A stolen ringbuoy, a stolen life

Queridos lectores, si el título de la presente entrada les ha llamado la atención, les pido que nos acompañen durante cinco minutos. Voy procurar resumir en pocas líneas una reflexión que gira en torno a la publicidad, seguridad y concienciación, que hice a raíz de leer ese lema.

Hoy en día estamos saturados por la cantidad de información que recibimos de todo tipo. Siendo conscientes de este hecho, los publicistas hacen uso de su creatividad para conseguir llamar nuestra atención a través de elaboradas campañas publicitarias. Aunque no seamos publicistas (es posible que algunos de nuestros lectores sí lo sean), creo que debemos tomar ejemplo a la hora de comunicar aspectos relativos a la seguridad.

En las últimas vacaciones vi un lema que me impactó tal y como lo hacen dichas campañas publicitarias. Sobre la frase “A stolen rinbuoy, a stolen life” que vendría a ser algo como “Un salvavidas robado, una vida robada”, se hallaba uno de los múltiples aros salvavidas que están a lo largo del río Corrib en su desembocadura en Galway (Irlanda).

[Read more…]

Pulgarcito y las migas digitales (II)

Hace unos días iniciábamos la serie Pulgarcito y las migas digitales abriendo un debate sobre la conveniencia de registrar / publicar en las redes sociales lo que hacemos en el día a día. Además comprobamos que es posible crear un reflejo fiel de lo que ha hecho una persona si juntamos las publicaciones que ha realizado en Twitter, Facebook, Instagram, etc. En esta ocasión vamos a centrarnos en los avances tecnológicos que facilitan captar y digitalizar una porción de nuestras vidas. Conociendo las funcionalidades de estos dispositivos, valoraremos hasta qué punto merece la pena sacrificar nuestra privacidad para disfrutar de sus servicios.

Tal y como indicamos en la entrada anterior, existe una relación estrecha entre las tendencias de la sociedad y los avances tecnológicos. En este sentido, creo que hay dos tendencias que convergen y que terminarán fusionándose. La primera de éstas consiste en usar las redes sociales como si fuera tu diario digital, dejando registrado todo lo que haces, esté o no dentro de tu rutina y, especialmente, si es fin de semana. Por otro lado, tenemos la tendencia del “Yo cuantificado” que inicialmente permanecía aislada de la red pero que poco a poco ha ido evolucionando gracias a las nuevas herramientas y soluciones en la nube. A continuación vamos a comentar algunos dispositivos cuyas funcionalidades respaldan y propician estas tendencias:

Memoto

Una minicámara para registrar tu vida. Este dispositivo cuyo tamaño es similar al de un iPod shuffle realiza fotos automáticamente cada medio minuto cuando lo llevas puesto en la solapa, colgado del cuello, etc. y se desactiva si lo guardas en un bolsillo o similares. Además de la cámara de 5Mp, Memoto incorpora un GPS para geolocalizar las fotos. Se estima que la batería tiene una duración aproximada de dos días y se carga al conectarlo al ordenador. Por otra parte, al conectar el dispositivo al PC las fotos pasan a los servidores “en la nube”. Está previsto que este gadget salga a la venta durante el verano del presente año así que es probable que lo veamos en breve por las calles.

He de admitir que al principio el planteamiento de los creadores me pareció interesante: “recuerda cada momento”, “conserva tus recuerdos”, “ten disponible información sobre lo que has hecho”, etc. Ahora bien, ¿qué precio hay que pagar para disfrutar de estas funcionalidades? Pues muy sencillo, tienes que llevar una cámara contigo el resto de tu vida.

Al margen de lo incómodo que resulta llevar un trasto más encima, creo que el verdadero inconveniente radica en el rechazo que puede provocar en la gente de tu entorno. Cada vez estamos más acostumbrados a que nos graben o que recopilen nuestros datos pero, en mi opinión, aún queda un gran salto hasta que nos familiaricemos con este tipo de dispositivos. ¿No creen? Pongamos algunos ejemplos: imaginen que van a pasar el día con unos amigos y uno de ellos dice: “Dadme un minuto. Voy a conectar las cámaras que luego se me olvida lo que hacemos…” Cualquiera de nosotros se sorprendería en esa situación y posiblemente se sintiera incómodo. Al respecto creo que es importante hacer una matización: el hecho de que no tenga nada que ocultar no significa que quiera que me graben. La situación se agrava si la grabación la realiza un desconocido en lugar de una persona de confianza.

Ya por último, incluso dejando a un lado los inconvenientes descritos y otras limitaciones legales, habría que plantearse si realmente necesitamos un registro tan detallado de nuestras vidas. Pensemos en lo “interesantes” (nótese la ironía) que serían las 360 fotos que Memoto tomaría de mi escritorio entre las 9:00 y las 12:00 de un día de trabajo cualquiera.

