1

Arreglos, experiencia y conclusiones.

Teniendo en cuenta que este es el quinto y último post para la asignatura de auditoría me gustaría aprovecharlo para hablar de ciertos temas que hubiera sido lo correcto ahondar en ellos durante el segundo post y finalmente me gustaría aportar mi experiencia trabajando con ML y como yo mismo aplique los controles mencionados en el post anterior.

Me parece interesante mirar a los gráficos que hace Gartner, una de las consultoras más importantes que existen, sobre las tendencias más actuales y muestra su estado en lo que se conoce como ciclo de la expectación (hype cycle) en el de este año 2020 en lo que a IA/ML se refiere, nos encontramos temas bastante innovadores como la IA responsible, la IA embebida o incluso la IA explicable lo cual nos dice que en esta materia se siguen haciendo avances. Y si miramos 5 años atrás nos encontramos con que el machine learning se encontraba en ese pico de expectación y no desaparecería de ahí hasta el año 2018 para ser sustituida por un campo de gran complejidad en el campo del machine learning como lo son las redes neuronales profundas [1]. Todo esto nos dice que son tecnologías sobre las que se ha investigado de forma muy profunda y que ya tienen cierto recorrido.

Ahora mismo, y como se vio en el primer post que hice para esta asignatura, existen infinidad de algoritmos y métodos para desarrollar una herramienta que hagan uso de estos sistemas, lo mejor de todo, es que simultáneamente existen multitud de herramientas para construir este tipo de sistemas (ya sean ML o incluso para trabajar con redes neuronales) como scikt-learn, pyTorch o Tensorflow. 

Top Machine Learning Frameworks To Use in 2020 – BMC Blogs

Buscando información sobre la existencia de estándares en la inteligencia artificial, me he encontrado con el ISO/IEC JTC 1/SC 42 que detalla referencias, guías, procesos, etc. sobre cómo trabajar con esta tecnología. El problema que veo aquí es que a diferencia de otras tecnologías recientes como el IoT solamente tiene seis estándares publicados y otros veintiuno están en proceso de aprobación [2]. Al ser una tecnología relativamente reciente no existen tantos estándares sobre los que una empresa pueda apoyarse.

En cuanto a los casos de uso que puede tener esta tecnología, creo que casi a diario podemos verlos y no nos damos cuenta hasta que nos lo dicen a la cara. Por ejemplo, la red social Twitter usa el machine learning con el objetivo de mostrar contenido que le guste a los usuarios para poder mantenerlos de forma activa consumiendo contenido [3]. Lo mismo ocurre con plataformas como Youtube, que aprenden de nosotros mismos con el contenido que nosotros consumimos y tanto los gigantes digitales, como las empresas tradicionales están empezando a hacer uso de los datos que nosotros generamos para poder hacer decisiones efectivas. Además de estos casos de uso centrados en los datos que generamos nosotros como usuarios también existe el, algo desaparecido, coche autónomo que está comenzando a bajar en la gráfica de la expectación de gartner y que por lo que se va escuchando poco a poco se empieza a consolidar.

Para terminar con los arreglos al segundo post, me gustaría hablar sobre el framework CRISP-DM para auditar machine learning. A modo de resumen, en este modelo se determinan ciertos pasos a tomar para auditar estos sistemas. El primer paso es obtener conocimiento sobre el negocio en el que se va a aplicar, después se deben entender los datos y el significado que tienen estos, lo siguiente sería recoger y preparar estos datos para poder realizar un modelo y evaluarlo, una vez esto último es satisfactorio, finalmente se puede desplegar un sistema ML. Este framework está pensado para realizar una auditoría a alto nivel del machine learning y que si se requiere profundizar, se requieren expertos en la materia [4].

Antes de terminar dando mis conclusiones en el post, me gustaría hablar un poco de mi experiencia trabajando con este campo en concreto, realicé mi TFG sobre deep learning aplicado a la detección de anomalías, y cuando en los posts sobre los riesgos parece que me quedé corto y quizás algo superficial con los riesgos, creo que hice mención de los más importantes y que yo mismo tuve que hacer frente usando los controles mencionados en el post anterior a este. Creo que solucionando esos riesgos se puede llegar a reducir considerablemente el nivel de riesgo general de la herramienta que se esté desarrollando.

Finalmente (ahora de verdad), me gustaría sintetizar un poco todo lo comentado anteriormente diciendo que está es una tecnología que hace muy poco tiempo ha dejado de estar en pañales y ha pasado a ser utilizada por muchísimas compañías distintas en muy poco tiempo es una herramienta con un potencial increíble que en un futuro cercano va a continuar sorprendiéndonos. Y en cuanto a lo relacionado con la auditoría en este campo, creo que todavía es algo que puede estar construyéndose en este momento debido a que muchas de las ISO/IEC JTC 1/SC 42 están en desarrollo, pero no tengo dudas de que en el futuro va a tener una gran importancia.

Referencias:

[1] https://medium.com/machine-learning-in-practice/deep-learnings-permanent-peak-on-gartner-s-hype-cycle-96157a1736e

[2] https://www.iso.org/committee/6794475/x/catalogue/

[3] https://blog.twitter.com/engineering/en_us/topics/insights/2018/twittertensorflow.html

[4] https://www.isaca.org/resources/isaca-journal/issues/2018/volume-1/the-machine-learning-auditcrisp-dm-framework




Realidad digital: datos extra y conclusiones

Durante los 4 post anteriores he hablado de lo que es la realidad digital y sus distintos tipos, puesto ejemplos de sus distintas aplicaciones y expuesto los principales riesgos asociados a esta tecnología y los distintos controles para gestionarlos. En este último post, quiero hacer una recopilación de distintos temas relacionados con la realidad digital que me he ido encontrando y que no encajaban dentro de los 4 post anteriores.

Dispositivos de realidad digital

Para poder utilizar esta tecnología, es necesario en muchas ocasiones disponer de un equipamiento específico. A continuación, os dejo una lista con los dispositivos más utilizados para cada tipo de tecnología de realidad digital.

Realidad aumentada: [1]

  • Gafas de realidad aumentada
  • Dispositivos móviles (tablets o móviles).

