porta folio Todavía hay mucho por hacer en seguridad El desempeño bajo control El uso de las contraseñas y las peores prácticas

Transcripción

1 t e c n o l o g i a p a r a l a s o r g a n i z a c i o n e s c o m p e t i t i v a s distribucion gratuita Edicion 5 Año 1 AGOSTO de 2010 el porta folio TI distribución de recursos Tarea compleja, pero si se administra bien, su impacto será positivo en el proceso de asignación de prioridades para proyectos y Las campáñas virales en las redes sociales El desempeño bajo control El uso de las contraseñas y las peores prácticas Todavía hay mucho por hacer en seguridad

2 [web 2.0] Lima 2010 VI Edición 18 de Agosto Centro de Convenciones Atlantic City Crea campañas virales en las redes sociales El evento símbolo de la Seguridad de la Información MEDIA SPONSOR Informes e inscripciones: informes@i-secperu.com Por Carlo D Urso* *consultor en nuevas tecnologías de objetivo negocio cd@objetivonegocio.com Desde hace un tiempo a esta parte oímos a los expertos de marketing gritar a los cuatro vientos la misma frase: Realiza acciones de marketing en los medios sociales para tu negocio. En realidad, lo que se está sugiriendo es la oportunidad de llegar a una amplia base de personas (o clientes potenciales) en poco tiempo y que hace referencia a unos sitios que en el último año han crecido rápidamente, de ellos el ejemplo más evidente es Facebook. Facebook comenzó como una manera para que los estudiantes universitarios se mantuvieran conectados y a lo largo de los seis años de existencia ha perfeccionado su estrategia, para captar la atención de celebridades, programadores, y negocios. Desde una perspectiva técnica he apreciado la sencillez y la eficiencia de esta herramienta, al alcance de todos. De hecho, se puede crear una cuenta en pocos minutos para compartir textos, fotos, videos, y otros recursos digitales, además ofrece la posibilidad de crear grupos y paginas para admiradores. Para algunos ha sido el descubrimiento del año, para otros la pesadilla del año. Me refiero a aquellos emprendedores que crean al mismo tiempo una cuenta como usuario, crean un grupo y también una página para promoverse. Luego de unos meses sucede lo inevitable. Se dan cuenta de que generar contenido y mantener actualizados estos tres espacios es un trabajo a tiempo completo, y poco a poco pierden el interés por la falta de interactividad con sus amigos, miembros de su grupo y fans de su página. Estar presente en Facebook es fácil, motivo por el cual muchas empresas empiezan a abrir cuentas, grupos y páginas. La clave es saber usarlo para que beneficie a tu negocio, y eso para alguien que empieza, o ya es usuario de las redes sociales, no es tan simple si carece de habilidades de comunicador social. Un rol subestimado por la mayoría. Este artículo intenta aclarar este tema, y brindarle una solución estratégica a cada emprendedor dependiendo de sus necesidades.» Por qué crear un usuario en Facebook? Como he mencionado, Facebook fue creado pensando en redes de amigos y esto se refleja en las funcionalidades disponibles en el perfil de usuario (muro, información, fotos, notas, etc.), de partida no hay funcionalidad para las empresas y descartaría a priori esta opción para los negocios. Sin embargo, si lo quieres usar como una herramienta de marketing personal para que las personas te conozcan más y sepan a qué te dedicas, es una buena opción. Ten en cuenta que tiene que tener tu nombre, tienes que compartir información interesante con tus amigos y sobre todo, no vender tus productos, servicios o empresa de manera directa. Tech&roi 3

