1

Smart Cities + Big Data

Anticiparse a los atascos, definir rutas óptimas de recogida de basura en tiempo real o contar con redes eléctricas inteligentes (Smart Grids) son algunos ejemplos de la “magia” del Big Data en una Smart City.

Una Smart City utiliza la tecnología para proporcionar de forma más eficiente sus servicios y así mejorar la calidad de vida de sus habitantes. Hoy en día, esta idea cada vez está tomando más fuerza y protagonismo, por ello empieza a convertirse en una oferta común por parte de todas las ciudades.

smart-cities-infrastructure-iot-wide

Un claro ejemplo de esta evolución son los servicios como la información en tiempo real sobre la llegada de los autobuses, la videovigilancia inteligente, los dispositivos de medición del ruido y gases contaminantes, etc.

Estas grandes concentraciones urbanas provocan que la mayoría de la población se reúna en una misma ciudad donde generan datos a través de las interacciones con otras personas a través de las redes sociales y de los miles de sensores y dispositivos conectados a internet (IoT).

Además del gran volumen de datos que hay que gestionar en poco tiempo, éstos son de una gran variedad, pero más del 80% no son estructurados, y es necesario tomar decisiones con rapidez (por ejemplo, en caso de tener que desviar el tráfico debido a un incendio). Es aquí donde entran en acción las 3 Vs que caracterizan todo proyecto de Big Data: Volumen, Variedad y Velocidad.

Pero, ¿cómo podrían las ciudades beneficiarse de un proyecto Big Data para convertirse en verdaderas Smart Cities? Lo primero es identificar los problemas que se quieren resolver y definir una estrategia para llevar acabo el proyecto, implicando a todos los stakeholders. Es esencial tener la vista tanto en el proyecto como en todo lo que sucede en la ciudad.

Al igual que en cualquier proyecto de Big Data, en el caso de las Smart Cities también será necesario capturar, almacenar, procesar y analizar gran cantidad de datos procedentes de fuentes muy diversas para poder transformarlos en conocimiento útil para la toma de decisiones y poder predecir para así anticiparnos a lo que va a pasar.

Algunas de las áreas donde podría usarse el Big Data para generar mejoras serían las siguientes:

  1. Seguridad ciudadana: A través de las cámaras de videovigilancia, geolocalización de coches de policía y bomberos, sensores de movilidad o alertas, detectores de humos, etc. se podría mejorar la eficacia de actuación de los cuerpos de seguridad.
  2. Movilidad urbana: Mediante la captura y gestión de datos procedentes de cámaras repartidas por la ciudad, sensores instalados en autobuses, información meteorológica, datos originados en las redes sociales (por ejemplo, la organización de una manifestación a través de Twitter) se podría conseguir, por ejemplo, anticiparse a los atascos y tomar decisiones en tiempo real para redirigir las rutas de los autobuses o incluso interactuar con la red de semáforos e informar al ciudadano de la situación del tráfico y así indicarle las rutas alternativas.
  3. Gestión del agua: A través del análisis de los datos ofrecidos por sensores de presión, PH y turbidez del agua ubicados en los sistemas de suministro y cámaras de vigilancia, sería posible la detección de fugas y controlar la calidad del agua en todo momento.
  4. Energía y eficiencia energética: Gracias a los datos procedentes de contadores inteligentes en las viviendas y previsiones meteorológicas (que permiten detectar los cambios de temperatura como las olas de calor o de frío) ayudaría a tener redes eléctricas más eficientes, de forma que las compañías podrían ajustar la producción a la demanda en tiempo real (Smart Grids).
  5. Residuos urbanos: Mediante sensores ubicados en los contenedores que envían datos del nivel de llenado de forma continua, se podrían definir las rutas más optimas de recogida de basura en tiempo real. Además, se pueden combinar estos datos con los recopilados en redes sociales, como pueden ser las quejas sobre la suciedad de algunas calles. Por otro lado, algunos de estos sensores también tienen control de temperatura que puede detectar incendios en un contenedor, tal y como se muestra en los sensores de gestión de contenedores que proporciona la empresa Hirisens.
  6. Análisis de sentimiento del ciudadano: Posibilidad de conocer la opinión de los turistas y ciudadanos sobre la ciudad a través del análisis en tiempo real de datos de diferentes redes sociales, web del ayuntamiento, etc. De esta forma, se conseguirá detectar de forma más rápida las principales demandas de la ciudadanía.

Tras analizar estas diferentes áreas podemos detectar varios puntos en común. Por un lado, el uso de dispositivos de Internet de las cosas (IoT). Por otro lado, las tecnologías de Cloud Computing, ya que para mostrar de forma directa las soluciones Big Data ésta será una de las formas más sencillas y económicas para los ayuntamientos.




