A la hora de abordar la
“transformación digital”, teniendo en cuenta mi propia experiencia como soporte
en la transición digital para empresas, creo que es importante hacerlo desde
una doble perspectiva:
1. Concienciar, a quienes me preguntan, sobre lo que significa la Transformación
Digital
2. Transmitir
confianza con transparencia y con
medidas de seguridad suficientes que garanticen tanto nuestra privacidad, por
ejemplo Cloud, como la capacidad de recuperar el control si fuese necesario,
por ejemplo con la inteligencia artificial (AI), pero que , a grandes rasgos,
es sólo un paso más en los habituales controles de los que ya disponen todas
las compañías en otros “ámbitos seguros” como puede ser el pago con tarjetas de
crédito, las operaciones de Comercio Internacional, Confirming (pólizas de
crédito para pago de proveedores), etc. Esto no significa ser “optimista” ni
reactivo en temas de seguridad. (Lo explicaré más adelante)
El primer punto, es esencial. Casi me atrevería a decir que si no
se entiende el verdadero significado de la transformación digital de nada sirve
lo demás.
La “Transformación Digital” es mucho más que una “transformación”. Es una revolución tan profunda y disruptiva
como lo fueron todas las 3 anteriores (1.vapor-carbón, ferrocarril/
2.petróleo, electricidad, química, automóvil/3. Nuclear, tecnología, móvil,
internet/ 4. Energías alternativas, redes sociales, transformación digital,
dato (BIG DATA), ???).
Lo que a muchas personas les
despista es el adjetivo que se utiliza en su nomenclatura. “Digital”.
Esta revolución trasciende lo
digital y la tecnología que se asocia a ella. Lo verdaderamente nuclear es que es un cambio en la forma de pensar, en
el modelo de negocio de las empresas y hasta en nosotros mismos como
actores del cambio como consecuencia de esa nueva tecnología.
Desde un punto de vista
empresarial, representa un cambio en el
modelo de negocio y en la forma en la que la compañía interactúa con su entorno.
Lo que los anglosajones llaman “stakeholders”
y que podríamos definir como “parte interesada” y que bajo su paraguas
encontramos a todas aquellas personas u organizaciones afectadas por nuestras
actividades y decisiones como
empresa (proveedores, clientes,
competidores, etc.).
¿Qué sucedió cuando nació Spotify?
Supuso un cambio en la manera de
relacionarse con la música. Gracias a la tecnología.
Pero significó mucho más que eso.
Representó un cambio radical en el
modelo de negocio. El cliente no compraba música sino que consumía
servicios. La transición consistió en pasar
de comprar música a consumir música mediante el acceso a la “librería” de
canciones más grande del planeta… Por cierto, ese modelo ha sido adoptado
por otras muchas empresas y sectores. Movistar (con sus productos Fusión,
Fusión +), Uber, Facebook, Airbnb, Amazon o Netflix que ha pasado a ser el
mayor proveedor de contenidos de video del mundo. (Por cierto, gracias, además
de a la tecnología mencionada, al marketing. Un único precio fijo mensual que
evita el “dolor” que antes producía el pago por cada película).
Resistirse al cambio o querer mirar hacia otra parte, no sirve de nada
porque acabará afectándote sin importar tu tamaño. Gigantes como Kodak o
Blockbuster (por aprovechar el ejemplo anterior del pago por cada película
alquilada) nos lo recuerdan día a día.
El sector de “despachos
profesionales” que agrupan profesionales en economía, derecho, ingeniería, etc.
o el sector de asesorías/ gestorías no son una excepción. El cambio en el
modelo de negocio es igualmente profundo. ¿Alguien
puede seguir pensando que el valor entregado por una "gestoría
tradicional" como ayuda al cliente en el cumplimiento de sus obligaciones
administrativas es suficiente?, ¿representa una amenaza la nueva pasarela
de la Agencia Estatal de Administración Tributaria (AEAT)?
