Fases de los SIE

En este segundo post me gustaría plantear mi reflexión en torno a los Sistemas de Información Empresarial (en adelante SIE). Viendo las presentaciones de mis compañeros y realizando la nuestra me he dado cuenta de que los SIE son muy útiles y que traen consigo numerosos beneficios para la organización pero, que también, son un arma de doble filo. Esto se debe a que la cantidad de sistemas existentes en el mercado, la parametrización de cada uno de ellos y la posibilidad de crear uno propio le dan a cada empresa la posibilidad de triunfar o “cagarla” desde antes incluso de usar el sistema.

Como hemos visto en clase, lo primero de todo es ver si realmente necesitamos un SIE. Este considero que es el paso más importante para una organización ya que como mostramos en nuestra presentación, hay ocasiones en las que no es necesario implantar uno y puede desequilibrar la empresa además de los evidentes costes que supone. Por ello es esencial contar con la ayuda de expertos para tomar esta decisión. Puede parecer un gasto innecesario ya que es un paso previo a implantar el sistema pero puede marcar la diferencia entre el éxito y el fracaso.

Una vez nos decidimos por implantar un SIE debemos seguir contando con expertos para elegir la tecnología más adecuada para nuestra casuística y hacerles caso. Esto no quiere decir que les dejemos implantar lo que quieran, pero sí que seamos capaces de escucharles y plantear nuestras inquietudes. Como clientes puede que queramos implantar SAP por lo conocido que es y la “fama” que tiene pero debemos saber que cada sistema es más apropiado para unos casos y que nuestro caso puede distender mucho del ideal de una tecnología determinada. Es recomendable además investigar en Internet en torno a los diferentes SIE para ver si los expertos están primando su comodidad (reutilizando trabajos para otras empresas) o si realmente nos están recomendando la mejor alternativa.

Cuando tengamos clara la tecnología que vamos a implantar es importante la formación de nuestros empleados para usar el sistema y el llamado “acompañamiento”. Este concepto no es más que otra forma de formar a los trabajadores pero en lugar de impartir una clase y que se olviden de nosotros, deban estar ahí para nuestras dudas y podamos aprender de una forma más natural. Una vez tengamos el sistema implantado y nuestros trabajadores estén aprendiendo a usarlo nos daremos cuenta de que los SIE no dan resultados a corto plazo. Esto parece algo evidente ya que es algo que se recalca continuamente pero los empresarios piensan que cuando el sistema esté funcionando, la inversión comenzará a dar frutos. Los empleados necesitan tiempo para habituarse y optimizar los procesos convencionales.

A medio largo plazo los resultados del implantamiento del SIE serán visibles y será evidente que la inversión realizada a merecido la pena.

Para terminar este post en el que realmente no he descubierto américa y donde me he ceñido a decir cosas bastante evidentes me gustaría lanzar una reflexión personal tratando de juntar esta asignatura con otra del grado llamada Gestión del Conocimiento. ¿Podría un SIE gestionar además el Conocimiento de la organización? Me parece algo muy interesante ya que sería tratar de juntar esos dos peldaños de la pirámide del conocimiento (la información y el conocimiento). Los SIE cuentan con bloques bien divididos que podrían gestionar el conocimiento explícito de forma sencilla mediante por ejemplo manuales. Pero es que además se podría digitalizar todo el conocimiento tácito de los empleados para que la organización pudiera hacer uso de ello en cualquier momento (muy útil en empresas con un nivel de rotación alto, por ejemplo). Juntar ambos sistemas daría a la organización los beneficios de ambos y la comodidad de tenerlo todo en un mismo sitio.




Coste de la brecha de seguridad en Target y opiniones

Según Target, la brecha de datos costó 252 millones de dólares, de los cuales 90 fueron reembolsados por su seguro y se pudo deducir otros 57 en impuestos (porque sí, las brechas de seguridad son deducibles). De este modo, el coste total para la compañía fue de 105 millones de dólares, el 0,1% de sus ventas. 