Fitbit, Jawbone Up, Fuelband,…

En lo que respecta a los dispositivos para el registro de datos asociados al “Yo cuantificado”, podemos decir que inicialmente se trataba de un producto dirigido a los deportistas. Sin embargo, estos dispositivos han ido ampliando el abanico de funcionalidades y ahora permiten registrar otras cuestiones como el tiempo que dedicas al trabajo, estudio, las horas de sueño, hobbies, controlar la alimentación, etc. lo que ha propiciado un incremento en el número de usuarios. Tal y como indicábamos, las aplicaciones para consultar nuestras marcas personales, fijar nuevos objetivos, etc. están evolucionando y en muchas ocasiones ya se encuentran “integradas” con las redes sociales. Casi con total seguridad hayáis visto en Facebook información acerca de rutas en bicicleta, senderismo o los tiempos de quien se está preparando para hacer una media maratón.

Personalmente creo que estos dispositivos pueden hacer que estemos más motivados a la hora de hacer alguna actividad determinada. En cierto modo, ejercen de “entrenador personal” y esto puede ser positivo para nosotros. Sin embargo, creo que se debe ser especialmente cauto a la hora de publicar información sensible, es decir, datos relacionados con la salud. No se que pensarán ustedes pero no me parece oportuno publicar los resultados de un “holter” (por buenos que sean).

Google Glass

Aunque aún no ha salido a la venta, podemos intuir que el nuevo invento de Google va a traer una verdadera “revolución”. Estas gadget-gafas (Google Glass) disponen de una cámara frontal que te permite hacer fotos y grabar vídeo. Adicionalmente es posible visualizar información de todo tipo (GPS, traductor, recordatorios, etc.) en el panel de cristal adherido a la montura. La interacción con el dispositivo de realiza principalmente a través de comandos de voz pero también hay otros modos de dar órdenes como por ejemplo, capturar una imagen si se pestañea repetidamente. Como era de esperar, se ha levantado una gran polémica en torno a los potenciales problemas de privacidad derivados del uso de este dispositivo. En este sentido, hay quien se opone expresamente al uso de estas gafas. Un popular bar de Seattle fue el primero en prohibirlo. Dieron el primer paso y posteriormente otros locales los han seguido. Por si fuera poco, aunque sólo se trate de un dato anecdótico, el propio Google ha prohibido el uso de Google Glass en las reuniones de accionistas.

No vamos a negar que algunas soluciones de Google nos hacen la vida más fácil (Gmail, Google calendar, Google maps, Google navigator , etc.) y tras ver el vídeo promocional de las Google glass, sólo puedo decir que “este invento promete”. Ahora bien, es previsible que este dispositivo recabe más información de la que nos gustaría (digo esto pensando en cosas como el tracking de Google latitude que veíamos en la entrada anterior).

Lo expuesto hasta el momento nos permite hacernos una idea de lo que nos ofrecerá el mercado a corto y medio plazo. Si bien las capacidades y funciones de estos dispositivos son cada vez más innovadoras, creo que las “buenas prácticas” y recomendaciones en relación al uso de los mismos no han variado en absoluto. Probablemente el sentido común sea la clave para poder disfrutar de estos avances tecnológicos sin fulminar nuestra privacidad. Por ejemplo, no me parece viable llevar un Memoto colgado todo el día del cuello, en cambio, me parece interesante “sacarlo a pasear” cuando visite un parque natural o salga con la bici de montaña. Tampoco tengo previsto monitorizar mis constantes vitales y hacerlas públicas en LinkedIn, pero el día que me prepare para alguna prueba de triatlón, seguramente lo haga con el apoyo de un Fit_lo_que_sea, etc.

Tal y como comentaba recientemente nuestro compañero Manuel Benet, en muchos casos hemos sacrificado voluntariamente parte de nuestra privacidad. Pero pienso que siguen habiendo límites que podemos decidir no superar.

En última instancia, y volviendo al símil de pulgarcito, no hay que olvidar que corresponde a cada uno de nosotros decidir cómo será nuestro rastro de migas digitales.

Un saludo.
[Sobre Samuel Segarra]

Pulgarcito y las migas digitales

Cada vez es más frecuente registrar y publicar en las redes sociales lo que uno hace en su día a día, llegando a unos niveles que, desde mi punto de vista, son a la par ridículos e innecesarios. Es una tendencia en auge y siendo cauto no diré “de este agua no beberé” pero, todo sea dicho, hasta el momento no me ha supuesto ningún esfuerzo mantenerme al margen.

Con este artículo iniciamos una serie de entradas para comentar cuestiones relacionadas directa o indirectamente con el registro que dejamos en la red sobre nuestras vidas. Concretamente, dedicaremos esta primera entrada a presentar el tema y abrir un debate sobre lo oportuno / conveniente de estas prácticas.

Podemos pensar que existe una relación directa entre los avances tecnológicos y los hábitos de comportamiento que adopta la sociedad. En el caso particular que nos ocupa (el registro y publicación de nuestras vidas en la red), la evolución de las redes sociales así como la evolución de los dispositivos móviles han sido los factores clave. Cada vez es más sencillo, cómodo y fácil compartir tu vida a través de la red.

[Read more…]

ITIL Compliance (II): un caso práctico

Hace unas semanas iniciamos la serie ITIL Compliance haciendo un breve resumen sobre el ITIL Software Scheme. Una vez expuestos los principios de dicho esquema de evaluación, vamos a analizar el tema desde un punto de vista práctico tratando de sacar el máximo partido a los recursos que nos ofrece el ISS. Para ello, presentamos un caso de estudio en el que una organización se verá en la tesitura de seleccionar una herramienta ITIL Compliant.