Realidad virtual: [2]

  • Gafas
  • Cascos
  • Sensores de posición
  • Controladores

Realidad mixta: [3]

  • Gafas
  • Cascos
  • Dispositivos móviles (tablets o móviles).

Volúmenes de negocio

En los últimos años, la realidad digital ha ido creciendo, y en los próximos, se espera que este crecimiento sea todavía mayor. A continuación, os dejo una imagen donde se muestra el crecimiento desde 2017 hasta 2024 de los ingresos en el ámbito de los videojuegos, donde se ve que pasa de 400 millones de dólares en 2017 a 2.400 en 2024 [4].

Empresas clave

Con la creciente implantación de esta tecnología, han aparecido empresas que se dedican a desarrollar soluciones basadas en ellas. A continuación, os dejo una lista con las más importantes.

Realidad aumentada: [5]

  1. Apple
  2. Microsoft
  3. Niantic
  4. Zappar
  5. Augmented Reality Labs
  6. Lucyd
  7. Magic Leap

Realidad virtual: [6]

  1. Oculus VR
  2. Google
  3. HTC Vive
  4. Unity
  5. Microsoft
  6. Samsung
  7. Magic Leap

Realidad mixta: [3]

  1. Microsoft
  2. Magic Leap
  3. MetaVision

Además, cabe mencionar también que los principales fabricantes han creados distintas tecnologías para trabajar con realidad digital, como serían, por ejemplo: Microsoft Windows Mixed Reality, Google ARCore, Apple ARKit o Vuforia [7].

Conclusiones

Después de estos 5 post, creo que la realidad digital es una tecnología de la que se lleva oyendo hablar muchos años, pero que todavía no se ha explotado demasiado. En mi opinión, ofrece muchas posibilidades, especialmente en un momento de pandemia como en el que nos encontramos donde la tecnología está adquiriendo una importancia todavía mayor de la que ya tenía. Considero que, aunque de momento parece que se asocia más que nada a la industria del videojuego, en unos años vamos a verla cada vez en más industrias, y que cada vez va a ser más accesible debido al abaratamiento que están sufriendo los dispositivos necesarios para poder utilizarla. Además, es una tecnología que ya ha pasado el periodo de boom inicial y ya está más asentada, como se puede ver en la siguiente imagen [8].

Por todo ello, considero que cada vez vamos a oír hablar más de realidad digital, y que en bastante probable que tengamos que aprender a utilizarla en nuestro día a día.

Referencias

[1] https://es.wikipedia.org/wiki/Realidad_aumentada

[2] https://es.wikipedia.org/wiki/Realidad_virtual

[3] https://es.wikipedia.org/wiki/Realidad_mixta

[4] https://www.statista.com/statistics/499714/global-virtual-reality-gaming-sales-revenue/

[5] https://foundry4.com/7-augmented-reality-companies-to-watch

[6] https://www.gamedesigning.org/gaming/virtual-reality-companies/

[7] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_ebookcentral_EBC5759035&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,realidad%20virtual&offset=0

[8] https://www.baboonlab.com/blog/noticias-de-marketing-inmobiliario-y-tecnologia-1/post/los-expertos-anticipan-la-consolidacion-de-la-realidad-virtual-39#:~:text=Las%20previsiones%20econ%C3%B3micas%20de%20la,billones%20de%20d%C3%B3lares%20en%202020.&text=En%20este%20escenario%20los%20sistemas,y%20la%20AR%20el%20resto.




Sistemas de control industrial: un vistazo al futuro y reflexiones

Con este último artículo llegamos a la conclusión de la serie de posts que hemos estado realizando durante prácticamente los últimos dos meses. Por esa misma razón, qué mejor oportunidad que esta para echar un vistazo a lo que nos depara el mundo de los sistemas de control industriales en los siguientes años.

Tal y como se ha explicado, los sistemas de control industriales son piezas intrínsecas de los entornos industriales, cuya importancia crece exponencialmente de manera proporcional a la criticidad del entorno en que desarrollan su actividad, de ahí que sean fundamentales en infraestructuras críticas, por ejemplo.

Sistemas de control, presente y futuro

En los últimos años hemos visto como el desarrollo de nuevas tecnologías y la industria 4.0 ha transformado el sector industrial y ha comenzado a digitalizar procesos que antes se encontraban completamente aislados es en el nivel operacional por así decirlo. Así, en la actualidad muchos de estos procesos comparten información nutriéndose de las redes u otros dispositivos dedicados a recoger dichos datos.

En los próximos años deberíamos empezar a vislumbrar los atisbos de lo que nos depara el futuro del sector, en el cual empezarán a emplearse tecnologías que hasta hace no mucho no existían siquiera. Dentro de este grupo de tecnologías puede resultar interesante echar un vistazo a algunas como la inteligencia artificial; la IA está destinada a influir en muchos sectores, y uno de ellos es el industrial, de esta manera, puede que en los próximos años empecemos a ver como participa en la gestión en tiempo real de todo tipo de procesos con el objetivo de hacer que sean más eficientes mediante la ayuda del procesamiento de datos y la inteligencia artificial aplicada. Y, para ello, las organizaciones deben ir adaptando y optimizando sus infraestructuras.[1]

La IA, un potencial aún por explotar en las empresas | Tecnología |  ComputerWorld
Figura 1. La IA, un potencial aún por explotar en la industria.

Asimismo, el uso de sensores a través del IoT, algo que ya está comenzando a convertirse en realidad, ayudará a los dispositivos de estos sistemas a mejorar dicho control sobre lo que está pasando en todo momento. Relacionado con ello, el futuro parece estar estrechamente vinculado a los denominados Sistemas Ciberfísicos (CPS), los cuales son una evolución de los sistemas TIC con los que contamos en la actualidad, y que permitirán una mayor interconexión entre el software y componentes físicos del mundo real, proporcionando computación, monitorización y control en dichos procesos físicos. En resumidas cuentas, podría tratarse de una especie de evolución del Internet de las Cosas, en el cual la inteligencia artificial, el IoT y el Big Data se unen para crear una nueva sinergia. Esta unión entre lo que se denomina Edge computing y tecnologías cloud tiene papeletas para suponer un gran avance en el desarrollo de nuevos sistemas y procesos.[2]

Cyber-Physical Systems | TechnoWhiz
Figura 2. Sistemas Ciberfísicos.