¿Cómo evitar la desmotivación laboral?

desmotivacion2Todos necesitamos sentirnos motivados en diferentes aspectos de nuestras vidas, incluso en el ámbito laboral. La motivación es la clave para lograr un ambiente laboral con el que estar contento y satisfecho. Además, si se consigue alcanzar dicho punto de motivación la productividad y la calidad del trabajo se verá aumentada.

Según la RAE el término “motivación” se define como “Cosa que anima a una persona a actuar o realizar algo”, en otras palabras podría definirse como un impulso que provoca una serie de acciones o comportamientos orientados a satisfacer una necesidad. Si aplicamos este concepto al ámbito laboral, la seguridad, el reconocimiento y la oportunidad, son los tres aspectos más destacados para generar la motivación de un empleado. Sin embargo, cuando no es capaz de satisfacer estas necesidades, la persona desarrolla un cuadro de desmotivación.

¿Qué ocasiona la desmotivación?

La responsabilidad de impulsar la motivación y el bienestar del personal recae principalmente sobre los directivos de una empresa. Para que un equipo de trabajo tenga éxito, todos los componentes deben estar completamente comprometidos con cumplir los objetivos establecidos. Para lograrlo, es necesario que cada uno de los integrantes se sientan motivados.

Pero entonces, ¿qué ocasiona la desmotivación de los empleados? Los siguientes puntos muestran algunas razones principales, por las cuales los trabajadores de una empresa pueden llegar a sentirse desmotivados:

  • Falta de reconocimiento o aprecio
  • Una carga de trabajo excesiva
  • Mala comunicación
  • Favoritismo sobre otros empleados
  • Poco liderazgo
  • Falta de claridad en los proyectos o los objetivos a cumplir
  • Desconfianza
  • Negligencia a la hora de solucionar problemas

¿Cómo motivar a tu equipo de trabajo?

Uno de los objetivos que la empresa quiere es el compromiso por parte de los empleados, por ello es importante detectar los primeros signos que puedan causar una desmotivación. Éstas son algunas formas con las que se puede generar motivación laboral:

  • Escuchar con atención

Como directivo, es importante escuchar con atención todo aquello que gusta, preocupa y disgusta dentro del ambiente de trabajo. Solo así conseguirás una amplia perspectiva de qué se debe mantener o corregir para que tu equipo se mantenga motivado.

De la misma forma, mantén informados a todos los equipos o empleados sobre lo que ocurre en la empresa. De esta manera, conseguirás que todos se sientan integrados en la empresa.

  • Promover el trabajo en equipo

El trabajo en equipo es un punto clave para generar motivación, ya que dentro de éste se forman expectativas y objetivos que de deben de alcanzar. Además, se consigue que los miembros se sientan parte de la propia empresa, lo que lleva a que los empleados se sientan motivados a cumplir las mismas metas que la empresa se ha fijado.

Por el contrario, el individualismo y favoritismo pueden resultar contraproducentes y, a la vez, desmotivar a aquellos que sienten que su trabajo es inferior.

  • Alentar y valorar

Los empleados necesitan sentir que su esfuerzo y rendimiento es apreciado por los directivos. Por ello, los elogios son un gran aliado para motivar a tu equipo de trabajo. Por lo tanto, expresar que aprecias su trabajo, siempre dará buenos resultados.

  • Felicitar y reconocer el buen trabajo

El valorar el trabajo de los demás es algo que se debe de exteriorizar, a través de reconocimiento del trabajo de los miembros de la empresa. Este tipo de acciones genera que los empleados se identifiquen con la compañía y les sean leales.

  • Mostrar interés y ofrecer ayuda cuando sea necesario

Muchas personas sienten una motivación de crecer a nivel profesional, por ello, como directivo, ofrece formación para que tus empleados puedan crecer dentro de la empresa, incluyendo a los empleados más nuevos. De esta forma, al ayudar a tu fuerza de trabajo, fomentarás y facilitarás las relaciones internas.




Qué es BYOD y su cercana relación con el Mundo Móvil

Buscando información sobre el mundo móvil, encontré una presentación de ISACA («La información se mueve») relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

¿Qué ventajas y desventajas tiene BYOD?

VENTAJAS DESVENTAJAS
Mayor productividad de los empleados Riesgo en la seguridad y la privacidad de la información corporativa
Posibilidad de trabajar con más flexibilidad Requiere nuevas políticas de control de accesos
Uso del dispositivo en cualquier momento y lugar Precisa recursos de red suficientes para soportar la llegada de los dispositivos
Permite a los empleados dar mejor servicio al cliente Necesidad de soporte TI para una diversidad de dispositivos, aplicaciones y software

Debido a las consecuencias de esta decisión estratégica, los propietarios de negocios dudan si seguir este camino debido a las preocupaciones que genera sobre la seguridad. Un temor que puede reducirse con una administración de riesgos adecuada. Los riesgos a los que se enfrentan los auditores IT son los siguientes [2]:

  • Riesgo de privacidad del usuario
  • Riesgo empresarial
  • Asuntos legales
  • Medidas proactivas para la privacidad del usuario

