Apps para todo

A estas alturas, bien sabemos que ya hay más bien poco que no se puede hacer con un Smartphone. Esos cacharritos que todos (o casi) llevamos en el bolsillo y que nos acompañan a todas partes, que habitualmente dejamos sobre la mesa cuando salimos a comer o cenar y que hacen los trayectos en metro más llevaderos.

Con más de dos millones de aplicaciones para elegir, tenemos para todos los gustos. Es fácil encontrar rankings de las aplicaciones más útiles para viajar, para mejorar nuestra productividad, los juegos más adictivos o las aplicaciones más inútiles.
Hoy quiero elaborar mi propia lista de “aplicaciones que a mí jamás se me habrían ocurrido”, pero pensando en ellas desde un punto de vista distinto al de su funcionalidad: el de los permisos que solicitan para ser instaladas.

No te dejes a tu hijo en el coche

[Read more…]

La historia del ermitaño

Fulgencio estaba muy preocupado por su privacidad. Pero mucho mucho. Para él, mantenerse al margen de las grandes corporaciones y de los gobiernos que espían los movimientos de los ciudadanos en la red era vital.

Era feliz con su Nokia-ladrillo sin internet. No estaba registrado en ninguna red social. Navegaba siempre en modo incógnito. Nunca comentaba en foros y webs con su nombre real, ni manejaba ningún tipo de información personal en la red. No le importaba hacer todos los trámites con su banco en persona aunque tuviera que ceñirse a los horarios estrictos y aguantar media hora de cola. Por supuesto, jamás hacía compras online.

Hacía todo lo que estaba en su mano para mantener su privacidad a salvo. Y estaba contento con ello.

[Read more…]

(No tan) pequeñas meteduras de pata

escritorioCuando hablamos de “seguridad de la información” estamos acostumbrados a pensar en contraseñas, virus, actualizaciones y hackers en sótanos oscuros iluminados solamente por su pantalla de fósforo verde (vale, igual lo del fósforo verde está un poco anticuado, pero todo el mundo sabe que a los hackers les molesta la luz).

Sin embargo, cuando empiezas a trabajar en estos temas descubres que la seguridad de la información llega mucho más allá. Y te encuentras con cosas como que la ingeniería social es un método cada vez más utilizado para poner en riesgo la información de los usuarios. O el que es, para mí, el riesgo más preocupante: la inconsciencia. Muchas veces, no valoramos la importancia de la información que manejamos, y en ocasiones por descuido la vamos regalando por ahí.

No quiero decir que los usuarios seamos un problema de seguridad, pero podemos convertirnos en uno, y muy serio.

[Read more…]

¿Te cuento un secreto?

Hace unos meses, llegó a España la aplicación Secret, tanto para Android como para iOS. Y eso ¿de qué va? Para quien no la conozca, las bases de esta aplicación son muy sencillas: puedes publicar mensajes cortos (similar a Twitter) con la peculiaridad de que nadie sabrá que los has escrito tú. Y claro, tampoco sabrás quién escribe las cosas que lees.

Una vez que has incorporado un cierto número de amigos (usando los contactos de tu móvil y tus amigos de redes sociales), podrás ver si las publicaciones que lees son de un amigo o del amigo de un amigo. Con eso se protege el anonimato de tus amigos (si sólo tienes 5 y lees una publicación de uno de ellos, es probable que adivines de quién se trata). También puedes ver las publicaciones de desconocidos sabiendo únicamente su localización.

Contado así no suena mal ¿no? De hecho, en las preguntas frecuentes de la propia aplicación ensalzan que el anonimato que ofrecen permite que la gente se muestre tal y como es y exprese sus verdaderos pensamientos. Incluso dan unas pequeñas indicaciones a sus usuarios para que se sientan libres de expresar lo que piensan, siempre respetando a los demás. Todo muy idílico.

[Read more…]

El proceso de baja de usuarios

Últimamente, por desgracia, cada día finalizan multitud de relaciones laborales. En algunos casos, es el trabajador quien se da de baja voluntariamente (lo más normal es que haya encontrado un trabajo mejor) y en la mayoría, es la empresa quien despide a su empleado.

