Volver al blog

¿Como abordar la transicion digital? Hacia la Transformacion Digital con confianza, privacidad y seguridad

A la hora de abordar la “transformación digital”, teniendo en cuenta mi propia experiencia como soporte en la transición digital para empresas, creo que es importante hacerlo desde una doble perspectiva:


1.     Concienciar, a quienes me preguntan, sobre lo que significa la Transformación Digital


2.     Transmitir confianza con transparencia y con medidas de seguridad suficientes que garanticen tanto nuestra privacidad, por ejemplo Cloud, como la capacidad de recuperar el control si fuese necesario, por ejemplo con la inteligencia artificial (AI), pero que , a grandes rasgos, es sólo un paso más en los habituales controles de los que ya disponen todas las compañías en otros “ámbitos seguros” como puede ser el pago con tarjetas de crédito, las operaciones de Comercio Internacional, Confirming (pólizas de crédito para pago de proveedores), etc. Esto no significa ser “optimista” ni reactivo en temas de seguridad. (Lo explicaré más adelante)


El primer punto, es esencial. Casi me atrevería a decir que si no se entiende el verdadero significado de la transformación digital de nada sirve lo demás.


La “Transformación Digital” es mucho más que una “transformación”. Es una revolución tan profunda y disruptiva como lo fueron todas las 3 anteriores (1.vapor-carbón, ferrocarril/ 2.petróleo, electricidad, química, automóvil/3. Nuclear, tecnología, móvil, internet/ 4. Energías alternativas, redes sociales, transformación digital, dato (BIG DATA), ???).


Lo que a muchas personas les despista es el adjetivo que se utiliza en su nomenclatura. “Digital”.


Esta revolución trasciende lo digital y la tecnología que se asocia a ella. Lo verdaderamente nuclear es que es un cambio en la forma de pensar, en el modelo de negocio de las empresas y hasta en nosotros mismos como actores del cambio como consecuencia de esa nueva tecnología.


Desde un punto de vista empresarial, representa un cambio en el modelo de negocio y en la forma en la que la compañía interactúa con su entorno. Lo que los anglosajones llaman “stakeholders” y que podríamos definir como “parte interesada” y que bajo su paraguas encontramos a todas aquellas personas u organizaciones afectadas por nuestras actividades y decisiones como empresa (proveedores, clientes, competidores, etc.).


¿Qué sucedió cuando nació Spotify?


Supuso un cambio en la manera de relacionarse con la música. Gracias a la tecnología.


Pero significó mucho más que eso. Representó un cambio radical en el modelo de negocio. El cliente no compraba música sino que consumía servicios. La transición consistió en pasar de comprar música a consumir música mediante el acceso a la “librería” de canciones más grande del planeta… Por cierto, ese modelo ha sido adoptado por otras muchas empresas y sectores. Movistar (con sus productos Fusión, Fusión +), Uber, Facebook, Airbnb, Amazon o Netflix que ha pasado a ser el mayor proveedor de contenidos de video del mundo. (Por cierto, gracias, además de a la tecnología mencionada, al marketing. Un único precio fijo mensual que evita el “dolor” que antes producía el pago por cada película).


Resistirse al cambio o querer mirar hacia otra parte, no sirve de nada porque acabará afectándote sin importar tu tamaño. Gigantes como Kodak o Blockbuster (por aprovechar el ejemplo anterior del pago por cada película alquilada) nos lo recuerdan día a día.


El sector de “despachos profesionales” que agrupan profesionales en economía, derecho, ingeniería, etc. o el sector de asesorías/ gestorías no son una excepción. El cambio en el modelo de negocio es igualmente profundo. ¿Alguien puede seguir pensando que el valor entregado por una "gestoría tradicional" como ayuda al cliente en el cumplimiento de sus obligaciones administrativas es suficiente?, ¿representa una amenaza la nueva pasarela de la Agencia Estatal de Administración Tributaria (AEAT)?


