Los resultados de la encuesta ¿Que consideras más adecuado para tu/una organización, la certificación en ISO 27001 o en ISO 20000? que hemos tenido hasta hoy mismo han sido bastante dispares, ya que ninguna de las opciones destaca claramente por encima de las demás. Parece ganar por “una cabeza” la certificación ISO 27001 (31% de los votos), continuando con un empate técnico entre la certificación ISO 20000 y la opción de no certificar pero implantar antes una gestión en base a ITIL que un SGSI (20% de los votos cada una). En cuarto lugar se sitúa la opción de no certificar, pero implantar primero un SGSI y luego una gestión en base a ITIL (15% de los votos). Por último, un 14% de los votos no se deciden por ninguna de las anteriores opciones.

Sin olvidar el limitado número de votos (aunque, todo sea dicho, es mayor que la población en las que las grandes corporaciones de productos cosméticos fundamentan la mayoría de los resultados de las cremas que anuncian en televisión), los resultados parecen indicar que un SGSI se percibe como potencialmente más certificable, o directamente más relacionado con un “sello” ISO 27001, mientras que la gestión en base a ITIL se mantiene más “independiente” de la certificación, quizá por la menor difusión y conocimiento que hay de ISO 20000 frente a ISO 27001. Aunque esto está cambiando poco a poco, concuerda con la experiencia de S2 Grupo, en la que (en términos generales) el cliente nos plantea en primer lugar la implantación y certificación de su organización en base a la norma ISO 27001, para entrar a valorar posteriormente la gestión en base a ITIL, con o sin certificación.

Dicho esto, les dejo con una nueva encuesta, propuesta por Toni Villalón. Esperamos sus respuestas.

Resulta que el pasado 27 de abril la agencia de protección de datos alemana realizó una queja a Google relacionada con la información Wi-Fi recogida por la flota de coches Street View, que por si no lo sabían, además de realizar fotografías, también capta información de SSIDs y MACs. El departamento legal de Google respondió que la única información Wi-Fi que recopilaban era, en efecto, esa. Es decir, en palabras de Google, que Networks also send information to other computers that are using the network, called payload data, but Google does not collect or store payload data

El caso es que la agencia de protección de datos alemana, que es una desconfiada, se queda con la mosca detrás de la oreja, y a principios de mayo se le antoja realizar una auditoría de esa información Wi-Fi. Y en estas que estamos, Google descubre, atónita y con sorpresa mayúscula, que aunque pensaba una cosa, ha resultado otra. Pensábamos que no, y resulta que sí; qué confusión más tonta.

¿El culpable? Pues de nuevo en palabras de Google, Quite simply, it was a mistake. Al parecer, un trozo de código experimental fue a parar inexplicablemente al código del proyecto a través del que Google recopila SSIDs y MACs mediante los coches Street View, y nadie se dio cuenta. Lo que parece sugerir, si hay que creerse la explicación, que nadie en Google sabía que esa información se estaba recogiendo ni que el código responsable había sido incorporado al proyecto. Entonces, ¿mintió el departamento legal en la primera consulta? The Register dice que no, y lo justifica esto en la estructura interna de Google, eminentemente formada por ingenieros, de manera que es posible de alguna forma que el departamento legal de Google estuviese diciendo la verdad e ignorase la realidad de los hechos. Claro que no sabe uno qué es peor, si que estén mintiendo, o que no sepan cómo se trata la información dentro de Google. En cualquier caso, es razonable suponer que los abogados no sabían qué se cocía, aunque eso no les exima de culpa.

Volvamos al argumento de Google, es decir, que fue un simple error. Lo cierto es que si estuviésemos hablando de un par de semanas, el argumento de Google tendría su parte de credibilidad; quizá no mucha, pero alguna. Pero después de tres años de estar recogiendo información, que según esta nota de Google (en pdf, un certificado de destrucción de los datos recopilados por los coches Street View correspondientes a Irlanda, emitida por la consultora ISEC) ocupa cuatro discos duros, y según cita The Register podría llegar a 600 GB, el argumento no pasa casi ni por una mala excusa. Tres años es mucho tiempo.

Vale. Es cierto que 600GB no son muchos datos para el volumen de información que Google gestiona, pero no es descabellado pensar que durante ese tiempo, y dado que hablamos de treinta países y un número significativo de coches, alguien en algún momento se daría cuenta de que esa información estaba siendo recogida. *Alguien* debería haberse dado cuenta. O quizá la cuestión no era “darse cuenta de”, sino “darse cuenta de y preguntarse si”. Es decir, quizá los ingenieros trataban la información que necesitaban tratar (MACs y SSIDs) y dejaban el resto, sin plantearse qué hacía allí, si era necesaria para algo o incluso si debía ser recogida; eso no es cosa mía.