Pero ¿qué pasa cuando un trabajador deja de tener relación con su empresa? Obviamente, durante cada etapa laboral se adquieren muchos conocimientos de diversa índole y eso no se pierde al dejar de formar parte de la empresa (lo cual obliga a distinguir conocimientos e información: saber cómo implantar un SGSI es diferente a «llevarse» los modelos de procedimientos, aunque sea éste quien los hubiera desarrollado, siempre evidentemente en el marco de un acuerdo de confidencialidad) y se tiene acceso a determinada información con diferentes grados de confidencialidad.

En teoría, cuando concluye la relación laboral, el empleado (ex empleado ahora) deja de tener acceso a las instalaciones de la compañía, sus repositorios de información, su correo electrónico, en definitiva a sus sistemas de información. Ahora bien, ¿esta teoría se cumple siempre? ¿En qué plazos debería hacerlo? ¿Cómo de estrictos debemos ser con estos temas?

Nunca se puede generalizar, y en este tema en concreto conozco dos casos muy cercanos y completamente opuestos que, a primera vista, me parecen los dos extremos de cómo hacer mal las cosas. Por un lado, tenemos a una amiga que estaba realizando una sustitución por maternidad, por lo que la duración de su empleo estaba claramente establecida de antemano. Cuando llegó el último día a trabajar, no pudo acceder a las instalaciones porque habían desactivado su tarjeta. Y una vez dentro (cuando le abrieron la puerta sus compañeros), no pudo utilizar el ordenador porque le habían desactivado ya el usuario del dominio, el correo electrónico y el acceso a Internet. No podía hacer nada, pero tampoco la dejaban marcharse a casa.

En el caso completamente contrario, un amigo fue despedido por fin de proyecto y todo parecía ir con normalidad. Sin embargo, algo más de un año después del despido, su antiguo jefe le llamó para preguntarle “si recordaba la contraseña del panel de administración del cliente X”. Tras comunicarle la contraseña que utilizaba él en su día, la curiosidad le pudo y comprobó que la contraseña seguía siendo la misma.

¿Podemos decir que alguna de las dos empresas actuó 100% de forma correcta?

Vayamos por partes. En cuanto a la obligatoriedad de restringir los accesos del ex empleado, podemos remitirnos, además del sentido común, a la norma UNE-ISO/IEC 27002 que en su dominio de control “Seguridad ligada a los recursos humanos” contiene algunas consideraciones importantes.

Por ejemplo, establece que se debe completar la devolución de todos los activos de la empresa que posea al finalizar la relación laboral. Esto incluye desde portátiles, ordenadores y teléfonos móviles hasta documentos, manuales e información en soporte electrónico. También indica que si el empleado utiliza algún dispositivo personal con fines laborales, se debe asegurar que la información se transfiere a la organización y se borra de los equipos de forma segura.

Respecto a los derechos de acceso, indica que deberían retirarse al finalizar el empleo o contrato. Estos derechos incluyen tanto el acceso a las instalaciones (las llaves o tarjetas de acceso se deberían devolver junto con el resto de activos) como a la información corporativa (por ejemplo, si el trabajador ha tenido acceso a contraseñas de sistemas que siguen activos tras su marcha, deberían cambiarse). Sin embargo, si profundizamos un poco más en la norma, establece que los derechos de acceso deben reconsiderarse en función de los siguientes factores para determinar si han de retirarse antes de la finalización de la relación laboral:

  • Si se trata de una baja voluntaria o ha sido decidido por la organización, así como los motivos.
  • Responsabilidades actuales del trabajador.
  • Valor de los activos a los que tiene acceso.

Es decir, no es lo mismo que se produzca la baja de un responsable de departamento que de un reponedor, ni es lo mismo que sea por una finalización de contrato que por faltas graves del empleado, etc.

Según esto, parece que el primer caso transcurrió conforme a la norma y el segundo no. Pero hay otras cosas a tener en cuenta. Por ejemplo ¿era necesario una retirada radical de accesos en su último día de trabajo? ¿Hubiera sido admisible esperar al día siguiente (o a última hora de ese día) para hacerlo? ¿Quién decide tener a una persona en su puesto de trabajo sin que pueda hacer absolutamente nada? ¿Qué sensación tiene esa persona en sus últimas horas de trabajo?