El canal digital, online, es estratégico para la AEAT. Ha sido pionera en el uso de la administración electrónica (que hace posible que cada uno de nosotros como ciudadanos/contribuyentes podamos realizar de forma integral la tramitación de cualquiera de los procedimientos gestionados por la AEAT) y evita desplazamientos, facilita la presentación del servicio y permite dedicar el personal de la AEAT a otras cuestiones que agreguen mayor valor a la sociedad (confío que entre ellos esté, como prioridad por razones evidentes a tenor de las noticias que a diario nos escandalizan, en  la lucha contra el fraude).


Me consta que la AEAT es una organización que apuesta por las TICs desde hace muchos años.  En estos momentos, tienen muy avanzados proyectos de BigData, de Business Intelligence y de captura de información en fuentes abiertas (Internet).


Por tanto, la “transformación Digital” es un reordenamiento de nuestros procesos y de las relaciones que mantenemos como empresa con nuestros “Stakeholders”. La tecnología sólo nos despeja de la ecuación de supervivencia empresarial, “el cómo”.


Siguiendo el caso de la AEAT, desde finales del 2013 están llevando a cabo un cambio de arquitectura tecnológica que consiste en trasladar los servicios ejecutados en Mainframe, hacia arquitecturas abiertas de menor coste y que permitan atender las nuevas necesidades de almacenamiento (con crecimientos en torno a un 45% anual), sin pérdidas en sus niveles de funcionalidad y disponibilidad.


La nueva arquitectura se basa en el uso de ordenadores basados en múltiples procesadores x86 o clusteres (hacia donde convergen, por su escalabilidad, todos los grandes fabricantes como HP, Dell, Cisco, Fujitsu, Lenovo, Huawei, etc.) y que hace posible que los costes dedicados al Mainframe y productos relacionados se reduzcan en 2017 en no menos de 15 millones de euros con respecto al coste soportado en 2013.


Por tanto, la pregunta ya no es si nos afectará o no. La pregunta es cuándo queremos hacerle frente, con qué tecnología y con qué “otros” jugadores vamos a seguir contando.


Es ahora, cuando podemos abordar el segundo punto que avanzaba al comienzo. La confianza, seguridad y privacidad Cloud.


Decía que sólo representa un paso más allá. Más profundo y de mayor alcance, si cabe, por la accesibilidad, sofisticación y persistencia de las amenazas en materia de seguridad, pero íntimamente relacionado con ese cambio de paradigma que, por su grado de afectación en lo tecnológico, eleva los antiguos estándares respecto a la velocidad de innovación, el grado de amenaza (ya no es sólo local porque podemos sufrir un ataque desde una dirección IP en China) y la obsolescencia de la "protección comprada".


Ahora el proveedor de soluciones Cloud, en la nube, se convierte en "socio" porque nuestra seguridad dependerá de los controles que éste incorpore en sus soluciones.


La seguridad tiene que estar incorporada por defecto (mapeos de usuarios, entornos de cero confianza, sin permisos, una administración centralizada y reportes continuos, etc.), por lo que el reto, es elegir bien a tu proveedor.


¿Qué sentido tiene discutir sobre la sofisticación y persistencia de las amenazas, el riesgo asociado con el IoT (el Internet de las cosas), los dispositivos móviles, la necesidad de la prevención o el valor de la seguridad?


Déjenme ponerles un ejemplo muy reciente. De menos de un mes.


¿Han escuchado el agujero de seguridad de nuestros móviles tanto en plataformas Android como iOS del pasado día 11 de abril?


El sistema operativo móvil, iOS 10.3.1, tiene un fallo de seguridad grave en el módulo del Wi-Fi  que también afecta a de Android. Ha sido detectado por Gal Beniamini, un experto en seguridad del grupo Project Zero de Google, en un chip inalámbrico (fabricado por Broadcom) y que ha obligado a los desarrolladores de Apple a lanzar un parche de seguridad.  


1.     ¿Qué consecuencias tiene ese fallo para los usuarios?


Muy profundas ya que puede ejecutar un código de forma remota, muy fácilmente, que permitiría a un atacante conectado a la misma red Wi-Fi el acceso completo al dispositivo “víctima” (smartphones, iphones y iPads) sin que el usuario tenga la más mínima constancia de ello. Esto se debe a que, por defecto, se dan permisos de lectura, escritura y ejecución a toda la memoria a la que pueden acceder estos chips.