La integración de los Sistemas Ciberfísicos de producción industrial genera una nueva opción a la hora de realizar sistemas de control pero utilizando técnicas que han demostrado su eficacia en otros campos de la industria.[3] La aplicación de los CPS es transversal a la mayoría de las industrias como la distribución de agua, transporte, fábricas, comunicaciones, etc. Pueden ayudar en la gestión del tráfico, en vehículos autónomos, detectar comportamientos anómalos en procesos industriales y prevenir los mismos, incluso está consiguiendo adaptar procesos productivos del sector agrario en procesos gestionados de manera tecnológica. Los CPS están teniendo un visible impacto en muchos ámbitos como la robótica, la seguridad o el sector militar. Este tipo de sistemas aprovechando el potencial del IoT explotando la tecnología de Internet para transferir datos de manera heterogénea tanto en instalaciones cableadas como inalámbricas, dotando de nuevas oportunidades a la industria como combinar sistemas separados físicamente mediante la utilización de aplicaciones y procesos distribuidos; para ello, se trata de recopilar los datos de manera remota y llevar a cabo un análisis de estos para poder gestionar los sistemas de manera remota y fiable con bajo coste. La combinación de tecnologías de análisis de datos, inteligencia artificial e IoT suponen toda una revolución aplicable a multitud de sistemas inteligentes entre los que podemos posicionar el control de infraestructuras críticas en último término.[4]

Conclusiones

Finalizando el tema, cabe destacar como última instancia, que a pesar de que todas estas nuevas soluciones pueden suponer una gran revolución en la manera de ejecutar los procesos y redimensionar sus capacidades, también pueden, y muy probablemente así será, ser objeto de nuevas vulnerabilidades y formas de comprometer la seguridad de todas estas infraestructuras que cada vez más a menudo son blanco de más amenazas. El surgimiento de nuevas vulnerabilidades o, de al menos, nuevos riesgos, obligará a los organismos competentes a actualizar las normativas ya existentes o a la creación de nuevos controles que aseguren el correcto funcionamiento bajo unas mínimas garantías de operabilidad en un sector en el que fallar no está permitido. El futuro de los sistemas de control no ha hecho más que empezar.

Referencias

[1] Cámara Valencia. Fábrica del futuro: control en tiempo real con Inteligencia Artificial en la Industria 4.0. s.f. https://ticnegocios.camaravalencia.com/servicios/tendencias/fabrica-del-futuro-control-tiempo-real-inteligencia-artificial/ (último acceso: 24 de noviembre de 2020).

[2] Factoría del futuro. El denominado “edge”, cada vez mas presente en el control industrial. 13 de septiembre de 2020. https://www.factoriadelfuturo.com/el-denominado-edge-cada-vez-mas-presente-en-el-control-industrial/ (último acceso: 24 de noviembre de 2020).

[3] OCÉANO: Gustavo Caiza, Rosa Galleguillos, Maritza Castro, Carlos A Garcia, and Marcelo V Garcia. «Algoritmos FAHP Implementados En Sistemas Ciberfísicos De Producción Industrial.» RISTI : Revista Ibérica De Sistemas E Tecnologias De Informação, no. E26 (2020): 637-51. (último acceso: 24 de noviembre de 2020).

[4] Dimitrios Serpanos, ISI/ATHENA y University of Patras. «The cyber-physical systems revolution.» Computer, 2018: 70-73. (último acceso: 24 de noviembre de 2020).




Dispositivos médicos: empresas y futuro

Llegamos al último post de la asignatura, intentando añadir unas líneas futuras y empresas al tema del que hemos estado hablando, los dispositivos médicos.

Las cifras indican que las 5 empresas con mayor futuro y más rentables en la industria de los dispositivos médicos son las siguientes: [1]

  1. Johnson & Johnson
    • Valor en el mercado: 328.280.000 millones de dólares
    • Beneficios: 18.500.000 millones de dólares en 2016
  2. GE Healthcare
    • Valor en el mercado: 328.280.000 millones de dólares
    • Beneficios: 33.500.000 millones de dólares en 2016
  3. Medtronic
    • Valor en el mercado: 279.050.000 millones de dólares
    • Beneficios: 7.166 millones de euros en 2016
  4. Siemens
    • Valor en el mercado: 121.470.000 millones de dólares
    • Beneficios: 19,8 millones de euros en 2016
  5. Philips Healthcare
    • Valor en el mercado: 103.830.000 millones de dólares
    • Beneficios: 5,9 millones de euros en 2016

Ya hablé sobre la empresa Medtronic en anteriores posts, ha mostrado grandes avances y ventas en los últimos años.

Siemens también se está reinventado con Siemens Healthineers, ofreciendo soluciones TI con gran importancia en la ciberseguridad, por ejemplo. [2]

Por otra parte, dejando esas a un lado, una de las empresas que más me ha llamado la atención en cuanto a TI ha sido Philips Healthcare.

Esta empresa se dedica a la fabricación de multitud de dispositivos que usamos en nuestro día a día, desde pequeños electrodomésticos hasta soluciones de consultoría.

Lo que igual no sabíamos es que también está en el mercado de los dispositivos médicos y ellos mismos se plantean unas preguntas muy interesantes: [3]

  • ¿Cómo garantizamos la seguridad de los dispositivos médicos si el acceso a la información e imágenes de los pacientes se amplía a numerosos dispositivos, incluidos los dispositivos móviles?
  • ¿Cuáles son las fuentes más probables de ciberataques y los mayores riesgos para los datos? ¿Cómo podemos protegerlos?
  • ¿Cómo podemos lograr nuestros objetivos para reducir los costes operativos reduciendo al máximo las “medidas excepcionales” en nuestra infraestructura hospitalaria al conectar dispositivos médicos regulados?
  • Con la adopción de prácticas de seguridad variadas por parte de los fabricantes, ¿cómo podemos evaluar a nuestros proveedores de dispositivos y sistemas, y determinar en qué punto se encuentran?
  • ¿Poseen nuestros dispositivos médicos en red la efectividad y seguridad de datos y sistemas, tal como recoge la norma IEC 80001-1?. Esto también se podría vincular a la página de movilidad.