Acto 1. Introducción

La empresa NNtec S.A. es una empresa de origen familiar bien posicionada en el ámbito nacional. Actualmente cuenta con setenta empleados. El Departamento de Sistemas de Información depende jerárquicamente del departamento Financiero y está compuesto por seis personas. Paul Escrich es el jefe del departamento SI y cuenta con un equipo formado por tres técnicos de sistemas, un desarrollador y un becario que se incorporó hará un par de meses. Su principal competidor ha perdido mucha cuota de mercado y esto ha permitido a NNtec crecer a un ritmo que ni ellos mismos esperaban. Máxime teniendo en cuenta “la que está cayendo”. Este crecimiento unido a una serie de imprevistos, han provocado una situación caótica en el Departamento de Sistemas de Información.

Escrich ha comunicado a la Dirección que se encuentran desbordados. En varias ocasiones ha solicitado incorporar un nuevo miembro a su departamento pero la Dirección ha rechazado la propuesta porque consideran que el departamento SI ya dispone de recursos suficientes. Dada esta situación, Paul, siguiendo las recomendaciones de un antiguo compañero, ha decidido iniciar un proyecto para mejorar la organización interna del departamento. Concretamente, se plantea definir e implantar algunos procesos siguiendo la guía de buenas prácticas ITIL. Cabe señalar que no es la primera vez que Paul se plantea abordar un proyecto de este estilo pero otros asuntos más “urgentes” les han impedido coger el toro por los cuernos.

[Read more…]

ITIL Compliance (I): Introducción a ITIL Software Scheme

En la actualidad, no existe un marco de referencia ni un proceso de certificación que permita, a una organización, obtener un certificado que acredite el cumplimiento de ITIL. Sin embargo, la Oficina de Comercio Gubernamental (Office of Government Commerce) ha desarrollado un esquema de referencia con el que evaluar si una herramienta es adecuada para prestar soporte a los procesos ITIL. Este esquema de referencia, conocido como ISS (ITIL Software Scheme), establece los requisitos mínimos y obligatorios que los “Evaluadores de Software” (Licensed Software Assessors), deben considerar en el proceso de evaluación de las herramientas software.

En la presente entrada conoceremos con mayor detalle el ISS y trataremos cuestiones relacionadas con las herramientas “ITIL Compliant”. Dicho esto, y antes de entrar en materia, me gustaría hacer unas aclaraciones:

En primer lugar, cabe señalar que ITIL es una guía de buenas prácticas y no un estándar. Por este motivo, resulta más conveniente hablar de “compatibilidad” que de “cumplimiento” o “conformidad”. Por lo tanto, cuando veamos una herramienta “ITIL Compliant” debemos interpretar que es compatible con las recomendaciones descritas en la guía de buenas prácticas ITIL. Dicho de otro modo, esta etiqueta (ITIL Compliant) indica que la herramienta es adecuada para dar soporte (simplificar, automatizar, agilizar,…) los procesos ITIL. Por otra parte, aprovecho para hacer una pequeña matización sobre los términos “ITIL Compliant” e “ITIL Compliance”. Al respecto, sólo recordar que cuando nos referimos a las características o propiedades de una herramienta, el término adecuado es “ITIL Compliant”, ya que es el adjetivo asociado al término “compliance”. Es decir, no es correcto, lingüísticamente hablando, hablar de que el Producto_XYZ es “ITIL Compliance”. Lo adecuado es indicar que dicho producto es “ITIL Compliant”.

Hecha esta pequeña aclaración, vamos a analizar cuestiones relativas al ISS.

ITIL Software Scheme. ¿Qué es?

Tal y como indicábamos en la introducción, el ISS (ITIL Software Scheme) es un marco de referencia para evaluar si una herramienta software es adecuada para dar soporte a los procesos ITIL. Este marco de referencia ha sido desarrollado por la Oficina de Comercio Gubernamental (Office of Government Commerce) y está disponible desde finales del año 2009. Sin embargo, los requisitos mínimos que debe cumplir una herramienta para ser considerara “ITIL Compliant” se publicaron en septiembre del año 2010. Estos requisitos reciben el nombre de “ITIL Software Scheme Mandatory Assessment Criteria” y están disponibles gratuitamente en ITIL official site.

El proceso de certificación

Para certificar un producto (herramienta software), la empresa debe superar un proceso de evaluación por parte de un tercero. En este proceso no participa directamente APMG sino que se realiza en colaboración con una entidad evaluadora (Licensed Software Assessors). Actualmente, las empresas evaluadoras capaces de otorgar esta certificación son Glenfis y Pink Elephant.

No hay que confundir la certificación ITIL Compliant con la antigua certificación “Pink Elephant”. Antes de que la OGC creara el ISS, la empresa Pink Elephant desarrolló un esquema similar para certificar herramientas software. Esta certificación ha sido durante años uno de los estándares de facto más extendidos. Sin embargo, no contaba con el apoyo de la OGC, siendo éstos los propietarios de la marca registrada ITIL. En la actualidad, Pink Elephant ha adoptado los criterios del ISS y los ha ampliado con otros requisitos propios.

