un segundo ejemplo lo constituyen las llamadas "ciudades inteligentes", las cuales estarían pobladas, a su vez, de domicilios inteligentes -permítanos jugar con el término "Internet de las Casas"-. El ser humano vive, principalmente, en grandes núcleos urbanos. Este hecho conlleva una serie de problemas derivados de la elevada concentración de personas, de forma tal, que cualquier incidente sería susceptible de afectar a una gran cantidad de individuos. Para minizar los efectos de dichos incidentes y ofrecer la respuesta más rápida posible, sería preciso disponer de: a) observadores, esto es, cámaras, sensores, medidores, etc., que permitiesen conocer el estado de las cosas en cualquier punto de la ciudad, en cualquier momento; b), acceso (vía comunicaciones) a todos los datos obtenidos por los mencionados "observadores", que facilitasen la toma de decisiones; y c), canales y mecanismos que habiliten una rápida comunicación al ciudadano sobre la mejor forma de actuar. Todo ello requeriría un amplio despliegue de máquinas interconectadas a modo de malla inteligente que cubriría toda la ciudad. 

Extendiendo este concepto de servicio público llegaríamos a hablar, también, de los datos tomados por los satélites que sirven tanto para la previsión meteorológica cuanto -junto a otros sensores- para advertir sobre la inminencia de terremotos o erupciones volcánicas. Recientemente han aparecido empresas dedicadas a la fabricación de nanosatélites, mucho más baratos que los que se tenían hasta ahora tanto en su construcción como en su puesta en órbita, ya que por su menor tamaño y peso necesitan mucha menos energía [i]. 

Finalmente, al igual que en los ejemplos anteriores, también las personas podemos dotarnos de sensores vinculados a objetos considerados de uso común. Hoy día, estos permiten medir los pasos que damos, analizar el aire que exhalamos [ii][iii], nuestro ritmo cardíaco y un largo y creciente etc. Estos dispositivos para llevar encima (del inglés "wearable") tienen una variada apariencia: relojes, pulseras, gafas, etc. Con los datos que proporcionan, se nos puede advertir de cualquier situación anómala en nuestro estado de salud y aconsejar sobre qué hacer. En una comunicación entre máquinas, como también ocurría con los vehículos y los talleres, nuestro propio centro de salud quedaría avisado, de modo que, desde allí recibiríamos la ayuda o las recomendaciones pertinentes. 

Gran parte de estos sensores no constituyen ninguna novedad. Lo verdaderamente innovador se encuentran en las actuales capacidades de comunicación entre ellos y de tratamiento de la enorme cantidad de datos que generan. De este modo ayudan a proporcionar una imagen más precisa de casi todo y una fuente de conocimiento no sólo para dar respuestas a lo inmediato, sino, también, en el medio y largo plazo, de forma que todo ello habrá de permitir mejorar las condiciones de vida de la humanidad. Sirva de ejemplo los estudios sobre el clima y cómo influyen en la producción de alimentos [iv] o en la vida en el planeta en general [v]. 

Como señalaba Bill Gates hace unos días, en un memorando remitido a los empleados de Microsoft con motivo del cuadragésimo aniversario de la empresa, es "hacer que el poder de la tecnología llegue a todo el mundo, conecte a todo el mundo y en cualquier lugar". Es hacer que todo y todos estemos conectados y trabajando juntos.

... cosas y personas. La "Internet of Everything" (IoE) y la "Internet of Everyone" (IoEO).

* * *

iTTi, 9 de abril de 2015, Día internacional de la "Internet de las Cosas" (IoTDay) 

---------------------------------------

[i]  http://www.economist.com/news/technology-quarterly/21603240-small-satellites-taking-advantage-smartphones-and-other-consumer-technologies 

[ii] http://www.designcouncil.org.uk/knowledge-resources/case-study/owlstone 

[iii] http://www.dailymail.co.uk/health/article-2613856/Theres-app-Mobile-phone-breath-test-check-signs-cancer.html 

[iv] ftp://ftp.fao.org/docrep/fao/010/i0112s/i0112s03.pdf 

[v] http://www.cell.com/trends/ecology-evolution/abstract/S0169-5347(05)00162-X?_returnURL=http%3A%2F%20%2Flinkinghub.elsevier.com%2Fretrieve%2Fpii%2FS016953470500162X%3Fshowall%3Dtrue 

El debate sobre el CIO en evolución y la cambiante estructura y alcance de la función de Tecnologías de la Información dentro de las organizaciones no resultan nuevos. Muchos años antes de que la revista “BusinessWeek” publicase (1986) el artículo “Management’s Newest Star: Meet the Chief Information Officer” (La Estrella Más Nueva de la Dirección: Conozca al CIO) -sin duda, una de las primeras referencias en contribuir a acuñar el término- ya se hablaba de su transformación.

Una transformación que reflejaba el reconocimiento de que lo que había comenzado como mero tratamiento electrónico de datos (del inglés, EDP, Electronic Data Processing) empezaba a considerarse como un factor estratégico para los negocios. Quedaban, de ese modo, atrás denominaciones como la propia de Director de Tratamiento de Datos (Director of Data Processing), surgida en la década de los años 50, o la posterior Director de Sistemas de Información de Gestión (Director of Management Information Systems) que perduraría hasta los años 80. 

En su artículo del otoño de 1982, “The Changing Role of the Information Systems Executive: A Critical Success Factors Perspective” [i] (El Cambiante Papel del Ejecutivo de los Sistemas de Información: Una Perspectiva de Factores Críticos de Éxito), el recientemente desaparecido John Fralick “Jack” Rockart, quien fuera cofundador (1974) y antiguo director (1976-2000) del Center for Information Systems Research (CISR) en la Sloan School of Management del MIT declaraba: 

“Hoy día existen pocas dudas de que el trabajo del ejecutivo de los sistemas de información (S/I) está cambiando. El papel del ordenador en las grandes organizaciones y la labor de sus primeros ejecutivos han variado sustancialmente. Dentro de la profesión existe la percepción fundamental de que el ejecutivo de sistemas de información ’orientado hacia lo técnico’, propio de los años 60 y 70, está siendo rápidamente sustituido por un ejecutivo de los 80, ‘orientado hacia la labor de gestor’.

[¡Cabría preguntarse si dicha transición ha sido realmente tan rápida y si está, más de tres décadas después, concluida!]

Sin embargo, [finaliza Rockart] precisamente, aún no queda claro qué significa esto”.

A partir de ahí, quizás en un continuo y reiterado intento de aclarar “qué significa esto” serán innumerables los artículos, libros, etc., que tratarán, en las décadas siguientes, el asunto de las competencias, atribuciones y responsabilidades del nuevo CIO y de la función de Tecnologías de la Información dentro de la empresa. Algunos ejemplos de ello, tomando en consideración sólo parte de lo publicado por la “factoría” CISR, podrían ser: “Reconceptualizing IT” [ii] (Reconceptualizando las TI) (1999), “The IT Organization of the 21st Century: Moving to a Process-based Organization” [iii] (La Organización de TI del Siglo XXI: Moviéndose hacia una Organización basada en el Proceso) (1999), “The Evolving Role of the CIO” [iv] (El Evolutivo Papel del CIO) (1999), “The IT Organization of the Future: Driving Business Change” [v] (La Organización de TI del Futuro: Guiando el Cambio en el Negocio) (2009), “The IT Unit of the Future: New Approaches to Run and Build” [vi] (La Unidad de TI del Futuro: Nuevos Enfoques para Operar y Construir) (2010), “The IT Unit of the Future: Creating Strategic Value from IT” [vii] (La Unidad de TI del Futuro: Creando Valor Estratégico a partir de las TI) (2011) o “Demand Shaping: The IT Unit’s New Passion” [viii] (Moldeado de la Demanda: La Nueva Pasión de la Unidad de TI) (2014). 