RIESGOS DE BYOD

  • Riesgo de privacidad del usuario

Dado que en el propio dispositivo del empleado tendrá contenido tanto personal como profesional de la propia empresa, el usuario tiene una preocupación continua de qué pueda serle reclamado de su propio dispositivo los siguientes aspectos:

  • Historial de navegación web
  • Bloqueo, deshabilitación y borrado de datos
  • Trabajo extra sin compensación
  • Registros telefónicos o contactos
  • Emails personales
  • Nombres de usuario y contraseñas de redes sociales u otras cuentas
  • Datos personales que se trasladan a la nube
  • GPS e información de ubicación
  • Datos financieros personales
  • Historias de chat y mensajes
  • Imágenes, video u otros medios
  • etc.

Uno de los casos en los que estos datos pueden ser solicitados es si la empresa se ve involucrada en temas legales, ya que los dispositivos personales de los empleados pueden ser reclamados como prueba.

  • Riesgo empresarial

El departamento de TI son los responsables de mantener el control sobre los datos de una organización, lo que da a la empresa libertad para ver el dispositivo y cómo se está utilizando. Esto se debe a que la empresa se preocupa principalmente por la confidencialidad de sus datos. Por ello, aunque el dispositivo personal sea del usuario, la organización deberá asegurarse de la eliminación de dichos datos o de no perder información en caso de pérdida del dispositivo. Para ello hacen uso de herramientas de administración de dispositivos móviles (Mobile Device Management:MDM).

  • Asuntos legales

En el área de la privacidad, muchos países han creado leyes relacionadas con el BYOD para protegerse como Personal Information Protection and Electronic Documents Act (PIPEDA) en Canadá. Las organizaciones están sujetas a obligaciones legales, contractuales relacionadas con la recopilación de datos, la retención, la destrucción segura de datos y los términos de los acuerdos/obligaciones de confidencialidad también pueden tener problemas de privacidad.

  • Medidas proactivas para la privacidad del usuario

Los empleados deben leer detenidamente las políticas BYOD establecidas por la empresa, a pesar de que pueden ser difíciles de comprender debido a su jerga legal y técnica.

Algunas recomendaciones de medidas proactivas para reducir el riesgo de privacidad son:

  • Aclara tus preocupaciones con el departamento RRHH. y TI y considera si vale la pena asumir dicho compromiso de privacidad para usar tu dispositivo personal en el trabajo
  • Considera la opción de no participar en BYOD, ya que es la mejor opción para mantener privada la información personal del dispositivo.
  • Ten en cuenta que tus dispositivos deberán tener una configuración de privacidad a la cual el usuario deberá de adaptarse.
  • No olvides realizar una copia de seguridad de los datos personales, ya que la empresa tiene la capacidad de borrar de forma remota los datos del dispositivo. A través de esto al menos mantendrás el concepto de disponibilidad, pero no de privacidad.

 

  • Programas de aseguramiento para la empresa.

El punto que más destaca en BYOD es la privacidad de los usuarios, por ello los programas de auditoria y garantía de privacidad pueden ayudar a las organizaciones a mitigar el riesgo. Además, dichos programas también deben incluir aspectos relacionados con la seguridad de la empresa. Los programas de auditoria dirigido a BYOD son los siguientes:

  • ISACA’s BYOD Audit/Assurance Program es una herramienta que los auditores de TI podrán usar para completar el proceso de aseguramiento. Se centra en la gestión de riesgos, la gestión de la configuración y la seguridad de los dispositivos, los recursos humanos y la capacitación de los usuarios.
  • Service Organization Control (SOC) 2 y 3 es un informe que se centra en la privacidad desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA).

Referencias:

[1] Deusto Océano, «BYOD», Marzo 2016, acceso 29 de diciembre de 2018, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_proquest1779441059&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,byod&offset=0

[2] Ashwin Chaudhary, « Privacy Assurance for BYOD », ISACA Journal, volume 5 (2014): 31 – 34. https://www.isaca.org/Journal/archives/2014/Volume-5/Documents/Journal-vol-5-2014.pdf




Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1].

MARCO DE PRUEBAS DE AUDITORÍA PARA APLICACIONES MÓVILES
ÁREA DE AMENAZA TEMA DEL CONTROL CONTROL A VERIFICAR PRUEBA DE CONTROL RIESGO MITIGADO
Dispositivos móviles Almacenamiento de datos Los datos se almacenan de forma segura para evitar las extracciones maliciosas cuando los datos están en reposo.