Resumiendo. Durante tres años, o el departamento legal no sabía qué pasaba dentro de Google con el tema de los coches o miente, y el personal técnico o no sabía qué datos estaba recogiendo o miente. De las cuatro posibles combinaciones, quédense con la que quieran; no estoy seguro de que haya alguna mejor que las demás. Ahora piensen en toda la información a la que Google accede, y toda la que puede estar recogiendo intencionadamente o por “descuido”; en buenas manos estamos.

Existe una regla no escrita de la seguridad (como todas las demás) que dice que no se deben repetir contraseñas en diferentes sitios, servicios, cuentas de correo y demás. Es una de esas “normas” que nos gusta recordar de vez en cuando, y que hasta hace unos años era relativamente sencilla de cumplir.

Con poca memoria que tengan en esto de la informática, recordarán que hace menos de una década el número de claves que un usuario normal tenía que recordar se limitaba a una cuenta de correo o a lo sumo dos, y algún foro. Poco más; no hacía falta demasiada memoria para ello. Pero un buen día empezaron a surgir los foros, la web 2.0, y hoy en día cualquier persona que haga un uso habitual de Internet dispone de usuario en más de una docena de servicios y sitios diferentes: Facebook, Google, Hotmail, Tuenti, Delicious, Twitter, Ebay, Amazon, LinkedIn, Xing, WordPress, GoDaddy, Meetic, Menéame, Flickr, etc. Ahora súmenle dos o tres foros, páginas de descarga de contenidos digitales, páginas de venta online, y sitios a los que acabamos accediendo un puñado de veces pero para los que solemos crear una cuenta de usuario, y tenemos una veintena de cuentas diferentes, y bastantes más en el caso de personas que hagan un uso “intensivo” de la red.

Dicho de otra forma, actualmente el número de claves que debemos recordar excede la capacidad de memorización de la mayor parte de nosotros si queremos utilizar claves diferentes y cumplir esa otra norma que dice que éstas no deben ser deducidas unas de otras y tener unos requisitos mínimos de sintaxis, longitud y complejidad, por muchas reglas nemotécnicas que utilicemos. De caducidad de contraseñas ni hablamos, porque si cada uno de nosotros tuviese que ponerse a cambiar veinte claves cada dos o tres meses, iba a ser para volverse loco.

¿Qué provoca esta situación? Que el número de claves que los usuarios utilizamos sea limitado y se repita entre diferentes servicios, sin diferenciar a menudo ni siquiera entre sitios “seguros” (o relativamente seguros) y sitios “menos seguros”. Para colmo de males, a esto hay que añadirle la reticencia de la mayor parte de las personas (incluido un servidor) a variar las contraseñas “habituales” que lleva utilizando desde tiempos inmemoriales, o en todo caso a cambiar de nemotécnico, por dos razones básicas: el pánico a olvidar una clave (y no poder acceder al correo exactamente en el momento que lo “necesitamos”, y no cinco o diez minutos después, una vez la hemos recuperado) y el estrés que nos provoca tener que recordar nuevas contraseñas totalmente diferentes de las habituales y con las que todavía no estamos familiarizados (¿soy el único que retrasa hasta el último momento el cambio de la clave de acceso al correo corporativo cuando ésta caduca?).

Para empeorar aún más esta situación, la mayoría de usuarios acabamos tirando del recurso fácil que son los navegadores y la funcionalidad habitual de “recordar contraseña”, olvidando en la gran mayoría de casos que las claves se guardan en texto plano, y que cualquier persona con acceso al navegador dispone de acceso inmediato a nuestras cuentas de correo, foros, y servicios 2.0 de todo tipo. Si esto no fuese suficiente, para acabar de rematar la faena, DragonJar indica que es posible robar contraseñas del gestor de claves de Firefox por XSS.

Afortunadamente, poco a poco empiezan a surgir soluciones para este problema, aunque mucho me temo que actualmente son accesibles, como muchas otras funcionalidades “avanzadas”, a usuarios con determinada experiencia y soltura en el uso de Internet (o dicho de otra forma, no esperen que el usuario básico —de los que hay muchos millones— los utilice o siquiera los entienda). Aparte de los habituales KeePass o Password Gorilla, cuyo ámbito es mucho mayor que el de los servicios de Internet, en primer lugar tenemos (vía DragonJar) a LastPass, que parece prometedor aunque no he tenido ocasión de probar. Por otra parte, Mozilla está experimentando con un gestor de cuentas que está pensado para revolucionar el acceso a las webs, y que se encuentra aún en fase de prototipo.