Esas preguntas me parecen muy interesantes hacerlas cuando se va a implementar una solución TI y me parecen acertadas en nuestro entorno, por lo que las demás empresas podrían inspirarse o implementarlas en un futuro.

Esta empresa también se apoya en las recomendaciones que he ido nombrando a través de los anteriores posts.

Hasta aquí los posts sobre dispositivos médicos de la asignatura. Espero haber arrojado algo de luz en este tema tan concreto relacionándolo con la asignatura y que haya sido interesante.

Referencias

[1] << Las 5 empresas de tecnología médica más rentables >>, Clinic Cloud, consultado el 24/11/2020, https://clinic-cloud.com/blog/las-5-empresas-de-tecnologia-medica-mas-rentables/

[2] << Protecting healthcare institutions against cyberthreats >>, Siemens Healthineers, consultado el 23/11/2020, https://www.siemens-healthineers.com/support-documentation/cybersecurity

[3] << Interoperabilidad en el cuidado de la salud y seguridad de los dispositivos médicos >>, Phillips, consultado el 20/11/2020, https://www.philips.es/healthcare/articles/healthcare-interoperability-and-medical-device-security




Cloud Gaming

He querido aprovechar el último post por ser de elección libre para hablar de una aplicación específica del cloud computing, el cloud gaming. Me ha parecido una buena elección ya que se muestra un caso práctico del que todos conocemos y muchos hemos invertido tiempo en ellos: los videojuegos.

¿Qué es?

El cloud gaming o juego en la nube consiste en jugar a un videojuego en el que toda la ejecución se realiza en el servidor. El jugador simplemente interacciona con la información que recibe, lo cual reduce en gran medida los requisitos para poder ejecutar el juego.[1]

¿Qué necesito para jugar?

  1. Un dispositivo. Como es lógico el usuario necesita algo con lo que jugar. Recoge y envía las acciones que hace el jugador y muestra la imágen y sonido que recibe del servidor.
  2. Un servidor. Recoge las acciones que hace el jugador, las procesa, y le envía al jugador la imagen y sonidos necesarios.
  3. Internet. Como es de esperar en el cloud gaming, es necesario estar conectado a internet para poder conectarte al servidor en la nube.

¿Cómo funciona?

Antes que nada se recogen los inputs del dispositivo: ratón, teclado, pantalla táctil… Estos se envían a través de internet al servidor. El servidor usa esa información recibida para renderizar la imagen y el audio, que se codifica en forma de streaming de vídeo para su posterior transmisión por la red. 

Es necesario codificar las imágenes para reducir el tamaño para no colapsar el ancho de banda y mantenerlo a unos niveles razonables. Para evitar que la velocidad de los servidores disminuya de forma considerable al realizar la codificación, los servidores cuentan con codificador hardware para que la latencia sea baja.[2]

Después de la codificación se recibe en el dispositivo, se descodifica en el mismo y se visualiza.

Servicios de Cloud Gaming

Ya hemos visto cómo funciona, ahora, si nos gusta la idea , ¿dónde podemos probarlo? Existen varios proveedores que te proporcionan este servicio por una suscripción:

  • GeForce Now de NVIDIA.
  • PlayStation Now de SONY: Este servicio permite jugar a juegos de ps2, ps3, ps4 y pc.[3]
  • Stadia de Google.

Y algunos otros menos conocidos.

Tendencia

Cada vez se tiende más a hacer uso de las tecnologías en la nube, y la industria de los videojuegos no podía ser menos. Permiten jugar en cualquier sitio y en cualquier dispositivo (compatible) sin necesidad de instalar juegos, actualizarlos, etc.

Se está usando el cloud computing para el cloud gaming, más específicamente NVIDIA está usando los servicios de Amazon AWS.

Opinión personal

Considero que es una buena idea la aplicación del cloud computing en el ámbito de los videojuegos. Los videojuegos evolucionan rápidamente, por lo que es necesario comprar una consola nueva o un ordenador nuevo para poder seguir jugando a los videojuegos con la misma fluidez. Es por ello que el que proporcionen este servicio sin tener que encargarte de mantener el hardware y el sistema operativo adecuado, mejora mucho la experiencia de usuario.

Conclusiones

Los servicios de cloud gaming se podrían realizar tanto con soluciones on premise como con cloud computing, al fin y al cabo el proveedor de servicios en la nube con lo que cuenta es con soluciones on premise para dar servicio a sus clientes.

Aún así considero que utilizar los servicios de computación en la nube es la mejor solución, ya que escalan y se despliegan muy fácilmente. Además, de esta forma la empresa subcontrataría la infraestructura y se centraría en su producto, que es el servicio de jugar a través de internet. Considero que de esta manera se reducirían en gran medida los riesgos, ya que se contaría con personal capacitado para cada tarea.

Teniendo en cuenta que el modelo de negocio del cloud gaming es de suscripción, se puede estimar de forma bastante acertada cuánta capacidad se quiere contratar en los servidores de en la nube por cada usuario y a su vez estimar una cuota mensual que proporcione beneficios.

Así mismo, al ser un servicio a demanda, se pueden solamente las instancias para los usuarios conectados reduciendo costes en las horas en las que menos jugadores existan.

Referencias

  1. https://hardzone.es/reportajes/que-es/cloud-gaming-como-funciona-juego-nube/
  2. https://developer.nvidia.com/sites/default/files/akamai/gameworks/events/gdc14/GDC_14_Cloud_Gaming_With_GRID_Technologies.pdf
  3. https://www.playstation.com/es-es/ps-now/



Propiedad intelectual, apuntes y retrospectiva

Durante esta serie de artículos hemos ido viendo el valor de las propiedades intelectuales, los riesgos y el valor del proceso de auditoría. En este artículo pretendo sintetizar el trabajo realizado en los anteriores. A la vez que complementar algunas cuestiones que creo que pude pasar por alto.