 

El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de cifrado Avanzado (Advanced Encryption Standard:AES) 128, 192 o 256. Pérdida y divulgación de datos
Transmisión de

datos

Los datos transferidos de la aplicación móvil están encriptados. El cifrado de datos se aplica a los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y protocolos de seguridad como:

  • Acceso web – HTTPS vs. HTTP
  • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
  • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)
Gestión de acceso a aplicaciones y seguridad La aplicación está configurada para limitar el acceso y configurada de forma adecuada para el uso autorizado limitado. La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, las listas blancas y listas negras se mantienen. Acceso no autorizado y fraude
Redes Conectividad inalámbrica El cifrado se aplica cuando se activa la conexión Wi-Fi. Para garantizar la seguridad de los datos, la transmisión de datos utiliza, al menos, los protocolos SSL o TLS. Pérdida y divulgación de datos
Secuestro de sesión (Session hijacking) Evitar conexiones inseguras para prevenir el secuestro de una sesión. Los protocolos de conexión para el

Localizador Uniforme de Recursos (URL) a través de TLS son a través de HTTPS

en lugar de HTTP para garantizar la seguridad a una URL.

Pérdida y divulgación de datos, acceso no autorizado
Servicios Web Gestión de acceso Roles y responsabilidades para la propiedad han sido establecidos, documentados y comunicados. Todos los servidores web aplicables se asignan a propietarios de sistemas técnicos y negocios. Los roles y

las responsabilidades definidas son adecuadas, especialmente para el personal interno y de terceros.

Ataque de fuerza bruta La estrategia de gestión de Denegación de Servicio (DoS) incluye programas adecuados para bloquear protocolos no autorizados. Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrecta. Se recomienda el uso de CAPTCHA (programa que distingue entre humanos y ordenadores) para evitar DoS. Acceso no autorizado y fraude, disponibilidad de la aplicación
Base de Datos Acceso privilegiado El acceso elevado a las bases de datos se asegura adecuadamente utilizando las mejores prácticas. El acceso a la BD está limitado a las personas adecuadas, y las revisiones de acceso apropiadas y las cuentas documentadas del sistema se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan aplicando estrictos controles de contraseña. Acceso no autorizado y fraude
Inyección SQL El acceso a la BD del Back-end está protegido apropiadamente contra vulnerabilidades utilizando técnicas de validación de entrada adecuadas. Existe una técnica de validación de entrada; Existen reglas específicamente definidas para el tipo y la sintaxis de las reglas clave del negocio.
Validación de la entrada de la aplicación (cliente) Los datos procedentes de las aplicaciones móviles deben examinarse antes de extraerlos o enviarlos a la capa de BD. La limpieza de los datos del usuario de la aplicación móvil se protege adecuadamente mediante comprobaciones lógicas integradas dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está en el lado del servidor.
Servicios de BD de aplicaciones El software de la BD del servidor se actualiza a las versiones seguras más actuales. El servidor de la BD está probada adecuadamente y reforzado contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias

 

Por otro lado, si analizamos la ISO/IEC 27002 (código de práctica para los controles de seguridad de la información) podremos destacar el punto 6.2 “Dispositivos para la movilidad y teletrabajo” el cual pertenece al punto 6 “Aspectos organizativos de la seguridad de la información” [2]. Este punto trata por un lado la política de uso de dispositivos para la movilidad y por otro el teletrabajo [3].

Con estos controles se demuestra que los auditores TI deben trabajar mano a mano con todos los equipos dentro de la organización responsable del desarrollo de aplicaciones móviles, (negocio, desarrollo TI, seguridad TI, legal y cumplimiento). Además, deben de facilitar el proceso que determine un mínimo de controles de seguridad que pueda aplicarse al vulnerable mundo móvil. No debemos olvidar que dichos controles deben realizarse según la aplicación móvil es actualizada y nuevas tecnologías se implementen para dar soporte a la aplicación. De esta forma, se reducirá el riesgo de vulnerabilidades internas y externas que pueden poner en un compromiso los datos.

Referencias:

[1] Mohammed J. Khan, « Mobile App Security Audit Framework », ISACA Journal, volume 4 (2016): 1 – 4. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Mobile-App-Security-Audit-Framework_joa_Eng_0716.pdf .

[2] ISO 27002:2013, acceso 25 de noviembre de 2018, http://www.iso27000.es/download/ControlesISO27002-2013.pdf .

[3] ISO 27002:2013, acceso 25 de noviembre de 2018, Sección 6, http://www.iso27001security.com/html/27002.html#Section6 .




Gestión del Riesgo Empresarial en el Mundo Móvil

Como he comentado en anteriores posts, la fuerza de trabajo móvil (Mobile Workforce) permite que los empleados trabajen donde quieran. Pueden trabajar desde sus casas, que podría definirse como un lugar seguro, o en áreas públicas, como cafeterías o aeropuertos. En este último tipo de lugares es cuando el nivel de amenaza es mayor, ya que puede afectar a la integridad de los datos, pero también a la seguridad física de los empleados, lo que no ocurre en la propia oficina, puesto que se han implementado contramedidas durante décadas. A pesar de ello, no debemos olvidar que el descuido de un empleado remoto puede ser una fuente importante de riesgo que puede afectar a los activos de la empresa. A continuación, se describen las principales áreas de riesgo relacionadas con Mobile Workforce.