Además, hay otro aspecto importante a tener en cuenta. La norma dice “a la finalización del empleo”, pero el Estatuto de los trabajadores establece que, en caso de despido, se debe preavisar al empleado con 15 días. Entonces, durante ese tiempo ¿el empleado sabe que va a ser despedido y sigue teniendo acceso a todos los recursos de la empresa? Omito intencionadamente el caso de la baja voluntaria porque el empleado podría llevarse la información que quisiera antes de comunicar el preaviso establecido por su convenio colectivo.

Así pues ¿cómo compatibilizamos el preaviso que se debe dar a un empleado antes de su despido con la retirada de los accesos del mismo? ¿Tiene sentido el despido “de hoy para mañana” para evitar una posible fuga de información? ¿Cuál sería un plazo razonable para cancelar los accesos protegiendo la información? ¿Qué es más importante, la información de la compañía o el trato a los empleados?

Un montón de incógnitas a las que los responsables de Recursos humanos y de TI se enfrentan a diario. ¿Qué opináis vosotros?

¿Fiarse o no fiarse?

Esa es la cuestión. En temas de seguridad, lo aconsejable suele ser no fiarse ciegamente de nada, por si acaso. Y si metemos dinero en la ecuación, con más motivo.

Siempre me ha llamado la atención lo reacia que es la gente en general a pagar con tarjeta por internet, pero luego en persona da alegremente su tarjeta al camarero para que se la lleve hasta el TPV para cobrar (es cierto que esto ya no es exactamente así porque traen un datafono portátil a la mesa para que introduzcas el PIN, pero normalmente la gente tiene más miedo cuando no ve qué o quién recibe su tarjeta).

En mi opinión, ni una cosa ni la otra. No hay que dar despreocupadamente la tarjeta como si repartiéramos caramelos, ni evitar usarla a toda costa porque si la sacamos de la cartera nos la van a robar sólo con olerla. Como siempre, hay que actuar con cabeza y seguir algunos cuidados básicos.

¿Y por qué le doy tantas vueltas a este tema ahora? Pues porque en cuestión de pocas semanas se me han juntado dos situaciones relacionadas con el pago con tarjeta que me han hecho plantearme que todavía queda camino por recorrer en la seguridad del pago electrónico (tanto por parte de los que pagan como por parte de los que cobran).

Para empezar, hace unas semanas llamé por teléfono a un hotel para reservar un fin de semana. Todo muy bien, buena atención y nada reseñable, hasta que llegó el momento de confirmar la reserva:

HOTEL: Muy bien, todo correcto. Reserva para el día D, por un importe de X euros. Para confirmar la reserva, debe abonarnos el 50% por adelantado.
YO: De acuerdo.
HOTEL: Envíenos por mail su número de tarjeta de crédito, todos los dígitos más la fecha de caducidad y los tres numeritos que hay en la parte de atrás. ¿Sabe cuáles son? Así podremos hacerle el cargo del 50%.
YO: Disculpa, espera un momento. ¿Me estás pidiendo que os envíe por correo electrónico TODOS los datos de mi tarjeta de crédito?
HOTEL: Sí por favor. De ese modo nosotros cargamos ahora el 50% del importe, y el resto cuando se marche.

[No me gusta, no me gusta nada. Si es la única opción de pago me planteo cancelar la reserva y buscar otro hotel]

YO: Perdona, ¿no hay otro modo de efectuar el pago? Enviar por email toda esa información de la tarjeta es muy inseguro…

[Aquí la chica empieza a dudar. Parece que es la primera vez que alguien le plantea la evidente inseguridad de enviar en texto plano en un mail la numeración completa de una tarjeta, incluyendo la fecha de caducidad y el CVV o “los tres numeritos de la parte de atrás” como ella los ha llamado]

HOTEL: Verá… Es la forma habitual de proceder para que podamos cargar por adelantado el 50 % y…
YO: Sí sí, pagar el 50% no es problema. Pero me gustaría efectuar el pago de otro modo.