Sin embargo, este coste podría haber sido inferior, ya que cuando salió por primera vez la norma PCI, Visa y MasterCard la utilizaban para dar a los comerciantes un ‘puerto seguro’ de sanciones en caso de incumplimiento, cuando el comerciante atacado era compatible con PCI.  Pero eliminaron ese ‘puerto seguro’ justo después de la primera gran brecha. Además,  Visa originalmente dijo que los comerciantes, que  cumplían con el estándar en el momento en el que sufrieron la fuga de datos confidenciales, estaban exentos de pagar una multa a Visa. Sin embargo, han suavizado la norma indicando que determinarán en cada caso, bajo su opinión, si se imponen multas al comercio afectado. Por ejemplo, Target ha llegado ha un acuerdo con Visa, por el cual se compromete a pagar una multa de hasta 67 millones de dólares dependiendo del número de afectados.

Según Gartner, la norma no se ha mantenido al día con las últimas noticias de ataques y, por ejemplo, ninguna de las aplicaciones anti-malware convencionales que existen en el mercado hoy en día buscan el software malicioso que atacó a Target. Por lo tanto, consideran que es rotundamente equivocado culpar de todo lo sucedido a Target o a cualquier otra entidad que haya sufrido una brecha. Debido a esto, los bancos emisores de tarjetas y la industria de las tarjetas (Visa. MasterCard, Amex, Discover) comparten la responsabilidad por no hacer más para prevenir las debacles que previsiblemente se han producido en los últimos nueve años, cuando comenzaron las primeras grandes brechas.

Venturebeat también añade que los estándares de seguridad de PCI solo consideran el cuidado de los datos en reposo, porque, en 2004, cuando se crearon las normas, el robo de los datos en reposo era el método más fácil y Desde entonces, las aplicaciones de punto de venta y de pago almacenan y abandonan enormes cantidades de registros de datos no cifrados en cada disco duro. Las normas PCI permiten el tratamiento de los datos en texto claro en la RAM de la máquina del punto de venta , así como la transmisión de los datos de las tarjetas sin cifrar a través de las redes locales




Análisis del ataque a Target

Como se puede comprobar con una lectura rápida de mi anterior post, durante el ataque a Target se cometieron varios errores que concedieron una oportunidad a los hackers para acceder al sistema y robar los datos. Sin embargo ¿cuáles de ellos habrían sido evitados si realmente Target hubiese cumplido con los requisitos de la PCI DSS?

  1. En el punto 1.2 de la regulación PCI DSS se especifica “Construir configuraciones de firewall y router de manera que restringan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos de titulares de tarjetas”, siendo una red no confiable aquella que “la empresa no puede controlar ni gestionar”. Sin embargo, en el sistema de Target entraron a través de la red de un proveedor, que en un principio no tenía acceso al entorno de las tarjetas, pero dicha separación no existía.
  2. En el punto 8.3 se recomienda “Incorporar dos de los tres factores de autentificación ( algo que se sabe (contraseña), algo que se tiene (una tarjeta) y algo que se es (escáner de retina)) para el acceso remoto a la red procedente de fuera de la red”. En el caso de Target, con un simple robo de la contraseña, valió para acceder a la red.
  3. En el punto 11.4 se recomienda “Utilizar técnica de detección de intrusos y/o de prevención de intrusiones para detectar y/o prevenir las intrusiones en la red” y en el punto 5.1.1 se habla de “Asegurar que los antivirus son capaces de detectar, eliminar y proteger el sistema contra todos los tipo de software maliciosos conocidos”. Estos dos casos, si se cumplían en la brecha de Target, ya que el antivirus y el software de FireEye enviaron varias alertas; aunque el eliminado automática estaba desactivado, práctica habitual en las empresas ya que prefieren que las personas analicen el archivo infectado antes de su eliminación, por si fuese simplemente un error.
  4. En el punto 10.6 se especifica “ Revisar los logs y los eventos de seguridad de los componentes del sistema para detectar e identificar cualquier tipo de anomalía o actividad sospechosas” En Target no se cumplió este requisito ya que si ignoraron todas las alertas recibidas y no se analizaron para detectar software malicioso.

En el caso de Target, ninguna otra recomendación de la PCI DSS habría evitado el ataque, ya que el estándar está pensado para proteger los datos mientras están guardados, y no protege durante la lectura de la tarjeta.