El datascientist

Download PDF

Los temas propuestos para la reflexión en este tercer post son muy heterogéneos. Por ello, una de las pocas cosas que he podido sacar en común aparte de la disrupción digital es que todos producen una cantidad ingente de datos.

Pienso, a su vez, que actualmente vivimos en la época de la (des)información ya que es cierto que existe una cantidad ingente de datos generada cada día, pero, ¿cuántos de estos datos son aprovechables? ¿De verdad diferenciamos el valor de entre el ruido?

Por ello he decidido dedicar este post a explicar un poco cuáles deberían ser las funciones de uno de los perfiles profesionales más buscados en la actualidad, el data scientist o científico de datos. Además, tiene bastante que ver con el trabajo que estuve desarrollando durante mi proyecto fin de grado. Por tanto, trataré de definir a este profesional y al entorno al que se enfrenta desde mi experiencia en el ámbito.

[Read more…]

Adaptación de las empresas a los sistemas de información

Download PDF
https://www.eoi.es/blogs/juanadoricelcepeda/2012/02/27/importancia-y-manejo-de-los-cambio-en-las-organizaciones/

https://www.eoi.es/blogs/juanadoricelcepeda/2012/02/27/importancia-y-manejo-de-los-cambio-en-las-organizaciones/

En esta segunda publicación quería tratar de explicar las distintas casuísticas que se pueden dar a futuro cuando una empresa decide incorporar a su infraestructura uno o varios sistemas de información.

Una vez la empresa ha decidido implantar un sistema de información, deberá plantearse la pregunta más crucial: ¿Hasta qué punto he de parametrizar la herramienta para que se adapte a mis necesidades?

Esta pregunta es bastante peligrosa, ya que, en la mayoría de organizaciones se tienda a intentar adaptar las herramientas lo máximo posible a los procedimientos actuales de la empresa. Esto en un corto plazo puede ser eficaz, pero también deberíamos de preguntarnos: ¿Si necesitamos tanta parametrización, no sería más conveniente un desarrollo propio? [Read more…]

Insider Threats: Derechos del empleado y del empleador

Download PDF

 

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

https://www.universidades.com.pa/blog/privacidad-en-el-trabajo-donde-esta-el-limite

En las entradas anteriores, he tratado de acercar al lector una visión general de las amenazas internas. También hemos podido observar cuál es la situación actual en las organizaciones con respecto a este tema, donde comprobamos que genera preocupación pero todavía no alcanzan la suficiente concienciación en algunos ámbitos. En la tercera entrada tratamos cuáles eran los principales riesgos asociados a las amenazas internas, es un tema muy extenso ya que existen multitud de riesgos que se pueden derivar de una amenaza interna, ya sea intencional o de forma involuntaria. Por último, en el anterior post quise traer diferentes frameworks metodológicos que permiten crear un plan contra las amenazas internas que permite crear políticas y controles para prevenirlas o bien para mitigarlas.

[Read more…]

Insider threats: Audit controls

Download PDF

 

Para este cuarto post me centraré en explicar un framework metodológico elaborado por la consultora EY para crear un plan exitoso para la gestión y control de las amenazas internas en las organizaciones. [1]

https://www.social-engineer.org/framework/general-discussion/categories-social-engineers/disgruntled-employees/

https://www.social-engineer.org/framework/general-discussion/categories-social-engineers/disgruntled-employees/

Como ya hemos podido ver en los posts anteriores, las empresas se están concienciando del peligro que corren frente a este tipo de amenaza, que riesgos asociados conlleva y cuáles son las tendencias actuales en este campo.

Debido a esta importancia que ha alcanzado situándose como una de las primeras preocupaciones de las organizaciones, es normal que hayan surgido diversos frameworks para elaborar una plan o estrategia con el que hacerle frente a esta amenaza. Como he dicho, me centraré en el desarrollado por EY, pero he de mencionar algunos otros que me parecen también muy acertados. [Read more…]

Insider threat: Risks

Download PDF

Una vez que ya conocemos en que consisten las amenazas internas y su situación actual en las organizaciones, destinaré este tercer post a hablar acerca de los riesgos que llevan asociadas estas amenazas internas.

http://blog.ss8.com/controlling-insider-threats-through-visibility-analytics-and-intelligence/

http://blog.ss8.com/controlling-insider-threats-through-visibility-analytics-and-intelligence/

Primero, me parece importante destacar como el riesgo de las amenazas internas es un concepto muy difícil de precisar, debido principalmente al impacto que tienen los distintos factores (los privilegios, autorizaciones o puesto de la persona). Es necesario, por lo tanto, catalogar este tipo de amenazas, tanto las conscientes como las accidentales. Es decir, si el insider threat de forma pasiva proviene del CEO de la compañía, podríamos encontrar un sinfín de riesgos asociados ya que tiene acceso prácticamente a toda la empresa y a información muy crítica.