[Breve silencio incómodo]

YO: ¿Tenéis por ejemplo, un número de cuenta donde os pueda hacer una transferencia?
HOTEL: Ehm, sí, claro. Puedo darle un número de cuenta y nos envía por mail el justificante de la transferencia cuando la haga y con eso nos valdría.
YO: Perfecto, tomo nota del número.

Finalmente se solucionó con la transferencia y todo fue sobre ruedas. Pero no deja de resultarme inquietante que ese sea el procedimiento habitual cuando alguien hace una reserva. ¿Qué hacen con esos mails con información sensible una vez han hecho el cargo que corresponde? ¿Cómo me aseguro que me cobran la cantidad que hemos acordado por teléfono? ¿Cómo es posible que la gente envíe su tarjeta sin preocuparse por estas cosas?

Y cuando todavía estaba yo dándole vueltas a estos interrogantes (es increíble cómo ha aumentado mi preocupación interés por la seguridad en los últimos meses), me llegaron las instrucciones para un examen oficial de idiomas que hice hace unas semanas. Estas instrucciones incluyen qué hacer en caso de no estar conforme con la calificación obtenida y el método para reclamar:

Ya estamos de nuevo con el envío en claro por e-mail de la numeración de la tarjeta de crédito y la fecha de caducidad. ¿Qué pasa si no quiero enviar esa información, me quedo sin poder revisar mi examen? Supongo que se podría escribir un mail explicando la cuestión y preguntando por otras posibles formas de pago, pero ¿cuánta gente se toma esa molestia? Seguro que reciben una gran cantidad de números de tarjeta en esa dirección de correo electrónico. Y si un atacante consigue hacerse con acceso a esa cuenta, se va a encontrar esperándole un montón de información jugosa.

Como ya contó Elena hace unos meses, el PCI Security Standards Council se encarga de aumentar la seguridad de todo lo relacionado con las tarjetas de pago y proteger al usuario. En teoría, todas las entidades que participan en procesos de pago deberían cumplir el PCI DSS que indica las normas de seguridad a seguir.

Reconozco que no he leído la normativa completa al respecto, pero aplicando el sentido común la conclusión es que en estos dos casos concretos yo no me fío. Pagar por internet es seguro, siempre que se cumplan ciertas medidas básicas (y enviar en un simple mail los datos completos de la tarjeta, no las cumple).

No hay que tener ese miedo irracional que tienen algunas personas al pago por internet, pero no olvidemos que estamos manejando dinero exactamente igual que si vamos a un cajero, así que el consejo principal y la moraleja de esta entrada es: pensemos antes de actuar. Y si no estamos seguros de algo, busquemos alternativas.

He leído y acepto los términos y condiciones de uso

Una de las mayores mentiras del siglo XXI. El que siempre haya aceptado los términos de uso tras una lectura detallada, siendo plenamente consciente de lo que aceptaba, que levante la mano.

Prácticamente a diario, instalamos aplicaciones en nuestros PCs y smartphones, nos registramos en redes sociales o servicios diversos. Todos estos proveedores de aplicaciones y servicios se cuidan mucho sus espaldas, y no se arriesgan a dejar resquicios legales.

Y nosotros, como usuarios, aceptamos sin saber lo que estamos aceptando. Principalmente, yo diría que por dos razones:

1. Como ya se comentó hace (mucho) tiempo en este mismo blog, o lo tomas o lo dejas. Si quieres hacer uso del servicio, no tienes más remedio que aceptar las condiciones que establezcan.
2. Vivimos estresados. Y no tenemos tiempo que perder leyendo un galimatías, frecuentemente en inglés, que nos va a aclarar poco o nada a qué nos estamos comprometiendo exactamente

Como todos, soy de esas personas que al llegar al paso de aceptar los términos y condiciones y ver ese scroll que parece ser infinito voy directamente a la famosa casilla y afirmo estar de acuerdo con algo que no he leído.

Pero ahora que estoy rodeada de gente que sabe de seguridad y se preocupa por la privacidad, estoy empezando a plantearme cosas a las que antes no les daba tanta importancia.