Otra de las particularidades de este proceso de certificación es el alcance del certificado. En este sentido, la empresa desarrolladora del software elige qué procesos desea someter a evaluación. Por lo tanto, no es necesario demostrar que el producto es capaz de soportar todos los procesos ITIL. Por ejemplo, se puede obtener un certificado que acredite que la herramienta soporta únicamente los procesos Gestión de incidencias y Gestión de la configuración. Ni que decir tiene que este será un punto clave a la hora de seleccionar/comparar herramientas pero de esto hablaremos en la próxima entrada.

Niveles en la certificación

Superar la evaluación permite a la organización hacer uso del logo “ITIL Compliant”. En este sentido, es importante destacar que existen tres niveles en la certificación: oro, plata y bronce. Los respectivos logos así como los requisitos necesarios para obtener cada uno de ellos se describen a continuación:

Analizando los requisitos de los distintos niveles, vemos que para alcanzar el bronce “sólo” es necesario superar el examen. Es decir, demostrar sobre el papel que la herramienta cubre los requisitos del “ITIL Software Scheme Mandatory Assessment Criteria”. En cambio, para alcanzar el nivel plata u oro al menos se debe disponer de casos de éxito. En última instancia, la diferencia entre plata y oro es sutil pero importante. En este caso, se tiene en consideración la satisfacción del cliente. Algo esencial que hemos tratado en más de una ocasión (El valor de los servicios).

Al respecto, ITP realizó un estudio sobre la satisfacción de los usuarios finales. Las conclusiones resultan chocantes ya que según aparece publicado en best management practice únicamente el 20% de los usuarios finales están satisfechos con la herramienta “ITIL Compliant” que usan.

Por último y a modo de cierre, sólo indicar que actualmente este tipo de certificaciones no ha tenido una gran acogida pero su expansión va en aumento. Por otra parte, hay que tener en cuenta que se trata de una certificación relativamente joven y que el éxito de este tipo de certificaciones está fuertemente condicionado por el valor que le da el cliente final. Cliente que, en muchas ocasiones, somos nosotros mismos.

Referencias y enlaces de interés:

ITIL Software Scheme Mandatory Assessment Criteria.
Licensed Software Assessor (I). Pink Elephant.
Licensed Software Assessor (II). Glenfis.

[Sobre Samuel Segarra]

Del cotilleo al ciberacoso

La burla hacia el “rarito” ha ocurrido siempre, especialmente en el entorno escolar. En general todos hemos estado involucrados en algún caso, ya bien sea defendiendo al agredido, haciendo la vista gorda o apoyando al atacante, incluso, probablemente, también podamos recordar alguna ocasión en la que fuéramos víctima o agresor. ¿Alguien se escandaliza? No lo creo. Estos comportamientos entraban dentro de las “cosas de la escuela”, todos lo hemos vivido. No pretendo quitarle miga al asunto, de hecho, recuerdo algún caso en el que hubo cierto ensañamiento con los más débiles, pasando de castaño a oscuro, pero que se resolvió con la actuación del profesorado. Sin embargo, la burla 2.0 ya no es una broma sino más bien un tema realmente preocupante sobre el que tenemos que actuar. El acoso ha sido (y sigue siendo) un conflicto difícil de tratar. Actualmente, la presencia de las nuevas tecnologías agrava la situación ya que la víctima tiene dificultades para encontrar refugio, y el acosador tiene a su disposición múltiples canales para agredir desde el anonimato.

Los casos de ciberacoso son cada vez más frecuentes y alarmantes, y tienen un factor común, se producen principalmente a través de las redes sociales. Sin ir más lejos, en la recta final del pasado año fuimos testigos de varios casos que llevaron a los afectados al suicidio.

Al respecto, existe una tendencia en expansión relacionada con el cotilleo que es igualmente preocupante. Están proliferando las aplicaciones de microblogging específicas para difundir anécdotas, noticias y, sobre todo, rumores. Estas aplicaciones incluidas en el grupo “Gossip” (término en inglés que significa chismorreo) están generando problemas en los centros educativos. Esta situación ha llevado a las escuelas, institutos, universidades y organismos de gobierno a tomar cartas en el asunto y aplicar protocolos de actuación para frenar el aluvión de insultos y humillaciones hacia profesores y alumnos. De entre todos los casos, cabe destacar la difusión que ha tenido el “Informer” de la Universidad Autónoma de Barcelona (UAB) que ya cuenta con casi 13.000 seguidores.

¿Qué hacer al respecto?

Nuevamente nos encontramos en una situación en la que la herramienta en sí no es el problema. El problema se deriva del uso de la misma (del mal uso en este caso). Para combatir esta situación, tal y como sucede con el acoso infantil tradicional, la información y la educación son las herramientas más efectivas. En ello coinciden educadores, psicólogos y otros expertos en la materia. Partiendo de esta idea y, tomando como referencia los comentarios de Elizabeth Englander, directora del Centro para la Reducción de las Agresiones de Massachusetts, en el Bridgewater State College, citamos a continuación una serie de recomendaciones a considerar para hacer frente al ciberacoso infantil.