No obstante, incluso con los gestores “seguros” de contraseñas como los que les comentaba hay un aspecto preocupante y bastante frecuente: aquellas webs o servicios que no te dejan introducir carácteres “extraños” en la contraseña (léase !, ?, #, $, %, &, /, (, ), o los propios signos de puntuación) o esas otras que te remiten la clave en texto plano cuando la “recuperas”, indicando que no utilizan cifrado para el almacenamiento de las claves de los usuarios (entre ellas, la web de ISACA). Esto puede provocar, debido a las malas prácticas que hemos indicado, que las cuentas de muchos usuarios en otros sitios web se vean comprometidas en caso de robo de información. Claro que uno puede asumir que con los sistemas que les comentaba, lo razonable es utilizar una cuenta diferente por servicio, pero ya saben que lo razonable no es siempre lo común.

Para ir acabando, entre todas las cuentas diferentes que un usuario puede manejar en Internet, a pesar de la (relativa) marginalidad cada vez mayor que va adquiriendo frente a las redes sociales y servicios más populares y colectivos y su inseguridad intrínseca, el correo electrónico sigue manteniendo una importancia crítica, al ser el repositorio virtual de recordatorios o cambios de clave de otros muchos servicios; procuren mantener su cuenta a salvo y no compartan la clave de acceso con foros y servicios 2.0 de escasa (o desconocida) reputación.

En definitiva, a pesar de que en la última década el funcionamiento de Internet ha avanzado de manera muy significativa, y su utilización se ha extendido a sectores de la población muy alejados de los ámbitos especializados y universitarios, los sistemas de autenticación siguen siendo los mismos de los comienzos: un usuario y una contraseña. ¿No es hora ya de que vayamos pensando en algo diferente y sobre todo, más seguro?

Esta, entre otras, es una eterna cuestión que rodea a los datos personales y que nos da más de un dolor de cabeza: ¿es la IP un dato de carácter personal? Pues bien, todo parece apuntar, según lo que les mostraré en esta entrada, que sí. Yo, si les digo la verdad, siempre he sido un poco reacio a considerarla como tal, al menos en algunos ámbitos. Veamos un par de definiciones del Reglamento de Desarrollo de la LOPD:

[Read more…]

(A raíz de una desconcertante experiencia de la que he sido espectador esta mañana cuando esperaba en la cola del cajero para ingresar dinero, me ha parecido oportuno recuperar esta entrada, que fue uno de los primeros posts de este blog allá por mayo del 2007, que sin duda muchos de ustedes no habrán leído y los demás seguramente la habrán olvidado)

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su “oficio” a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una “tienda” de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

No, no teman, no nos hemos convertido en un blog cinematográfico. Pero me pareció que esa escena es una buena forma de mostrar qué y cómo actúa a menudo la Ingeniería Social. Según Melissa Guenther, ésta puede definirse como «la adquisición de información sensible o accesos privilegiados por parte de terceros, a partir de la creación de falsas relaciones de confianza con personal interno de la organización», o en otras palabras, ¿porqué intentar forzar la puerta de atrás cuando pueden abrirte la principal desde dentro? Según esta autora, y para acabar, la ingeniería social se rige por los tres siguientes principios:

(1) El deseo de ser de ayuda,
(2) la tendencia a confiar en la gente, y
(3) el miedo a meterse en problemas (Le entiendo, pero si no me ayuda, voy a tener que dar parte a…).

No vamos a llegar hasta el punto de aconsejarles que, como suele decirse, no se fíen ni de su padre, ni es nuestra intención extender un estado de desconfianza entre las personas, pero por lo general, cuando se trate de temas de seguridad, desconfíen. Esa suele ser una buena política.