MobileWorkforce-960x678

Riesgos

  • Activos de la empresa

Existen dos tipos de activos: físicos (ordenadores portátiles, teléfonos móviles, tabletas) y lógicos (datos de los clientes, datos de los empleados, otra información crítica). Por lo tanto, si alguno de estos dos tipos de activos se pierde o dañan cuando están en posesión de un empleado remoto, suponen un gran riesgo para la empresa.

Además, los hackers u otras personas u organizaciones pueden aprovecharse de los trabajadores remotos para robar datos de una empresa, sabiendo que es más probable que su ataque tenga éxito al atacar a un empleado aislado, que romper las capas de seguridad de toda una organización.

  • Seguridad personal

La seguridad de los hogares de los empleados no es tan rigurosa como la del propio edificio de oficinas y los criminales son conscientes de ello. Dado que los empleados tienen los activos en sus hogares, lo que significa que estos activos están expuestos al riesgo como un ladrón o un grupo criminal. Ambos pueden o no ser conscientes del valor de los contenidos y revenderlos.

  • Tecnologías de la nube

Si una empresa externaliza parcialmente o totalmente sus sistemas e infraestructuras, el riesgo típico de TI relacionado con la confidencialidad, la integridad y la disponibilidad en torno a la administración y gestión de TI, el acceso a los programas y datos, la gestión del cambio y las operaciones aún se mantiene. Además, el uso de internet en las oficinas conlleva un aumento significativo del riesgo. De hecho, los proveedores de nube tienen muchos clientes de los cuales almacenan y administran un gran valor de datos, a los cuales trataran de obtener acceso los hackers a través de una brecha en el sistema de información. Incluso los propios empleados pueden aprovecharse de los datos de los clientes y robar dichos datos para diversos fines.

  • Regulación y Cumplimiento

Las empresas son responsables de cumplir las regulaciones con las que deben atenerse todas las partes interesadas involucradas en el trabajo móvil. En general, las empresas son responsables de la seguridad de sus sistemas de información, incluso si están externalizados. Es responsabilidad de la compañía asegurar que los datos de los clientes permanecen confidenciales. Si el proveedor de servicios en la nube o un trabajador remoto se ubica en un país donde la protección de datos no es estricta, los datos podrían estar expuestos a un riesgo.

Las empresas están obligadas a cumplir diferentes leyes y reglamentos sobre sus sistemas de información. Este reglamento puede variar en cada país. En los EE.UU., la seguridad de los datos de atención de la salud se rige por el Seguro de Salud de EE.UU. (HIPAA), mientras que en Reino Unido existe la Ley del Servicio Nacional de Salud (NHS) de 2006, la Ley de Salud y Asistencia Social de 2012 y la Ley de Protección de Datos.

Recomendaciones

Para proteger los activos y los recursos, la empresa debería de tomar algunas medidas para reducir el riesgo:

  • Identificar y documentar claramente todas las áreas potenciales de seguridad y privacidad relacionadas con el trabajo móvil.
  • Realizar programas de capacitación y concienciación sobre los riesgos asociados a los sistemas de información utilizados por los empleados y sus consecuencias para el propio empleado, la empresa, sus clientes y el personal.
  • Contraer una póliza de seguro contra pérdidas o daños de activos, de esta forma podrán protegerse contra tales costos. Debido al trabajo a distancia la prima del seguro puede aumentar debido al aumento del riesgo.
  • Supervisar los proveedores de la nube. El proveedor debe generar un informe de aseguramiento de terceros, firmado por un auditor externo, que muestre el estado de su control interno.
  • Comunicaciones remotas seguras. La empresa debe informar con frecuencia para evitar el uso de áreas de conexión públicas, a no ser que se hayan implementado medidas de seguridad como conexión VPN.
  • Dispositivos seguros y su contenido. Para evitar tragedias tras un robo de un dispositivo, los datos críticos deben ser cifrados y hacer uso de una contraseña fuerte. Además, debe de habilitarse el bloqueo de pantalla tras un periodo de inactividad. El antivirus debe de permanecer actualizado. Por otro lado, se debe administrar a los usuarios cerraduras de ordenadores para proteger el dispositivo físico.