2.     ¿Qué grado de influencia/capacidad de acción tenemos cada uno de nosotros sobre ese agujero en la seguridad de nuestros sistemas operativos móviles?


Ninguno. Son las empresas involucradas las únicas con capacidad para ello. De hecho, su relación en la solución es la de “socios”.


Broadcom ha trabajado con Google para dar una solución estable a este problema y evitar amenazas futuras. Las últimas versiones del firmware para los chips Wi-Fi ARM Cortex R4 ya incorporan medidas de seguridad que impiden esa ejecución remota de código. La vulnerabilidad ha sido registrada el pasado 4 de abril como CVE-2017-6975 y el parche es de 27 MB. El tiempo de respuesta de Apple ha sido excelente y continua trabajando en el próximo parche que llegará a sus dispositivos en el iOS 10.3.2. (https://www.redeszone.net/2017/04/04/ios-vulnerabilidad-wi-fi-iphone-ipad/#sthash.1X07rCR7.dpuf.)


La única respuesta posible para ganar confianza es darle “alguna” ventaja a la seguridad y evitar que nuestra primera reacción ante este tipo de “incidentes” sea la de un sentimiento de fragilidad, de desconfianza y hasta de impotencia.


Y lo primero que debemos saber es que simplicidad es sinónimo de seguridad (como lo es el riesgo al beneficio en el ámbito financiero).


Así podremos explicar que no por incrementar el nº de controles tendremos más seguridad, al contrario. Somos más vulnerables. En su lugar, los controles tienen que ser parte del desarrollo de los productos o servicios que nos ofrecen como empresas.


La activación de la seguridad tiene que venir configurada por defecto, ser parte del ADN del desarrollo y esa simplicidad disminuirá los costes de auditoría, de conformidad y creará confianza.


Eso sí, una nueva confianza. Una confianza vigilante que será posible gracias a los mapeos de usuarios, controles en aplicaciones, desarrollos a medida para la empresa y entornos de “cero” confianza sin “permisos”.


Antes, hacía referencia al nuevo papel de “socio” que deben adquirir y protagonizar tanto fabricantes como proveedores de servicios tecnológicos. En el caso de servicios en la nube es “socio” porque:


·       te acompañará a migrar a sus propios “ecosistemas virtuales” de servicios en la nube tus datos.


·       te ayuda a no tener que invertir en una costosa infraestructura física de proceso de datos, almacenamiento, mantenimiento (con costes asociados del personal que lo administra) y de recambio o sustitución de los equipos obsoletos.


·       vigila por ti la seguridad e integridad de tus datos alojados y hace frente a los elevados costes que le suponen tanto la ciberseguridad y defensa como el conjunto de contramedidas que necesitará frente a un ataque, y de las que tú pagarás sólo la parte que te asigne en su “reparto” (entre todos sus clientes) y que te integra en concepto de servicio.


Bajo este modelo, las responsabilidades de seguridad de cada uno se reparten: la empresa cliente sólo es responsable de la seguridad en su nivel de operaciones (aplicaciones) y el “socio Cloud”, o proveedor de servicios en la nube, es responsable de todo cuanto sucede “allí arriba”, es decir, es el encargado de cuidar la infraestructura y su seguridad física y lógica.


Es un modelo que ofrece a empresas de todos los tamaños el acceso a infraestructuras tecnológicas bajo demanda, que son seguras por diseño y que están “certificadas” bajo estándares mundiales muy estrictos (ISO 27001, ISO 27017, SOC 1, 2 y 3 y PCI DSS Nivel 1).


Hacer frente a esos costes de manera individual, como empresa, sólo está al alcance de grandes corporaciones e, incluso, algunos de ellos han renunciado no sólo por los costes evidentes sino por el ritmo trepidante en la incorporación y adaptación de innovaciones tecnológicas.


Empresas muy grandes de sectores tan diversos como los servicios financieros, aseguradoras o portales de venta han optado por estos modelos de seguridad.