Medidas preventivas: información. Hablar con los menores para ver qué conocen acerca del acoso o del ciberacoso y, en caso de desconocimiento, informarles haciéndoles ver que no es algo ajeno y que en algún momento pueden verse afectados. Asimismo, es igualmente importante enseñarles cómo actuar para hacer frente a un caso real. En este sentido, comunicarlo a los padres / tutores debe ser una de las primeras acciones a ejecutar.

¿Cuándo? ¿Cuándo otorgar acceso a las redes sociales? ¿Cuándo regalar un teléfono móvil?… No hay una respuesta para estas preguntas. En la mayor parte de las ocasiones los padres entregan teléfonos móviles a sus hijos como una medida de seguridad. En este sentido argumentan: “así, si necesita algo, nos puede llamar”. Sin entrar en valoraciones sobre si esto es o no positivo (de hecho, yo tuve mi primer teléfono con este pretexto), es importante trasladar al niño que el teléfono no es un capricho, juego y mucho menos, un derecho, sino una herramienta que se debe usar con responsabilidad. Por otra parte, no permitir que los menores tengan acceso a las redes sociales hasta que cumplan con los requisitos de edad ayudará a inculcar que en “internet” también hay normas que se deben cumplir. Por ejemplo, al revisar las condiciones de uso de Facebook encontramos, en el apartado 4. Seguridad de la cuenta y registro una cláusula indicando “No utilizarás Facebook si eres menor de 13 años”.

Lo virtual puede ser real. El anonimato que nos ofrece Internet puede crearnos una percepción errónea sobre las consecuencias de nuestras acciones. En general, tendemos a creer que las acciones en Internet no son tan dañinas como las que haríamos cara a cara. Por lo tanto, es importante mostrar la equivalencia de las acciones realizadas en las redes sociales y el mundo real. Por ejemplo, si tratamos con menores (alumnos, hijos, sobrinos, etc.) debemos hacerles ver que una burla a través de un sms sigue siendo una burla y que va a molestar tanto como si se produjera en el aula, patio, etc.

Por otra parte, cabe señalar que no todas las medidas para hacer frente al ciberacoso están dirigidas a los menores. En relación a los adultos, es fundamental mantener una mentalidad abierta para analizar las situaciones problemáticas de nuestro entorno. Para los padres resulta difícil asumir que su hijo puede ser quien está llevando a cabo una práctica cruel. Sin embargo, dejar abierta esta posibilidad permite abordar la situación considerando todas las opciones. Con esta actitud, muchos de los conflictos se podrán atajar antes que se nos vayan de las manos.

Sabemos que las redes sociales son tan atractivas para los menores como lo son para nosotros. Además, si a eso le añadimos poder cotillear sobre los asuntos de la clase, obtenemos un cóctel con todos los ingredientes necesarios para ser el éxito del momento entre los menores. No hay más que ver la difusión de las aplicaciones de microbblogin que hemos citado. En mi opinión, no va a resultar sencillo evitar un mal uso de las redes sociales, pero conocer los riesgos de éstas y actuar en consecuencia, contribuirá a que el cotilleo no termine convirtiéndose en ciberacoso.

Referencias y enlaces de interés:

[Sobre Samuel Segarra]

Reputación online, un valor en alza

¿Cuánto vale nuestra reputación? Para dar respuesta a esta cuestión (nada sencilla salvo que la repuesta vaya a ser “mucho”) tenemos que considerar la relación entre reputación y éxito. Y cuando digo “éxito” me refiero a alcanzar o no nuestros objetivos, tanto personales como profesionales. En determinados colectivos, la reputación es un elemento fundamental para su éxito o declive. Podríamos incluir en ese grupo personas con cargo público como alcaldes, concejales, ministros, etc. Pero también afecta directamente a profesionales del sector privado como actores, cantantes, diseñadores y un largo etcétera.

En la presente entrada hablaremos sobre las particularidades de la reputación online y expondremos algunos ejemplos que demuestran la importancia de ésta. Empecemos pues, definiendo lo que es la reputación online. Aunque se le puede dar muchas vueltas a este concepto, nos quedaremos con la definición más sencilla (cortesía de Wikipedia): La reputación online es el reflejo del prestigio o estima de una persona o marca en Internet.

Por todos es sabido que conseguir y mantener una buena reputación requiere mucho esfuerzo, constancia, dedicación y tiempo. Por el contrario, la “mala fama” puede llegar en el momento más inesperado ya bien sea de la mano de un escándalo, error o un simple malentendido. Lo mismo ocurre con la “reputación online” pero con la particularidad de que las tecnologías de la información acentúan la repercusión que tienen nuestras acciones. Si son buenas, existen los medios para publicitarlas, difundirlas y sacar el máximo partido a nuestro esfuerzo. Sin embargo, nuestros patinazos también serán más sonados. Por lo tanto, podríamos decir que la reputación online es más “frágil” que lo que hasta el momento era la reputación en general. Ni decir tiene que ambos conceptos (reputación y reputación online) guardan una estrecha relación.