 

Referencias:

[1] Guy Ngambeket, « Mobile Workforce Security Considerations and Privacy » ISACA Journal, volume 4 (2017): 18 – 19




Relevancia en la industria y herramientas de Seguridad Móvil

El trabajo a distancia, es decir el teletrabajo, tiene muchas ventajas, tanto para la empresa como para los empleados. Por ello, las empresas son conscientes de sus beneficios y en algunos países, como Reino Unido, se ha convertido en un derecho de los empleados el solicitar el trabajo móvil [1]. Esto les hace sentir una mayor flexibilidad, libertad y autogestión, lo cual facilita a aquellos que necesitan cuidar de sus hijos o tienen un largo tiempo de desplazamiento para llegar a su lugar de trabajo. Por ejemplo, los empleados remotos no quieren que su gerencia piense que, si no están entregando en los tiempos esperados, es porque el trabajar remotamente los está retrasando. Por lo tanto, trabajarán más que las horas contractuales para alcanzar los objetivos. Además, ayuda a las empresas a reducir costos, especialmente en renta y gastos de consumo (electricidad, agua, servicios de basura, etc.), y encontrar empleados cualificados, independientemente de su ubicación. Con el progreso de la tecnología, la fuerza de trabajo móvil es una tendencia que no va a detenerse. Se prevé que para 2020, el 72,3 por ciento de la mano de obra estadounidense será remota [2].

Los empleados están haciendo negocio desde cualquier dispositivo, haciendo uso de aplicaciones como el correo electrónico o el calendario durante el día e incluso la noche, desde cualquier lugar. Los dispositivos móviles evolucionan convenientemente a una necesidad y pasan a ser de un lujo a un componente necesario, pero crítico para el entorno empresarial. El aumento de las aplicaciones que residen en esos dispositivos conlleva un aumento de retos de seguridad y aseguramiento de los que nunca se había enfrentado la empresa. Es cierto que tanto las organizaciones como los auditores IT se están volviendo más sofisticados en sus enfoques y, por lo tanto, cada vez son más capaces de anticiparse y responder a los retos.

Debido a esto, los expertos profesionales se mantienen de forma constante en una búsqueda de herramientas y técnicas, que pueden aplicar y adaptarse para ayudar a las organizaciones a garantizar que los dispositivos están protegidos adecuadamente. A continuación, os expondré herramientas de 4 categorías que están disponibles de forma gratuita, open source, etc. Debo destacar que las siguientes herramientas pueden ayudar a resolver problemas específicos de seguridad y seguridad en relación con el entorno móvil. [3]

  • Herramientas de prueba de aplicaciones móvil

Las herramientas de proxy web, como Burp Suite y ZAP de Open Web Application Security Project (OWASP) son excelentes opciones. Permiten a los usuarios analizar el tráfico entre cualquier dispositivo y las aplicaciones web con las que interactúan. Un proxy de prueba web intercepta los mensajes intercambiados por el dispositivo y la aplicación y permite la manipulación de algunos parámetros, por ejemplo las cabeceras HTTP.

  • Herramientas de prueba de dispositivo móvil

Las pruebas especificas de los propios dispositivos móviles incluyen las aplicaciones maliciosas y el comportamiento del usuario ante una situación como phishing. Para ello, se puede hacer uso de la herramienta Dagah de Shevirah.

  • Herramientas forenses móvil

La técnica de forense consiste en investigar un dispositivo y determinar si éste ha sido atacado o evaluar de otra manera un incidente potencial que pueda afectarle. La distribución de Santoku Linux se centra en el examen forense de dispositivos móviles. Otras plataformas de pruebas y respuesta a incidentes son Kali y CAINE que contienen herramientas de análisis móviles.

  • Herramientas de gestión Sistemas Operativos

Desde el punto de vista de la administración de dispositivos, también hay algunas opciones que se adaptan a cada sistema operativo. Los sistemas operativos iOS y Android tienen incorporados los suyos propios, que les permite realizar tareas como borrado remoto en caso de un dispositivo borrado o perdido.

–    Configurador de Apple

–    Administrados de dispositivos Android

Existen otras herramientas que proporcionan herramientas de privacidad (The Guardian Project) y configuraciones de sistemas operativos reforzados (CopperheadOS).

 

Referencias:

[1] GOV.UK, «Flexible working», acceso 15 de noviembre de 2018, https://www.gov.uk/flexible-working .

[2] «Today’s mobile workforce: any time, any place», The Telegraph, 5 de septiembre de 2016, acceso 15 de noviembre de 2018, https://www.telegraph.co.uk/business/ready-and-enabled/todays-mobile-workforce-any-time-any-place/

[3] Ed Moyle, «Tools: Mobile Security Tools on a Budget» ISACA Journal, volume 4 (2017): 52 – 53

 




¿Qué es la Gestión del Riesgo Empresarial en el Mundo Móvil?