El viaje comenzó identificando que consideramos propiedad intelectual y cuales son las diferentes formas en las que se manifiesta. Hablamos de que estos activos en la era digital y de servicios en la que nos encontramos son los que más valor y diferenciación aportan a las empresas. Identificamos, patentes, modelos de utilidad, derechos de autor, propiedad industrial, trademarks, imagen comercial, secretos comerciales, … También vimos que la ley protege especialmente aquellas que se pueden vender, pero nosotros debemos considerar un espectro más amplio e incluir toda aquella información que sea relevante para la empresa.

En el siguiente artículo seguimos indagando las categorías que contemplaban las leyes, que sí y que no se puede proteger con las herramientas legales del estado. Y mencionamos algunos marcos y estándares dirigidos a las propiedades intelectuales. Es interesante descubrir que no aparecen los típicos marcos que aparecen casi en cualquier otro tema de auditoría, sino que en este ámbito el referente es WIPO (World Intellectual Property Organization). Intuyo que esto se debe a que la gestión de las propiedades intelectuales está íntimamente relacionada con la seguridad en general. Así que supongo que podría añadir a aquel artículo la ISO 27000 a la lista de marcos.

Después pasamos a identificar los riesgos a los que se enfrenta cualquier organización en los que a propiedades intelectuales se refiere. En este apartado identificamos 3 grandes categorías en las que podíamos incluir un montón de riesgos: olvidarse de las PI, perder o que nos roben PI e infringir las PI de otros. Me aventuro a decir que las más comunes son la primera y última categoría. Entiendo que la segunda es una preocupación más dirigida a grandes empresas multinacionales que manejan cientos de propiedades intelectuales en equipos enormes y las diferencias en tecnología o procesos son importantísimas.

Y en el último post se esquematiza el proceso de una auditoría y los controles que se podrían implantar en una organización para securizar la PI. El proceso de la auditoría comienza por identificar todas las propiedades intelectuales de las que dispone la organización, haciendo un inventario, identificando a la gente con acceso a las PI, e investigando otras fuentes que nos digan que cosas hay a nombre de la empresa, como los dominios de internet que tenga comprados. Después hay que comprobar quienes tienen acceso a la información sensible y que no se este haciendo un uso indebido de alguna PI de terceros.

Como ya he dicho la mayoría de estos controles pertenecen a la seguridad. Desde el punto de vista TI los controles generales y de personas se extienden también al mundo digital. Por lo que además debemos aplicar los controles de segregación de funciones, controles de acceso, registro de actividad, etc. a todos los sistemas de información que contengan información sensible, es decir, prácticamente todos. Particularmente en cuanto a las personas y terceros que puedan tener acceso los contratos de confidencialidad son indispensables.

En conclusión, la propiedad intelectual tiene un valor tremendo en cualquier organización, es lo que diferencia y más valor aporta. Afortunadamente existen herramientas legales que ayudan a proteger estos. (Des)afortunadamente, las empresas tienen que gestionar estos activos de manera adecuada y para ello necesitan el servicio que prestan los auditores y consultores. Para esto lo esencial es identificar todas aquellas propiedades intelectuales que sean de valor para la empresa y protegerlas o sacarles el mayor partido posible.

Enlaces

[1] <<Propiedad intelectual, introducción y contexto>>, PublicaTIC,
https://blogs.deusto.es/master-informatica/propiedad-intelectual-introduccion-y-contexto/

[2] <<Propiedad intelectual, relevancia>>, PublicaTIC,
https://blogs.deusto.es/master-informatica/propiedad-intelectual-relevancia/

[3] <<Propiedad intelectual, riesgos>>, PublicaTIC,
https://blogs.deusto.es/master-informatica/propiedad-intelectual-riesgos/

[4] <<Propiedad intelectual, controles y auditoria>>, PublicaTIC,
https://blogs.deusto.es/master-informatica/propiedad-intelectual-controles-y-auditoria/




Controles en la realidad digital

En el post anterior hable de los riesgos principales en relación con la realidad digital. En este post, voy a centrarme en como podemos controlar dichos riesgos y en cual es el papel del auditor en este proceso.

Riesgos físicos

El primer riesgo identificado era la seguridad física. Por un lado, están las caídas o golpes que podemos sufrir al perder conciencia de lo que realmente tenemos a nuestro alrededor. Para evitar estos accidentes, es necesario tener lugares preparados para poder utilizar estas tecnologías sin peligro. Las dimensiones y características particulares de este entorno dependerán mucho del uso que se le da a esta tecnología. Si se usa para que un médico pueda ensayar una operación, no hace falta un espacio muy grande, vale con una silla, una mesa despejada y el material quirúrgico. En cambio, si se utiliza para que un bombero entrene como entrar en un edificio, rescate a alguien y apague el fuego, se necesita un gran espacio acondicionado específicamente para realizar dicha tarea [1].

En cuanto al daño a nuestros ojos, existen 2 medidas a tomar, por un lado, limitar en tiempo durante el cual se puede utilizar esta tecnología y por otro, asegurarse de que las pantallas de estos dispositivos están en buen estado en cuanto a brillo, resolución…

Por último, en cuanto a las repercusiones psicológicas del uso de esta tecnología, existen tres medidas. En primer lugar, hay que asegurarse de que los contenidos son los adecuados, de forma que los empleados no puedan verse afectados por, por ejemplo, es estrés que supondría que aparezcan decenas de objetos o textos delante nuestro y rodeándonos por todas partes. En segundo lugar, hay que asegurarse de enseñar a quienes vayan a utilizar esta tecnología a usarla de forma correcta, y de concienciarles de las repercusiones que puede tener hacer un mal uso de ella. Por último, la empresa debería asegurarse, especialmente al principio de la implantación de esta tecnología, de que esta no está teniendo impactos negativos en los empleados.