Hoy un cliente me preguntaba sobre posibles medidas a implantar para evitar la fuga de información corporativa, y me apuntaba a la utilización de DRM (Digital Rights Management) y DLP (Data Loss Prevention) para controlar el flujo de información, sobre lo que además tal y como me indicaba no hemos escrito nada en el blog. Me comprometo ya mismo a escribir sobre ello en las próximas semanas (si no pueden esperar hasta entonces, sobre DLP la gente de Websense tiene un PDF bastante detallado en este enlace), pero en cualquier caso, es pertinente comentar unos puntos básicos al respecto de estas tecnologías:

• Este tipo de soluciones suelen tener un coste de adquisición e implantación no despreciable, si se pretende obtener una buena efectividad.
• Además del coste económico implícito, el mantenimiento y gestión de estos sistemas y la información que generan requiere su tiempo, que puede ser significativo y que al final se traslada en un mayor coste.
• Estos sistemas no son infalibles 100%; aunque limitan mucho la gestión no autorizada de información, no son la panacea ni hay que olvidar el resto de medidas (que incluyo en la segunda parte de esta entrada).
• Finalmente, estos sistemas introducen restricciones al flujo de información que pueden generar un torrente de quejas entre el personal, que el Departamento de Informática debe estar listo para asumir y gestionar; dicho de otra forma, es bueno que la organización sea consciente de qué está implantando y que Dirección ofrezca todo su respaldo… para poder utilizarla de escudo en caso de apedreamiento público.

Teniendo estos puntos en cuenta, es lógico que algunas organizaciones decidan llevar a cabo la implantación de DRM/DLP, por las indudables ventajas que aportan al control de la información que fluye por la organización. No obstante, sin que sirva de comparación o contrapartida, dejando de lado sistemas específicos, mis recomendaciones (bastante más baratas, por otro lado) son las siguientes:

• Disponer de normativas internas que especifiquen las funciones y obligaciones del personal, y de contratos de confidencialidad firmados con los empleados, que garanticen un respaldo legal en caso de robo “evidente” de información (el problema es que a veces no tiene nada de evidente).
• Implantación de controles técnicos que eviten que una persona pueda acceder a recursos y documentación a la que no debería tener acceso.
• Seguir la regla del need-to-know, y que a cada usuario se le otorgue acceso exclusivamente a lo que necesita para su trabajo, y no más que eso.
• Definir niveles de confidencialidad que establezcan de manera incremental los controles necesarios para el acceso a los recursos.
• Por último, pero casi lo más importante, concienciar a los usuarios sobre el buen uso de la información corporativa; quizá compartir el identificador de usuario con “el nuevo” que acaba de llegar y todavía no tiene acceso no sea tan buena idea, después de todo.

Todas estas medidas forman parte de un SGSI implantado y bien gestionado, que añade muchas más. Una opción alternativa es establecer restricciones a aquellos medios que pueden ser utilizados para la extracción de información, como son el acceso a Internet, los puertos USB y las grabadoras de CD/DVD, pero es algo para lo que también hay que estar (muy) preparado.

En definitiva, mi opinión es que una solución DLP/DRM es útil cuando se ha alcanzado un buen nivel de madurez en la gestión de la seguridad de la organización; hacerlo antes implica muy probablemente una implantación ineficaz que no (a)traiga más que problemas. ¿Cuál es su opinión al respecto?

Hace unos días leía una interesante entrada de Alonso Hurtado sobre la disparidad de jurisdicciones en relación con las redes sociales, basada a su vez en una entrevista a Natalia Martos, directora del Área Jurídica y Privacidad de Tuenti.

En dicha entrada, Alonso hace una reflexión sobre la diferencia de obligaciones y requerimientos en materia de protección de datos que existe entre Facebook y Tuenti, al someterse a jurisdicciones diferentes, la estadounidense y la europea, siendo la primera mucho más laxa que la primera (y más si tenemos en cuenta que la LOPD es una de las leyes más restrictivas de la UE), y parece abogar por una relajación de las restricciones en materia de protección de datos para evitar la ventaja competitiva de empresas como Facebook frente a Tuenti. Al respecto, es cierto que Facebook y otras empresas extranjeras tienen una ventaja significativa frente al “producto nacional”, pero no creo que se limite a las organizaciones estadounidenses, sino a la práctica mayoría de empresas que operan en Internet con datos de carácter personal; la directiva 95/46/CE da el suficiente margen de libertad para que su aplicación entre unos estados y otros sea significativa, por lo que en la práctica, estamos en desventaja no sólo con los EEUU sino con prácticamente todo el globo terráqueo, dado que la aplicación española de la directiva tiene fama de ser la más (o una de las más) restrictiva de Europa.