Así que como usuaria asidua de Google y sus servicios, me he propuesto leer y analizar las condiciones que acepté en su día y que se aplican en unos servicios que utilizo a diario.

Lo primero que me ha llamado la atención es que el lenguaje utilizado no es tan incomprensible y rebuscado como me esperaba. En la mayoría de los puntos, queda bastante claro a qué hacen referencia y qué cabe esperar al respecto. De otros servicios no puedo hablar, pero al menos en este caso, descubrir que se pueden leer y entender sin ser licenciado en Derecho invalida el punto 2 que he mencionado antes.

Algunos puntos que considero merece la pena remarcar:

Tu contenido en nuestros Servicios

Algunos de nuestros servicios te permiten enviar contenido. Si lo haces, seguirás siendo el titular de los derechos de propiedad intelectual que tengas sobre ese contenido. En pocas palabras, lo que te pertenece, tuyo es.

Al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a Google (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido. Google usará los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios nuevos. Esta licencia seguirá vigente incluso cuando dejes de usar nuestros Servicios (por ejemplo, en el caso de una ficha de empresa que hayas añadido a Google Maps). Algunos Servicios te permiten acceder al contenido que hayas proporcionado y eliminarlo.

El principio suena muy bien, dejan muy claro que lo tuyo es tuyo. Pero luego resulta que estás autorizando a Google (y sus colaboradores, que no he conseguido determinar quiénes son) a usar, reproducir, crear obras derivadas etc. Y seguirán teniendo derecho a hacerlo incluso si tú dejas de usar sus servicios.

Cómo modificar y cancelar nuestros Servicios

Google cambia y mejora sus Servicios constantemente. Por ello, es posible que añadamos o eliminemos algunas funciones o características, o que suspendamos o cancelemos un Servicio por completo.
Puedes dejar de usar los Servicios en cualquier momento, aunque lamentaríamos que así fuera. De igual modo, Google puede dejar de proporcionarte los Servicios o añadir o crear nuevas limitaciones en cualquier momento.

Consideramos que eres el propietario de tus datos y que es importante preservar tu acceso a los mismos. Si interrumpimos un Servicio, en los casos en los que sea razonable, te informaremos con suficiente antelación y te permitiremos extraer la información del Servicio.

No deja de ser curioso que, en cualquier momento y sin justificación previa puedan modificar o cancelar los servicios que ofrecen. Hay quien dice que, siendo gratis no te puedes quejar ante posibles cambios o cierres de servicios (claro que no es gratis, ya que pagas con tus datos). Pero eso no ha evitado por ejemplo el revuelo provocado por el cierre de Google Reader. Al menos parece que han cumplido la parte de avisar con antelación y permitirte extraer la información.

Acerca de estas condiciones

Google puede modificar estas condiciones o las condiciones adicionales que se apliquen a un Servicio para, por ejemplo, reflejar cambios legislativos o en los Servicios. Te recomendamos que consultes las condiciones de forma periódica. Google publicará avisos relacionados con las modificaciones de estas condiciones en esta página. Asimismo, publicará avisos relacionados con las modificaciones que se hagan en las condiciones adicionales del Servicio correspondiente. Las modificaciones no se aplicarán con carácter retroactivo y entrarán en vigor en un plazo no inferior a 14 días a partir de la fecha de su publicación. No obstante, las modificaciones que afecten a nuevas funciones de un Servicio o los cambios que se hagan por cuestiones legales entrarán en vigor de forma inmediata. Si no aceptas las condiciones modificadas de un Servicio, deberás dejar de usar dicho Servicio.

Para acabar, el salvavidas definitivo: todos los usuarios hemos aceptado que los términos aceptados pueden ser modificados unilateralmente (muy importante el “por ejemplo” de la segunda línea: se mencionan dos posibles motivos de cambio, pero no todas las razones que pueden alegar para modificar las condiciones). Y aceptamos que debemos ser nosotros quienes revisemos cada cierto tiempo las condiciones para detectar posibles cambios. Me gustaría conocer una estadística del número de usuarios que sigue esta recomendación… Pero lo hagamos o no, hemos aceptado estas condiciones y ellos tienen la sartén por el mango.