Privacidad

En lo que se refiere al apartado de privacidad, es de vital importancia, al igual que al hacer uso de cualquier otra tecnología, que esta se almacene de forma segura. Esto implica que el acceso a estar datos debe estar limitado, que solamente deberán poder acceder a ellos quienes tengan las credenciales para hacerlo, que estarán encriptados… Además, también es muy importante informar a los usuarios sobre que datos se van a recolectar, para que se van a utilizar, donde y como se van a almacenar, durante cuánto tiempo… Por último, la empresa tendrá que asegurarse de que el uso que hace de estos datos cumple con la GDPR (General Data Protection Regulation), y de las implicaciones legales que podría tener, por ejemplo, utilizar los datos recogidos para monitorizar a los empleados [1].

Seguridad

Al igual que en el post anterior, las partes de seguridad física y de privacidad de los datos ya las he tratado en los apartados anteriores, por lo que en este voy a centrarme en la seguridad de los equipos. Uno de los controles más importantes es disponer de un espacio seguro en el que almacenarlos cuando no se estén utilizando. Este espacio deberá tener un control de acceso, de forma que en todo momento se sepa quien tiene cada equipo y donde lo tiene. Además, es importante realizar revisiones periódicas de los quipos para asegurar que no han sido hackeados o que no tienen ninguna falla, y educar a quienes vayan a utilizarlos sobre cómo hacerlo de forma adecuada.

Por último, me gustaría añadir que, la propia realidad digital es una herramienta que puede utilizarse para mejorar la seguridad de la empresa. La realidad virtual, por ejemplo, puede utilizarse en esfuerzos de recuperación de desastres y simulaciones de salas de guerra ya que la planificación de la respuesta a incidentes puede llevarse a otro nivel con experiencias que se asemejan mucho a los eventos de la vida real. Asimismo, la realidad aumentada puede ayudar a las empresas a visualizar mejor las amenazas cibernéticas a las que se enfrentan [2].

Conclusiones

Como hemos visto, aunque existen muchos riesgos, también existen controles asociados a cada uno de ellos para poder hacer que el impacto de estos sea mínimo. En todos estos casos, el papel del auditor sería asegurarse de que estos controles existen y de que están correctamente implementados y utilizados. Además, en el caso de que no lo estén, debería informar a la empresa que esté auditando sobre la falta de los mismo y lo que esto puede suponer. Por último, también es importante que el auditor se mantenga al día con los nuevos riesgos que puedan ir surgiendo a medida que aumente el uso de esta tecnología y que vaya definiendo cuales son los controles necesarios para gestionarlos [3].

Referencias

[1] The risk and rewards of enterprise use of augmented reality and virtual reality. ISACA journal volume 1 2020

[2] Augmented and virtual reality go to work, Deloitte, https://www2.deloitte.com/pe/es/pages/technology/articles/la-realidad-virtual-y-la-realidad-aumentada-ahora-en-las-empresas.html

[3] La auditoría interna y su alianza con las nuevas tecnologías para un futuro promisorio, INCP, https://www.incp.org.co/la-auditoria-interna-alianza-las-nuevas-tecnologias-futuro-promisorio/




Más riesgos y cierre

Introducción

Durante esta lista de posts he ido hablando sobre diversos temas relacionados con el IoT. En el primero artículo introduje un poco el tema sobre los dispositivos conectados a la red. Durante el segundo hablé de las aplicaciones que tiene esta tecnología en la industria. Los últimos 2 post han sido sobre los riesgos que tienen estos dispositivos y que controles y auditoría necesitan estos dispositivos.

Este último post he decidido dedicarlo a introducir algunos riesgos más, en función del área al que pertenece, puesto que comenté que me parecía un tema interesante en mi post relacionado con los riesgos. Si bien es cierto, que algunos riesgos se repetirán, pienso que es importante categorizarlos.

Riesgos

A continuación, planteo un pequeño esquema que resume los riesgos de cada área y acto seguido explicaré detalladamente cada una de estas [1].

  • Área financiera
    • Salud y seguridad
    • Cumplimiento normativo
    • Privacidad del usuario
    • Costos inesperados
  • Área operacional
    • Acceso inadecuado
    • Uso en la sombra
    • Rendimiento
  • Área técnica
    • Vulnerabilidad del dispositivo
    • Actualizaciones del dispositivo
    • Administración del dispositivo

Área financiera

El riesgo más grave que puede ocurrir en esta área es en el impacto en la salud y la seguridad si se modifica el funcionamiento de un dispositivo. Varias investigaciones han demostrado que se pueden realizar ataques a dispositivos biomédicos como un marcapaso o un desfibrilador. A su vez, también se pueden realizar ataques contra los coches, pudiendo deshabilitar el sistema de frenos cuando este está en marcha.

Además, como bien expliqué en mi post relacionado a los riesgos se puede obtener todo tipo de información de los dispositivos IoT. Si bien los dispositivos cuentan con medidas de seguridad como una contraseña, esta es opcional. Esto hace que la US Federal Trade Commision haya demandado algunas empresas por políticas de seguridad pobres.

También, los riesgos regulatorios son posibles, especialmente en los dispositivos embebidos. Los riesgos regulatorios ocurren principalmente cuando se está procesando información sensible, cuando se interactúa con procesos regulados por los gobiernos y por el impacto que tienen en sistemas críticos. Los dispositivos que procesan personales pueden estar tratando con información privada o sensible del usuario, lo cual implica un riesgo a la privacidad del usuario.

Finalmente, los costos inesperados suelen surgir cuando un se cambia un dispositivo no informático por uno que si lo es. Esto es debido a que el dispositivo informático requiera conectividad o soporte adicional para realizar la tarea completa.

Área operacional

Además de los riesgos financieros que implica utilizar un sistema embebido, hay que tener en cuenta otros riesgos. Uno de estos riesgos es contar con una comunicación M2M insegura. Esto hace que personal inapropiado pueda realizar cambios en el dispositivo u obtener telemetría de este.

También, la implementación de dispositivos sin una supervisión centralizada ni una gobernanza adecuada puede ser perjudicial para los dispositivos IoT. Este tipo de implementación se llama Shadow IT. Al no contar con nadie que se encargue de que los dispositivos estén protegidos, esto puede hacer asumir riesgos adicionales a la empresa la empresa.