El canal digital, online, es estratégico para la AEAT. Ha sido
pionera en el uso de la administración electrónica (que hace posible que cada
uno de nosotros como ciudadanos/contribuyentes podamos realizar de forma
integral la tramitación de cualquiera de los procedimientos gestionados por la
AEAT) y evita desplazamientos, facilita la presentación del servicio y
permite dedicar el personal de la AEAT a otras cuestiones que agreguen mayor
valor a la sociedad (confío que entre ellos esté, como prioridad por razones
evidentes a tenor de las noticias que a diario nos escandalizan, en la lucha contra el fraude).
Me consta que la AEAT es una
organización que apuesta por las TICs desde hace muchos años. En estos momentos, tienen muy avanzados
proyectos de BigData, de Business Intelligence y de captura de información en
fuentes abiertas (Internet).
Por tanto, la “transformación Digital” es
un reordenamiento de nuestros procesos y de las relaciones que mantenemos como
empresa con nuestros “Stakeholders”. La tecnología sólo nos despeja de
la ecuación de supervivencia empresarial, “el cómo”.
Siguiendo el caso de la AEAT,
desde finales del 2013 están llevando a cabo un cambio de arquitectura
tecnológica que consiste en trasladar los servicios ejecutados en Mainframe,
hacia arquitecturas abiertas de menor coste y que permitan atender las nuevas
necesidades de almacenamiento (con crecimientos en torno a un 45% anual),
sin pérdidas en sus niveles de funcionalidad y disponibilidad.
La nueva arquitectura se basa en
el uso de ordenadores basados en múltiples procesadores x86 o clusteres (hacia
donde convergen, por su escalabilidad, todos los grandes fabricantes como
HP, Dell, Cisco, Fujitsu, Lenovo, Huawei, etc.) y que hace posible que los
costes dedicados al Mainframe y productos relacionados se reduzcan en 2017 en
no menos de 15 millones de euros con respecto al coste soportado en 2013.
Por tanto, la pregunta ya no es si nos afectará o no. La pregunta es cuándo
queremos hacerle frente, con qué tecnología y con qué “otros” jugadores vamos a
seguir contando.
Es ahora, cuando podemos abordar
el segundo punto que avanzaba al
comienzo. La confianza, seguridad y
privacidad Cloud.
Decía que sólo representa un paso
más allá. Más profundo y de mayor
alcance, si cabe, por la accesibilidad, sofisticación y persistencia de las
amenazas en materia de seguridad, pero
íntimamente relacionado con ese cambio de paradigma que, por su grado de
afectación en lo tecnológico, eleva los antiguos estándares respecto a la velocidad
de innovación, el grado de amenaza (ya no es sólo local porque podemos
sufrir un ataque desde una dirección IP en China) y la obsolescencia de la "protección comprada".
Ahora el proveedor de soluciones Cloud, en la nube, se convierte en
"socio" porque nuestra
seguridad dependerá de los controles que éste incorpore en sus soluciones.
La seguridad tiene que estar
incorporada por defecto (mapeos de usuarios, entornos de cero confianza,
sin permisos, una administración centralizada y reportes continuos, etc.), por
lo que el reto, es elegir bien a tu proveedor.
¿Qué sentido tiene discutir sobre la sofisticación y persistencia de
las amenazas, el riesgo asociado con el IoT (el Internet de las cosas), los
dispositivos móviles, la necesidad de la prevención o el valor de la seguridad?
Déjenme ponerles un ejemplo muy
reciente. De menos de un mes.
¿Han escuchado el agujero de seguridad
de nuestros móviles tanto en plataformas Android como iOS del pasado día 11 de
abril?
El sistema operativo móvil, iOS
10.3.1, tiene un fallo de seguridad grave en el módulo del Wi-Fi que también afecta a de Android. Ha sido
detectado por Gal Beniamini, un experto en seguridad del grupo Project Zero de
Google, en un chip inalámbrico (fabricado
por Broadcom) y que ha obligado a los desarrolladores de Apple a lanzar un
parche de seguridad.
1. ¿Qué
consecuencias tiene ese fallo para los usuarios?
Muy profundas ya que puede ejecutar un código de forma remota, muy
fácilmente, que permitiría a un atacante conectado a la misma red Wi-Fi el
acceso completo al dispositivo “víctima” (smartphones, iphones y iPads) sin que
el usuario tenga la más mínima constancia de ello. Esto se debe a que, por defecto, se dan permisos de lectura, escritura
y ejecución a toda la memoria a la que pueden acceder estos chips.
2. ¿Qué
grado de influencia/capacidad de acción tenemos cada uno de nosotros sobre ese
agujero en la seguridad de nuestros sistemas operativos móviles?
Ninguno. Son las empresas involucradas las únicas con capacidad
para ello. De hecho, su relación en la solución es la de “socios”.
Broadcom ha trabajado con Google
para dar una solución estable a este problema y evitar amenazas futuras. Las
últimas versiones del firmware para los chips Wi-Fi ARM Cortex R4 ya incorporan
medidas de seguridad que impiden esa ejecución remota de código. La
vulnerabilidad ha sido registrada el pasado 4 de abril como CVE-2017-6975 y el
parche es de 27 MB. El tiempo de respuesta de Apple ha sido excelente y
continua trabajando en el próximo parche que llegará a sus dispositivos en el iOS
10.3.2. (https://www.redeszone.net/2017/04/04/ios-vulnerabilidad-wi-fi-iphone-ipad/#sthash.1X07rCR7.dpuf.)
La única respuesta posible para ganar confianza es darle “alguna”
ventaja a la seguridad y evitar que nuestra primera reacción ante este
tipo de “incidentes” sea la de un sentimiento de fragilidad, de desconfianza y
hasta de impotencia.
Y lo primero que debemos saber
es que simplicidad es sinónimo de seguridad (como lo es el riesgo al beneficio
en el ámbito financiero).
Así podremos explicar que no
por incrementar el nº de controles tendremos más seguridad, al contrario.
Somos más vulnerables. En su lugar, los controles tienen que ser parte del
desarrollo de los productos o servicios que nos ofrecen como empresas.
La activación de la seguridad tiene que venir configurada por defecto,
ser parte del ADN del desarrollo y esa simplicidad disminuirá los costes de
auditoría, de conformidad y creará confianza.
Eso sí, una nueva confianza.
Una confianza vigilante que será
posible gracias a los mapeos de
usuarios, controles en aplicaciones,
desarrollos a medida para la empresa y entornos de “cero” confianza sin
“permisos”.
Antes, hacía referencia al nuevo
papel de “socio” que deben adquirir y protagonizar tanto fabricantes como proveedores
de servicios tecnológicos. En el caso de servicios en la nube es “socio”
porque:
·
te acompañará a migrar a sus propios
“ecosistemas virtuales” de servicios en la nube tus datos.
·
te ayuda a no tener que invertir en una
costosa infraestructura física de proceso de datos, almacenamiento,
mantenimiento (con costes asociados del personal que lo administra) y de
recambio o sustitución de los equipos obsoletos.
·
vigila por ti la seguridad e integridad de tus
datos alojados y hace frente a los elevados costes que le suponen tanto la
ciberseguridad y defensa como el conjunto de contramedidas que necesitará
frente a un ataque, y de las que tú pagarás sólo la parte que te asigne en
su “reparto” (entre todos sus clientes) y
que te integra en concepto de servicio.
Bajo este modelo, las responsabilidades de seguridad de cada uno se reparten:
la empresa cliente sólo es responsable de la seguridad en su nivel de
operaciones (aplicaciones) y el “socio Cloud”, o proveedor de servicios en la nube,
es responsable de todo cuanto sucede “allí arriba”, es decir, es el encargado
de cuidar la infraestructura y su seguridad física y lógica.
Es un modelo que ofrece a
empresas de todos los tamaños el acceso a infraestructuras tecnológicas bajo
demanda, que son seguras por diseño y que están “certificadas” bajo estándares
mundiales muy estrictos (ISO 27001, ISO 27017, SOC 1, 2 y 3 y PCI DSS Nivel
1).
Hacer frente a esos costes de
manera individual, como empresa, sólo está al alcance de grandes corporaciones
e, incluso, algunos de ellos han renunciado no sólo por los costes evidentes
sino por el ritmo trepidante en la incorporación y adaptación de innovaciones
tecnológicas.
Empresas muy grandes de sectores
tan diversos como los servicios financieros, aseguradoras o portales de venta
han optado por estos modelos de seguridad.