[Read more…]

La moneda electrónica (III): BitCoin

(Esta entrada ha sido escrita conjuntamente con Joel Sevilleja)

En las entradas anteriores de la serie La moneda electrónica (Introducción, Soluciones actuales) hemos analizado las ventajas e inconvenientes del dinero electrónico, las alternativas de pago que podemos encontrar en el mercado y algunas de las propuestas que “los grandes” (Google, Verizon, T-mobile, etc.) nos ofrecen. Sin embargo, tal y como indicó uno de nuestros lectores, se echaba a faltar la moneda digital de moda. En la presente entrada ésta es la protagonista.

¿Qué es Bitcoin?

Bitcoin es una de las monedas electrónicas más populares del momento. Una diferencia fundamental respecto a la mayor parte de las divisas nacionales (euro, dólar, etc.) consiste en que, en lugar de ser dinero fiduciario (dinero cuyo valor real es mucho mayor que su coste de producción y que es emitido por los bancos centrales mediante la creación de deuda), se trata de un sistema basado en la “prueba de trabajo” que recompensa el esfuerzo de encontrar la solución a problemas criptográficos.

La creación de los bitcoins se realiza a través de un proceso que se denomina “minado”. En la red del sistema Bitcoin, existen unos nodos generadores que compiten para ser el primero en encontrar la solución de un problema criptográfico. Cuando un nodo encuentra una solución válida, la comunica al resto de los nodos de la red. El resto de “mineros” comprueban que la solución obtenida es válida y, en caso positivo, detienen la búsqueda de la solución. Por otra parte, se recompensa al minero que primero encontró la solución con bitcoins. La recompensa depende de la situación siendo 50 BTC el valor máximo. Para que nos hagamos una idea de qué valor tiene este “premio”, en agosto de 2012, 1 BTC equivalía a 8 €.

[Read more…]

La moneda electrónica (I)

Tras el siempre breve descanso vacacional retomamos hoy lunes la actividad del blog y lo hacemos con la primera entrada de una serie sobre la moneda electrónica, que tiene, como podrán imaginar, una indudable relación con la seguridad. Esperamos que les parezca interesante y que nos acompañen en esta «nueva temporada» del blog, ya sea como lectores, comentaristas, o incluso colaboradores ya sea esporádicos o habituales.

El dinero es una de las abstracciones más importantes que las personas han creado y cuyos beneficios han favorecido el desarrollo del comercio y de la sociedad en sí. Actualmente cuesta imaginarse una sociedad en la que las transacciones comerciales consistan en el trueque más que en el pago con algún tipo de moneda. Sin embargo, los avances tecnológicos, la creación de nuevas monedas y la proliferación de formas de pago alternativas están introduciendo importantes cambios en el comercio hasta el punto de que, en determinados establecimientos, no se admite el pago en efectivo.

Con la entrada de hoy queremos iniciar una serie de artículos relacionados con el dinero en los que hablaremos sobre las nuevas alternativas de pago existentes fruto de los avances tecnológicos y de las nuevas “formas de dinero” como son, por ejemplo, Google Bucks, Bitcoin, etc. Sin embargo, antes de abordar estas cuestiones, en esta primera entrada trataremos unas cuestiones que quizás nunca antes nos hayamos planteado: ¿cuánto cuesta el dinero? y ¿desaparecerá el dinero en metálico?

Son muchos los que opinan que el dinero en metálico terminará desapareciendo y que en un futuro “próximo”, todas las transacciones se realizarán electrónicamente. Ahora bien, al hablar de un futuro “próximo”, ¿estamos hablando que el dinero en metálico desaparecerá dentro de cinco, diez o quince años? Por otra parte, también podemos considerar la opción opuesta y pensar que ninguna otra forma de pago va a desbancar al pago en efectivo.

Según comenta Glenn Zorpette [1] existen principalmente dos motivos por los que el dinero en metálico se sigue utilizando. En primer lugar, la transacción en metálico es algo muy arraigado en la sociedad, especialmente en las personas de la tercera edad. Por el contrario, las nuevas generaciones están más familiarizadas con el pago electrónico, uso de tarjetas de crédito, las compras online, etc. Por lo tanto, podemos pensar que el relevo generacional propiciará la desaparición del dinero en efectivo.

El segundo motivo tiene que ver con que existen grupos a los que les interesa que exista el dinero en metálico por les permite realizar transacciones sin declarar. Es decir, les interesa seguir comerciando en “negro”. Estos intereses conforman una barrera mucho más difícil de salvar y para la que no existe una solución directa.

Indudablemente a estos dos motivos habría que añadir un tercero, la disponibilidad (o no disponibilidad en este caso) de sistemas para poder realizar el pago electrónicamente. Por ejemplo, hoy por hoy, no resulta factible pagar en la panadería con tarjeta si únicamente vamos a comprar una barra de cuarto (o al menos no en todas). Podemos pensar que no es conveniente pagar una cantidad pequeña (60 céntimos) con tarjeta porque los costes asociados al pago electrónico son demasiado altos para que la venta sea rentable. Ahora bien, ¿nos hemos parado a pensar en los costes asociados al dinero en efectivo? Es algo que quizás nunca nos hayamos planteado y nos sorprenderá descubrir que los costes de mantenimiento del sistema de pago en efectivo son tan altos como los asociados al pago electrónico.