Riesgos técnicos

Los dispositivos IoT embebidos suelen ser más complejos de configurara que los dispositivos tradicionales, causado por el gran número de dispositivos IoT. Estos dispositivos, al igual que los dispositivos tradicionales pueden ser atacados como bien mencioné en mi post sobre riesgos.

Los ataques realizados contra los dispositivos IoT ofrecen un desafío para los fabricantes, debido a que muchas veces la única manera de corregir la vulnerabilidad es actualizar el hardware.

Finalmente, desde el punto de vista de la administración de estos dispositivos, muchas empresas no están preparadas para poder proporcionar la seguridad necesaria a estos dispositivos. Esto hace que deban considerar cuestiones como la realización de inventarios, la supervisión de acceso al dispositivo etc. al igual que en los sistemas tradicionales.

Conclusión final

Mientras buscaba información para realizar estos artículos he descubierto un sinfín de características que desconocía sobre los dispositivos IoT. A su vez, como he ido comentando a lo largo de varios artículos, el número de dispositivos IoT ha estado creciendo durante los últimos años y se espera que siga creciendo en los próximos años. Además, creo que esta tecnología está revolucionando todos los sectores de la industria y que va a seguir incluyendo muchas mejoras. Finalmente, me gustaría recordar que estos dispositivos tienen un gran número de riesgos, los cuales creo que irán decreciendo en los próximos años.

Bibliografía

[1] <<Internet of Things: Risk and Value Considerations>>, ISACA, consultado el 20/11/2020, https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpiot




Los riesgos de la realidad digital

En este post, voy a intentar explicar cuales son los riesgos del uso en las empresas de la realidad digital. Aunque seguro que a quienes estéis leyendo esto se os puede ocurrir alguno más, voy a explicar únicamente aquellos que, después de haber realizado un pequeño trabajo de investigación, considero que son los más relevantes.

Riesgo físico

Todos aquellos que os hayáis puesto en algún momento unas gafas de realidad virtual sabréis que pueden llegar a hacer que perdamos un poco el entorno que realmente nos rodea. Es común ver videos de gente usando estas gafas que se cae, se choca, o se marea. Este último síntoma es bastante común, y en un entorno empresarial en el que es posible que se tenga que utilizar esta tecnología durante un periodo bastante largo de tiempo, supone un riesgo muy importante. Si nuestros empleados no pueden usar una tecnología en la que hemos invertido mucho dinero, ese dinero se pierde, además de que dichos empleados no van a estar muy contentos.

Otro riesgo físico que preocupa bastante en el aumento de la miopía tras un uso prolongado de este tipo de dispositivos [1]. Todos sabemos que mirar una pantalla durante bastante tiempo es malo para la vista, pero en el caso de la realidad virtual, es aún peor. Cuando miramos una pantalla, basta con levantar un segundo la vista para dejar de mirarla, pero si estamos usando un equipo, el hecho de tener que quitárnoslo (lo que obviamente es más costoso que levantar la vista), hace que estos “descansos” vayan a ser menos comunes. La verdad es que ahora mismo no existen datos sobre hasta que punto afecta el uso prolongado de estos dispositivos a nuestros ojos, pero lo que es seguro es que afecta de forma negativa.

Para terminar con los riesgos físicos, voy a hablar de los traumas que el uso de estas tecnologías puede causar. Muchas personas pueden pensar que como no va a ser de verdad, podemos vivir situaciones que no estaríamos dispuestos a experimentar en la vida real. Es verdad que el riesgo al que nos ponemos es menos en el ámbito físico, pero no en el psicológico. Al utilizar estas tecnologías lo que hacemos es engañar a nuestro cerebro, y la forma de procesar las experiencias que este piensa que estamos viviendo pueden llegar a causar ansiedad, miedo, o estrés postraumático (PTSD). [2]

Privacidad

Las tecnologías de realidad digital utilizan una gran cantidad de sensores para hacer las distintas experiencias lo más realistas posibles. Estos sensores registran datos sobre, por ejemplo, el movimiento de nuestros ojos o de nuestro cuerpo, nuestra posición geográfica… Hoy en día, estos dispositivos son capaces de captar unos 90 movimientos por segundo, lo que se traduciría con que, en una sesión de unos 20 minutos de uso de un equipo de realidad digital, se recogerían unos 2 millones de lecturas de nuestro movimiento [2]. Estos datos aportan una información que puede llegar a ser muy valiosa para las empresas, y que, si no se gestiona correctamente, puede suponer un gran riesgo. Además, como se gestione esta privacidad puede afectar a la opinión pública, y así reducir o aumentar el número de usuarios. Por ejemplo, Las Google Glass de 2014 fueron muy criticadas por su gestión de la privacidad, lo que finalmente hizo que el producto no tuviera éxito [3].

Seguridad

En cuanto al tema de la seguridad, esta se puede dividir en 3 partes. En primer lugar, está la seguridad física de quien la utiliza, pero de eso ya he hablado en el primer apartado, así que no voy a repetirlo. La seguridad de los datos va muy unida a lo expuesto en el apartado de privacidad, así que tampoco voy a ahondar mucho en ella. De la que no he hablado es de la seguridad de los equipos, como cascos, guantes, gafas… Para que una empresa puede implementar este tipo de tecnologías, necesita hacer una inversión en este tipo de dispositivos. Aunque cada vez son más asequibles, siguen sin ser lo que se dice baratos, por lo que perder algunos de estos dispositivos puede suponer un riesgo. Además, hay que considerar que hay muchas formas de perderlos, desde robo por parte de los empleados o de personas externas a la empresa, hasta ciberataques contra estos dispositivos, o simplemente que se les dé un mal uso o mantenimiento [4]. Estos ataques a estos equipos suponen amenazas muy graves para las empresas, ya que pueden terminar en robos virtuales, suplantaciones de identidad…

Conclusión

Como conclusión, me gustaría añadir que, aunque considero que la realidad digital puede ser muy útil para muchas empresas (como se vio en el post anterior), existen muchos riesgos asociados a su uso, y hay que saber bien como controlarlos, cosa de la que hablaré en el siguiente post.