3 [web 2.0] [web 2.0] Necesito crear una página o un grupo en Facebook? La mayor diferencia entre las páginas y los grupos reside en la relación que estos instrumentos intentan crear con sus seguidores: Las páginas son para atraer fans, y los grupos son para reclutar miembros interesados en el tema del mismo. Como indica Ann Smarty, las páginas son contempladas para relaciones a largo plazo con tus seguidores o fans. Por qué alguien quisiera ser tu fan? Hay muchas razones, por ejemplo, les gusta tu blog, eres un medio online útil para ellos o porque son tus clientes y te recomiendan o apoyan virtualmente porque están satisfechos. Las páginas tienen dos funciones clave: 1. Puedes enviar mensajes a todos tus fans; y, 2. Te ofrecen analíticas: una zona que ofrece información demográfica acerca de los seguidores. Esta información te permitirá conocer más a tus fans y te servirá para efectuar otras acciones de marketing. Además, las páginas se indexan automáticamente en Google dando visibilidad a la empresa, prácticamente, sin esfuerzo, proporcionando de esta forma un SEO indirecto que generará más tráfico a tu sitio web. Sin embargo, no olvides que la interacción con tus seguidores es muy importante, dialoga con ellos. No trates de enviar mensajes constantemente a tu fans, esto podría ser contraproducente. En los medios sociales es prohibitivo enviar tu mensaje publicitario, no podemos usarlos como la televisión donde el televidente es un usuario pasivo. Aquí la clave es la comunicación. Un grupo generalmente se ajusta mejor para hospedar una discusión activa sobre un tema en específico y, sobretodo, atraer la atención rápidamente acerca de temas del momento. Aquí el tema del grupo es lo que atrae a las personas y las agrupa de acuerdo a sus gustos y preferencias. El objetivo es que el tema del grupo atraiga a un gran número de personas, y la estrategia es que sea altamente interactivo para que sea atractivo. Es decir, que un buen número de miembros compartan información útil y dialoguen entre sí teniendo un tema en común. Y cómo podría tu negocio podría beneficiarse de esto? Si eres chef podrías crear un grupo donde compartas tus recetas e incentivar a que todos lo hagan. Esto te daría visibilidad y te ayudaría indirectamente a promocionar tu restaurante. Pero ten cuidado con esta opción. Si lo haces solo con la finalidad de promocionarte será percibido muy rápidamente, y el entusiasmo por compartir información entre miembros del grupo se perderá. En ambos casos, tanto páginas como grupos, suelen atraer a más personas mientras los temas sean más solidarios o superficiales y menos corporativos o referidos a temas más trascendentales. De acuerdo a Facebook: las páginas sirven para representar a una figura pública, un artista, una marca u organización, y pueden ser creadas por un representante oficial de esa entidad, además las páginas pueden ser enriquecidas con otros medios interactivos y aplicaciones. Por otro lado, los grupos se pueden crear por cualquier usuario y sobre cualquier asunto, como espacio para que los usuarios compartan su opinión e interés acerca del mismo. Otra peculiaridad de las páginas es de poder enviar actualizaciones a los fans sin límites de número frente a 5000 miembros como máximo para los grupos.»conclusión En mi opinión las páginas son más apropiadas para las empresas, pero más importante aun es el contenido que se proporciona en estas. De hecho, sin contenido la presencia en Facebook tiene la misma significancia de tener presencia en internet con una página web. La clave para beneficiarse de los medios sociales es de crear espacios donde proporcionar información atractiva, impulsando la participación. De esta forma una empresa será capaz de crear una campaña viral, y en última instancia, conducir estos visitantes al sitio web, preparada con una información más completa y detallada. Haz que el sitio web sea el centro de tu comunidad en línea. Digo esto porque a pesar que las redes sociales son cada vez más importantes, no es prudente que todas tus acciones de marketing dependan solo de éstos para conectarse con los clientes. 4 Tech&roi Tech&roi 5