MundoMovil

La invasión de los dispositivos móviles en nuestras vidas cada vez es más evidente y notable, solamente tienes que pararte a pensar cuántos móviles, portátiles, tablets, etc. tienes a tu alrededor. La próxima vez que salgas de paseo por tu ciudad te invito a fijarte cuántas personas a tu alrededor tienen un dispositivo móvil con el cual hablan, chatean o capturan momentos, te darás cuenta de que no importa la edad y cualquiera dispone de un aparato electrónico. De hecho, una encuesta realizada por la empresa Deloitte, Global Mobile Consumer, encontró que el 85% de las personas de 16 a 75 años posee o tiene acceso a un teléfono inteligente, destacando que las personas entre 55 y 75 años son el grupo de edad de crecimiento más rápido en los últimos cinco años, alcanzando dos tercios con acceso a un teléfono inteligente.[1]

Hace diez años, la mayoría de las organizaciones no abordaban los medios móviles, la nube y las redes sociales. Debido a la explosión experimentada en los últimos diez años en estas plataformas, parece que casi todo el mundo tiene al menos una cuenta de redes sociales y un teléfono en el bolsillo, lo cual ha obligado a las empresas a actuar de la misma forma para no quedarse atrás en este momento de cambios, esto supone un nuevo impacto, la seguridad de la fuerza de trabajo móvil (workforce).

Para muchas personas, la tecnología de la información ha cambiado el significado del trabajo. El lugar de trabajo clásico es la oficina, un lugar donde los empleados se reúnen para realizar una variedad de tareas con un propósito común. En cambio, ahora muchas personas ya no tienen la necesidad de ir a trabajar, ya que disponen de portátiles, smartphones, impresora y conectividad a Internet en sus propios hogares [2]. Su “oficina” es donde viven. Estos nuevos perfiles de trabajo yo los denomino “trabajadores móviles”, capaces de realizar su trabajo desde cualquier lugar, siempre y cuando tengan las herramientas técnicas necesarias para ello.

Sin embargo, en este post y en los siguientes no nos centraremos en la gestión de los “trabajadores móviles”, sino en la Gestión del Riesgo Empresarial en el Mundo Móvil, es decir de las tecnologías de la información de la propia empresa que hacen uso en el exterior.

Si los trabajadores ya no tienen la necesidad de ir a la empresa, ésta no tendrá la necesidad de guardar un escritorio para cada empleado, dado que al tener su propio material será tan sencillo como llegar y sentarse donde ellos gusten. El teletrabajo es un concepto que están intentando implementar varias empresas en España con gran dificultad, ya que si analizamos los datos proporcionados a lo largo de 10 años por el INE (Instituto Nacional de Estadística) apenas alcanza una variación del 3%. En 2017, un 95,4% de los asalariados aseguró no trabajar “ningún día” desde casa, tal y como se muestra en la siguiente gráfica. [3]

Teletrabajo

Figura 1: Porcentaje de asalariados que trabajan desde su domicilio particular, desde 2007

Esto conlleva a reflexionar en un riesgo añadido, si ellos traen y llevan sus propios dispositivos tecnológicos, toda la información de la empresa reside en dichos dispositivos y estos a su vez se conectan en diferentes redes de internet que pueden resultar inseguras, por ejemplo. Esto puede suponer que su información caiga en manos no deseadas.

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?

Las tecnologías evolucionan de forma más rápida y constante lo que obliga a los auditores internos a mantenerse al día de las nuevas tecnologías móviles que usan las organizaciones y analizar los riesgos a los que están expuestos en todo momento, los cuales se analizarán en uno de los próximos posts relacionados con la Gestión del Riesgo Empresarial en el Mundo Móvil. [4]

Según el análisis de Deloitte de “2018 Hot topics for IT Internal Audit in Financial Services”, donde se muestran los cambios que ha sufrido dicho ranking desde 2012, se aprecia como hasta el año 2014 apenas se valoraba este aspecto en las empresas, ya que se presenta por primera vez en el ranking sin perder presencia desde dicho año. Actualmente, en el año 2018, ha descendido del séptimo puesto al noveno.[5]

 

Referencias:

[1] Deloitte, «Global Mobile Consumer Survey 2018: The UK Cut», acceso 10 de noviembre de 2018, http://www.deloitte.co.uk/mobileUK/.

[2] Steven J.Ross, «I Left My Security in the Office», ISACA Journal, volume  4 (2018):  3 – 5.

[3] Laura Olías y Ana Ordaz, « El teletrabajo no acaba de despegar en las empresas españolas», eldiario.es, 8 de septiembre de 2018, acceso 10 de noviembre de 2018,  https://www.eldiario.es/economia/teletrabajo-opcion-despegar-empresas-espanolas_0_811919417.html .

[4] Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016), https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/srfinancialservicesindustryresults2016 : 31-34.

[5] Deloitte, «2018 Hot topics for IT Internal Audit in Financial Services», acceso 12 de noviembre de 2018, https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/financial-services/deloitte-uk-2018-hot-topics-for-it-internal-audit.pdf.




Involucrar y comprometer: la clave del éxito

compromiso_empleado

Comencemos en el ámbito deportivo, en los Juegos Olímpicos de Barcelona en 1992, el equipo de baloncesto masculino de Estados Unidos rápidamente ganó el apodo distintivo de “Dream Team”. Esto no se debió a que la selección estuviera formada por jugadores con un nivel destacable, sino que el talento de cada jugador era indispensable para el equipo y cada uno de ellos era consciente de ello.

