1

Dispositivos médicos: empresas y futuro

Llegamos al último post de la asignatura, intentando añadir unas líneas futuras y empresas al tema del que hemos estado hablando, los dispositivos médicos.

Las cifras indican que las 5 empresas con mayor futuro y más rentables en la industria de los dispositivos médicos son las siguientes: [1]

  1. Johnson & Johnson
    • Valor en el mercado: 328.280.000 millones de dólares
    • Beneficios: 18.500.000 millones de dólares en 2016
  2. GE Healthcare
    • Valor en el mercado: 328.280.000 millones de dólares
    • Beneficios: 33.500.000 millones de dólares en 2016
  3. Medtronic
    • Valor en el mercado: 279.050.000 millones de dólares
    • Beneficios: 7.166 millones de euros en 2016
  4. Siemens
    • Valor en el mercado: 121.470.000 millones de dólares
    • Beneficios: 19,8 millones de euros en 2016
  5. Philips Healthcare
    • Valor en el mercado: 103.830.000 millones de dólares
    • Beneficios: 5,9 millones de euros en 2016

Ya hablé sobre la empresa Medtronic en anteriores posts, ha mostrado grandes avances y ventas en los últimos años.

Siemens también se está reinventado con Siemens Healthineers, ofreciendo soluciones TI con gran importancia en la ciberseguridad, por ejemplo. [2]

Por otra parte, dejando esas a un lado, una de las empresas que más me ha llamado la atención en cuanto a TI ha sido Philips Healthcare.

Esta empresa se dedica a la fabricación de multitud de dispositivos que usamos en nuestro día a día, desde pequeños electrodomésticos hasta soluciones de consultoría.

Lo que igual no sabíamos es que también está en el mercado de los dispositivos médicos y ellos mismos se plantean unas preguntas muy interesantes: [3]

  • ¿Cómo garantizamos la seguridad de los dispositivos médicos si el acceso a la información e imágenes de los pacientes se amplía a numerosos dispositivos, incluidos los dispositivos móviles?
  • ¿Cuáles son las fuentes más probables de ciberataques y los mayores riesgos para los datos? ¿Cómo podemos protegerlos?
  • ¿Cómo podemos lograr nuestros objetivos para reducir los costes operativos reduciendo al máximo las “medidas excepcionales” en nuestra infraestructura hospitalaria al conectar dispositivos médicos regulados?
  • Con la adopción de prácticas de seguridad variadas por parte de los fabricantes, ¿cómo podemos evaluar a nuestros proveedores de dispositivos y sistemas, y determinar en qué punto se encuentran?
  • ¿Poseen nuestros dispositivos médicos en red la efectividad y seguridad de datos y sistemas, tal como recoge la norma IEC 80001-1?. Esto también se podría vincular a la página de movilidad.

Esas preguntas me parecen muy interesantes hacerlas cuando se va a implementar una solución TI y me parecen acertadas en nuestro entorno, por lo que las demás empresas podrían inspirarse o implementarlas en un futuro.

Esta empresa también se apoya en las recomendaciones que he ido nombrando a través de los anteriores posts.

Hasta aquí los posts sobre dispositivos médicos de la asignatura. Espero haber arrojado algo de luz en este tema tan concreto relacionándolo con la asignatura y que haya sido interesante.

Referencias

[1] << Las 5 empresas de tecnología médica más rentables >>, Clinic Cloud, consultado el 24/11/2020, https://clinic-cloud.com/blog/las-5-empresas-de-tecnologia-medica-mas-rentables/

[2] << Protecting healthcare institutions against cyberthreats >>, Siemens Healthineers, consultado el 23/11/2020, https://www.siemens-healthineers.com/support-documentation/cybersecurity

[3] << Interoperabilidad en el cuidado de la salud y seguridad de los dispositivos médicos >>, Phillips, consultado el 20/11/2020, https://www.philips.es/healthcare/articles/healthcare-interoperability-and-medical-device-security




Multicanalidad vs Omnicanalidad

En este último post me gustaría hablar de dos conceptos que vimos este viernes en clase y que yo al menos, hasta ahora, no conocía: multicanalidad y omnicanalidad. Además, quiero aprovechar para reflexionar y relacionarlos con otra serie de tendencias tales como customer centricity o customer journey. Sin más dilación, ¡empecemos!

Antes de nada, definamos ambos términos. Multicanalidad (varios canales) y omnicanalidad (todos los canales) son palabras que hacen referencia al número o cantidad de canales que una empresa provee para las comunicaciones con sus clientes. Esto es, hablamos de multicanalidad u omnicanalidad si la empresa provee múltiples maneras al cliente para comunicarse con ella (teléfono, email, web, apps, redes sociales…). 

¿Cuál es la diferencia entonces entre ambos términos? ¿La omnicanalidad abarca todos los canales posibles? Pues no. Se habla de omnicanalidad y no de multicanalidad si la estrategia que se emplea para la gestión de las comunicaciones con los clientes obliga a presentar los canales ofrecidos de manera homogénea, unificada e integrada [1]. Dicho de otro modo, la omnicanalidad hace posible que los clientes consuman varios canales sin encontrar diferencias entre ellos a la hora de comprar, reclamar o realizar cualquier tipo de acción.

No me puede salir más barato comprar por internet que en la tienda, no me pueden atender diferente por redes sociales que por teléfono, no debería tener problema en devolver en un local o establecimiento algo que compré por internet. Y por supuesto, no me pueden obligar a comunicarme siempre por un canal. Por ejemplo, antes era muy habitual que si comprabas algo por internet, todas las gestiones o reclamaciones debías hacerlas por dicho canal, a pesar de que la empresa tuviera un local físico y un call center. En definitiva, la omnicanalidad es identificar al cliente de manera unívoca para ofrecerle los mismos servicios (cantidad, calidad, velocidad…) se comunique por donde se comunique [2].

Identificar al cliente en diferentes canales es primordial.

¿Se entiende la idea? ¿Sí? Pues ahora piensa lo difícil que puede ser esto para las empresas. Quizá sea relativamente sencillo proveer múltiples canales, pero gestionarlos como un todo no es trivial. Por un lado, se necesita coordinar todas las áreas que interactúen ya sea directa o indirectamente con el cliente [1] [2]. Por otro lado, la base tecnológica para poder hacer esto es considerable [2]. Hablamos de trazabilidad, integridad, disponibilidad… Jerga de informático, pero que no podemos pasar por alto.

No obstante, los beneficios son enormes. Mejora la experiencia de compra, aumenta los indicadores de fidelidad y satisfacción de clientes, permite conocer a estos últimos en mayor profundidad para luego soportar procesos de toma de decisiones (analytics)… Cualquier empresa seria debería tenerlo en cuenta.

Para finalizar, me gustaría destacar que el término omnicanalidad está intrínsecamente relacionado con el de customer centricity: poner al cliente en el centro. Si queremos ser omnicanales, sería oportuno considerar también el redireccionamiento de nuestra estrategia para alinear nuestros productos y servicios con las necesidades y demandas de nuestros clientes [3]. De poco sirve integrar y unificar todos nuestros canales de comunicación con el cliente, si los servicios que ofrecemos son torpes, complicados y no se adaptan a él.

Asimismo, deberíamos considerar también la experiencia de usuario, estudiando las etapas más críticas desde que el cliente conoce a nuestra empresa hasta que decide consumir y pagar por un producto o servicio (customer journey) [4]. Deberíamos saber cuándo debemos ponernos en contacto con él para hacerle una oferta o preguntarle si tiene alguna duda. Deberíamos considerar todos estos aspectos y diseñar nuestros servicios alrededor de nuestros clientes.

Y hasta aquí el último post. Ha sido un placer escribirlos. ¡Gracias!

[1] «¿Omnicanal? ¿Multicanal? Diferencias clave entre multicanalidad y omnicanalidad», innovan.do, acceso el 12 de enero de 2020, https://innovan.do/2017/04/12/omnicanal-multicanal-diferencias-clave-entre-multicanalidad-y-omnicanalidad/

[2] «La omnicanalidad: clave para las empresas y su relación con los clientes», Foro Consultores, acceso el 12 de enero de 2020, https://fococonsultores.es/omnicalidad-clave-para-las-empresas/

[3] «Customer centricity: los mejores clientes como centro de la estrategia de marketing», Think and Sell, acceso el 12 de enero de 2020, https://thinkandsell.com/blog/customer-centricity-los-mejores-clientes-como-centro-de-la-estrategia-de-marketing/

[4] «Customer Journey Map: Qué es y cómo crear uno», Doppler, acceso el 12 de enero de 2020, https://blog.fromdoppler.com/customer-journey-map-como-crear-uno/




Redes sociales, una asignatura obligatoria para las empresas

¡Hola de nuevo! Este es el segundo post sobre redes sociales
que voy a realizar. En el anterior post di una visión general de lo importantes
y a la vez peligrosas que pueden ser las redes sociales para las compañías. En
este nuevo post ahondaré más en la importancia de este sector para las empresas
mostrándoos nuevos datos y ejemplos de lo que ocurre si te actualizas sin tener
en cuenta ciertos riesgos.

Para empezar, debemos ver las redes sociales con una
perspectiva más amplia que la de cualquier usuario. Empecemos con los datos que
nos ofrece IAB Spain [1]. En su estudio podemos comprobar que en España la
población internauta es de 28,6 millones de personas. De esos 28,6 millones
25,5 millones son usuarios de redes sociales, es decir que, el 85% de los
usuarios de internet en España también son usuarios de redes sociales. Tras ver
estos datos nos podemos dar cuenta de que este nuevo medio supone una ventana a
una masa ingente de personas a las que puedes convencer de que adquieran tu
producto o de que contraten tus servicios. Pero claro, dependiendo del país en
el que tengas tu mercado, deberás tener mayor interés en unas redes sociales
que en otras. Por ejemplo, siguiendo con el estudio de IAB Spain la red social
más utilizada a principios de 2019 es WhatsApp seguida por Facebook y Youtube,
pero en cambio, en Estados Unidos [2] la red social más utilizada fue Youtube,
seguida por Facebook e Instagram. Con lo cual, al intentar sacarle partido a lo
que ofrecen las redes sociales, debes tener en cuenta los datos del país en el
que estés establecido. Pero tranquilo que con una búsqueda rápida en Google
podrás encontrar toda la información que necesitas.

Otro dato que me ha resultado interesante es que el 39% de
los usuarios en España se encuentra comprendido entre las edades de 31 a 45
años. Son más de un tercio de los usuarios activos en España lo que los coloca
como el grupo de edad mayoritario en las redes sociales. Pero que este dato no
te lleve a error, aunque sean el grupo mayoritario teniendo en cuenta todas las
redes sociales, eso no quiere decir que, si compruebas individualmente en cada
una de las plataformas, vayan a seguir siendo la mayoría de los usuarios.
Dependiendo de la edad de tus objetivos de mercado deberías tener en cuenta más
unas redes sociales que otras.

En el anterior artículo comenté la importancia de dar
visibilidad y prestigio a tu marca mediante las redes sociales. Pues bien, el
estudio realizado por IAB Spain recoge que el 72% de los usuarios declaran
seguir a marcas a través de las redes sociales. Aunque esta cifra haya sufrido
una caída respecto al año pasado, siguen siendo una parte mayoritaria de los
usuarios los que siguen y se informan sobre las marcas a través de las redes
sociales.

Dejando a un lado todos estos datos y estadísticas, vamos a
pasar a ver unos ejemplos de empresas reales que no tomaron las suficientes
medidas de seguridad. Empecemos con una empresa pública, es decir una empresa
en la que el 100% del capital viene de la administración pública. Correos, sí
lo habéis leído bien, la cuenta de Twitter de Correos fue hackeada [3] y empezó
a publicar mensajes que alarmaron a los usuarios, como por ejemplo que ahora con
cada entrega que hiciesen iban a entregar también cocaína. Aunque a los
usuarios nos resulte gracioso ver este tipo de mensajes, a la empresa le generó
un grandísimo problema de imagen y tuvo que pedir disculpas por lo que ocurrió.
También lograron hackear la cuenta de Twitter del ayuntamiento de Albacete [4] la
cual publico varios mensajes amenazando al propio alcalde de Albacete. Por último,
tenemos la cuenta de Twitter de BurgerKing que fue hackeada [5] y publicó mensajes
como que habían sido comprados por McDonalds.

Para finalizar quiero comentaros también algunas de las normativas que deben cumplir las empresas si quieren estar presentes en las redes sociales. En el caso de que la empresa quiera publicitarse pagando a una red social, deberá cumplir con la ley general de publicidad de España. A la hora de querer publicar una publicación, deberán tener mucho cuidado con la ley de derechos de autor, la cual ha sido modificada este mismo año para cumplir con la directiva europea sobre el derecho de autor. De estas leyes que deben cumplir os volveré a hablar en los próximos artículos.

Referencias:

[1] << Estudio anual de redes sociales 2019 >>, IAB Spain, https://iabspain.es/estudio/estudio-anual-de-redes-sociales-2019/

[2] << Share of U.S. adults using social media,
including Facebook, is mostly unchanged since 2018>>, Pew Research
Center, https://www.pewresearch.org/fact-tank/2019/04/10/share-of-u-s-adults-using-social-media-including-facebook-is-mostly-unchanged-since-2018/

[3] << Hackean la cuenta de Twitter de Correos anunciando que repartirán droga >>, as, https://as.com/epik/2019/10/15/portada/1571131184_979140.html

[4] << Los hackeos a las cuentas de Twitter de los ayuntamientos seguirán: «Caerán todos» >>, El Confidencial, https://www.elconfidencial.com/espana/2019-08-06/mas-hackeos-amenazan-al-alcalde-de-albacete-en-el-twitter-del-ayuntamiento_2166039/

[5] << Hackean la cuenta en Twitter de BurgerKing >>, ABC, https://www.abc.es/tecnologia/noticias/20130218/abci-hackean-cuenta-twitter-burgerking-201302181853.html




Las redes sociales para las empresas, ¿oportunidades o amenazas?

Nos creemos conocer a la perfección todas las redes sociales que existen y cómo funcionan estas nuevas tecnologías de la comunicación. Pero como en muchos otros ámbitos de la vida, utilizando las redes sociales solamente al nivel de usuario, no llegamos a ver lo beneficiosas o perjudiciales que pueden ser para las empresas.

Las redes sociales suponen una oportunidad para las empresas
en muchos aspectos. Uno de esos aspectos, y el primero que se nos puede venir a
la cabeza, es la promoción de los servicios o productos que ofrece la compañía.
En la mayoría de las redes sociales puede pagarse por realizar publicidad en
ellas, de hecho, supone la mayor vía de ingresos para este tipo de empresas
(Facebook, Twitter, Google, etc.). Gracias a que la publicidad en las redes
sociales se puede dirigir a un público especifico y no muy mayoritario, se ha
logrado que empresas con esos públicos específicos, a las que no les salían
rentables las campañas de marketing en otros sectores, se lancen a publicitarse
en las redes. De hecho, según el último informe de Infoadex [1], la publicidad
digital se ha consolidado como la segunda posición por volumen de inversión
dentro de los medios convencionales y en su conjunto ha tenido un crecimiento
en 2018 del 12,6%, con una inversión publicitaria de 1.743,2 millones de euros
frente a los 1.548,1 millones de 2017. Además, la inversión en publicidad en
las redes sociales respecto al año 2017 ha aumentado en el año 2018 un 27,7%
convirtiéndose así en el área que mayor subida ha tenido respecto al año
anterior.

Pero para publicitarse en una red social no hace falta
promocionarse mediante la compra de espacios publicitarios. La mayoría de las
medianas y grandes empresas disponen de unas cuentas oficiales en las
diferentes redes, con las que informan a los usuarios que les siguen de los
siguientes movimientos de la compañía. Lograr crecer en seguidores puede hacer
que el renombre de la compañía aumente y con ello el número de clientes.

Estar presente en las redes sociales, también permite a las empresas mantener una comunicación fluida con otras compañías, con las cuales en un futuro se puede acabar colaborando. También les permite estar al tanto de los próximos congresos, cursos o avances que se hacen en el sector.

Son muy curiosas las utilidades que las compañías les han
encontrado a las redes sociales. Buscando información para realizar este
articulo me ha llamado la atención que algunas empresas dispongan de una cuenta,
normalmente en Twitter, que se encarga de atender las quejas de los usuarios [2].
Me ha parecido una forma muy curiosa de renovar el servicio de atención al
cliente, que siempre se hace muy tedioso para los usuarios. Y es que, dependiendo
de la red social que se utilice, se le puede dar una utilidad u otra. Ya hemos
visto que Twitter es bastante útil para informar o para gestionar problemas.
Pero otras plataformas como por ejemplo LinkedIn ofrecen la oportunidad de
buscar talento para contratar. Estas diferencias quieren decir que antes de
lanzarse a crear cuentas en todas las redes sociales posibles, se debe realizar
un estudio que indique cuales son las que más le pueden interesar a la
compañía.

Introducirse en el mundo de las redes sociales genera nuevas oportunidades, pero a la par también genera nuevos riesgos. De estos riesgos os hablaré en otro artículo más adelante, pero a modo de resumen los más importantes tienen que ver con sufrir daños en la reputación de la empresa y con fallos de seguridad. Quizás puedas pensar que realizar auditorías al equipo que se encarga de gestionar las redes sociales es un desperdicio de recursos y tiempo. No te juzgo, yo antes de hacer este articulo pensaba lo mismo. Pero, exponerse ante la población en plataformas de terceros genera unos riesgos que deben controlarse. Si alguna de las plataformas, en las que nuestra compañía tiene una cuenta, es atacada y sus sistemas de seguridad fallan nuestras cuentas quedarán expuestas con todo lo que eso conlleva. Además, no solo hay que tener en cuenta los fallos externos. Existen también muchos posibles errores internos que pueden afectar gravemente a la imagen de la empresa.

Para concluir con este artículo, me gustaría que os
quedaseis con par de ideas bien claras. Es importante escoger qué redes
sociales se adaptan mejor a tu negocio y al tipo de contenido que quieres
crear. Para ello, se debe tener una estrategia clara sobre qué se quiere
obtener, ya no solo de las redes sociales, si no de el mundo digital en su
conjunto.

Referencias:

[1] <<Estudio InfoAdex de la Inversión Publicitaria en España 2019>>, InfoAdex, https://www.infoadex.es/home/wp-content/uploads/2019/03/Estudio-InfoAdex-2019-Resumen.pdf

[2] << ¿Qué es la atención al cliente en redes sociales y qué ventajas tiene?>>, Webempresa, https://www.webempresa.com/blog/atencion-al-cliente-redes-sociales.html




Cloud Computing, conclusiones

En este quinto y último post, me gustaría reflexionar sobre lo visto hasta ahora. Para ello, voy a destacar los conceptos más relevantes de los cuatro posts anteriores y os voy a traer una serie de opiniones y advertencias concretas que nos pueden dar mucho que pensar. En definitiva, me gustaría utilizar este post para ofrecer una visión crítica del Cloud Computing y complementar los contenidos que hemos ido viendo.

El Cloud Computing, como bien sabemos, es un modelo para facilitar u ofrecer servicios y recursos de computación (almacenamiento, procesamiento, gestión…) bajo demanda, con elasticidad, escalabilidad y de forma remota [1]. Un modelo opuesto a lo que conocemos como software on-premise.

Y recordado eso, reflexionemos, ¿por qué ha triunfado este modelo? ¿por qué se está adoptando de manera masiva por parte de las empresas? Podríamos pensar que es debido a los beneficios inmediatos que ofrece: escalabilidad, flexibilidad… Y es cierto, el Cloud Computing permite a las empresas ser más ágiles y reducir la complejidad de sus operaciones externalizando servicios y productos que no son su core de negocio [1]. Las empresas ya no tienen que desplegar infraestructuras TIC (IaaS, PaaS), y en ocasiones, ni siquiera deben desarrollar sus propias aplicaciones, pudiendo dedicarse a consumir software de terceros (SaaS). Además, los riesgos que tiene asociados este paradigma (ya sean técnicos o de gestión), como hemos podido ver, son controlables si contamos con un buen equipo de auditoría y un contrato blindado con el proveedor adecuado. Sin duda alguna, las ventajas que ofrece adoptarlo superan con creces a los inconvenientes.

Pero yo, como os decía al comienzo del post, os invito a verlo con otros ojos. Os invito a verlo con algo más de desconfianza. Si os fijáis, el Cloud triunfa no solo por lo que supone a nivel tecnológico o técnico, sino también porque es mucho más barato que tener software on-premise [1]. Al menos, de momento. Y esta última frase, pone sobre la mesa un riesgo que quizá no hayamos visto explícitamente en los posts anteriores. Y es probablemente, al menos a mi juicio, el más grave de todos.

Como vimos en el segundo post, hoy en día, el 94% de las empresas utilizan algún tipo de servicio Cloud. ¿Qué pasaría si de repente, visto que tantas empresas son dependientes del Cloud Computing, los proveedores comienzan a subir las tarifas? ¿Qué ocurriría si Amazon Web Services, Microsoft Azure o Google Cloud se dan cuenta de lo necesarios que son para otras empresas y se aprovechan de la situación? 

Pensaréis, bueno, si los proveedores suben los precios, las empresas volverán al modelo de software on-premise. Así que, tampoco pasaría nada. Al final, los proveedores tendrían que ceder. En mi opinión, eso no es así. No es tan sencillo.

Una vez se adopta el Cloud, los costes que supondría volver a traer de vuelta a casa los sistemas, plataformas e infraestructuras serían la ruina de la mayoría de organizaciones. Si hemos visto que es caro, complejo y difícil migrar de on-premise a Cloud. Pensadlo al revés, imaginad un caso de repliegue. Un caso en el que una empresa se vea forzada a volver al software on-premise, ya no por no haber realizado una migración adecuada al Cloud, sino porque no puede hacer frente a los compromisos económicos con el proveedor.

Vuelve a calcular tu plan de recuperación ante desastres (DRP) [2]. Vuelve a establecer un RTO y RPO. Vuelve a comprar el hardware. Vuelve a acondicionar las instalaciones oportunas. Vuelve a contratar técnicos de sistemas (y despide a tus especialistas en Cloud). Costes, costes y más costes inasumibles para muchos negocios.

Decía Richard Stallman, un hombre sin duda polémico, que se equivoca con muchas cosas pero que acierta con muchas otras, que el Cloud Computing es una trampa elaborada para que las empresas compren sistemas cerrados y propietarios que les costarán cada vez más dinero [3]. Y si nos ponemos a pensarlo, debe ser un riesgo a considerar (más allá de lo que podamos opinar acerca del software privativo y el software libre). Al menos, yo así lo creo.

Debemos andar con pies de plomo cuando nos ponemos en manos de terceros. De hecho, ya vimos en el post de controles que el Cloud Computing es puro Outsourcing. En concreto, vimos que existe un control específico para (más o menos) lo que estamos hablando: “Asegurar que los procedimientos, capacidades y alternativas para migrar las operaciones en la nube a otro proveedor están previamente definidas al consumo del servicio en caso de que sea necesario por incumplimiento de los requisitos contractuales o cese del servicio del proveedor contratado”. Yo, personalmente, complementaria este control con la alternativa de volver al software on-premise. Y además, añadiría el riesgo de las condiciones de renovación, ya que igual no solo no encontramos otro proveedor, sino que igual procedemos a renovar contrato con el actual y nos encontramos con una subida de precios que no podemos asumir.

En relación a esto último, debemos saber que no solo existe el riesgo de no poder seguir pagando, ¡sino de pagar más de lo que creíamos que íbamos a pagar! ¿A qué me refiero con ésto? Pues que la propia elasticidad del Cloud supone un riesgo a la hora de predecir costes [2]. En otras palabras, añade complejidad y volatilidad a los presupuestos TI. De hecho, a veces acabamos pagando más de lo que pagaríamos con software on-premise [4].

Por otro lado, tal y como vimos en el post de riesgos y siguiendo esta línea de razonamiento pesimista, contratar software como servicio (SaaS) es una pérdida de control total para una organización [3]. En el futuro, veremos como empresas dependientes de proveedores SaaS se enzarzarán en batallas legales para poder seguir consumiendo servicios que han dejado de tener soporte, por acceder a datos históricos cuya existencia no estaba contemplada en el contrato o por defender que la propiedad intelectual de los resultados ofrecidos por el software les pertenece.

Con todo esto tampoco quiero dar a entender que el Cloud Computing es malo o que es peligroso. Nada más lejos de la realidad. Considero que el Cloud Computing es el futuro. Pero se suele decir que hasta que algo malo no pasa, no se toman medidas. Y en ese sentido, debemos ser críticos y, como auditores, anticiparse a la catástrofe, considerando tanto la esfera técnica como la de negocio cuando nuestra empresa quiera adoptar una nueva tecnología o un nuevo modo de hacer las cosas. Del mismo modo, no debemos caer en la trampa de que el Cloud es la solución a todos nuestros males. Quizá, nuestra organización no tenga la necesidad de adoptarlo, o incluso, no le convenga.

Asimismo, me gustaría aclarar que muchos de los problemas de los que hablamos también existen, en cierto modo, en el modelo de software on-premise. Si compramos software, infraestructuras y plataformas para meter ‘dentro de casa’, su mantenimiento y renovación conlleva muchos riesgos [5]. Pero lo que es cierto, es que aquellos relativos a la dependencia con terceros, se magnifican con el Cloud Computing. En este post, como os habréis dado cuenta, he tratado de arrojar luz sobre dicho problema.

Además, me gustaría decir que la mayoría de los riesgos que hemos ido viendo (relativos a costes, control y privacidad) son mitigables, en parte, adoptando modelos de despliegue de nube híbrida y privada. Las diferencias de estos modelos con la nube pública ya las comentamos en anteriores posts. Principalmente, lo que se logra es reducir esa peligrosa dependencia con proveedores, manteniendo muchas de las ventajas del Cloud. Esto las empresas lo saben y es por ello por lo que está ocurriendo una migración masiva de nubes públicas a nubes híbridas y privadas [4]. Al principio resultan más caras, pero a la larga, otorgan más control y seguridad. Son la opción más prudente.

Finalmente deciros que, si os fijáis, da igual lo que estemos auditando, todo se reduce a identificar riesgos (tanto técnicos como de gestión), implantar controles, lanzarse a la piscina y, periódicamente, revisar que dichos controles se cumplen. Al final, si nos fijamos, la palabra auditoría, etimológicamente, viene del verbo latino audire. Esto es, viene del verbo oír. Un auditor lo primero que debe hacer es escuchar, ver, observar, para luego revisar, informar y recomendar.

Eso es lo que he tratado de hacer a lo largo de estos posts. Espero que os hayan servido para aprender sobre el Cloud y sobre todo, para aprender acerca del mundo de la auditoría TI. Para mí, ha sido un placer escribirlos. ¡Un saludo y gracias por leerme!

[1] «Computación en la nube – Beneficios, riesgos y recomendaciones para la seguridad de la información», ENISA, acceso el 28 de noviembre de 2019, https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/files/deliverables/cloud-computing-risk-assessment-spanish

[2] «How to escape the Cloud and move back to on-premise systems», TechRepublic, acceso el 28 de noviembre de 2019,  https://www.techrepublic.com/article/how-to-escape-the-cloud/

[3] «Cloud Computing es peor que una estupidez», RedUsers, acceso el 28 de noviembre de 2019, http://www.redusers.com/noticias/richard-stallman-cloud-computing-es-peor-que-una-estupidez/

[4] «Cloud Repatriation: When Is it Time to Bring Workloads Back On-Prem?», GreenHouseData, acceso el 28 de noviembre de 2019, https://www.greenhousedata.com/blog/cloud-repatriation-when-is-it-time-to-bring-workloads-back-on-prem

[5] «On Premise vs. Cloud: Key Differences, Benefits and Risks», Cleo, acceso el 28 de noviembre de 2019, https://www.cleo.com/blog/knowledge-base-on-premise-vs-cloud




Impacto de los dispositivos móviles en las empresas: cambiando el modelo de negocio

Tras habernos acercado en el post anterior al fenómeno de las tecnologías móviles en el ámbito laboral y empresarial y al “mobile workforce”, analizaré más a fondo el impacto que tienen estas tendencias en el mercado. Para ello analizaremos varios artículos que abarcan diferentes enfoques del tema de forma que podamos contar con una visión realista y contrastada de la situación actual y del impacto que suponen.

Porque, si algo es evidente, es que la tecnología móvil es un factor revolucionario en el ámbito laboral por todo lo que aporta. Contar con tecnología y recursos (en este caso informáticos) que hacen posible el acceso a diferentes tipos de datos e información desde lugares remotos, supone un abanico de posibilidades inmenso al que la empresa deberá enfrentarse de la mejor manera posible para sacarle el máximo beneficio.

Los datos con los que cuenta la empresa son su mayor activo a día de hoy dados los avances tecnológicos que permiten convertir los datos que almacenamos en información. Gestionar esta información de la manera correcta, enfocando su análisis al estudio de su rendimiento, de la información que nos aportan nuestros clientes o nuestros proveedores y aplicado al proceso de toma de decisiones, puede suponer que la empresa se sitúe en una posición privilegiada respecto de sus competidores.

En un mundo en el que se espera que tomemos decisiones de negocios en cualquier momento prácticamente, es esencial contar con la información con la que cuenta la empresa en cualquier situación (siempre que la información que se tenga esté proporcionada con la importancia de las decisiones que podemos tomar) y que la empresa cuente con toda la información que le proporcionan tanto sus empleados como terceras entidades con las que esté en relación. Para ello, los dispositivos móviles suponen un elemento fundamental y es por esto por lo que, según recoge un estudio realizado a empresas eslovenas, 34 empresas estaban en fase de introducción de soluciones técnicas y organizativas relacionadas con el uso de tecnologías móviles entre sus empleados.

Como informa este artículo [1], “una investigación demostró claramente que las organizaciones están muy interesadas en invertir en dispositivos móviles (Feldman, 2012), lo que es bastante comprensible, ya que las tendencias que ya se han observado desde 2011 muestran que el alcance del negocio móvil aumentará en un 30 por ciento en 2013 (Mulpuru, Evans, Sehgal, Ask, & Roberge, 2011). Este porcentaje ha ido aumentando constantemente y, además, el software utilizado en dispositivos móviles se ha desarrollado a un ritmo extremadamente rápido (Hurlburt, Voas y Miller, 2011; Oppenheim, 2010), con el objetivo de atraer a los usuarios (Greene, Tamborello y Micheals, 2013) y aumentar las ventas.” 

Sobre todo, las empresas que más provecho sacan de estos avances tecnológicos son las empresas de reparto, venta al por menor, de logística o hasta empresas tecnológicas que han encontrado una oportunidad para que sus trabajadores no dependan de un lugar físico en el que trabajar, sino que pueden realizar sus tareas desde prácticamente cualquier lugar. Además, si un trabajador realiza una salida a un cliente o a un proveedor, esta persona estará en constante contacto con la sede de la empresa por lo que las dos partes podrán acceder a información útil en cualquier momento. Pero, de todas formas, las empresas no son las únicas interesadas en la inversión en tecnología para sacar un mayor beneficio. 

A medida que la demanda por formación universitaria crece, una gran cantidad de centros educativos de todo el mundo han incorporado las tecnologías móviles a sus modelos. En Asia, más concretamente en Japón, la tecnología móvil ha servido de herramienta al gobierno para atender un problema social desde la perspectiva educativa. La baja natalidad, junto con la cantidad de personas que viven lejos de las metrópolis, forzó a que el gobierno japonés buscase un enfoque del sistema escolar no tradicional, integrando las tecnologías móviles y con ellas aplicaciones que facilitasen el aprendizaje a los alumnos y alumnas que viviesen en lugares alejados. Además, existía una necesidad notoria de construir entornos atractivos e interesantes para los alumnos. Por otra parte, en Europa, nivel de uso de la tecnología móvil es altísimo. Es por esto por lo que las organizaciones europeas han financiado iniciativas vinculadas con el aprendizaje móvil y el trabajo de las competencias de los profesores a través de estas herramientas [2].

Los trabajadores autónomos han identificado en el uso de la tecnología un nido de oportunidades de negocio que explotar. Por ejemplo, un hombre que tenía un negocio de pollos cuadruplicó sus ventas gracias a invertir en un vehículo y un teléfono móvil [3]. La posibilidad de moverse de su lugar de trabajo o contactar con sus clientes a distancia hizo que su negocio creciese más de lo que lo había hecho antes. Además, el uso de nuevas tecnologías para la promoción de su negocio demuestra su interés en aplicar nuevas estrategias de negocio. Sin embargo, la multiplicidad y fluidez en el uso de dispositivos móviles, de la misma manera que le ayudan a un negocio, lo hacen a el resto. Cuando el aumento de las oportunidades de negocio es general, el crecimiento de la competencia hace que se mantengan los niveles de ganancia de los negocios. Es más, los negocios que se están viendo perjudicados, son los que se han quedado atrás en la incorporación de herramientas tecnológicas de su sector. Además, la creación de nuevas tiendas 

El uso de dispositivos móviles permiten a los trabajadores y usuarios ser más flexibles y eficientes y les dota con capacidades para responder rápidamente a situaciones en las que puedan necesitar información de la que no disponen en el momento. Pero para llegar a esta situación en la que, tanto el trabajador como la empresa, se ven beneficiados en el tratamiento de la información, la organización debe contar con un sistema de información central o basado en servicios web accesible.

Existen, para complementar el uso de los sistemas con los que cuenta la empresa, aplicaciones como FieldAware [4] o GeoPal [5]. Estas aplicaciones ayudan a la gestión de la información por parte del trabajador y de la empresa aportando herramientas que facilitan su captura, su difusión y agilizan su acceso.

Día a día, el mundo laboral, empresarial e industrial avanzan cada vez más hacia la digitalización, pero no podemos olvidarnos de que la tecnología móvil trae implícitas oportunidades y también riesgos de los que debemos ser conscientes para prevenir usos indebidos o amenazas externas que puedan poner en riesgo la continuidad de nuestro negocio.

[1] Information Security Related to the Use of Mobile devices in Slovene Enterprises

Markelj, Blaz; Bernik, Igor.Varstvoslovje; Maribor Tomo 16, N.º 2,  (2014): 117-127.

https://search-proquest-com.proxy-oceano.deusto.es/eastcentraleurope/docview/1561087969/89C5469FA1D74F68PQ/1?accountid=14529

[2] Supporting University Learning Through Mobile Technologies: A Global Perspective

 

Mugo, David Gitumu; Njagi, Kageni; Chemwei, Bernard; Paul Maina Gakuru.International Journal of Education & Literacy Studies; Footscray Tomo 3, N.º 3,  (2015): 42-48.

https://search-proquest-com.proxy-oceano.deusto.es/anz/docview/1746906299/3B444B76F5B4DDAPQ/7?accountid=14529

[3]  ‘A village goes mobile’: mobile phones and social change

Watson, Amanda H A.Publicación de blog. The Development Policy Centre Blog, Acton: Newstex. Jan 28, 2019.

https://search-proquest-com.proxy-oceano.deusto.es/anz/docview/2253117460/3B444B76F5B4DDAPQ/1?accountid=14529

[4] FieldAware : https://www.fieldaware.com/product/features/overview/ 

[5] GeoPal : https://www.geopal.com/our-tech/mobile-app




Cloud Computing, controles

En el post anterior recorrimos las diferentes tipos de riesgos que presenta el Cloud Computing y terminamos diciendo que es necesario utilizar los controles adecuados para poder mitigarlos. Y estos controles, comentamos que los íbamos a encontrar en marcos de trabajo. Pues bien, dedicaremos este post a explicar lo que son los controles y qué debe hacer un auditor para asegurarlos. Asimismo, y a modo de ejemplo, estudiaremos una serie de controles que responden a riesgos concretos que he extraído de diferentes fuentes. Sin más dilación, comenzamos.

¿Qué es un control? En pocas palabras, podríamos decir que es un mecanismo que define una organización con la finalidad de mitigar un riesgo. Y con mitigar nos referimos a, por un lado, reducir la probabilidad de ocurrencia del riesgo y, por otro lado, reducir el daño que pueda causar en caso de que ocurra. Estos criterios, probabilidad e impacto, aunque no lo dijéramos en el anterior post explícitamente, suelen ser los dos ejes de análisis a la hora de priorizar los riesgos.

Para entenderlo mejor, pongamos un ejemplo. Si tenemos un riesgo concreto de privacidad y seguridad (tal y como vimos en el anterior post) con los datos que almacenamos en la nube, póngase, riesgo de que nuestros datos sean interceptados por terceros no autorizados en la red de comunicaciones que mantenemos con el proveedor, podríamos tener el siguiente control: asegurar que los datos en tránsito por las redes de comunicación oportunas entre proveedor y consumidor están encriptados con claves privadas que solo conoce el segundo [1]. Esto es, si cumplimos con lo que dice el control, logramos mitigar el riesgo.

¿Fácil? Pues en realidad es más complejo de lo que parece. En primer lugar, existen multitud de riesgos concretos que debemos tener en cuenta, y es por eso, que como decíamos en el anterior post, vamos a necesitar guías y marcos de trabajo que nos permitan considerarlos sin que se nos escape ninguno. Y además, y esto aún no lo he dicho, los controles no solo deben implementarseDeben auditarse. En otras palabras, debe asegurarse que los controles se cumplen. Y para ello, lo normal es que cuando se define un control, se le asocien una serie de pruebas de control o acciones de auditoría.

Para ese mismo ejemplo que veíamos antes, recogido de un documento oficial de ISACA [1], se definen las siguientes acciones de auditoría: (1) obtener las políticas de encriptación y procedimientos para datos en tránsito de la organización, (2) evaluar si los procedimientos incluyen lo siguiente: clasificación de datos en función de la sensibilidad (top secret, confidential, company confidential, public), tecnologías de encriptación adecuadas, gestión de claves apropiada y una lista de organizaciones externas del consumidor que poseen las claves de desencriptado. ¿Ya es algo más concreto verdad? Parece que empezamos a tener el control, valga la redundancia, sobre el control que hemos definido para el riesgo que queremos mitigar.

Dicho esto, y ahora que entendemos lo que es un control y cómo se debe asegurar, he tratado de identificar ciertos riesgos concretos para nuestro paradigma, el Cloud Computing, con el objetivo de haceros ver algunos controles que nos pueden ayudar a mitigarlos. Con esa finalidad, he construido una tabla con tres columnas: dominio (tipo de área donde se enmarca el control), control (definición del control, lo que se debe hacer) y riesgo mitigado (problema al que responde el control).

Para construir dicha tabla, me he apoyado principalmente en el documento [1], el cual define una serie de controles para la mitigación de riesgos en el Cloud Computing haciendo uso del marco de trabajo COBIT y el marco de trabajo COSO ERM. Mi trabajo ha consistido en agrupar los controles más significativos, descartar aquellos redundantes, resumirlos, clasificarlos por dominios y relacionarlos con el riesgo que buscan mitigar. Además, he usado a modo complementario los documentos [2] [3] [4] y he considerado los contenidos del anterior post para la definición de los riesgos mitigados. La tabla es la siguiente:

Tabla. Controles y riesgos mitigados Cloud Computing.

Espero que esta tabla os haya servido para haceros una idea de qué controles necesitamos si nuestra compañía quiere adoptar el Cloud. Supongo que os habréis dado cuenta, que tal y como adelantamos en el anterior post, todo gira entorno a controlar la complejidad del paradigma y asegurar que trabajamos con un tercero que nos ofrece las garantías necesarias. Asimismo, comentaros que si os quedáis con la curiosidad y queréis ver qué acciones de auditoría concretas tiene asociadas cada control, os recomiendo acudir al documento [1].

Para finalizar, como reflexión, permitidme deciros que si os fijáis, existen muchos tipos de controles, algunos más técnicos y otros quizás más de gestión. Y que a veces, al menos yo (como estudiante de ingeniería) y con ciertas preferencias personales hacia el mundo del desarrollo, nos cegamos con los aspectos tecnológicos y no somos capaces de ver lo importantes que son los aspectos organizativos. Si no hay una política de gestión de claves bien definida, da igual lo sofisticado o puntero que sea tu sistema criptológico, vas a tener vulnerabilidades. De la misma manera, por muy buena política de gestión de usuarios que hayas definido, como no uses una tecnología robusta que permita implementar de manera segura sus directrices, tienes un problema. Lo mismo, para los contratos y cumplimientos…

Con esto simplemente os quiero hacer ver que las TIC deben estar alineadas con negocio. Que las TIC, cada vez están más afianzadas como parte de la estrategia de la organización. Y que las TIC, cada vez están más lejos de ser una simple capa de soporte. En definitiva, quería remarcar que un auditor TI no es solo un profesional que asegura con su buen criterio que todo está en orden, sino también un puente entre el negocio y la tecnología.

Hasta aquí el cuarto post. ¡Gracias por leerme y nos vemos en el siguiente!

[1] «IT Control Objectives for Cloud Computing», ISACA, acceso el 16 de noviembre de 2019, https://www.isaca.org/chapters2/kampala/newsandannouncements/Documents/IT%20contro%20objectives%20for%20Cloud%20computing.pdf

[2] «Protiviti’s View on Emerging Risks – Cloud Computing», KnowledgeLeader, acceso el 16 de noviembre de 2019, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/nlpreviewjuly2019

[3] Zacharias Enslin, «Cloud computing adoption: Control objectives for information and related technology (COBIT) – mapped risks and risk mitigating controls». African Journal of Business Management 6 37 (2012): 10185-10194, acceso el 16 de noviembre de 2019, https://oceano.biblioteca.deusto.es/permalink/f/193pu0n/TN_crossref10.5897/AJBM12.679, https://academicjournals.org/journal/AJBM/article-full-text-pdf/363FCF530555

[4] «Riesgos y amenazas en Cloud Computing», INTECO-CERT, acceso el 16 de noviembre de 2019, https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf




Cloud Computing, riesgos a considerar

En este post, y tal como adelanté en el anterior, me voy a dedicar a ofrecer una visión general sobre los riesgos asociados al Cloud Computing.

Lo primero que debemos entender, si queremos listar o categorizar los riesgos asociados a este paradigma, es que dependiendo del modelo de servicio o del modelo de despliegue que elijamos (las diferencias quedaron claras en los anteriores posts) podemos encontrarnos con diferentes tipos de riesgos [1].

Por ejemplo, no es lo mismo desarrollar una nube privada y mantener todo dentro de nuestra organización que contratar a un proveedor de servicios y externalizar nuestra capacidad de cómputo y almacenamiento a una nube pública. Igualmente, no podemos considerar que existen los mismos riesgos si estamos consumiendo un modelo de servicio PaaS (Platform as a Service) que SaaS (Software as a Service). En el primero solo tenemos fuera de la empresa el hardware y los sistemas de soporte (las aplicaciones son nuestras, o al menos las ponemos nosotros) y en el segundo, no tenemos dentro de casa ni un -maldito- trozo de código [2]. ¿Se ve a lo que me refiero?

Y si a eso le añadimos que lo normal no es adoptar un único modelo de servicio o un único modelo de despliegue (por ejemplo, la nube híbrida es la combinación de los dos modelos de despliegue principales junto a soluciones on-premise) estamos ante un escenario de riesgos complejo de analizar. ¡No sé ni por donde se va a desmontar mi negocio!

Pero bueno, no todo es tan negativo. La industria se ha preocupado por este tema y ha solucionado parte de la complejidad. De hecho, hoy en día, a 2019, contamos con categorizaciones bastante exhaustivas y tenemos a nuestra disposición marcos de trabajo que, en mayor o menor medida, nos pueden ayudar a detectar y mitigar los riesgos asociados a este paradigma de manera metódica.

Una categorización que considero suficientemente completa es la que he leído en [1]. En este artículo, se listan seis esferas o áreas de riesgo que puede llegar a presentar el Cloud. Voy a tratar de resumirlas, pero recomiendo leer el artículo original:

  • Autenticación. Todo lo relativo al control y el aseguramiento de la correcta autenticación de usuarios. El Cloud Computing presenta retos en este ámbito, o mejor dicho, magnifica los retos que ya existían en modelos de computación tradicionales. La confidencialidad de la información está en el punto de mira cuando todos nuestros sistemas residen en la nube. Sobre todo, si residen en la nube pública, cuya gestión y buen gobierno dependen de un tercero.
  • Seguridad y privacidad. Otro frente es garantizar que los datos con lo que se opera en la nube se mantienen seguros y privados. Y de nuevo, los riesgos relativos a esta esfera tienen que ver precisamente con la irrupción de un nuevo agente: el proveedor de servicios. Cuando se contrata a un proveedor, se debe asegurar que este sigue los estándares y controles oportunos, o que tiene las certificaciones necesarias.
  • Compatibilidad con sistemas internos. Una serie de riesgos asociados al Cloud Computing tienen que ver con que la mayoría de compañías no pueden migrar todos sus sistemas a la nube. Por ejemplo, aquellos que son parte esencial de la estrategia de la organización, que son considerados propiedad intelectual o que son tan diversos que no son compatibles con la infraestructura de ningún proveedor. Existen dificultades y peligros en la interoperabilidad de sistemas, así como en la integridad de los datos que manejan. De nuevo, debido al factor de externalización.
  • Disponibilidad. Existen también riesgos relativos a la disponibilidad de los sistemas que residen en la nube. Hoy en día, dicha disponibilidad debe ser garantizada en todo momento, ya que los sistemas han comenzado a ser parte esencial de cualquier organización. En la nube, dada la complejidad del paradigma, se deben realizar controles, mecanismos y procedimientos de redundancia y testing muy exhaustivos, lo que expone a una organización a mayores costes y amenazas.
  • Continuidad de negocio. Si una organización adopta el Cloud (principalmente si hace uso de nubes públicas), está delegando su continuidad de negocio a un tercero: el proveedor de servicios. Si el proveedor sufre un ataque o una catástrofe, la empresa cliente también.
  • Propiedad intelectual y aspectos legales. Hay riesgos asociados con la dificultad de decidir quién posee realmente los datos en un entorno Cloud. ¿El proveedor? ¿El cliente? Las complicaciones legales entorno a este tema deben ser un riesgo a considerar. Asimismo, el Cloud Computing presenta riesgos a nivel de cumplimiento. Por ejemplo, leyes o reglamentos tales como el GDPR obligan a las empresas a considerar aspectos relativos a la protección de datos personales. Su incumplimiento puede acarrear multas millonarias. Si el proveedor no las cumple, el cliente tampoco.

Otra categorización que he encontrado interesante es la presente en [3] (apartado: Cloud Adoption – key risks and how to mitigate them), más centrada en las preguntas que debe realizarse toda organización que quiere migrar su infraestructura TI al Cloud. No obstante, no vamos a entrar en más detalles. La categorización anterior ya nos da una visión suficiente para hacernos una idea de los riesgos que presenta el Cloud. De hecho, podemos observar que la mayoría de riesgos tienen que ver con dos factores: la complejidad inherente al paradigma y la puesta en escena de un nuevo agente, el proveedor de servicios

Visto los tipos de riesgos, puede ser buena idea priorizarlos. Y por supuesto, esta priorización debe estar ligada a la naturaleza y objetivos de nuestra organización. Si somos una empresa de servicios, póngase Netflix, debemos considerar la disponibilidad y la continuidad del negocio como factores de máxima prioridad. Sin embargo, si somos una empresa farmacéutica con un alto número de patentes, quizá sea más prioritario para nosotros los mecanismos de autenticación de nuestros sistemas y la privacidad y seguridad de nuestros datos, así como los aspectos relativos a propiedad intelectual. La disponibilidad quizá no sea crítica, o al menos no en la misma medida. Con esto quiero decir, que la priorización debe ser relativa a nuestras necesidades y no debemos caer en el error de intentar priorizar todos los riesgos de la misma manera.

A modo de anécdota, y para que veáis que esto no es palabrería, deciros que hace apenas unas semanas, Amazon Web Services (AWS), probablemente el mayor proveedor de servicios Cloud, sufrió un ataque DDoS que tumbó durante 8 horas muchos de sus servicios (EC2, RDS, ELB…) [4]. Los clientes que dependían de dichos servicios, paralizados. Al final, si quiero atacar a una empresa, puedo atacar directamente a su proveedor de servicios Cloud. ¡Easy peasy! Por ello, es esencial elegir al proveedor adecuado.

Pero como decíamos con anterioridad, existen marcos de trabajo que nos van a permitir evitar este tipo de escenarios. Si queremos cubrir, o al menos considerar, todos los posibles riesgos asociados al Cloud (imaginad que sois el encargado de la gestión de riesgos TI en vuestra empresa), necesitamos herramientas, guías y muchas tablas. Sí, muchas tablas, si no queremos morir en el intento. Con esto quiero decir que no se debe reinventar la rueda. Podemos apoyarnos en marcos de trabajo que incluyan todos los controles y procedimientos oportunos a considerar. Y para nuestra suerte, existen muchos de ellos [5]. Además, ya existen otro tipo de esfuerzos (documentación, pautas, artículos) para permitir a los profesionales centrar el tiro [6].

En el siguiente post, trataremos de profundizar en dicho ámbito: los controles y marcos de trabajo asociados al Cloud Computing.

¡Gracias por leerme y nos vemos en el siguiente post!

[1] «Risk Landscape of Cloud Computing», ISACA, acceso el 2 de noviembre de 2019, https://www.isaca.org/Journal/archives/2010/Volume-1/Pages/Risk-Landscape-of-Cloud-Computing1.aspx

[2] «Entendiendo la nube: el significado de SaaS, PaaS y IaaS», Genbeta, acceso el 2 de noviembre de 2019, https://www.genbeta.com/desarrollo/entendiendo-la-nube-el-significado-de-saas-paas-y-iaas

[3] «Moving to the cloud – key considerations», KPMG, acceso el 2 de noviembre de 2019, https://assets.kpmg/content/dam/kpmg/pdf/2016/04/moving-to-the-cloud-key-risk-considerations.pdf

[4] «AWS customers hit by eight hours DDoS attack», Info Security, acceso el 2 de noviembre de 2019,  https://www.infosecurity-magazine.com/news/aws-customers-hit-by-eighthour-ddos/

[5] Alosaimi Rana, Alnuem Mohammad. «Risk Management Frameworks for Cloud Computing: a critical review», International Journal of Computer Science & Information Technology 8 4 (2016), acceso el 2 de noviembre de 2019, https://pdfs.semanticscholar.org/6c88/c8f09a734317a611d4bcc566225907cbda31.pdf

[6] «Managing Cloud Risk: Top Considerations for Business Leaders», ISACA, acceso el 2 de noviembre de 2019, https://www.isaca.org/Journal/archives/2016/volume-4/Pages/managing-cloud-risk.aspx




Cloud Computing, cifras y casos de éxito

En el post anterior prometí demostrar a través de una serie de ejemplos que el Cloud Computing es importante, que es tendencia, y que es un verdadero reto para las empresas. Pues bien, ¡dedicaremos este post a recorrer casos de distintas organizaciones que han tenido que enfrentarse al Cloud! Pero antes de ello, veamos algunos números de vértigo que he recogido de varios artículos y fuentes. 

Lo primero, ¡es la economía, estúpido! El mercado de servicios de Public Cloud ascenderá a finales de este año 2019 hasta los 206 billones de dólares según la prestigiosa consultora Gartner [1]. Sí, 206 billones de dólares. Un aumento relativo del 17.33% respecto al año 2018.

Lo segundo, la adopción de este paradigma en el mundo empresarial. En 2020, el 83% de la carga de trabajo de las organizaciones pasará al Cloud [2]. De hecho, hoy en día, el 94% de las empresas utilizan algún tipo de servicio Cloud [3] y de media, el 30% del presupuesto de TI en una empresa es para pagar este tipo de servicios [4]. 

Lo tercero, y para mí, lo más sorprendente, el 66% de las organizaciones tienen un equipo o centro específico para tecnologías Cloud [5]. Existe una fuerte apuesta por parte de las empresas por consolidar este paradigma y formar empleados especialistas en él. Lo ven como algo de futuro.

Sin duda, unas cifras que dan qué pensar y que son difíciles de creer. Traduzcamos ahora estos números en casos reales de organizaciones que en los últimos años han dirigido sus estrategias de transformación digital hacia las tecnologías Cloud.

Para mí, un claro caso de un gigante que ha adoptado el Cloud con éxito es el de General Electric. Esta empresa multinacional de servicios financieros, infraestructura y medios de comunicación, es uno de los mayores conglomerados del mundo y, en el año 2014, comenzó a aplicar una estrategia de transformación digital que revolucionó la manera de trabajar que mantenían hasta el momento. Tres años después (en 2017), y como consecuencia de seguir dicha estrategia, eligió a Amazon Web Services (AWS) como proveedor principal para alojar más de 2000 aplicaciones y servicios en la nube [6]. Según su CTO y vicepresidente, esta ha sido una de las mayores y más importantes transformaciones que ha habido en la historia de General Electric, y asegura que les ha ayudado a reorientar recursos hacia tareas de innovación que, hasta el momento, estaban ocupados manteniendo y diseñando centros de datos tradicionales.

Otro ejemplo de una compañía totalmente diferente a General Electric que ha transformado la manera en la que opera a través del Cloud es Pearson, la compañía multinacional de contenidos y servicios educativos. Para esta organización, el Cloud ha sido el habilitador que les ha permitido subirse al tren de la transformación digital en el ámbito educativo. En concreto, a través del establecimiento de una infraestructura de Cloud híbrida global ha podido liberar recursos e invertirlos en el desarrollo de nuevos productos educativos web que siguen las tendencias y demandas del mercado actual [7]. Un momento, ¿Hybrid Cloud?

Sí, y aunque no lo mencionamos en el post anterior, también existe un modelo de despliegue intermedio entre el Public Cloud y el Private Cloud. Este modelo de despliegue es el favorito de la mayoría de organizaciones, ya que les permite mezclar soluciones on-premise, nubes privadas y nubes públicas de terceros según las necesidades [8]. Otorga una flexibilidad mayor que los dos grandes modelos y además, coge lo bueno de ambos, asegurando mayor control sobre los datos y la infraestructura, propio de la nube privada, pero sin renunciar a la capacidad de crecimiento de la nube pública. Por ello, pongo este ejemplo de Pearson, ya que es una empresa que se decidió por este modelo. Además, me resulta apasionante como el Cloud puede ayudar en sectores tan diversos, como la educación. Y hablando de la transversalidad del Cloud y la informática en general, ¿sabéis qué empresa también tiene una clara estrategia de digitalización entorno al Cloud? 

¡Netflix! La famosa compañía de entretenimiento y distribución de contenido audiovisual en línea. Sí, sé que es una empresa tecnológica, pero hasta ahora, no tenían una fuerte apuesta por los servicios en la nube. La razón que les ha hecho ver la luz es la inesperada popularización de sus servicios. Desde hace apenas unos años, Netflix ha pasado de ser un servicio minoritario, a ser la regla general cuando deseas ver una serie o película. Esto les ha obligado a considerar migrar sus centros de datos tradicionales a un entorno Cloud para poder soportar los grandes picos de procesamiento [9]. Y les ha ido bien. De hecho, les ha permitido expandirse de manera flexible en función de la demanda, ahorrando costes y gestionando los recursos de manera eficiente.

Y dicho esto, me queda cerrar el post con una serie de datos adicionales. Hemos demostrado con ejemplos y cifras que el Cloud es tendencia. Pero no hemos hablado aún de los riesgos que supone este nuevo paradigma, ni de la preocupación de la industria entorno a este tema. Tampoco hemos hablado de estándares y herramientas, ni de regulaciones y leyes.

Respecto a esto último, existe una clara preocupación por parte de los gobiernos sobre la adopción descontrolada de este paradigma en términos de seguridad y privacidad. Y dependiendo del país, la jurisdicción es diferente. Por ejemplo, en Estados Unidos no existe una ley general de protección de datos, sino que se han desarrollado leyes para sectores específicos que incluyen regulación entorno a este tema, como la HIPAA (Health Insurance Portability and Accountability Act), que está obligando a todos los servicios Cloud que trabajan en el ámbito de la salud a cumplir con una serie de condiciones o a ser, como dirían ellos, HIPAA Compliant [10]. 

Por otro lado, tenemos el enfoque europeo con el GDPR (Reglamento general de protección datos) que busca y promete unificar todas las leyes de protección de datos en la UE. Este reglamento es cada vez más exigente, ya que últimamente se han introducido derechos tales como el derecho al olvido [11] que, a pesar de ser necesarios y un gran paso a nivel social, son una verdadera pesadilla a nivel de cumplimiento. Sobre todo, cuando se trabaja con procesamiento y almacenamiento de datos distribuidos como en el caso del Cloud Computing.

Los riesgos concretos y estándares asociados al Cloud Computing los dejamos para el siguiente post. Un saludo y gracias por leerme.

[1] «Roundup of Cloud Computing forecasts and market estimates», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/09/23/roundup-of-cloud-computing-forecasts-and-market-estimates-2018/

[2] «83% of enterprise workloads will be in the cloud by 2020», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/01/07/83-of-enterprise-workloads-will-be-in-the-cloud-by-2020/

[3] «State of the Cloud report», Flexera, acceso el 13 de octubre de 2019, https://media.flexera.com/documents/rightscale-2019-state-of-the-cloud-report-from-flexera.pdf?/

[4] «State of enterprise Cloud Computing», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/08/30/state-of-enterprise-cloud-computing-2018/

[5] «Cloud Computing trends», Flexera, acceso el 13 de octubre de 2019, https://www.flexera.com/blog/cloud/2019/02/cloud-computing-trends-2019-state-of-the-cloud-survey/#94%20Percent%20of%20Respondents%20Use%20Cloud

[6] «GE opens up on how its move to the AWS public cloud is progressing», ComputerWeekly,  acceso el 19 de octubre de 2019, https://www.computerweekly.com/news/450427890/GE-on-how-its-move-to-the-AWS-public-cloud-is-progressing 

[7] «Three Companies That Transformed Their Businesses Using Cloud Computing», Forbes, acceso el 19 de octubre de 2019, https://www.forbes.com/sites/ibm/2014/11/03/three-companies-that-transformed-their-businesses-using-cloud-computing/

[8] «What is Hybrid Cloud?», SearchCloudComputing, acceso el 19 de octubre de 2019, https://searchcloudcomputing.techtarget.com/definition/hybrid-cloud

[9] «6 Shining Examples of Cloud Computing in Action», Forbes, acceso el 19 de octubre de 2019, https://www.forbes.com/sites/joemckendrick/2012/02/22/6-shining-examples-of-cloud-computing-in-action/#7d68cb824bfc

[10] «Why Being HIPAA Compliant Is Important for Major Cloud Services», Cloudwards, acceso el 19 de octubre de 2019, https://www.cloudwards.net/hipaa-compliant/

[11] «Everything you need to know about the right to be forgotten», GDPR EU, acceso el 19 de octubre de 2019, https://gdpr.eu/right-to-be-forgotten/




Mi experiencia como Data Scientist

Hoy vengo a hablar de mi experiencia como data scientist en IKUSI. La verdad es que tuve la suerte de trabajar con ellos gracias al Máster de Big Data & Business Intelligence realizado en el año pasado. Venía de trabajar como Becario en churning problem (fuga de clientes) para Eroski, en colaboración con Deusto.

Mi etapa fue corta, intensa y preciosa en la Ciencia de Datos. Seguramente, desde mi variada experiencia es la mejor de todas.

Por contextualizar, nos centramos en trabajar con productos del sector aeronáutico. Aparecí en la primera fase de Big Data, donde partiendo de la información existente teníamos que sugerir ideas. El motivo de hacerlo, era porque había muchísimos datos que eran potencialmente interesantes desde el punto de vista de este mundo. Recuerdo algún acrónimo como FIDS (naturaleza de la solución Dolphin, en IKUSI) o Beluga, para gestión de operaciones.

Veíamos el origen de los datos y las distribuciones de los mismos; buscábamos incoherencias y asociaciones así como anomalías… Me divertía como un niño la verdad. A ese proceso se le conoce como EDA (Exploratory Data Analysis).

Participé de manera activa en la generación de ideas para el desarrollo de I+D. A modo reflexión personal y autocrítica, he de admitir que parece fascinante (y para mí y mi cabeza, antes impensable) que se haya abierto un nuevo mundo donde a partir de los datos se pueda aportar valor hasta el punto en el que podamos trabajar exclusivamente sobre los mismos. Recuerdo temáticas como Gate Assigment Problems, Clasificadores de pasajeros, planificadores  de anuncios… Para mí eran auténticos hallazgos de problemas que se resolvían con matemática y estadística que antes ni siquiera había escuchado. Se abrió todo un mundo nuevo para mí.

Otro aspecto que me encantaba era el tener que presentar a los distintos departamentos de IKUSI las conclusiones e ideas que se nos ocurrían. Había que ir a donde los departamentos (más concretamente, a donde los Product Owners) y plantearles vías de I+D para mejorar el producto y aportar valor. Me gustaba el no estar eternamente programando; el ser capaz de ofrecer soluciones que, primeramente, eran útiles (esto es, no sólo rentables a largo plazo sino que estas aportarían valor en el negocio) y segundo el realizar estas presentaciones resultado de un proceso de investigación propia. Me sentía como en familia, mejor dicho, en casa. Me sentía valorado y querido; me gané un sitio.

Es obvio que sin la evolución que ha sufrido la tecnología (y que ésta ha generado en el mundo, no sé si llamarlo en consecuencia o de manera recíproca) nada de esto sería posible. De hecho, menos mal que he nacido en esta época; si bien el mundo está globalizado y tiene sus contras tenemos el rol de cambiar las cosas a nuestra manera.

Por ir cerrando el post, he de confesar que muchas veces echo de menos la sensación de despertarme, tomarme un café y ponerme a trabajar en investigar, leer papers de innovación, explorar y atreverme a decidir si eran interesantes para las distintas soluciones dentro de la empresa. Me hacía sentirme un «artista» de alguna manera. Hoy tengo otros objetivos mucho más importantes y toca luchar por ellos y quien sabe, ya veremos si mañana volveremos a ese camino.