Sobre esta cuestión, Mark Anderson [2] autor del artículo The high cost of money, compara diversos estudios realizados en el periodo 1995-2010 por Brinks, Food Marketing Institute, Coopers & Librand y el banco de Canadá, entre otras organizaciones, en relación a los costes del dinero. A continuación exponemos de forma muy resumida dos de los casos que contrasta:

  • Costes asociados al sistema de pago con dinero en efectivo: Los negocios que tratan dinero en efectivo (que son la mayoría) tienen unos gastos fijos en cajas registradoras, cajas fuertes, servicios de seguridad y transporte del dinero, etc. Los gastos se sitúan entre el 0.5% y el 3% del pago total. Si bien es cierto que estamos hablando de un rango bastante amplio, en general estos gastos se situarán entre el 0.5% y el 1%.
  • Costes asociados al sistema de pago electrónico con tarjetas: Tanto si se trata de una tarjeta de crédito como si es de débito, el coste asociado a este tipo de pago oscila entre el 1.5% y el 2.5%. En su mayor medida, los costes se deben a las tasas bancarias. Este tipo de pagos ve su coste reducido si en lugar de requerir la firma para autorizar la compra se hace uso del sistema PIN. El estudio fue realizado en 2010 y la mejora era sustancial ya que los costes se reducían más de la mitad, es decir, se situaban entre el 0.5% y un 1%.

Si bien es cierto que en los datos indicados no se aprecia una ventaja notable en el uso del dinero electrónico respecto al dinero en metálico, tal y como comenta David G.W Birch [3], estudios recientes indican que en la actualidad, el mantenimiento del sistema para poder realizar pagos con dinero en efectivo tiene unos costes indirectos que doblan los asociados al pago mediante tarjeta de crédito.

Nuevamente, la evolución de la tecnología ha sido un factor determinante para poder reducir los costes del dinero electrónico. Esta evolución también ha propiciado que existan nuevas alternativas de pago y, como una pescadilla que se muerde la cola, disponer de un abanico más amplio de opciones ha forzado a los implicados (fabricantes de dispositivos, operadores, sector bancario, etc.) a ajustar los precios haciendo estas opciones menos costosas.

De entre todas las alternativas, el pago a través del teléfono móvil es la que más se está extendiendo. En Japón y Korea se empezó a usar hace diez años y actualmente uno de cada seis usuarios de un dispositivo móvil lo usa para pagar sus compras. Más sorprendente resulta el caso de Kenia donde el modelo de pago con teléfono móvil es el más extendido del mundo (cuenta ya con más de 15 millones de usuarios). Esta forma de pago (M-Pesa), ha tenido tal aceptación que ya se está extendiendo a otros países como Tanzania o Uganda. En lo que respecta a Europa y EEUU, Google Wallet e Isis Mobile Wallet son las dos alternativas enfrentadas, de las que hablaremos en próximas entradas.

Para terminar me gustaría compartir que no creo que el dinero en metálico vaya a desaparecer a corto plazo; en mi opinión, al margen de los costes asociados al pago en efectivo, el factor diferencial que haga desmarcar el pago electrónico radicará en las ventajas que éste aporte en términos de simplicidad, usabilidad y seguridad. Tal y como ocurre en otras muchas ocasiones, la aceptación por parte del usuario es y será un factor determinante.

Referencias

[1] The beginning of the end of cash. Por Glenn Zorpette.
[2] The high cost of money. Por Mark Anderson.
[3] Let a thousand currencies bloom. Por David G.W Birch.

[Sobre el autor]

Ocultos en la nube

Por norma general, las empresas disponen de un catálogo dónde se describen los servicios que ofrecen a sus clientes. Sin embargo, no siempre se dispone de un catálogo de servicios interno que detalle los servicios que cada departamento / área presta al resto de la organización. Definir y documentar este segundo catálogo aporta múltiples ventajas que facilitan la gestión de dichos servicios.

Si tratamos de acotar el catalogo de servicios que ofrece el Área de Sistemas de Información (o Departamento de Informática, según cómo se quiera nombrar) veremos que es mucho más amplio de lo que en principio cabría esperar. Resulta complicado documentar este catálogo y también lo es mantenerlo actualizado.

Supongamos que el catálogo de servicios “estándar” incluye: correo electrónico, unidad de almacenamiento en red, acceso a internet, herramientas ofimáticas, ERP corporativo, acceso a la intranet, antivirus, etc. Estos servicios están “bajo el control” del área SI pero debido a la proliferación de los servicios en la nube, es posible que algunas áreas de la organización haga uso de servicios TI sin que el área SI esté al corriente. Este escenario se puede dar con mayor frecuencia de la que pensamos: imaginemos por ejemplo que el área de Marketing decide hacer uso de un servicio de almacenamiento en la nube para el intercambio de documentación relacionada con las funciones del área. Es posible que para hacer uso de este servicio no se requiera instalar ninguna aplicación cliente en la estación de trabajo o que algunos miembros de dicha área hayan instalado dicha aplicación en su dispositivo móvil personal. Al área de SI le resultará complicado detectar este tipo de servicios ocultos en la nube. De hecho, seguramente no conozcan de la existencia de dicho servicio hasta que un empleado del área Marketing reporte una incidencia indicando que ha perdido los folletos con las promociones de la campaña navideña que había dejado en el repositorio nombre_desconocido_por_el_área_TI.