Esto es una clara imagen de que los jugadores no buscaban un reconocimiento individual, los jugadores iban tras un objetivo común: Conseguir una medalla para su país. Si aplicamos esta idea enfocándonos en el ámbito empresarial, es evidente la forma en la que la compañía debería actuar con sus empleados: Involucrar a los empleados de forma que sus objetivos sean también los de su grupo de trabajo.

Por el contrario, las empresas tienden a cometer el error de centrarse en factores relacionados con el producto y el cliente, como buscar constantemente bienes y servicios que se puedan proporcionar al menor costo, mejor calidad, mayor atención y satisfacción de expectativas del cliente. Este tipo de organizaciones han logrado ser competitivas gracias al esfuerzo interno, es decir, gracias al valioso trabajo de cada persona que compone la empresa. Lo que nos lleva a pensar, tal y como se muestra en el caso del equipo de baloncesto, que los elementos más importantes no son la calidad del producto y los clientes, sino la mentalidad y predisposición de los empleados.

Uno de los principales retos que todo líder de proyecto trata de superar, es lograr que los integrantes de su equipo se involucren y además se sientan cómodos. Sin embargo, pocos aplican los principios para estimular dicho compromiso en sus empleados y en un momento bajo mucha presión, sus mentes pueden generar mensajes opuestos al objetivo, resultando agresivos para la otra persona a través de amenazas implícitas: “Si tú no quieres este trabajo, no pasa nada, tengo cientos de personas haciendo cola dispuestas a hacerlo, y por un sueldo menor que el tuyo”.

Nadie duda que siempre hay gente dispuesta a trabajar por poco dinero, pero la cuestión es: ¿Estará dispuesta a entregarse por completo al proyecto? ¿Cuáles son las consecuencias de que un jefe no valore el esfuerzo y lealtad de un empleado, sino que solo valore que los objetivos salgan adelante? En esta última cuestión el directivo ya no se califica como “líder”, sino como “jefe” ya que impone, ordena para ganar, utiliza a las personas, manda por ser superior y trata de alcanzar su beneficio por encima de todo.

Cuando un directivo se comporta como un “jefe”, quizá sea el momento adecuado de replantearse la importancia de generar en sus empleados confianza, satisfacción y lealtad. Pero… ¿cómo conseguir dicho objetivo? Principalmente debe convertirse en un “líder”, para ello debe de practicar la escucha activa, inspirar para mejorar, incluir a las personas, enseñar y aprender de los demás y además, su prioridad deben ser las personas ante todo.

Daniel Goleman, autor de “La Inteligencia emocional en la empresa”, explica que en el campo empresarial el compromiso se define como la unificación de los objetivos de cada empleado con los de la propia organización, tal y como el equipo tenía claro que su objetivo principal era ganar una medalla. Es decir, si consigues que las personas valoren del mismo modo que tú valoras el objetivo de la empresa y que además lo adopten, conseguirás que realicen de forma casi inconsciente un sacrificio personal cuando sea necesario. Al final, es el propio empleado quien decide trabajar hasta tarde o un fin de semana por terminar un proyecto a tiempo. Esto demuestra que cuanto más valorado se sienta el empleado, considere que se le trata de forma justa y se sienta integrado dentro del proyecto, mayor será su compromiso con la compañía.

En cambio, si un empleado se siente mal pagado, incómodo o considera que la empresa se aprovecha de él, difícilmente se comprometerá con la misma. Se sentirá tan poco valorado que no se planteará crecer a nivel profesional, ya que su esfuerzo no será apreciado por parte de su compañía y seguramente tan pronto como le sea posible abandonará la empresa.

Por lo tanto, para alcanzar esta meta no es necesario ofrecer sueldos elevados para motivar, sino proporcionar todos los elementos de desarrollo necesarios para hacerle ver al empleado que en dicha empresa le rodea un ambiente de lealtad y compromiso. De esta forma, la persona será consciente de que su esfuerzo es valorado y que, al igual que en una familia o equipo unido, todos se mantienen juntos contra todas las dificultades que se presenten. Para conseguir dicho objetivo el líder debe plantearse la siguiente cuestión: ¿Cómo generar lealtad entre mis empleados?

Un buen líder no debe olvidar que los empleados a su cargo ante todo son personas, no recursos, es decir, necesitan crear un vínculo emocional con la organización para sentirse implicados en la organización. Ayudará a que el empleado se esfuerce más, ya que se generará un sentimiento de orgullo de trabajar en dicha organización. Además, les proporcionará identidad y se sentirán “parte de la familia”.

Tras comparar el ámbito deportivo y empresarial, se puede concluir que independientemente del ámbito al que pertenezca un líder, su principal objetivo debe enfocarse a que las personas se sientan parte importante de los logros alcanzados. Así se conseguirá una familia unida de la cual nadie querrá huir tan pronto como sea posible.

Bibliografía: