Yo controlo

El término control proviene de la época medieval en la que los contables recurrían al método del contrarotulus para revisar las cuentas mediante dos rollos: el deudor, que en latín llamaban rotulus ‘rollo de papel’ y el acreedor, que llamaban contrarotulus ‘rollo de verificación’.

De ahí pasó a la palabra contrerôlle, que más tarde daría lugar a contrôle y finalmente control, que pronto evolucionaría hacia su actual acepción de ‘comprobación’, ‘dominio’ o ‘vigilancia’, que es de lo que vamos a hablar hoy.

Cuando se nos viene a la cabeza la palabra control, la mayoría de nosotros podría imaginarse algo así:

Siendo las personas titiriteadas tanto personas como situaciones, por supuesto. Y, aunque muchos piensen que es así, la imagen que me viene a la cabeza es más similar a esta:

Una persona pendiente de todo, a todas horas.

Y, ¿qué hacen estas personas para mejorar el control sobre
las cosas? Prever, anticiparse, planear, PLANIFICAR

Planificar el trabajo vs planificar la vida

En cuanto al trabajo, durante la carrera hemos dividido,
queriendo o sin querer, los trabajos o tareas que hacíamos en dos (tres) partes:

  • Planificación –> establecer los objetivos del día, semana o trabajo concreto.
  • (Implementación) –> no muy importante en este tema
  • Controlar –> comparar los resultados con los objetivos establecidos para ver si se han cumplido o si se ha hecho bien la tarea

Ahí están dos de las palabras más usadas durante este post.
De tal forma que, si llevamos unos cuantos años tratando nuestros objetivos
profesionales de tal manera, ¿por qué no hacerlo también con el resto de
nuestra vida?

Cuando describimos la misión, visión y valores personales
para el trabajo grupal, indirectamente tuvimos que pensar en esos tres pasos
anteriores, para establecer el “plan estratégico” de nuestra vida, más o menos,
por lo que podría ser “extrapolable” hacia esa parte.

Controlar vs tenerlo todo bajo control

No, aunque lo parezca no son lo mismo.

Una persona controladora vive en constante estrés, no es
capaz de delegar y no tiene lugar la confianza o la relajación.

Por otro lado, una persona que le gusta tener todo bajo
control le gusta que todo funcione de una cierta manera, enterarse de todo lo
que pasa a su alrededor, y actuar si lo ve necesario.

Y aunque me describiese el primer día de la primera manera, bueno, creo que no ando así todos los días:

Para finalizar, he buscado en Google las típicas frases o consejos dignos de Mr. Wonderful (que también lo está usando como herramienta de márketing) para dejar de controlarlo todo, y mis opiniones:

  • Elabora un plan B –> ¿Es una buena idea que una persona que controle el plan A, controle también el plan B?
  • Cede el control –> Podría ser una buena idea, si es una persona que piensa igual que tú y te va a entender.
  • Crea la impresión que tienes el control –> Sí me parece útil, usando la técnica de planificación, al menos ya que no puedes controlarlo, lo tienes en cuenta en la planificación.
  • Empieza a relajarte y deja de controlar todo –> Esto es como decirle a una persona que está estresada que no se estrese, o que esté llorando y no llore, ningún sentido.

Espero que hayan sido interesantes mis opiniones acerca del control y la planificación, que se haya entendido la forma en la que yo creo que funciona y que haya sido interesante 🙂

Referencias:

  • Experiencia propia




Tipos de sistemas de control industrial

En las anteriores publicaciones hemos analizados los riesgos, los controles para mitigar los riesgos y la relevancia en la industria de los sistemas de control industrial (SCI), además de que también realizamos una breve introducción a estos sistemas. En esta ocasión me gustaría indagar un poco más en los distintos tipos de SCI que existen actualmente, para ello analizaremos los diferentes sistemas, veremos cómo funcionan y además mostrare unos esquemas que ilustraran la arquitectura de los diferentes SCIs.

Como vimos en la primera publicación un SCI es un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados[1]. Sin embargo existen diferentes maneras de realizar esta tarea, por diferentes maneras me refiero a diferentes tipos y configuraciones de SCIs que serían los siguientes: Sistema de Control Distribuido (SCD),  Sistemas de Supervisión, Control y Adquisición de Datos (SCADA), Controladores Lógicos Programables o Autómatas Programables (PLC).

Comenzaremos hablando de los SCD que son los encargados de controlar procesos industriales dentro de la misma zona geográfica. Se utilizan ampliamente en industrias basadas en procesos, además de que estos sistemas están interconectados con la red corporativa para proporcionar a las operaciones de negocio una visión de la producción. En la siguiente imagen se muestra la implementación de un SCD:

CapturaPost51

Por su parte los sistemas SCADA están altamente distribuidos y se utilizan para controlar activos dispersos geográficamente donde la adquisición y control de datos son críticos para la operación o funcionamiento del sistema. Los sistemas SCADA están diseñados para recoger información de campo y transferirla a una instalación informática central de modo que un operador pueda supervisar o controlar centralizadamente un sistema completo en tiempo real. Estos sistemas están diseñados para ser tolerantes a fallos con gran redundancia integrada en la arquitectura del sistema. La diferencia principal entre sistemas los SCD y los sistemas SCADA es que es que los primeros distribuyen los componentes de control mientras que los segundos son centralizados. Para ilustrar cual sería el diseño de un sistema SCADA se muestra la siguiente imagen:

Post52

 

Por último encontramos los controladores lógicos programables o PLCs, los cuales son dispositivos informáticos de estado sólido que controlan equipos y procesos industriales. Como se puede ver en las imágenes anteriores los PLCs se utilizan bastante en sistemas SCADA y SCD, sin embargo en muchas ocasiones son los componentes primarios de configuraciones de sistemas de control más pequeños más pequeños que proporcionan control operativo sobre los diferentes procesos. Los PLCs se utilizan en la gran mayoría de los procesos industriales. A continuación se representa la arquitectura de un PLC:

 

Captura53

Antes de finalizar me gustaría aclarar ciertos términos que vemos en los esquemas pero que quizá no se conozcan y no se sepa la función que realizan dentro del sistema:

  • Servidores de control: El servidor de control aloja el software de control de supervisión de SCD o PLC que se comunica con los dispositivos de control de nivel inferior.
  • Servidor SCADA (MTU): Se trata de un dispositivo que actúa como el maestro en un sistema SCADA.
  • Unidad terminal remota (RTU): Es una unidad de adquisición y control de datos de propósito específico diseñada para apoyar las estaciones remotas SCADA.
  • Dispositivo electrónico inteligente (IED): Es un sensor/mecanismo “inteligente” que contiene la inteligencia necesaria para adquirir datos, comunicarse con otros dispositivos, y realizar procesamiento y control local.
  • Interfaz hombre maquina (HMI): Un HMI es el software y el hardware que permite a los operadores humanos supervisar el estado de un proceso bajo su control, modificar las configuraciones de control para cambiar el objetivo de control y anular manualmente las operaciones de control automático en caso de una emergencia.
  • Histórico de datos: La información almacenada en esta base de datos puede ser accedida para apoyar diversos análisis, desde el control estadístico de procesos hasta la planificación a nivel empresarial.
  • Servidos de entrada/salida (ES): El servidor ES es un componente de control responsable de la recogida, el almacenamiento en memoria intermedia (buffer) y la provisión de acceso para procesar la información de los subcomponentes de control, tales como PLCs, RTUs e IEDs [2].

 

Por ultimo me gustaría señalar que los SCI son sistemas complejos con muchos componentes pero que desempeñan su función de forma eficiente y correcta. Gracias a ellos la industria actual se encuentra en una muy buena posición, permitiendo producir productos de alta calidad a un precio razonable. Su uso es crítico y como he señalado a lo largo de las cinco publicaciones su seguridad es crucial para la empresa, por ese motivo siempre deberían de tenerse en cuenta, además deberíamos concienciarnos de que su labor es crucial para el bienestar de la empresa.

 

Referencias:

 

[1]PublicaTIC. <<Una vista global a los sistemas de control industrial>>. Acceso 27 de noviembre de 2018. https://blogs.deusto.es/master-informatica/una-vista-global-a-los-sistemas-de-control-industrial/

[2] ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 27 de noviembre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

 




Controles y auditoria para los sistemas de control industrial

En el anterior post estudiamos los riesgos que afectan a los sistemas de control industrial. Pudimos ver que el mayor problema que rodea a los sistemas de control industrial es su tecnología anticuada y por lo tanto que estos resultan vulnerables a ataques, es decir van atrasados en materia de ciberseguridad. Esto se debe a que en un principio fueron diseñados para usarse en lugares que no estuviesen expuestos a una red externa, sin embargo los tiempos cambian y han obligado a estos sistemas a estar conectados tanto con otros sistemas de la empresa como con la red global debido a la cuarta revolución industrial.

Hay muchos desafíos que enfrentan la protección de sistemas de control industrial, que van desde técnicas, tales como protocolos de comunicación débiles (en su mayoría sin cifrar) o la larga vida útil de estos sistemas, a organizativos (por ejemplo, la falta de colaboración y coordinación entre los departamentos involucrados) y gubernamentales, por ejemplo la falta de una política de seguridad en operadores de infraestructura crítica.

Un problema muy importante que ha sido incluido entre los ocho mayores desafíos en la seguridad de sistemas de control industrial es que los miembros de alta dirección de las empresas que utilizan sistemas de control industrial no están suficientemente involucrados en la seguridad del sistema de control industrial [1].

Comenzaremos identificando los controles necesarios teniendo en cuenta los riesgos estudiados anteriormente. Debido a que el riesgo que identificamos hace referencia a la ciberseguridad y esta está estrechamente relacionada con la seguridad de la información tomaremos como referencia el estándar ISO 27002. Sin embargo solo haremos uso de aquellos controles que tengan que ver con nuestro tema, que son los siguientes:

RIESGO NIVEL DE RIESGO CONTROL
Conexión remota a los sistemas

Alto

6.2.1 Política de uso de dispositivos para movilidad.

 

6.2.2 Teletrabajo.

 

9.1.2 Control de acceso a las redes y servicios asociados.

 

9.2.1 Gestión de altas/bajas en el registro de usuarios.

 

9.2.2 Gestión de los derechos de acceso asignados a usuarios.

 

9.2.3 Gestión de los derechos de acceso con privilegios especiales.

 

9.4.1 Restricción del acceso a la información.

 

9.4.2 Procedimientos seguros de inicio de sesión.

 

12.4.1 Registro y gestión de eventos de actividad.

Integración con otros sistemas TI de la empresa

Alto

5.1.2 Revisión de las políticas para la seguridad de la información.

 

12.3.1 Copias de seguridad de la información.

 

12.7.1 Controles de auditoría de los sistemas de información.

Uso de dispositivos portátiles

Medio

8.3.1 Gestión de soportes extraíbles.

 

8.3.2 Eliminación de soportes.

 

8.3.3 Soportes físicos en tránsito.

 

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.

 

12.3.1 Copias de seguridad de la información.

Falta de renovación de la tecnología

Alto

12.1.2 Gestión de cambios.

 

12.1.3 Gestión de capacidades.

 

12.1.4 Separación de entornos de desarrollo, prueba y producción.

 

14.2.2 Procedimientos de control de cambios en los sistemas.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

 

14.2.7 Externalización del desarrollo de software.

 

14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.

 

14.2.9 Pruebas de aceptación.

Falta de concienciación y comunicación sobre la seguridad

Alto

6.1.1 Asignación de responsabilidades para la seguridad de la información.

 

6.1.2 Segregación de tareas.

 

6.1.4 Contacto con grupos de interés especial.

 

7.2.2 Concienciación, educación y capacitación en seguridad de la información.

 

16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.

 

16.1.5 Respuesta a los incidentes de seguridad.

Inadecuada gestión del cambio

Medio

12.1.2 Gestión de cambios.

 

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.

 

14.2.4 Restricciones a los cambios en los paquetes de software.

Conexión con una red global

Alto

9.4.1 Restricción del acceso a la información.

 

10.1.1 Política de uso de los controles criptográficos.

 

11.1.6 Áreas de acceso público, carga y descarga.

 

12.2.1 Controles contra el código malicioso.

 

13.1.1 Controles de red.

 

13.2.1 Políticas y procedimientos de intercambio de información.

 

14.1.3 Protección de las transacciones por redes telemáticas.

 

Como podemos observar los riesgos relacionados los sistemas de control industrial están altamente relacionados con la seguridad de la información, con la conexión de estos sistemas a la red los datos quedan expuestos a atacantes en la red o incluso que se encuentran dentro de la empresa. Por ese motivo utilizando todos los controles mencionados anteriormente somos capaces de controlar y mitigar los riesgos [2].

En pocas palabras me gustaría mencionar que los controles para asegurar la información de los sistemas de control industrial son totalmente necesarios. Por ese motivo las empresas deberían tenerlas muy en cuenta a la hora de implantar estos sistemas o incluso renovarlos. La auditoría sobre los sistemas de control industrial es más que necesaria para la adecuación de estos sistemas a las nuevas demandas de la industria, además de asegurar su continuidad mientras la empresa siga realizando sus labores dentro del sector en el que esta se desenvuelve.

Referencias:

[1] Deusto Océano. <<Approaching secure industrial control systems>>.Acceso 27 de noviembre de 2018. https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_scopus2-s2.0-84918570350&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,industrial%20control%20systems&sortby=rank&offset=0

[2] ISO27000.<<ISO27002>>. Acceso 27 de noviembre de 2018. http://www.iso27001security.com/html/27000.html




Relevancia de los sistemas de control en la industria

Tras haber realizado una visión global sobre los sistemas de control industrial, donde hemos podido conocer los diferentes tipos de sistemas existentes, ver un poco por encima sus vulnerabilidades y como han tenido que evolucionar estos en los últimos años por la aparición de la industria 4.0, es el momento de mostrar cual es el grado de relevancia de estos sistemas dentro de la industria. Para ello analizaremos diferentes noticias, empresas o tendencias que nos ayudaran a mostrar su importancia. Antes de comenzar cabe destacar que hoy en día toda empresa en el sector industrial tiene todo el proceso de fabricación controlado, parametrizado y monitorizado para que no ocurran errores catastróficos capaces de paralizar la planta de fabricación durante largos periodos de tiempo, y todo ello gracias a los avances tecnológicos actuales. [1]

Comenzaremos echando la vista atrás, donde los procesos ya estaban automatizados gracias a instrumentos que conseguían abaratar los costes de mano de obra y que realizaban trabajos repetitivos que a un ser humano acabarían cansándole, incluso en estas épocas ya se podía ver el afán de las personas por controlar el proceso para que este fuese lo más fiable posible. No fue hasta la década de los 60 donde se comenzaron a utilizar las computadoras para realizar estas labores de control. ¿Por qué los años 60?, porque para esas fechas ya se había avanzado lo suficiente en la materia de la computación como para lograr sistemas lo suficientemente potentes como para permitir que estos realizaran las labores de control. Durante los próximos años estos sistemas se irían desarrollando y mejorando con nuevas tecnologías hasta lograr sistemas de control que se encuentran conectados a la red y son capaces de interactuar entre ellos. [2]  En la siguiente imagen es posible visualizar esta evolución:

xEvolucion-de-la-automatizacion-industrial.jpg.pagespeed.ic.i7_wSni6Kz

La importancia que tiene el control sobre los procesos de fabricación es tal, que existe una ingería dirigida explícitamente a este tema, se denomina ingeniería de control. Estos profesionales se encargan de la investigación, el diseño y la gestión del desarrollo de los equipamientos utilizados para monitorear y controlar sistemas y maquinaria, trabajando en sistemas donde la precisión es vital. [3]

Además de los sistemas que mencione en el post anterior existen sistemas inteligentes con reguladores basados en modelos que se auto actualizan y con control de fallos, que pueden tomar decisiones en función de la información que obtienen a través de sus sensores. Estos sistemas son de gran importancia en mecatrónica y son usados también en el control digital de robots, máquinas herramienta, motores, coches y sistemas neumáticos e hidráulicos. [4]

También me gustaría recalcar que actualmente trabajo en una empresa que se dedica a la fabricación de botellas de vidrio, donde he podido aprender en primera persona como de críticos e indispensables son estos sistemas de control durante el proceso de fabricación. Estos sistemas recogen todo tipo de variables que permiten al operario conocer el estado del proceso, sin ellas este no sería capaz de ver lo que ocurre en todo momento dentro de cualquier maquina implicada en la fabricación, influyendo en la calidad del producto final de forma negativa. Sin embargo a día de hoy estos sistemas no son capaces de recoger tantas variables como a la empresa le gustaría, por ese motivo se sigue investigando y desarrollando nuevos sistemas cada vez más completos y robustos, usando nuevas tecnologías emergentes.

Antes de finalizar este texto me gustaría señalar que los sistemas de control industrial son una de las partes más importantes, si no la más importante dentro de la industria. Estos permiten a los operarios tener datos exactos y fiables en tiempo real del estado del proceso de fabricación, consiguiendo de esta manera evitar problemas de gran calibre que supondrían una gran pérdida de capital para la empresa. Pero como todo, estos sistemas no son perfectos, por ese motivo existen profesionales que se dedican a mejorarlos y actualizarlos, con el fin de supervisar el proceso en la mayor medida posible. Siempre surgen nuevas variables que se pueden parametrizar y que tienen una importancia dentro del proceso. Además debido a la tendencia de tener todos los dispositivos conectados a la red, los sistemas de control industrial no se podían quedar atrás por lo que estos también deben de estar a prueba de ataques provenientes de Internet. Sin embargo ese es un tema más ligado con el ámbito de riesgos por lo que hablaremos sobre ello con más detalle en la siguiente publicación.

 

Referencias:

[1] Lym. << Importancia de la Instrumentación y el Control en el Sector Industrial de la Actualidad>>. Acceso 21 de noviembre de 2018. https://www.lymcapacitacion.com/blog/16158/instcontrol

[2] Reportero Industrial. << Evolución de la automatización industrial>>. Acceso 21 de noviembre de 2018. http://www.reporteroindustrial.com/temas/Evolucion-de-la-automatizacion-industrial+98784

[3] Educaweb. <<Ingeniero de control>>. Acceso 21 de noviembre de 2018. https://www.educaweb.com/profesion/ingeniero-control-409/

[4]UNT. <<Importancia del control automatico en la industria de procesos>>. Acceso 21 de noviembre de 2018. https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=2ahUKEwiHvaDs5eXeAhUIyaQKHcHDBrYQFjABegQICBAC&url=https%3A%2F%2Fcatedras.facet.unt.edu.ar%2Fsistemasdecontrol%2Fwp-content%2Fuploads%2Fsites%2F101%2F2017%2F06%2FImportancia-del-control-autom%25C3%25A1tico-en-la-industria-de-proceso_Taller-Exactas-para-Todos-2017.pdf&usg=AOvVaw3Tv70y984ehAjh-vJh2jIg




Una vista global a los sistemas de control industrial

Desde que yo tengo uso de razón el ser humano siempre ha sentido la necesidad de controlar cada aspecto que influye en su vida. Este control nos hace sentir reconfortados y cómodos sabiendo que todo lo que sucede, es tal y como habíamos previsto. Por lo que si decimos que lo mejor es tener bajo control cualquier decisión que tomamos o cualquier acción que realizamos en nuestra propia vida, también deberemos de controlar cada proceso dentro del sector industrial. De esta manera al igual que con nuestras decisiones o acciones sabremos si lo que estamos produciendo es lo que inicialmente habíamos planeado. Por lo que se podría resaltar que el control dentro de la industria, sobre los procesos de producción, aporta un grado seguridad y confort a las empresas, ya que conocen el estado de su producto en todo momento.
Dicho todo lo anterior, los sistemas de control industrial (SCI) de podrían describir como un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados. En pocas palabras, nos permiten conocer el estado de nuestro producto en cada fase del proceso y poder verificar si es el esperado. Normalmente los SCI se utilizan para controlar equipos o maquinas. Para comprender mejor donde se integran los SCI dentro del proceso de fabricación de una fábrica he decidido mostrar la siguiente imagen donde creo que se refleja muy bien su función:

sistemaDeControlIndustrial

Como se puede ver en el esquema el SCI se encarga de dar órdenes a la planta para que ejecute ciertas tareas y que al mismo tiempo recibe información de la planta para asegurar que todo se encuentra de los parámetros especificados. Por supuesto todo esto siempre debe estar supervisado por un operario.

Además el termino SCI engloba diferentes tipos de sistemas de control entre los que podemos encontrar incluyendo sistemas de control de supervisión y de adquisición de datos (SCADA), sistemas de control distribuido (SCD), y otras configuraciones de sistemas de control, tales como controladores lógicos programables o autómatas programables (PLC). Esto lo definió el Instituto Nacional de Estándares Y Tecnologías de Estados Unidos en el año 2008.

Los SCI han existido en la industria desde hace mucho tiempo y no suponían ningún riesgo para la empresa. Sin embargo, con el avance de la tecnología llego la cuarta revolución industrial o Industria 4.0, donde se demandaban que estos sistemas estuvieran interconectados. El principal problema es que nunca se diseñaron para estar conectados a la red, por lo que nunca se tuvo en cuenta la posibilidad de que sufriesen ningún tipo de ciberataque. Por este motivo requiere que se doten de robustos sistemas de seguridad ya que proporcionan servicios básicos.

Como en la mayoría de casos en un principio ni se consideraba asegurar robustamente estos sistemas contra ataques de terceros, pero como en la mayoría de ocasiones siempre es necesario que ocurra una catástrofe para que percibamos la necesidad de protegernos contra amenazas, y eso es exactamente lo que ocurrió con la aparición de malware como Stuxnet, Duqu y Flame que atacaban SCI.

El tema de la seguridad en los SCI es algo crítico y de vital importancia, ya que realizan funciones vitales dentro de la fábrica pero son muy vulnerables contra ataques. Por eso podemos si acudimos a cualquier navegador y realizamos una búsqueda a cerca de este tema  podremos encontrar numerosos artículos, muchos de ellos de ISACA. Lo que quiero decir es que la seguridad de estos sismes es un tema que está a la orden del día y que preocupa a las empresas. Volveremos a este tema de la seguridad en los SCI cunado analícelos los riesgos de estos en futuros posts.

En pocas palabras los SCI son imprescindibles en todo proceso de fabricación para lograr productos de calidad y evitar errores críticos. Son sistemas vitales dentro de una fábrica pero también muy vulnerables a ataques que comprometan su correcto funcionamiento. Por ese motivo deben estar blindados contra cualquier tipo de amenaza por pequeña que esta sea, sin embargo esto no siempre resulta sencillo y es un tema que preocupa bastante a las empresas.

Si me tuviese que quedar con una cosa que me ha llamado especialmente la atención es el por qué existe esta falta de seguridad en unos sistemas tan críticos en el proceso de fabricación. ¿Se podría haber evitado esta situación si se hubiese estudiado mejor como afectaría la tecnología a la industria?, en cualquier caso ya no es posible regresar al pasado y corregir los errores, pero si es necesario actuar y estar preparado para cualquier problema que pueda surgir en el futuro.

Referencias:

ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 17 de octubre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

Monografias. <<Automatismos y control. Sistemas básicos de control industrial>>. Acceso 17 de octubre de 2018. https://www.monografias.com/trabajos101/automatismos-y-control-sistemas-basicos-control-industrial/automatismos-y-control-sistemas-basicos-control-industrial.shtml

Wikipedia. <<Sistema de control>>.Acceso 17 de octubre de 2018. https://es.wikipedia.org/wiki/Sistema_de_control

IEEE Xplore. <<Improving cybersecurity for Industrial Control Systems>>. Acceso 17 de octubre de 2018. https://ieeexplore.ieee.org/document/7744960




Social media y networking desde una perspectiva corporativa – Controlando y auditando

¡Hola a tod@s!

Son varios ya los posts respecto al tema que nos compete, hemos arrojado algo de luz sobre diferentes aspectos: riesgos, relevancia… Hoy, vamos a ponerle la guinda al pastel. Vamos a abordar cómo se deben auditar y controlar la social media y las formas de hacer networking en nuestras organizaciones. Auditar y poner controles es lo que nos va a permitir evitar los riesgos, o, por lo menos minimizarlos. En este sentido, vamos a tratar de explicar los controles a implantar y el proceso para auditar correctamente y proteger nuestra empresa. Pongámonos a ello.

Lo mencionamos en el anterior post y en este lo volvemos a repetir, una buena gobernanza es clave en esto. Establecer unas políticas de uso adecuadas en cuanto a medios sociales y networking se refiere puede resultar muy beneficioso para la empresa y evitar riesgos. En cuanto a los medios sociales, hay que dirigir la política tanto a las cuentas oficiales como a las cuentas personales de los empleados. Al fin y al cabo debemos dar unas líneas generales en cuanto al uso de los medios:

  • Normas y reglamentos a cumplir
  • Roles y responsabilidades de cada uno
  • Riesgos jurídicos y de seguridad que pueden existir

Un claro ejemplo de una política de este tipo es la de Nvidia, una empresa dedicada al desarrollo de hardware (UPGs principalmente) que hace pública su política.

Sobre cómo auditar, vamos a explicar las bases sin entrar en detalles. Existen muchos y diversos matices a la hora de cómo afrontar una auditoría sobre los medios sociales y el networking. Sin embargo, debemos tener en cuenta que una auditoría de medios sociales debe responder a varias preguntas clave:

  • ¿Existe una estrategia para medios sociales apoyada por las políticas, procesos y estructuras adecuadas?
  • ¿Está la estrategia social alineada con la estrategia corporativa?
  • ¿Cuáles son los riesgos asociados a los medios sociales?¿Son mitigados?¿Logran los beneficios ser mayores que los costes?
  • ¿Existen controles de identidad y acceso a la hora de manejar los medios sociales?

No me quiero extender demasiado ya que en las referencias podéis encontrar con más exactitud todas las preguntas. Ahora bien, si que voy a exponer los aspectos a tener en cuenta por parte de un reporte de una auditoría sobre los medios sociales:

  • Identificar los riesgos de los medios sociales que tienen un gran impacto en los objetivos clave de la organización
  • Relacionar los riesgos con objetivos comerciales específicos
  • Evitar observaciones genéricas sin valor comercial alguno
  • Identificar posibles problemas de incumplimiento en el negocio
  • Proporcionar una perspectiva de cara a futuro
  • Hacer diagramas cuando sea posible

Teniendo esto en cuenta, debemos dirigir nuestra auditoría para que cumpla y conteste estos aspectos. Obviamente, todo esto debe siempre ir en concordancia con el proceso de pre-auditoría: entender y analizar el negocio, entender y analizar el entorno de los medios sociales, realizar una evaluación de los riesgos y planificar la auditoría.

Hay que recalcar que es aconsejable realizar auditorías sobre las redes sociales en concreto con cierta asiduidad debido a que son entornos muy cambiantes y exigen de una continua revisión. Auditar las redes sociales no implica hacer una audición completa, sino simplemente asegurar que cada una de las redes que tenemos funciona y responde acorde a lo que buscamos. Por ejemplo, podemos auditar nuestras redes sociales basándonos en el enfoque de las 5 Ws:

  • Who: indica quien es el creador del contenido
  • Where: hace referencia al canal
  • What: representa el tipo de contenido
  • When: nos dice con qué frecuencia se sucede
  • Why: es el propósito del mensaje

 

Una vez hecho éste análisis, valoramos cada red con una puntuación del 1 al 5 representando el 1 que la opción es un problema y el 5 una oportunidad. Una tabla de ejemplo rellenada:

Screen Shot 2017-12-01 at 12.07.09

 

Con esto podemos llevar a cabo una micro-auditoría que nos va ayudar a darle continuidad y sensatez al uso de nuestras redes sociales. Es una forma sencilla y simple de asegurar que vamos en el buen camino.

Esto es todo, espero que os haya gustado esta humilde serie de posts, cualquier comentario, proposición o aportación será más que bienvenida.

¡Saludos!

 

[1] «Política de utilización de los medios sociales«, Nvidia, acceso el 30 de Noviembre, http://www.nvidia.es/object/social-media-guidelines-es.html

[2] «Auditing Social Media: A Governance and Risk Guide», Océano, acceso el 30 de Noviembre, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_emerald_s10.1108%2F14684521211241459&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,social%20media%20auditing&sortby=rank&offset=0

[3] «Conducting a Social Media Audit», Harvard Business Review, acceso el 30 de Noviembre, https://hbr.org/2015/11/conducting-a-social-media-audit

[4] «Creating Business Value through Governance & Auditing of Social Media Using COBIT 5», Isaca, acceso el 30 de Noviembre, https://m.isaca.org/Education/Conferences/Documents/COBIT/COBIT-NA-2016/8.pdf

 




¿Podemos controlar nuestras identidades digitales?

Desafortunadamente, no podemos cuantificar la confiabilidad de un sistema, método o técnica, por mucho que existan distintas herramientas las cuales intentan darnos esa seguridad, nosotros lo único que podemos hacer es tratar de cuantificar el riesgo y equilibrarlo. Las empresas han estado analizando el riesgo durante años, y para ello se deben tener varios conocimientos sobre la misma, como por ejemplo, un resumen detallado del sistema, evaluaciones de la interacción requerida con los socios y su capacidad para realizar las tareas. Lo importante es cuantificar las pérdidas potenciales y sus probabilidades a un nivel de detalle que depende de la madurez de la infraestructura de identidad. Por lo que, con todo esto estamos hablando de una auditoría exhaustiva que nos ayude a mitigar esos riesgos de los que hablábamos en las publicaciones anteriores. [1]

Tanto las personas como las organizaciones deben tomar el control de su gestión de identidad, de forma que mejoren su seguridad y privacidad.  Para ello pueden llevar a cabo una serie de estrategias:

  1. Una auditoría de identidad personal para comprender donde acaba su huella digital, si cualquiera puede acceder a ella o no, etc.
  2. Utilizar herramientas para mejorar la privacidad.
  3. Mantenerse informado como ciudadano digital sobre cómo proteger su privacidad digital.

La siguiente matriz iría relacionada con el primer punto:

Riesgos

Controles

Suplantación de identidad –  Conocer en detalle la forma en la que se ha dado la suplantación de identidad.

–  Determinar que la organización ha definido una fuente de identidad confiable, como la base de datos de recursos humanos.

Registro abusivo de nombre de dominio – Verificar que la empresa cuenta con una estrategia en caso de ciber ocupación.

Determinar que posee los recursos legales apropiados para reprimir este acto. [3]

Ataques de denegación de servicio distribuido ataque «DDoS» – Determinar si se puede soportar ese tipo de ataque.

– Verificar que la empresa cuenta con una estrategia en caso de que el ataque le afecte.

Fuga de información – Determinar que el sistema de manejo de identidad verifica cada solicitud de una identificación nueva o modificada contra la fuente confiable.

– Determinar que las plataformas siguen la política de manejo de identidad de la organización.

– Verificar que las aplicaciones heredadas que no se adhieren a la política de manejo de la identidad hayan sido formalmente aprobadas por un ejecutivo de TI en un nivel superior apropiado.

– Determinar si un marco de gestión de seguridad apropiado, como ISO / IEC 27002 o la serie NIST 800, se utilizará como referencia de buenas prácticas. [4]

Publicaciones por terceros de informaciones negativas

 

– Determinar por qué han ocurrido esas publicaciones.

– Determinar si existe una estrategia alternativa que solucione esa información negativa. 

Utilización no consentida de derechos de propiedad industrial – Comprobar que la organización conoce los métodos legales y que puede aplicarlos para evitar esa utilización no consentida. 

CapturaMe parece interesante comentaros, con respecto al segundo punto, algo que he estado leyendo: La Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC). Se trata de una organización que describe una visión del futuro, un Ecosistema de Identidad, donde individuos, empresas y otras organizaciones (comunidades) disfrutan de mayor confianza y seguridad mientras realizan transacciones confidenciales en línea. Y os preguntareis, pero ¿de qué se trata? Pues bien, es un entorno en el cual las tecnologías, las políticas y los estándares están acordados de manera que respaldan todas las transacciones (desde las que van de valores anónimos hasta totalmente autenticados, de altos a bajos). Los componentes de este ecosistema de identidad son los siguientes:

  • El Marco del Ecosistema de Identidad (Identity Ecosystem Framework – IDEF) es el conjunto general de estándares de interoperabilidad, modelos de riesgo, políticas de privacidad y responsabilidad, requisitos y mecanismos de responsabilidad que estructuran el ecosistema de identidad.
  • El Servicio de Listado de Autoevaluación de IDEF (Self-Assessment Listing Service – SALS) está diseñado para generar confianza en línea. Se trata de una página web donde los proveedores de servicios de identidad en línea y las aplicaciones que autentican las credenciales pueden informar sobre su estado mediante una autoevaluación con un conjunto de estándares comunes.
  • El Grupo Directivo del Ecosistema de Identidad (Identity Ecosystem Steering Group – IDESG) administra el desarrollo de políticas, estándares y procesos de acreditación para el IDEF de acuerdo con los Principios Rectores en la Estrategia. El IDESG también asegura que las autoridades de acreditación validen la adherencia de los participantes a los requisitos del IDEF.
  • Los marcos de confianza son desarrollados por una comunidad cuyos miembros tienen metas y perspectivas similares, como los Pilotos NSTIC. Un marco de confianza define los derechos y las responsabilidades de los participantes de esa comunidad, especifica las políticas y estándares específicos de la comunidad y define los procesos y procedimientos específicos de la comunidad que brindan seguridad. Un marco de confianza debe abordar el nivel de riesgo asociado con los tipos de transacción de sus participantes. Para ser parte del Ecosistema de Identidad, todos los marcos de confianza deben cumplir con los estándares de referencia establecidos por el IDEF.
  • Las autoridades de acreditación evalúan y validan a los proveedores de identidad, proveedores de atributos, partes confiables y medios de identidad, asegurando que todos se adhieran a un marco de confianza acordado. Las autoridades de acreditación pueden emitir marcas de confianza a los participantes que validan.
  • Los esquemas de marca de confianza son la combinación de criterios que se miden para determinar el cumplimiento del proveedor de servicios con el IDEF. El IDEF proporciona un conjunto básico de estándares y políticas que se aplican a todos los marcos de confianza participantes. Esta línea de base es más permisiva en los niveles más bajos de seguridad, para garantizar que no sirva como una barrera indebida a la entrada, y más detallada en niveles más altos de seguridad, para garantizar que los requisitos estén alineados con el riesgo de cualquier transacción dada. [2]

Por último, con respecto al tercer y último punto de estas posibles estrategias a seguir, os invito a que accedáis al Instituto Nacional de Ciberseguridad de España, y os leáis la guía de aproximación para el empresario sobre Ciberseguridad en la identidad digital y la reputación online. En ella encontramos, entre otras cosas, nuestro derecho (marco legal) y unas recomendaciones para la gestión de la identidad digital y la reputación online. Además, también me ha parecido interesante una página web del Gobierno de Australia (https://esafety.gov.au/) la cual se compromete a ayudar a los jóvenes a tener experiencias positivas y seguras en línea.

Por lo tanto, en algunas empresas más grandes se dispondrá de un Social Media Manager, el cual será el responsable de la identidad digital, sin embargo, en otras más pequeñas y con menos presupuesto, quizás se encargue el Community Manager. Lo que está claro es que el adecuado manejo de los riesgos, la gobernabilidad, etc. evita en gran medida esos problemas referentes a la seguridad de la identidad digital, lo cual, según empresas como Deloitte, produce mucho valor para la misma.


Referencias

[1] Phillip J. Windley (2005). <<Digital Identity: Unmasking Identity Management Architecture (IMA)>>. Acceso el 16 de noviembre de 2017, https://books.google.es/books?id=o8mHSbDHgPsC.

[2] IDESG. <<Overview>>. Acceso el 15 de noviembre de 2017, https://www.idesg.org/The-ID-Ecosystem/Overview

[3] JUS. <<Disputa de nombres de dominio>>. Acceso el 16 de noviembre de 2017, https://jus.com.br/artigos/3977/disputa-de-nombres-de-dominio

[4] ISACA. <<Identity Management Audit/Assurance Program>>. Acceso el 15 de noviembre de 2017, https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Identity-Management-Audit-Assurance-Program.aspx




Bichos, una aventura en miniatura

 

https://www.youtube.com/watch?v=XJovUZBAIkk

Siguiendo la manera didáctica de Pablo, me ha parecido interesante buscar un vídeo con el que pueda hablar de los diversos temas que hemos abarcado en clase. He encontrado este vídeo de la película “Bichos, una aventura en miniatura”, en el cual se pueden ver reflejadas varias cosas del día a día de una organización y de una persona.

En primer lugar, a partir del minuto 0:32, se puede escuchar la frase: “Sé que no acostumbramos a cambiar las tradiciones, pero …”. Esta frase nos enseña que las organizaciones y las personas necesitan actualizarse para ir avanzando, como dijo Miguel de Unamuno, “el progreso consiste en renovarse”, de ahí viene el dicho de “renovarse o morir”. Debemos darnos cuenta de que por mucho que funcione algo, seguramente exista otra forma mejor o simplemente diferente de hacerlo, por ello tenemos que buscarla. Muchas veces la gente cree que el cambio no es bueno, piensan… ¿Por qué voy a cambiar algo que funciona? Y es que es verdad que en la zona de confort se está muy bien, entonces… ¿Para qué salir de ella? Tienen razón, esa zona de confort nos da abrigo, nos hace sentir seguros, quizás porque abarca todo aquello que conocemos y controlamos. Pero eso mismo que nos protege también nos puede causar daño, si nos acomodamos nos estancamos, no buscamos estímulos, caemos en la monotonía, por eso hay que ser valientes y olvidarse del miedo a lo desconocido, buscar nuevos aprendizajes, nuevas emociones. Me gustaría listar algunos consejos que he encontrado y que pueden ayudar a salir de esa zona de confort, espero que os sirvan:

  • Reconoce tus límites: Debes reconocer tus barreras internas y externas. Acepta que no eres perfecto, pero reconoce que puedes llegar a donde desees. [1]sdd
  • Aprende a aceptar: Al salir de nuestra zona de confort nos encontraremos con aspectos que no podemos manejar o controlar, es importante aceptar esas situaciones. Imagina lo que quieres y trabaja en ello: Cada pequeña acción que llevas a cabo te ayudará a ampliar tu perspectiva. [1]
  • Desafíate y rinde al máximo: Según un estudio llevado a cabo por un grupo de psicólogos, un poco de ansiedad puede ser positivo para mejorar nuestro rendimiento y nos permite seguir creciendo profesionalmente. Por tanto, convierte esas situaciones que te provocan ansiedad en situaciones estimulantes y que nadie te pare los pies. No le llames nervios o inseguridad, llámale “emoción”.  [2]
  • Anticipa todas las excusas que te vas a poner: Sé consciente de que, cuando te fijes metas que te resulten incómodas dentro de tu zona de confort, inconscientemente te vas a estar buscando un montón de excusas para no hacerlo. Juzga estas excusas como lo que son: invenciones cuyo único objetivo es racionalizar la aceptación de la comodidad. [2]

En mi opinión estos consejos son bastante útiles y constructivos, y pienso que se pueden seguir siempre y cuando sigas siendo fiel a ti mismo, lo cual sigue siendo uno de los retos más grandes en un mundo que quiere que todos sean iguales.

Por otro lado, siguiendo con el vídeo, a partir del minuto 1:35 podemos ver como los bichos trabajan en equipo para llegar al objetivo común: construir el pájaro. Se puede observar como cada una tiene su función, algunas hormigas guían a otras hormigas mientras trabajan, la araña teje en el momento en el que se la necesita, etc.  Esto me ha recordado a que seguramente cuando trabajemos en una empresa cada uno de nosotros tendrá un trabajo específico, y que gracias a ese trabajo, y al del resto de nuestros compañeros conseguiremos llegar al mismo objetivo. Trabajaremos en equipo, es decir, será un trabajo hecho por varios individuos donde cada uno hace una parte, pero todos trabajan con un objetivo común. Lo importante de todo esto, es que cada uno sepa que quiere hacer, que le gusta hacer, ya que en mi opinión, si todos remamos con las mismas ganas hacia el mismo sitio, se llegará antes y mejor al resultado final. ¿Y qué mejor forma que la de ir al trabajo con ganas de trabajar? [3]

Así mismo, en el minuto 3:42 podemos ver como la hormiga reina está recordando al resto de las hormigas lo bien que están trabajando. Esto me ha recordado a un momento de clase cuando comentamos que había que felicitar a las personas cuando hacían algo bien. Y es que un refuerzo positivo muchas veces ayuda más que regañar a alguien por algo que haya hecho mal. Esto se puede aplicar a una organización, por ejemplo, el jefe de proyectos debe exigir a sus empleados cierto grado de cumplimiento, pero a su vez también debe recordarles lo bien que lo están haciendo y ayudarles en todo lo que necesiten, como si fuera uno más, porque lo es.

Por lo tanto, lo que buscaba que sacarais de este post es que lo importante es ser feliz y que para eso hay que estar a gusto con uno mismo, con lo que está haciendo y con lo que tiene planeado hacer. Tenemos que darnos cuenta de que nadie nos va a allanar el camino, nosotros mismos tenemos que buscar ese camino y recorrerlo. Debemos recordar que tenemos suerte si contamos con gente a nuestro alrededor que nos ayude y a la que podamos ayudar, ya sea en un trabajo en equipo o en la vida personal. Y seguramente nos equivoquemos o lo pasemos mal al salir de esa zona de confort en la que estamos, pero debemos tener en cuenta en todo momento que el resultado final siempre va a merecer la pena.

blogger-image-1406665668


Referencias

[1] La mente es maravillosa. <<Sal de tu zona de confort>>. Acceso el 31 de octubre de 2017. https://lamenteesmaravillosa.com/sal-de-tu-zona-de-confort

[2] Psicología y mente. <<Cómo salir de tu zona de confort: 7 claves para lograrlo>> Acceso el 31 de octubre de 2017. https://psicologiaymente.net/coach/salir-zona-de-confort-claves

[3] Wikipedia. <<Trabajo en equipo>>. Acceso el 1 de noviembre de 2017. https://es.wikipedia.org/wiki/Trabajo_en_equipo




Sistemas de control industrial y riesgos

Caminar por la calle debería ser suficiente para darse cuenta del afán de los humanos por controlar todo. El tiempo, el clima, la calidad del aire, el numero de plazas en el parking de debajo de tu casa. Está por todos los lados. En las farmacias, en los escaparates de tu tienda de ropa o en el bar con tus amigos. Y lo cierto es que todo este control tiene un sentido. El control nos ayuda a comprender nuestro entorno, y por consiguiente predecirlo. Esto es algo que el ser humano no ha tardado mucho en darse cuenta, ya que la intención de controlar nuestros alrededores se remonta muy atrás, pero es actualmente cuando más controversia. Ante el control que el gobierno quiere imponer a los ciudadanos, estos se revelan para proteger su privacidad. Y siempre es por lo mismo, el afán de controlar y predecir. Este control también se extiende al mundo de la empresa y de la industria. Sería ideal controlar todas las variables que pueden inferir en el negocio, pero entran en juego dos variables que limitan este sueño: el tiempo y los recursos. Por ello, es cada vez más importante saber gestionar estos recursos e identificar las variables más importantes a controlar.

Antes de comprender el presente, intentemos comprender el pasado. Uno de los primeros mecanismos de control, se cree que fue un antiguo reloj de agua Ktesibios en Alejandría, Egipto. Sin embargo, se considera que el boom de los sistemas de control industrial se inicio a medidos del siglo XVIII. Fue a finales de siglo cuando realmente se avanzó en la industria y campos específicos notaron considerables mejoras. En la industria naval, por ejemplo, se permitió la construcción  de barcos más grandes gracias a la invención de los servomecanismos o servomotor. A mediados de 1950, empiezan a aparecer lo que conocemos como sistemas de control modernos. Los ingenieros se dieron cuenta de que las mediciones reales contienen errores y están contaminadas por el ruido, por lo que empezaron a aparecer nuevas formas de medir. Emergen también los PLC, o los controladores lógicos programables y términos como SCADA (Supervisory Control and Data Acquisition). Automatizar el control hizo que incrementara muchísimo la producción del sector industrial, pero de la misma forma que la tecnología y la información trae nuevas oportunidades, trae consigo también nuevos riesgos.

Los sistemas de control industrial se habían convertido en un activos muy fiables. Si bien es cierto que podían tener algún fallo interno, estaban completamente cubiertos en cuanto a los ataques externos se refiere. Sin embargo, los sistemas computacionales no son inmunes a las ciber-amenazas. La entrada del Internet en la industria, se abre un nuevo mundo para los ciberataques. Esto es una grave amenaza, que algunas empresas han sabido identificar mejor que otras, ya que se ha demostrado que un ataque de este tipo puede tener las mismas o peores consecuencias que un ataque físico. Ejemplos muy actuales demuestran la capacidad devastadora con la que cuentan. En esta imagen se muestran los 8 mayores ciberataques del 2016 según Forbes. Los sistemas de control industrial han pasado literalmente de tener cero días de ataques, a tener ataques de día cero.

A medida de que la industria avanza surgen nuevas tecnologías con las que controlar los procesos. Los sistemas de computación en la nube son cada vez más populares en el mundo de la industria, y términos como IIoT o la industria 4.0 están dejando de ser novedosos. El mundo de la industria está viviendo su cuarta revolución hacia un mundo totalmente nuevo, en el que las fábricas son más productivas, más flexibles y más eficientes. La computación en la nube ya es una realidad también en el mundo industrial. Nuevamente vuelven a surgir oportunidades y amenazas. En un mundo tan competitivo, donde se le otorga un altísimo valor a la información y el dato, ¿qué pasa cuando esos datos están en la nube? Los sistemas de control se tienen que extender mucho más allá de los límites de la organización.

Ciertamente, como con cada revolución, se plantea un futuro incierto pero ilusionante, donde se permite que el desarrollo y la innovación puedan volver a ser factores determinantes. Sin embargo, tenemos que aprender del pasado y aplicar esas lecciones al presente y al futuro. Innovación y desarrollo y control y seguridad tienen que ir de la mano. Olvidarlo es ser olvidado.

 


 

Referencias:
<<JOnline: Security of Industrial Control Systems>>, Acceso el 8 de octubre de 2017, https://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx

<<Industrial Control Systems and Risks>>, Acceso el 8 de octubre de 2017, https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/

<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 8 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/

<<Control system>>, Acceso el 8 de octubre de 2017, https://en.wikipedia.org/wiki/Control_system

<<Industrial Control Systems: A Primer for the Rest of Us>>, Acceso el 8 de octubre de 2017, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

<<An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity>>, Acceso el 10 de octubre de 2017, https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

<<8 Major Cyber Attacks Of 2016 [Infographic]>>, Acceso el 10 de octubre de 2017, https://www.forbes.com/sites/kevinanderton/2017/03/29/8-major-cyber-attacks-of-2016-infographic/

<<Industria 4.0>>, Acceso el 10 de octubre de 2017, https://es.wikipedia.org/wiki/Industria_4.0




Soy adicto!

Déjame empezar este post partiendo un ejemplo verídico. Supongamos que hablo del Aeropuerto de Castellón.

A lo largo de la vida he aprendido cosas que me han sido muy útiles pero hay una gran cantidad de cosas que he aprendido sobre qué no hacer. Y empezaba con el ejemplo del aeropuerto, porque esa me parece una de ellas. Una de esas cosas que sirve para demostrar una estrepitosa gestión y planificación llevada a cabo durante la realización de ese proyecto. Un proyecto en que se juntaron ingredientes muy peculiares y que de esa mezcla, salio lo que hoy se conoce como ‘otra estafa mas que añadir a la lista’.

Y es que como si de un mafioso se tratara, Fabra se encargo personalmente de que, con una inversión en el proyecto de 160 M €, ese proyecto saliera adelante, para que a dia de hoy se haya convertido en un referente de lo que no hay que hacer. Tanto es asi, que el propio New York Times, lo usa como ejemplo para poner en evidencia la gestión del Gobierno de España.

Pero, hoy sin embargo, y sin entrar en temas politicos, me centraré en la parte que más desapercibida puede pasar de este suceso: la planificación.

Y es que sabemos que hay acuarios sin peces, obeliscos giratorios que no giran o incluso la ciudad de la cultura fantasma de Galicia.

Pero empezemos por lo primero, la planificación. Para muchos de los que conozco, planificar, se asocia con la realizacion de un documento de innumerables paginas que describa con lenguage de abogado que es lo que se supone que se va a hacer, como, cuando, con que directrices, criterios de verificacion, etc. Algunos de vosotros, tambien llamareis a esto Documento de Proyecto, pero la verdad, y aunque a alguno le duela escucharla, planificar no es esto. O al menos, no es sólo eso.

Cuando se establece la necesidad de planificar algo, ya se un proyecto, una actividad en grupo, o una actividad personal, es un proceso en el que hay que estar centrado en realizar dicha tarea. Un proceso en el que se tienen que ver involucrados todas las personas necesarias para llevarlo a cabo. Un proceso en el que la opinion de los involucrados, cuenta y es realmente importante. Un proceso en el que hay que reconocer las barreras del entorno para poder evitarlas. Un proceo en el que buscar nuevas direcciones en caso de bloqueos.

En definitiva, un proceso con el que intentaremos tener control, seguridad y confianza sobre el trabajo a realizar. Porque en caso de ser necesario, dispondremos del conocimiento necesario para actuar en consecuencia.

Todo hay que decirlo, y la verdad es que es una muy buena forma de evitar el caos y el desconcierto! Por este motivo, las empresas o incluso los grupos de trabajo que precien contaran con al menos dos de los tres niveles de planificación, concretamente los niveles de planificacion a corto plazo y a medio plazo.

Un breve resumen de dichos niveles sin entrar en detalle de los mismos se aprecia a continuación:

  • Nivel 1 (Planificacion a corto plazo): conocida como la planificación diaria, a lo sumo, semanal.
  • Nivel2 (Planificacion a medio plazo): Seguramente sea la oveja negra de las planificaciones. El caso es que es aquí cuando se definen los objetivos a nivel mensual o trimestral, objetivos mas manejables que los anuales que se centran en hacer tareas mas sencillas para llegar al objetivo general.
  • Nivel 3 (Planificacion a largo plazo): es el coloquialmente conocido como la ‘Big picture’ y representa el recorrido que va a tener la empresa o proyecto a lo largo de un periodo relativamente largo. Es en esta planificación donde se definen los objetivos y tiempos de los mismos, aunque bien es cierto, que estos últimos pueden ser bastante variables.

Como se puede ver, separando la planificacion en estos tres niveles, se parece bastante a la filosofía de

Divide et impera

dividiendo las tareas grandes en secciones mas manejables. Al fin y al cabo es una metodología más.

Todo esto que os acabo de contar es mera teoría pero es que en la realidad ocurre algo totalmente diferente y anecdotico. Somos adictos a la planificación, por el motivo que fuera. Y es que quien no ha planeado nunca un viaje? Quien no ha hecho una lista de la compra antes de ir al super?

Esto aunque no lo parezca también es planificación, porque básicamente estas definiendo lo que vas a hacer antes de que lo hagas. Por seguridad, tranquilidad o porque tienes que cumplir con una serie de metodologías, la planificación esta ahí, formando parte de tu vida profesional y personal. Muchas veces latente ante los acontecimientos, pero hay que asumir que para muchas personas, sin planificación no son nada. Y otros sin embargo, no tienen tanto problema.

Ahora que ya conoces otra perspectiva más, ¿Con cual de las dos posturas te sientes identificado?