He de reconocer que la lectura no ha sido tan terrible como esperaba, y que no me quedo con la sensación de haber vendido mi alma a Google a cambio del uso de sus servicios. Pero varios de los puntos de las condiciones de servicio de Google remiten a la política de privacidad, a la que también he echado un vistazo y he encontrado bastantes cosas reseñables, pero ese análisis lo dejaremos para otra ocasión, por no extendernos demasiado.

Casualmente, mientras estaba terminando de redactar esta entrada, muy satisfecha por haberme leído los términos y la política de privacidad, me encuentro con esta noticia sobre «algo» llamado PRISM que me genera nuevas inquietudes. ¿Son conscientes o no las empresas del acceso que los gobiernos tienen a la información que manejan? Si los gobiernos pueden acceder a ella sin consentimiento de las empresas ¿para qué sirve tanta política de privacidad, tantos términos de uso y tantas condiciones a aceptar?

Y lo más importante: ¿qué podemos hacer nosotros, como usuarios de a pie, para proteger nuestra información y nuestros datos?

Privacidad, libertad, seguridad

¿Tenemos controlada nuestra privacidad en la red? ¿Somos completamente libres cuando actuamos en ella? ¿Estamos seguros de a dónde va a parar la información que proporcionamos en el ciberespacio?

Internet se ha convertido ya en una parte imprescindible de nuestras vidas. Para un gran porcentaje de la población, es impensable no estar conectado todo el tiempo que pasamos despiertos. Ya sea mediante el email, con las redes sociales o simplemente leyendo el periódico online, no concebimos estar desconectados.

Pero en muchas ocasiones, no somos plenamente conscientes del flujo completo de información que se genera cada vez que hacemos una búsqueda en Google o subimos una foto a Facebook en la que etiquetamos a nuestros amigos. Creemos que somos meros receptores de información, como cuando cogemos un libro en la intimidad de nuestra casa. Pero todas nuestras acciones van dejando su rastro.

Hace unos días, leyendo un artículo de Communications of the ACM tituladoPrivacidad y Seguridad. La enmarañada web que hemos tejido”, se me plantearon algunos interrogantes que en alguna ocasión han sido objeto de conversación de sobremesa y cuyas respuestas son muy diferentes según los integrantes del debate.

[Read more…]

El valor de los servicios

A lo largo de nuestra vida, todos hemos sido clientes de multitud de servicios. A diario, nos encontramos en la posición de “el que paga” y eso nos permite exigir y juzgar si el servicio ha sido bueno.

Pero cuando nos encontramos en la posición del proveedor de servicios, no podemos ser tan abstractos y tener como objetivo dar un buen servicio sin más. Es necesario definir qué es un buen servicio para poder enfocar nuestros esfuerzos hacia la satisfacción del cliente.

Como siempre, las buenas prácticas de ITIL nos dan una serie de definiciones que nos pueden servir de punto de partida para lograr nuestros objetivos.

Para empezar, debemos concretar qué es un servicio:

Servicio: Un medio de entregar valor a los clientes facilitando resultados que los clientes necesitan sin la propiedad de costes y riesgos específicos.

Entonces ahora ¿qué es el valor? Es el resultado por el que el cliente está dispuesto a pagar pero ¿cómo podemos concretar un poco más este concepto? Mediante la utilidad y la garantía:
Utilidad: Funcionalidad que ofrece un producto o servicio para satisfacer una necesidad particular. La utilidad se puede resumir como ‘lo que el servicio hace’ y se puede utilizar para determinar si un servicio es capaz de cumplir con los resultados requeridos o es «adecuado para el propósito” (fit for purpose).

La utilidad es percibida por el cliente, según el cumplimiento de sus expectativas respecto a la funcionalidad del servicio.