En cambio, si la amenaza interna es por ejemplo algún miembro del servicio de mensajería, mantenimiento o limpieza, es posible que tengan mucho menos privilegios y por ende un menor acceso a los datos. Esto no quita a que también hay que tenerles muy en cuenta ya que debido a su perfil pasan más desapercibidos permitiéndoles entrar prácticamente sin que nadie sea consciente de ello. [Read more…]

Últimas tendencias en los insider threats

Download PDF
https://130e178e8f8ba617604b-8aedd782b7d22cfe0d1146da69a52436.ssl.cf1.rackcdn.com/mitigating-insider-threat-lessons-from-indian-fraud-case-showcase_image-4-a-10674.jpg

https://130e178e8f8ba617604b-8aedd782b7d22cfe0d1146da69a52436.ssl.cf1.rackcdn.com/mitigating-insider-threat-lessons-from-indian-fraud-case-showcase_image-4-a-10674.jpg

En el último post, expliqué de forma general en qué consistían los insider threats y además traté de aportar algunos datos a cerca de un estudio que llevó acabo CA technologies sobre la concienciación de las organizaciones frente a estos riesgos. [1] Hoy quiero hacer hincapié en la relevancia que deberían de tener este tipo de riesgos para las organizaciones actualmente, así como la relevancia o prioridad real que le otorgan. Para ello, he elegido el ejemplo de un estudio llevado a cabo en Canadá. En este país se elaboró un informe en 2012 [2] acerca de las insider threats en el que participaron diferentes organizaciones del país. Asimismo, este mismo año se ha publicado el mismo informe con datos actualizados del año 2017. Un nuevo estudio ha sido publicado hace menos de una semana actualizando el informe con los datos de 2018. [3].

En estos informes se trata la prevención, mitigación y gestión de este tipo de riesgos. Y como he mencionado anteriormente, al realizar la comparación entre los dos estudios se puede ver cuales han sido los cambios más sustanciales en las tendencias, hubo unas 267 respuestas en la encuesta para la elaboración del informe. [Read more…]

La evolución de los planes estratégicos en la empresa

Download PDF

 

Este post girará en torno a las distintas variaciones que han sufrido los planes estratégicos en las empresas, especialmente en los últimos años.

En primer lugar, lo correspondiente es dar una definición a cerca de estos planes. Para Martínez Pedrós y Milla Gutiérrez (2005) un plan estratégico es un documento que sintetiza a nivel económico-financiero, estratégico y organizativo el posicionamiento actual y futuro de la empresa y cuya elaboración nos obligará a plantearnos dudas acerca de nuestra organización, de nuestra forma de hacer las cosas y a marcarnos una estrategia en función de nuestro posicionamiento actual y del deseado.

Está era la visión clásica del plan estratégico que habitualmente se centraba en un periodo de 5 a 10 años, pero hoy en día debido a la gran cantidad de cambios y avances tecnológicos, así como del frenético ritmo de las tendencias, se están viendo ya casi en la totalidad de las empresas una visión temporal a menor plazo. Habitualmente este plazo suele ser de unos 2 a 3 años.

Para ellos sería más concreta la siguiente definición de Sainz de Vicuña (2012): plan maestro en el que la alta dirección recoge las decisiones estratégicas corporativas que ha adaptado “hoy” en referencia a lo que hará en los tres próximos años (horizonte más habitual del plan estratégico), para lograr una organización más competitiva que le permita satisfacer las expectativas de sus diferentes grupos de intereses (stakeholders). [Read more…]

Insider Threats, el principal riesgo para las empresas

Download PDF

Quiero aprovechar este post para dar a conocer el tema del que tratará este blog durante los próximos dos meses. El tema en cuestión serán las “insider threats” lo que al español podríamos traducir como amenazas o riesgos internos.

En primer lugar, me gustaría presentar una definición a cerca de este tema.

Una “insider threat” es una amenaza contra la seguridad, datos o procesos de una organización. Esta amenaza proviene de alguien cercano o conocedor de la empresa, como pueden ser empleados, exempleados, proveedores, clientes. En definitiva, cualquier stakeholder que tenga acceso a información confidencial, sistemas o redes de la empresa y haga un mal uso de las mismas. [1]

Hace algunos años, las empresas ponían mucho énfasis en proteger sus datos, procesos y redes desde un carácter estructural. Por una parte, esto está bien ya que añade protección. Pero la mayoría de ellas no se dieron cuenta que el eslabón más débil de toda esta seguridad siempre serían sus empleados, clientes o proveedores. Es decir, puedes tener un sistema extremadamente seguro, pero si alguien con acceso a él vende esa información de acceso o directamente hace un uso no autorizado de la misma, ese sistema pasaría de extremadamente seguro a totalmente vulnerable.

En la actualidad, estas empresas ya se han dado cuenta del riesgo que suponen los riesgos asociados a las personas para sus empresas y que este probablemente sea mayor y más difícil de proteger que aquellas provenientes de las infraestructuras. Por ello, han empezado a tomar cartas en el asunto.

Dentro de los “insider threats” podemos encontrarnos con dos categorías principales, la primera haría referencia a las amenazas realizadas con un fin malicioso como puede ser la intención de robar o perjudicar a la compañía. Y por otro lugar, tenemos a todas las amenazas que se producen de manera accidentalsegún un estudio de ca technologies. [2] En la actualidad, se dan los dos tipos de amenazas a partes iguales. [Read more…]