4 [seguridad ti] [seguridad ti] Por Frano Capeta* * corporate director & country manager peru de i-sec information security inc. Todavía hay mucho que hacer Reflexiones sobre como las empresas valoran sus iniciativas de seguridad El miércoles 18 de agosto se realizará en Lima la sexta edición de Infosecurity, uno de los foros más importantes sobre seguridad orientado para el sector corporativo peruano. En ese sentido, le hemos pedido a Frano Capeta, Country Manager de I-SEC Perú, que nos comente sobre el nivel de conciencia sobre la seguridad en las organizaciones. Como parte de nuestro trabajo en diversos clientes y prospectos a nivel latinoamericano, nuestra unidad de investigación realiza en forma constante una serie de encuestas las cuales nos permiten determinar el estado situacional de la seguridad de la información, en esta ocasión quisiera compartir los resultados de dos de ellas.»pregunta 1 Los empleados de sistemas tienen acceso a la información confidencial de la compañía? Un 69% respondió que sí. Un 23% respondió que solo se acceden con permisos de alta gerencia. Un 8% respondió que el acceso a la información posee los permisos correctos sin importar el área.» Pregunta 2 Están incluidos en las normativas de seguridad de la compañía aspectos de seguridad física? Un 72% respondió que no. Un 21% respondió que están incluidas solo lo necesario. Un 7% respondió que sí están incluidas. Si bien es cierto que la seguridad de la información tiene cada vez más repercusión mediática, todavía no se concreta en medidas efectivas en las organizaciones. Hay una separación muy amplia entre la gestión propia de la seguridad, que en muchos lugares sigue siendo vista como seguridad informática o como un asunto propio de sistemas o Tecnología de la Información (TI), y los niveles gerenciales, los cuales no tienen claro el impacto que les podría ocasionar una repercusión de seguridad. El hecho de que en muchas organizaciones el área de TI tenga acceso a la información confidencial, es un indicio claro de que ambas partes: usuarios y TI, no han hecho nada por revertir esta situación, de la misma forma el desvincular la seguridad física de la seguridad de la información la cual se expresa en una organización por medio de políticas, normativas y procedimientos -nos indica que tan alejado está el promedio de empresas de la situación deseada de seguridad. Sólo acceden a la información con permisos especiales de la alta gerencia. Los empleados de sistemas tienen acceso a la información confidencial de la compañía? -Sí acceden a toda la información La información posee los permisos correctos sin importar el área.» Reactivos No debemos esperar que en nuestras empresas se presenten eventos significativos de robo o vulneración de información, para poner manos a la obra, es el momento de escuchar a expertos, investigar cómo otras empresas están tratando el problema; no es necesario hacer cuantiosas inversiones ni en Hardware, ni en Software, ni en personal, tan solo hay que usar el criterio y sentido común en muchas de nuestras acciones del día a día, por ejemplo Bloquear su sesión cuando vaya a ausentarse de su oficina y así impedir que un fisgón acceda a su información. Dejar siempre bajo llave los documentos y papeles importantes y, de esta manera evitar que el mismo fisgón los fotocopie, o lea información confidencial. Si tiene que desechar un CD o DVD con información importante, pero que por algún motivo lo desea botar a la basura, cómprese un equipo triturador de CD/DVD que no cuesta mucho pero con el que ganará bastante. Del mismo modo con sus documentos que se deseen desechar. Podríamos continuar con una serie de medidas, pero lo realmente importante es que se tome conciencia debida.» Nos vemos en Infosecurity Como parte de estas iniciativas sobre seguridad de la información, es pues una importante oportunidad asistir a eventos en donde podemos intercambiar experiencias con otros profesionales que deben tener nuestras mismas problemáticas. En ese sentido, les invito a Infosecurity Lima VI Edición, un foro adecuado para el intercambio de conocimientos y aprendizaje muy vinculados a las mejores y más modernas prácticas internacionales sobre seguridad. Están incluídas en las normativas de seguridad de la compañía aspectos de seguridad física? Sí están incluidas 72% 7% 21% Solo incluimos lo necesario No están incluidos, son temas de otras áreas 6 Tech&roi Tech&roi 7