Hacer uso de servicios cloud sin el conocimiento del área SI puede suponer un importante riesgo para la organización. Ésta es una de las cuestiones tratadas en el artículo Technology is not enough: Taking a holistic view for information assurance (Guy Bunker – CTO ExcecIA LLP, United Kindom) publicado en la revista Information Security Technical Report. Además, el artículo incluye una serie de consideraciones a tener en cuenta si se decide hacer uso de servicios en la nube. Aunque se trata de unas recomendaciones de carácter general, creo que pueden resultar interesantes. Aprovecho para desarrollarlas en lo que resta de entrada.

Punto 1: Formación y concienciación

Es posible que la Dirección haya aprobado una nueva la política permitiendo el uso de servicios en la nube, pero esto no significa que se pueda hacer un uso indiscriminado de este tipo de servicios. Es importante trasladar a los usuarios las implicaciones derivadas de la nueva política y sobretodo se deben comunicar cuáles son los procedimientos a seguir para solicitar acceso a estos servicios.

Punto 2: Establecer procesos para la adopción rápida y segura de servicios en la nube

El área de sistemas de información debe definir e implantar un proceso formal que agilice la adopción de servicios en la nube. Las unidades de negocio que optan a este tipo de servicios necesitan poder hacer uso de los mismos “ya” (no dentro de cuatro meses). Es importante sistematizar la evaluación de riesgos para que el área TI pueda dar una respuesta rápida a las demandas / necesidades del resto de áreas de la organización. En la medida en la que se logre dar una respuesta eficiente, se evitará que el resto de áreas busquen “atajos” o vías alternativas para saltar las restricciones de seguridad marcadas por el área SI.

Punto 3: Proveedores homologados y servicios susceptibles de ser llevados a la nube

Puede resultar conveniente mantener una relación de proveedores de confianza así como una lista de los servicios que, en un momento determinado, podrían ser provistos desde la nube. En relación a los proveedores, los criterios para confeccionar la lista pueden ser muy amplios, por ejemplo, considerar las certificaciones en materia de seguridad que disponga el proveedor, estudiar el “tipo” de cloud (ej: equipos ubicados en territorio nacional o en territorio europeo), etc. En lo que respecta a la lista de servicios, se deben considerar tanto los requisitos legales como otros criterios de negocio. Por ejemplo, no se externalizarán los servicios que traten datos de carácter personal a proveedores si su cloud se encuentra ubicado en países cuya legislación no sea equiparable a la de la Unión Europea; no se externalizarán los servicios que traten información de las líneas de I+D+i por tratase de una información estratégica de la organización, etc.

Punto 4: Cambios en el DRP y BCP

Es posible que al llevar un servicio a la nube sea necesario actualizar los Planes de Recuperación ante Desastres o el Plan de Continuidad de Negocio especialmente en lo que a las estrategias de recuperación se refiere. Si el servicio en cuestión es poco relevante para la organización quizás no sea necesario modificar dichos planes. Probablemente estas cuestiones ya estén recogidas en el plan de mantenimiento del propio del BCP (puede que no se haga referencia explícita a servicios en la nube pero sí se tendrá en consideración los cambios en los sistemas de información y las dependencias que existan con terceras partes) pero en cualquier caso, es un aspecto importante que no podemos pasar por alto.

Punto 5: Consideraciones sobre la gestión de activos (Gest. Configuración)

Se deben revisar los procesos y procedimientos asociados a la gestión de la configuración para comprobar que tienen en consideración los servicios en la nube. ¿Quién es el propietario del servicio?, ¿quién es el responsable de los activos asociados? Estas son algunas de las cuestiones que debemos plantearnos a la hora de definir y asignar las responsabilidades en relación a este tipo de servicios.

Punto 6: Auditoría

Verificar que los procedimientos de auditoría tienen en consideración los servicios en la nube. De no ser así, las auditorías podrían reflejar una falsa situación de cumplimiento cuando en realidad existen riesgos relevantes que no se están teniendo en cuenta.

Punto 7: Gestión de accesos

Se deben adecuar los procedimientos de gestión de accesos para que contemplen los servicios en la nube así mismo, también es necesario disponer de medios para revocar los permisos otorgados en caso de que el empleado abandone la empresa o bien se decida retirar el servicio.

Llegado a este punto, podemos pensar que la gestión del cloud no deja de ser la gestión de servicios externalizados y aunque es cierto que comparten muchas similitudes pero a su vez, hay ciertas particularidades a las que debemos prestar especial atención. Por ejemplo, tal y como se ha mostrado en el ejemplo del área de Marketing, los servicios cloud están al alcance de todos y es posible que se queden fuera del alcance del área SI. Por este motivo, creo conveniente dedicar un poco de tiempo para valorar las recomendaciones anteriores y así prevenir las consecuencias derivadas de tener servicios y/o riesgos ocultos en la nube.

[Sobre el autor]