Garantía: Confirmación que un producto o servicio cumplirá con los requisitos acordados. Esto puede ser un acuerdo formal, como un acuerdo de niveles de servicio o contrato o puede ser un mensaje de marketing o una imagen de marca. La garantía se refiere a la capacidad de un servicio de estar disponible cuando sea necesario para proporcionar la capacidad requerida y para entregar la fiabilidad necesaria en términos de continuidad y seguridad. La garantía se puede resumir como ‘la forma en que se entrega el servicio’ y se puede utilizar para determinar si un servicio es «adecuado para su uso” (fit for use).

La garantía agrupa los aspectos no funcionales del servicio (disponibilidad, capacidad, continuidad y seguridad).

De este modo, el valor de un servicio de TI se crea por la combinación de utilidad y garantía.

Es decir, no basta con que un servicio “haga lo que tiene que hacer” (utilidad), debe “hacerlo bien” en todos los aspectos (garantía). Por eso es muy importante llevar a cabo un diseño, implementación, ejecución, control y mantenimiento adecuados.

Desde el punto de vista del cliente, el valor del servicio depende de tres áreas fundamentales:

  • Los resultados obtenidos para el negocio.
  • Las preferencias del cliente.
  • La percepción que tiene el cliente del servicio recibido.

Y estas áreas no son estáticas, varían en función del entorno del cliente y la evolución de su negocio. Por eso es muy importante conocerle bien y alinear nuestros objetivos con los suyos. ¿Quién es nuestro cliente? ¿Qué cosas valora? ¿Para qué necesita nuestro servicio?

Por último, es conveniente recordar que la medida del valor del servicio tiene dos componentes fundamentales: una objetiva y una subjetiva.

Objetivamente, hay muchos indicadores que podemos medir para verificar que estamos cumpliendo la utilidad y la garantía por la que el cliente está pagando: tiempos de respuesta, porcentaje de fallos, incidencias registradas, etc.

Pero no debemos olvidar la importancia de la componente subjetiva: un servicio es realmente bueno cuando el cliente lo percibe como tal. En una cultura de servicio, los objetivos principales están orientados a la satisfacción del cliente y a ayudarle a conseguir sus objetivos de negocio. Por ello es muy importante estar en contacto directo con el cliente, llevar a cabo encuestas de satisfacción, conocer sus expectativas y el grado en que han quedado cubiertas por el servicio.

Para diseñar un nuevo servicio (o modificar uno ya existente), debemos tener en cuenta todos estos aspectos y afrontar retos tales como:

  • Entender los requisitos del negocio y sus prioridades.
  • Mantener una comunicación fluida entre todas las partes implicadas.
  • Tener presentes todos los puntos de vista (es un error muy común focalizar los esfuerzos en los aspectos de TI).

Y una vez el servicio está en marcha, mantener la fluidez en la comunicación y llevar un seguimiento del nivel de satisfacción.

Porque cuando nosotros somos los clientes, valoramos el modo en que recibimos los servicios (si nos han tratado bien, si la respuesta técnica y humana ha sido adecuada, etc.) y tenemos muy claro lo que queremos. A la hora de ser proveedores, no podemos olvidar esos pequeños detalles. Con clientes contentos, ganamos todos.

Google account: verificación en dos pasos

Han pasado ya casi diez años desde que Google lanzó Gmail, su servicio de correo electrónico, con la entonces gran capacidad de 1GB por cuenta (que ahora por suerte pasa de 10GB).

Mucho ha llovido desde entonces, y el número de servicios al que tenemos acceso con nuestra cuenta de Gmail (ahora llamada cuenta de Google) ha ido creciendo imparable (Google Calendar, Google Reader, Picasa, Google Drive, Google+, etc) hasta llegar a su máxima expresión con los dispositivos Android, que asocian nuestro móvil a una cuenta de Google para gestionar de forma unificada nuestros contactos, calendarios, documentos, música, etc.

En todo este tiempo, Google ha tomado algunas medidas para ayudarnos a proteger nuestra cuenta, como la opción que se incluyó en julio de 2008 para permitirnos utilizar siempre https al visualizar nuestro correo vía web. Más tarde, en enero de 2010, esta se convirtió en la opción por defecto, aunque sigue siendo configurable por si alguien lo quiere desactivar.