Referencias

[1] La realidad virtual conlleva riesgos muy reales para la salud, Expansión, https://expansion.mx/tendencias/2018/01/02/la-realidad-virtual-conlleva-riesgos-muy-reales-para-la-salud#:~:text=Mareo,afecta%20la%20conexi%C3%B3n%20ojo%2Dcerebro.

[2] The risk and rewards of enterprise use of augmented reality and virtual reality. ISACA journal volume 1 2020.

[3] Coming to terms with reality, both virtual and augmented, Knowledge Leader https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/PreviewEmergingRisksApril2018Protiviti/$FILE/Preview-Emerging-Risks-April2018-Protiviti.pdf

[4] Los riesgos potenciales de la realidad virtual para la empresa, Datágora, http://www.datagora.es/los-riesgos-potenciales-de-la-realidad-virtual-para-la-empresa/




Controles y auditoría del cloud computing y de las soluciones on premise

En el post anterior se trataron algunos de los riesgos existentes de usar cloud computing o soluciones on premise. En este post se tratarán controles que se deberían llevar a cabo para minimizar ese riesgo.

En primer lugar hay que tener en cuenta que no todos los riesgos son igual de importantes. La importancia varía según el impacto que pueda tener en la empresa y lo probable que sea que suceda. Es por ello que los controles deberían de ir acorde a ello.

Los objetivos de control se pueden clasificar en los siguientes tipos: Cumplimiento normativo,  gobierno de datos, seguridad física, seguridad de la información, legal, gestión de las operaciones, gestión de riesgos, gestión de entregas de software.[1]

Cumplimiento normativo

En principio, los servicios en la nube tienen que acatar las leyes y regulaciones de los países en los que se encuentren. Aún así, algunos países pueden ir más allá y establecen ciertas regulaciones para mejorar la protección de los datos de sus ciudadanos. A los países a los que me refiero son los países miembros de la Unión Europea, todo ello recogido en la GDPR.[2]

Para asegurarse de que se cumplen, se deberían realizar:

  • Auditorías regulatorias independientes.
  • Controles para cumplir la propiedad intelectual.

Gobierno de datos

Se deberían de emplear políticas de clasificación, etiquetado y seguridad. Además de una política de retención de datos.

Seguridad física

Se debería de contar con una política de acceso y una para el gestión de activos. Si todos nuestros servicios están en la nube, será el CSP el que se encargará de la seguridad.

Para preservar la seguridad física es imprescindible:

  • Contar con medidas contra los fallos de suministro eléctrico.
  • Contar con un control de acceso a los servidores.
  • Contar con medidas contra incendios.
  • Contar con medidas de control ambientales para que los servidores funcionen correctamente.

Seguridad de la información

Se debería de tener una política de acceso, los usuarios solo deberían de poder acceder a aquellos recursos que necesiten. Para ello se podrían asignar roles diferentes. También se pueden establecer controles de encriptación de datos, como por ejemplo en Amazon AWS.[3]

Legal

Se deberían de tener contratos de confidencialidad, contratos a nivel de servicio y con terceras partes involucradas. 

Gestión de las operaciones

Realizar la planificación de la capacidad de recursos, es decir, determinar los recursos que necesita una organización para poder satisfacer futuras demandas.[4]

En el caso de el cloud computing, los servicios se suelen poder mejorar o añadir de forma bastante rápida y sencilla, en el caso de las soluciones on premise hace falta contar o adquirir con el hardware y software necesario, además de configurarlo correctamente.

Gestión de riesgos

Existen varias formas de gestionar los riesgos: evitarlos, aceptarlos, mitigarlos o transferirlos[5]. Algunos riesgos pueden evitarse buscando otra alternativa, por ejemplo, en cuanto al riesgo que existe a quedarse atado a un CSP, se puede evitar si solamente se usan librerías y APIs estándar. Si en lugar de eso, se usaran servicios específicos, se podría mitigar el riesgo adaptando el desarrollo para que fuera lo más modular posible y contando con personal experimentado, de tal forma que realizar cambios no resultase tan costoso. También es una buena idea evaluar la facilidad con la que se puede cambiar de proveedor cloud y qué sucede con los datos una vez terminado el servicio[6].

Si no se tomaran medidas para mitigar un riesgo, debería de ser porque no tendría un gran impacto en la organización y se puede asumir. También se pueden transferir los riesgos al CSP, pero no todos los riesgos se pueden transferir, como por ejemplo los riesgos que impliquen responsabilidades legales o que no puedan ser reparados.

En el post anterior hable de las vulnerabilidad de la tenencia múltiple en los servidores cloud, puede evitarse no usando esa modalidad, o incluso ignorarse ya que no se han documentado casos de ataques exitosos.

Gestión de entregas de software

Cuando se subcontrata el desarrollo, se debería de medir la calidad del producto, asegurarse de que existen procesos para recuperarse de un desastre para poder mantener el servicio, revisar los planes que tiene la compañía si la relación termina de forma abrupta y revisar los procesos del proveedor de servicios para garantizar la calidad. [7]

También se debe de contar con un control de cambios, de forma que los cambios quedarán documentados y solo se aplicarán cuando estén autorizados. Así, se minimizan los riesgos de errores, alteraciones no autorizadas o interrupciones. [8]

Referencias

  1. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/gucloudcomputingguideriskaudit
  2. https://www2.deloitte.com/uk/en/pages/risk/articles/cloud-risk-and-compliance.html
  3. https://www.isacajournal-digital.org/isacajournal/2019_volume_3/MobilePagedArticle.action?articleId=1485393#articleId1485393
  4. https://www.techopedia.com/definition/30469/resource-capacity-planning
  5. https://twproject.com/blog/risk-response-strategies-mitigation-transfer-avoidance-acceptance/
  6. https://www.revistacloudcomputing.com/2012/02/diez-cuestiones-que-debes-preguntar-a-tu-proveedor-cloud/
  7. https://esj.com/Articles/2011/04/19/IT-Auditing-Outsourced-Operations.aspx
  8. https://rmas.fad.harvard.edu/pages/change-control