El principal problema no es tanto que Estados Unidos tenga una regulación en materia de privacidad mucho más laxa que la de la UE, sino de que cuando esta última trata de lidiar con grandes multinacionales parece ignorar las exigencias que les hace a sus propios estados miembros, como se ha visto anteriormente con las “exigencias” a Google. Es cierto que una persona que decide crear una nueva aplicación o red social puede llegar a valorar el hecho de llevarse fuera de nuestras fronteras la empresa (no perdamos nunca de vista el hecho de que son siempre empresas) para evitar la estricta regulación nacional, pero al mismo tiempo, el usuario de ese sistema, red social o aplicación debería valorar ese hecho. Me resulta complicado explicar esto sin caer en radicalismos y sin duda estoy entrando en opiniones personales que no son el objeto de este blog, pero pienso que en todo esto rezuma una clara cuestión ética. No podemos anteponer los intereses económicos a la privacidad de las personas, si estamos de acuerdo en que la regulación europea incorpora mejoras y no se trata de simple e inútil burocracia; salvando las distancias, ese tipo de prácticas juegan en la misma liga que la deslocalización a empresas del tercer mundo donde los derechos de los trabajadores “están menos contemplados”, o la domiciliación de empresas en paraísos fiscales donde los requerimientos de transparencia son “menores”. La palabra es responsabilidad.

Entonces, la pregunta principal que deberíamos hacernos es si creemos que la regulación europea es necesaria y útil para la protección de datos de las personas. Mi opinión es que sí. Con indudables mejoras, que al parecer y como leo en el blog de Félix Haro ya se están estudiando (hace ya quince años de la directiva), pero sí. Rotundamente.

Acabo. Creo que el enfoque que debemos adoptar con respecto a esta “desventaja competitiva” es radicalmente opuesto al que expone Alonso (aunque no de manera tajante): no se trata de desregularizar, sino de aprovechar los controles que introduce la LOPD y su reglamento como una ventaja competitiva y no sólo en su aplicación en redes sociales sino también como experiencia aprendida en muchas otras áreas (la consultoría, sin ir más lejos). Somos uno de los países del mundo con mayores garantías en materia de protección de datos personales, por mucho que desde el sector nos quejemos de la poca implantación de la LOPD (algo que no deja por ello de ser cierto al menos para nuestros estándares). Deberíamos dejar de ver ese hecho como un obstáculo, y comenzar a potenciarlo como un sello propio de cara al usuario final; más allá del “Made in Spain“, el “Hosted in Spain“. Por supuesto, para que esto suponga realmente una ventaja, es necesario informar, concienciar y en cierto modo “educar” a éste (por paternalista que suene) en la importancia, relevancia y visibilidad de sus datos personales, algo para lo que quizá no esté (todavía) listo, pero después de todo, nadie dijo que fuese fácil.

Cuando comencé mi carrera profesional como técnico de Sistemas hace algo más de nueve años (hay que ver cómo pasa el tiempo), una de las primeras responsabilidades que me “cayó” encima en mi anterior empresa fue la gestión del sistema de monitorización de la infraestructura TIC propia y de clientes. La situación entonces era muy diferente de la actual. Nagios acababa de nacer a partir de NetSaint, y la madurez de este tipo de software distaba mucho de ser la actual; el sistema que utilizábamos (Big Brother) no era el colmo de la usabilidad, aunque su interfaz era extremadamente intuitivo. Los monitores eran bastante más rudimentarios que hoy en día, pero aun así, conseguíamos saber si las cosas funcionaban, por la cuenta que nos traía; teniendo en cuenta que por aquel entonces alojábamos la web de varios clientes importantes, una caída solía ser la antesala de problemas, así que si además no la detectábamos, imagínense. En definitiva, puede decirse que durante un buen puñado de años, tanto en aquella empresa como en la actual, mis andanzas como informático han estado ligadas entre otras cosas a gestionar sistemas de monitorización.

Aunque hoy en día aún es posible encontrar alguna empresa sin ningún sistema de monitorización TIC básico o uno que “ahí está” pero nadie mantiene ni “escucha”, las cosas han cambiado mucho. Ha habido una mejora significativa al menos en el primer paso: la detección de las incidencias. Ahora ya nadie se extraña de que sea necesario un sistema de monitorización TIC que al menos nos avise de cuándo el servidor de correo ha dejado de funcionar y así evitar los gritos de la alta dirección. Podría decirse que casi nos felicitamos por ello, como si eso fuese un gran logro. Vamos a dejar de lado aspectos de monitorización más complejos y todo el capítulo de gestión, tratamiento de las incidencias y análisis histórico; aunque debería ser inseparable de lo anterior, seguramente eso es demasiado.