Pero el concepto de seguridad
también tiene que estar unida al análisis de la información. El análisis
del dato, la transformación del dato en información con valor, es una mina de
oro aún no explotada por muchas compañías tanto en conocimiento del cliente, en
360º, como en la maximización de procesos.
Por ejemplo, existen desarrollos muy interesantes en el campo del
“metering” y la energía como fórmula de ahorro de costes en infraestructuras
complejas y detección del fraude (con eficacia del 99%), la monitorización de
pérdidas o el desarrollo de sistemas de mantenimiento predictivo (que consiguen
ahorros de hasta el 47% en aerogeneradores).
La tecnología y las nuevas capacidades que nos ofrece el tratamiento
“inteligente” de los datos nos ayudan en la toma de decisiones y a tener un
control mayor que se traduce en ahorros directos de explotación, y, lo más
valioso e increíble es que se produce en tiempo real, en la mayoría de los
casos.
Y aquí, podemos tener la
tentación de pensar que sólo estamos hablamos del Big Data para el análisis
inteligente de esos datos.
Bien, pero sólo en parte.
En el caso de la AEAT, de las
eléctricas y de las empresas de metering, por supuesto, por el ingente volumen
de datos, sea en número de
contribuyentes, 19,3 millones, sea por el número de mediciones (2 (años) x 365(días)x24(horas)x
nº cups1)), pero no tenemos en cuenta lo que puede suponer, el poder del dato, sin llegar al Big
Data, con la implantación de un ERP en una PYME.
Este puede ser un primer paso
para identificar un nuevo servicio de valor que podemos transmitir a nuestros
“Stakeholders”.
La tecnología es una potente palanca de cambio y las TICs no
representan un coste sino un elemento catalizador que nos ayudará a reorganizar
nuestros procesos y las relaciones que
mantenemos como empresa con nuestros “Stakeholders”, y, por tanto, a mejorar
los resultados de nuestra organización.
En definitiva, de cómo
abordemos esta transición digital dependerán las consecuencias que traen
consigo la transformación digital, la implantación de la tecnología que lleva asociada
y nuestra reacción como sociedad ante todo esto.
Todo dependerá de cómo elijamos
desarrollarla. Si las empresas se centran, solamente, en aumentar la
eficiencia y la optimización de los procesos internos, perderemos las
oportunidades de aumentar el valor que entregamos a nuestros clientes, de crear
nuevos puestos de trabajo o nuevas maneras de trabajar (el teletrabajo por
ejemplo), mejorando la vida de las personas y la conciliación de trabajo y vida
personal.
El foco de las empresas tiene
que estar en cómo pueden dar solución a esas nuevas necesidades identificadas o
por identificar y no satisfechas de clientes, proveedores o stakeholders en su
conjunto, y en la entrega de ese nuevo valor tangible con el que poder crear
nuevos servicios y mercados “valiosos”, que podrían dar lugar a nuevas
oportunidades de empleo y crecimiento ( que dicho sea de paso, constituiría una manera de hacer frente a uno
de los miedos más generalizados y de mayor peso que percibe la sociedad ante la
disrupción que provoca la transformación digital).
Entonces, ¿cómo hacemos frente
a esta transición digital y a las “fricciones” que puede generar?
La única manera posible es construyendo confianza con transparencia,
con medidas de seguridad suficientes que nos permitan velar tanto por nuestra
propia privacidad como por la capacidad última para recuperar el control, por
ejemplo en AI (Inteligencia Artificial), si fuese necesario.
La respuesta está en nosotros. La tecnología que se está
desarrollando, ahora mismo, tiene que estar concebida desde nuestros valores como
humanos, con empatía y de manera inclusiva, situando al individuo en el centro
de todo.
Satya Nadella, CEO de Microsoft,
en una de sus últimas intervenciones se preguntaba: "¿Cómo creamos AI para
aumentar las capacidades humanas y mejorar la experiencia humana?, ¿qué
acciones debemos hacer para que el bienestar humano sea el centro de atención?
Pero, esto será objeto de un
nuevo Blog….
1 CUPS= Código Universal del Punto de Suministro. Es un código único que
identifica el punto de suministro de energía. Se estima que hay 27.000.000 en
España
Artículo realizado por Javier Espina Hellín CEO QLC SLP y doctor en
Ingeniería de Sistemas de Información