 Y hace poco más de un año, incorporaron una nueva opción para hacer más seguro el acceso a nuestra cuenta: el 2-step verification, un sistema que añade una capa extra de seguridad, haciendo necesario el uso de un código aleatorio además de la tradicional contraseña.

Para activarlo, debemos ir a la configuración de nuestra cuenta de Google, desde el menú superior derecho de cualquiera las aplicaciones de Google:

 Una vez en la configuración (si nunca lo habéis trasteado, no está de más echar un vistazo y ver las configuraciones que tenemos para las distintas aplicaciones, privacidad, etc. Especialmente interesante el panel de control, pero eso es otra historia y debe ser contada en otra ocasión), en el menú izquierdo vamos a la opción “Seguridad”, donde podemos configurar lo que hemos venido a configurar (además de otras opciones que es interesante revisar).

 En el apartado “Verificación en dos pasos” tenemos un enlace con más información al respecto y la posibilidad, mediante el botón “Configuración” de activar esta opción y dejarla funcionando en unos pocos clicks.

Para no extenderme demasiado, omitiré el proceso completo de configuración. A modo de resumen, consta de cuatro sencillos pasos guiados en los que nos solicitan el número de teléfono móvil a asociar (o se pide confirmación si ya lo teníamos configurado) y se nos enviará el primer código de verificación por SMS.

Una vez finalizada la configuración, se nos muestra una pantalla-resumen con las principales opciones a tener en cuenta:

 Desde aquí podemos gestionar los números de teléfono asociados donde recibir los códigos de verificación, o generar una serie de códigos que podemos imprimir para utilizarlos en caso de que no tengamos el móvil a mano (en ese caso, es importante llevar los códigos encima, aunque a mí no me acaba de convencer eso que recomiendan de llevarlos en la cartera…), o utilizar una aplicación que habremos instalado en nuestro Smartphone para generar códigos aunque no tengamos cobertura.

También podemos administrar los ordenadores de confianza (aquellos en los que se nos pedirá el código de verificación sólo la primera vez que iniciemos sesión) y las contraseñas específicas de aplicaciones: para las aplicaciones que hacen uso de nuestra cuenta de Google, como por ejemplo el cliente de Google Talk, pero no pueden hacer uso del sistema de dos pasos, desde aquí podemos generar una contraseña aleatoria a utilizar en cada una de ellas (una vez generada, la contraseña no vuelve a mostrarse, por motivos de seguridad).

Con este sistema, cada vez que iniciamos sesión con nuestra cuenta de Google por primera vez en un ordenador (o cualquier ocasión en que lo hagamos desde un ordenador que no está marcado como de confianza), además de nuestra contraseña se nos pedirá un código de verificación. Este código se envía por SMS al móvil configurado, aunque también podemos utilizar alguno de los códigos pregenerados que Google nos da al activar el servicio para imprimirlos y utilizar en caso de emergencia, o generarlo con la aplicación del móvil. Además, por si tenemos algún problema con los SMS está la opción de “Llamada de voz”, en que una locución (en castellano) proporciona el código a utilizar.

Ahora, desde la configuración de la cuenta de Google podemos acceder a la pantalla resumen anterior y gestionar todo lo relacionado con la verificación en dos pasos (incluso desactivarlo si no nos convence esta funcionalidad).

Además, hace poco al iniciar sesión en mi cuenta, se me mostró una pantalla recordando mi configuración, por si quería hacer algún cambio. Esto puede venir muy bien a los despistados que no suelen entrar a mantener sus configuraciones actualizadas.

 

Personalmente, tengo activada esta opción en mi cuenta principal. Y aunque a veces es un poco incómodo dar el paso extra, creo que compensa ya que nunca está de más hacer un pequeño esfuerzo en pro de la seguridad.

Sin embargo, tengo la sensación de que esta característica nos obliga a estar más enganchados a nuestros teléfonos móviles (más de lo que ya estamos, que en algunos casos no es poco) y me genera una duda ¿hasta qué punto es aconsejable confiar la seguridad de nuestra cuenta de Google a un dispositivo que está siempre con nosotros y que está en el punto de mira de los amigos de lo ajeno?