Pero el concepto de seguridad también tiene que estar unida al análisis de la información. El análisis del dato, la transformación del dato en información con valor, es una mina de oro aún no explotada por muchas compañías tanto en conocimiento del cliente, en 360º, como en la maximización de procesos. Por ejemplo, existen desarrollos muy interesantes en el campo del “metering” y la energía como fórmula de ahorro de costes en infraestructuras complejas y detección del fraude (con eficacia del 99%), la monitorización de pérdidas o el desarrollo de sistemas de mantenimiento predictivo (que consiguen ahorros de hasta el 47% en aerogeneradores).


La tecnología y las nuevas capacidades que nos ofrece el tratamiento “inteligente” de los datos nos ayudan en la toma de decisiones y a tener un control mayor que se traduce en ahorros directos de explotación, y, lo más valioso e increíble es que se produce en tiempo real, en la mayoría de los casos.


Y aquí, podemos tener la tentación de pensar que sólo estamos hablamos del Big Data para el análisis inteligente de esos datos.


Bien, pero sólo en parte.


En el caso de la AEAT, de las eléctricas y de las empresas de metering, por supuesto, por el ingente volumen de datos, sea en número de contribuyentes, 19,3 millones, sea por el número de mediciones (2 (años) x 365(días)x24(horas)x nº cups1)), pero no tenemos en cuenta lo que puede suponer, el poder del dato, sin llegar al Big Data, con la implantación de un ERP en una PYME.


Este puede ser un primer paso para identificar un nuevo servicio de valor que podemos transmitir a nuestros “Stakeholders”.


La tecnología es una potente palanca de cambio y las TICs no representan un coste sino un elemento catalizador que nos ayudará a reorganizar nuestros procesos y las relaciones que mantenemos como empresa con nuestros “Stakeholders”, y, por tanto, a mejorar los resultados de nuestra organización.

 

En definitiva, de cómo abordemos esta transición digital dependerán las consecuencias que traen consigo la transformación digital, la implantación de la tecnología que lleva asociada y nuestra reacción como sociedad ante todo esto.


Todo dependerá de cómo elijamos desarrollarla. Si las empresas se centran, solamente, en aumentar la eficiencia y la optimización de los procesos internos, perderemos las oportunidades de aumentar el valor que entregamos a nuestros clientes, de crear nuevos puestos de trabajo o nuevas maneras de trabajar (el teletrabajo por ejemplo), mejorando la vida de las personas y la conciliación de trabajo y vida personal.


El foco de las empresas tiene que estar en cómo pueden dar solución a esas nuevas necesidades identificadas o por identificar y no satisfechas de clientes, proveedores o stakeholders en su conjunto, y en la entrega de ese nuevo valor tangible con el que poder crear nuevos servicios y mercados “valiosos”, que podrían dar lugar a nuevas oportunidades de empleo y crecimiento ( que dicho sea de paso, constituiría una manera de hacer frente a uno de los miedos más generalizados y de mayor peso que percibe la sociedad ante la disrupción que provoca la transformación digital).


Entonces, ¿cómo hacemos frente a esta transición digital y a las “fricciones” que puede generar?

La única manera posible es construyendo confianza con transparencia, con medidas de seguridad suficientes que nos permitan velar tanto por nuestra propia privacidad como por la capacidad última para recuperar el control, por ejemplo en AI (Inteligencia Artificial), si fuese necesario.


La respuesta está en nosotros. La tecnología que se está desarrollando, ahora mismo, tiene que estar concebida desde nuestros valores como humanos, con empatía y de manera inclusiva, situando al individuo en el centro de todo.


Satya Nadella, CEO de Microsoft, en una de sus últimas intervenciones se preguntaba: "¿Cómo creamos AI para aumentar las capacidades humanas y mejorar la experiencia humana?, ¿qué acciones debemos hacer para que el bienestar humano sea el centro de atención?


Pero, esto será objeto de un nuevo Blog….


 

1 CUPS= Código Universal del Punto de Suministro. Es un código único que identifica el punto de suministro de energía. Se estima que hay 27.000.000 en España

 

Artículo realizado por Javier Espina Hellín CEO QLC SLP y doctor en Ingeniería de Sistemas de Información


Esto es un párrafo. Puedes cambiarlo y poner tu propio texto, editar el formato y añadir enlaces o imágenes.