No sé qué les parece a ustedes, pero a mí todo esto que les cuento me parece extremadamente básico y evidente. Quizá es que estoy demasiado acostumbrado a trabajar con estos sistemas, pero poder saber que el puerto 80 de un equipo tarda más de 5 segundos en contestar y eso es un problema no me parece nada extraordinario; al contrario, me parece de lo más ordinario. Es como hablar de las copias de seguridad. No cabe en mi cabeza que una empresa no tenga copias de seguridad; sería una temeridad, una imprudencia, una estupidez, una insensatez, un ejercicio de ignorancia y todas ellas juntas. Como decía aquel eslógan de la DGT hace unos años: las imprudencias se pagan, y cada vez más. Así que, resumiendo, desde que comencé a trabajar en esto de la informática, han pasado poco más de nueve años y ahora cualquier empresa con un mínimo de sentido común dispone de un sistema de monitorización TIC, mejor o peor gestionado, mejor o peor montado. Bravo por ellos. Applause.

Pasemos a temas más interesantes. Hace casi ocho años que Gartner acuñó el término BAM: Business Activity Monitoring (ya hemos hablado de esto en Security Art Work). Dicho en una frase y sin pretender total exactitud, se trata de monitorizar, analizar y gestionar indicadores propios del negocio basados en información en tiempo real. Cualquiera diría que parece lógico; de hecho, mucha parte del funcionamiento de las empresas de inversión financiera es precisamente ese. Saber que un sistema ha caído puede tener su gracia, pero saber cuándo el margen de una venta es inferior a un 5% sobre el precio de coste tiene mucho más sentido para el negocio y, francamente, es más interesante. Al fin y al cabo, la disponibilidad o capacidad remanente de un servidor o un router no deja de ser un indicador para el personal de Sistemas y Comunicaciones, pero que no tiene o no debería tener mucho más sentido fuera de ese ámbito. Sin duda, cualquier departamento puede identificar un puñado de indicadores que no sólo les resultarían extremadamente útiles en sus tareas diarias, sino que les ayudarían a detectar situaciones anómalas o que requieren su intervención; piénsenlo dos minutos. La idea detrás de BAM es saber qué pasa: sistematizar y automatizar el tratamiento de información en tiempo real asociada a los procesos corporativos que permitan a la organización tomar decisiones de manera más rápida y eficiente. ¿Saben aquello de que la información es poder? Pues eso, ni más ni menos.

No sé qué les parece todo esto. No sé si están de acuerdo conmigo o todo esto les parece un rollo macabeo. Como pueden imaginarse, a mí me parece de lo más coherente, y por eso me cuesta entender que a estas alturas, los sistemas de monitorización BAM no estén tan extendidos ni madurados como los TIC que les comentaba. Sin querer ser duro y pensar que se trata de simple falta de visión o miopía generalizada (les apuesto a que la mayoría de sistemas de monitorización TIC de la mayor parte de las empresas tienen menos tiempo del que nos creemos), la razón quizá sea la excesiva dependencia geek de muchas empresas, donde los sistemas/aplicaciones se conciben como mucho más que meros “sustentadores” de los procesos de negocio, quizá la escasez de recursos o simplemente la resistencia natural y poca “disponibilidad” del personal para aceptar este tipo de novedades. Claro que después de todo, nadie dijo que fuese fácil y como decía Jane Fonda, No pain, no gain.

La cuestión aquí, si me permiten ponerme algo trascendente, es que BAM es el principal camino —que conozco— a la mejora de la eficiencia de los procesos corporativos y de la productividad, algo que, a decir por los datos oficiales y si acudimos al discurso económico diario, no es algo de lo que vayamos sobrados en este país. Por eso, que sistemas BAM implantados sean hoy por hoy casi una rareza, es algo que me causa estupor. Y les prometo que no exagero un ápice.

Como ya hicimos el año pasado, aprovechando que hoy es el Día Europeo de la Protección de Datos y como “pasatiempo” entre la entrada de ayer sobre la cualificación de los auditores y la de mañana sobre RFID, me gustaría recordar a todos nuestros lectores lo siguiente:

1. Si usted es una persona, por perogrullada que parezca, recuerde que los datos de carácter personal son, como indica su propio nombre, de la persona. Es decir, sus datos son de usted y de nadie más.

2. Si “usted” es una empresa, recuerde que los datos que gestiona no son suyos, sino de las personas propietarias de éstos, que los han puesto bajo su responsabilidad. Sea coherente con el punto anterior y piense que sus datos también son gestionados por múltiples empresas.

Por hoy, nada más. Pasen una feliz tarde.

[Read more…]