A pesar de lo numeroso de las referencias, podría decirse que todas ellas confluyen en un mensaje común para el “nuevo” CIO y sus responsabilidades sobre las TI: “Esencialmente la parte ‘Información’ del término TI se hace mucho más relevante que los aspectos tecnológicos”, como afirmaba el analista Patrick Gray en su entrada “The CIO is Dead (Long Live the CIO)” [ix] (El CIO Ha Muerto -Larga Vida al CIO-), publicada, el 1 de junio de 2009, en la bitácora electrónica sobre Liderazgo en las TI del portal TechRepublic. 

* *

Todas las reflexiones y análisis repasados hasta este punto parecen compartir, además, una segunda característica común: haber sido realizadas “desde la órbita CIO”; esto es, por CIOs o promotores del mundo CIO. Ello hace oportuno contrarrestar o, simplemente, complementar esa visión con la de terceros; otros directivos, que puedan conocer muy de cerca las actividades pasadas, presentes y, casi, futuras del CIO. Mi mejor candidato, un auditor de Sistemas de Información (y exCIO). ¿Quién esperaban que iba a proponerles? 

* *

Hace unos días tuve la oportunidad -y, como de costumbre, el placer- de conversar con un buen colega y amigo, miembro de “La Comunidad iTTi” de directivos preocupados y ocupados por la contribución de las TI al progreso de sus organizaciones. Él es Director de Auditoría de Sistemas de Información en una multinacional española y ve un futuro lleno de oportunidades -y, sobre todo, retos- para la función auditora -y para su compañía- ante el panorama tecnológico que ya vivimos; y, particularmente, ante el que está por llegar.

Compartiendo la premisa enunciada por Gray -la “Información” es lo verdaderamente relevante-, a su juicio, esa información (sus fuentes), hoy, han trascendido sus espacios naturales tradicionales. Como consecuencia, la actividad desarrollada por la función que dirige, esto es, la supervisión del “comportamiento” de las Tecnologías de la Información de su organización se ha visto abocada a ampliar su lista de interlocutores, más allá del territorio de las TI corporativas. Y ello atendiendo a tres ejes principales:

- el creciente peso de la “Informática en la sombra” (sobre todo, peso presupuestario);

- la avalancha que va a suponer la “Internet de las Cosas”; y,

- en el caso de organizaciones marcadamente industriales, la convergencia entre las Tecnologías de la Información (TI) y las Tecnologías de Operación (TO), que los departamentos de Auditoría de Sistemas de Información han comenzado a revisar en los últimos, recientes, años.

Estoy convencido de que, aunque no sea Ud. auditor, sino CIO, también se habrá visto reflejado en el análisis de nuestro amigo. ¿Acaso no constituyen, los tres ejes citados, retos -y, desde luego, oportunidades- para el CIO de hoy (y de mañana)? 

Dele la vuelta a las reflexiones de nuestro amigo, recupere el terreno que, a su juicio, tal vez, Ud. haya perdido y piense:

- que la “Informática en la sombra” nació con el primer ordenador personal, hace más de treinta años; y no hizo sino consolidar la figura del CIO y dar relevancia a la función de TI dentro de las organizaciones. El desarrollo de Internet contribuyó a, y corroboró, ese efecto unos años después. Hoy sigue haciéndolo esa corriente irreversible que llamamos BYOD (del inglés “Bring Your Own Device” -Traiga Su Propio Dispositivo-); 

- que el advenimiento de la “Internet de las Cosas” (en inglés, “Internet of Things” - IoT-) no supondrá sino una explosión de lo anterior, así que confíe en sus efectos positivos, pero esté preparado; y,

- finalmente, si se mueve en el ámbito industrial, en la otra “I-O-T”, la que podríamos denominar I/OT (del inglés, “Information/Operational Technology” -Tecnología de Información/de Operación-) que está llegando ya y que se hará notar, aún más, con la materialización de la “Industria 4.0” en la que, como efecto de la digitalización, el acceso a, y manipulación de, elementos de control industrial tendrá más que ver con la operación de sistemas informáticos que con la programación tradicional de tales dispositivos por parte de técnicos especializados. 

* *

Confío en que sepa sacar ventaja de estas oportunidades.

¡Le adelanto mi enhorabuena!

* * *

Este artículo fué publicado por ComunicacionesHoy, nº 137, diciembre 2014. Referencia: VII Premios ComunicacionesHoy / Opinión pg. 16 – "Un desafiante nuevo perímetro para los dominios del CIO" – Miguel García-Menéndez. 

-------------------------------------------- 

[i] John F. Rockart. "The Changing Role of the Information Systems Executive: A Critical Success Factors Perspective". CISR, April 1982. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2010/SWP-1297-08770929-CISR-085.pdf?sequence=1 

[ii] J.W.Ross & J.F.Rockart. "Reconceptualizing IT". CISR, January 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/48936/reconceptualizin00ross.pdf?sequence=1 

[iii] C.V.Brown & J.W.Ross. "The IT Organization of the 21st Century: Moving to a Process-based Organization". CISR, July 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2752/SWP-4078-43797411-CISR-306.pdf 

[iv] J.W.Ross & D.F.Feeny. "The Evolving Role of the CIO". CISR, August 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2758/SWP-4089-43797710-CISR-308.pdf?sequence=1 

[v] J.W.Ross.  "The IT Organization of the Future: Driving Business Change". CISR, 2009. URL: http://cisr.mit.edu/blog/documents/2009/12/25/2009_1201_itorgoffuture_rosswoernerscantleburybeath-pdf/ 

[vi] J.W.Ross. "The IT Unit of the Future: New Approaches to Run and Build". CISR, December 2010. URL: https://c.ymcdn.com/sites/www.simnet.org/resource/resmgr/APC/2010_1201_ITValueProposition.pdf 

[vii] J.W.Ross. "The IT Unit of the Future: Creating Strategic Value from IT”. CISR, October 2011. URL: http://c.ymcdn.com/sites/www.simnet.org/resource/resmgr/apc/2011_0901_itunit_ross.pdf 

[viii] J.W.Ross & C.M.Beath. "Demand Shaping: The IT Unit’s New Passion". CISR, Enero 2014. URL: https://cisr.mit.edu/blog/documents/2014/01/16/2014_0101_itsd_rossbeath-pdf/

[ix] Patrick Gray. "The CIO is dead (Long live the CIO)". "TechRepublic", June 1, 2009. URL: http://www.techrepublic.com/blog/tech-decision-maker/the-cio-is-dead-long-live-the-cio/ 

“La primavera, la sangre altera” afirma el popular dicho español; sin embargo, en junio de 2012 no fue la entonces languideciente primavera lo que alteró la sangre de un buen puñado de ciudadanos británicos (y, tal vez, la de algún otro, foráneo). En aquellos días los clientes de The Royal Bank of Scotland  -RBS, en lo que sigue-, del National Westminster Bank  -en adelante, NatWest-  y del Ulster Bank, todos pertenecientes al Grupo RBS, se encontraron con la imposibilidad de operar con sus cuentas corrientes a través de los canales de banca a distancia  -hoy diríamos “digital”-  que, hasta ese momento, habían adoptado, y considerado, como de uso habitual (y fiable). 

Un comunicado del Grupo confirmaba que “en este momento, estamos sufriendo una serie de problemas técnicos; lo que significa que el balance de ciertas cuentas corrientes no haya sido aún actualizado y que parte de nuestros servicios de banca a distancia estén temporalmente fuera de servicio”. Naturalmente, el texto no olvidaba rogar las oportunas disculpas a sus clientes, ni recordarles que estaban trabajando para solventar la situación a la mayor brevedad. No obstante, las anomalías se extenderían por espacio de una semana  -en algún caso, más,incluso- tiempo durante el cual parte de las operaciones hubieron de realizarse por medios manuales. 

* *

Medio año antes, una operación de mantenimiento llevada a cabo sobre los sistemas de información de RBS y NatWest  -una importante actualización de su sistemas centrales-  en la noche del viernes, 4, al sábado, 5 de noviembre de 2011, había tenido similares consecuencias: durante todo el fin de semana, tanto la banca telefónica, como la banca por Internet permanecieron fuera de servicio. En aquella ocasión la red de cajeros y los sistemas de pago con tarjeta quedaron a salvo.

* *

Esta reiterada sucesión de desafortunados acontecimientos concluyó con la decisión de las autoridades británicas de iniciar una investigación que comenzaría en abril de 2013.

Las pesquisas realizadas durante este último año por la Autoridad británica de Comportamiento Financiero (FCA, por sus siglas en inglés) ha tenido como resultado, hace tan sólo unos días, un veredicto que sentencia a Grupo RBS a pagar una multa de 56 millones de libras esterlinas. 

* *

Por el camino han quedado doce millones de clientes afectados, otros 175 millones de libras  -montante previsto por los bancos para hacer frente a las correspondientes indemnizaciones-  y una serie de dudas, expuestas por la FCA, sobre la verdadera competencia de los consejeros del Grupo RBS para dar respuesta a determinadas decisiones que, en materia de Tecnologías de la Información (TI), habrían tenido que tomar en beneficio de sus clientes y de la correcta marcha de su negocio. 

Preguntas relativas a:

- la conveniencia, o no, de que los distintos bancos, por pertenecer al mismo Grupo, compartieran gran parte de los sistemas de información y la infraestructura tecnológica subyacente, lo que parece que pudo multiplicar el efecto sobre el número total (12 millones) de clientes afectados;

- la conveniencia, o no, de hacer un uso  -quizás, abuso-  tan extendido de la externalización en materia de soporte y explotación de los sistemas de información  -RBS, aún hoy, mantiene “delegada” gran parte de su informática en la India, lo que ha sido identificado, por la FCA como uno de los problemas tras los acontecimientos de 2011 y 2012-;

- los recortes presupuestarios, también en materia de TI (así lo señaló la FCA); y,

- finalmente, la falta de inversión  -más allá de los recortes presupuestarios conyunturales, recientes-  en materia tecnológica, a lo largo de las últimas décadas, como reconocía hace unos meses el consejero delegado del Grupo.

* *

Lamentablemente el caso de RBS, y sus consecuencias, no son nuevas. Cualquier lector interesado por los aspectos de gobierno corporativo ligados a las TI sabrá identificar, o recordará, casos similares ocurridos en la última década  -ComAir (2004), Mizuho (2011), o, más recientemente, TARGET (2014), por citar sólo algunos-.  En todos ellos ha habido un claro común denominador: la responsabilidad que sobre la rendición de cuentas en materia de TI  -como ha apuntado la FCA en el caso RBS-  han tenido los consejos de administración, con consecuencias graves, en más de un caso, para sus máximos representantes. 

Sin duda, la concienciación  -y, por qué no decirlo, la formación-  en esta materia es, aún, una asignatura pendiente para la mayoría de nuestros consejeros. En este sentido, y con la noble intención de aportar su granito de arena, recientemente ha visto la luz el “think tank” español iTTi (Instituto de Tendencias en Tecnología e Innovación) que, en su aún corta vida ya está logrando convertirse en foco de denuncia de esta situación y en fuente de referencia en lo que se refiere a su contribución activa para mitigarla. 

* * *

Este artículo fué publicado por ComunicacionesHoy, nº 138, noviembre-diciembre 2014. Referencia: Tendencias/ Gobierno IT pg. 38 – iTTi, o sobre la necesidad de acercar las Tecnologías de la Información a los consejos de administración – Miguel García-Menéndez.