5 [seguridad ti] [seguridad ti] ingenieria social gabriel marcos* La amenaza oculta es la más peligrosa (parte II) Después de haber visto en una edición anterior (T&R 01 de abril 2010) algunas de las técnicas de Ingeniería Social que se utilizan actualmente, alguien podría pensar que si estos tipos de ataques no están tan difundidos es porque no representan tanto peligro; allí puede aparecer la pregunta: por qué comenzar a hablar ahora de Ingeniería Social? E»Conectividad y movilidad Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a la información, porque los usuarios la llevan consigo todo el tiempo. Desde algo tan sencillo (comparado con vulnerar un sistema informático) como robar el smartphone de un gerente para sustraer datos, s que estamos en una época en la cual la Ingeniera Social está hasta la instalación de accesos Wi-Fi falsos para viviendo un verdadero auge, alentada por algunos factores obtener información de forma ilegal. Existen gran como: crecimiento tecnológico sin procesos, movilidad y co- variedad de técnicas que combinan algún tipo de conocimiento técnico con nectividad, y redes sociales. otro tipo de tácticas. Cuando hablamos de crecimiento tecnológico sin proce- Más allá de la falta de concientización que hace tiempo se advierte en re- sos, nos referimos a un doble efecto que podemos encontrar en las organiza- lación con las tecnologías móviles, gracias a lo cual es muy difícil encontrar ciones. En primer lugar, durante los últimos tres años la mayoría de las em- que existan controles implementados para este tipo de tecnologías, las téc- presas han realizado en mayor o menor medida inversiones en tecnología nicas de Ingeniería Social pueden ser efectivas incluso en contextos donde a relacionada a la seguridad, por lo cual existe una peligrosa sensación de se- nivel tecnológico se han tomado los recaudos mínimos necesarios. guridad, que sin duda deja lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología no alcanza por sí sola para ofrecer seguridad, y mucho menos, ante escenarios de ataque de Ingeniería Social. En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las principales armas frente a la Ingeniería Social (junto con la concientización). Es decir, que si sumamos una falsa sensación de seguridad junto con la falta de controles adecuados, encontramos un terreno propicio para el desarrollo de estas técnicas. * Datacenter, Security & Outsourcing Product Manager - Global Crossing Latin America»ISO Lo cierto es que es mucho más difícil implementar procesos que tecnología, y no porque las tecnologías sean sencillas, ni mucho menos. Tengamos en cuenta que si tomamos como referencia la principal norma internacional relacionada a la seguridad de la información, es decir la ISO 27000, realizar una implementación de los lineamientos de la norma en una organización promedio toma entre dos y tres años, considerando que luego de la implementación, y a través del sistema de mejora continua, se irán mejorando los controles y procesos hasta alcanzar una madurez hasta dentro de otros dos o tres años posteriores. Adicionalmente, implementar este tipo de normas requiere apoyo y participación de toda la organización, lo cual ya de por sí representa un reto muy difícil de alcanzar. 8 Tech&roi Tech&roi 9

6 [seguridad ti] [seguridad ti]»las redes sociales Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento de nuevas formas de ataque, relacionadas con la Ingeniería Social. Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña. En general, los ataques realizados a las redes sociales se realizan sobre la base de que las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o la obtención de información que permita luego ganar un acceso no autorizado. Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas que comenzaron a utilizar información disponible en Facebook o en LinkedIN (por nombrar solamente a algunas fuentes) para incorporarla a sus procesos de selección de personal. Y entonces por qué no podría encontrar un hacker allí mismo información valiosa para sus propósitos? Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda, esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude. En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el nivel de protección de la información. Recomendaciones para las organizaciones a.- Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos inherentes a las distintas actividades. b.- Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la información en todas las áreas de la empresa. c.- Utilizar la información de los elementos de control tecnológico para medir posibles brechas de seguridad asociadas a la Ingeniería Social. d.- Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos que incluyan tanto a la infraestructura tecnológica como a los procesos y procedimientos. Recomendaciones para los usuarios individuales a.- Ser extremadamente cuidadoso con la información pública que se almacena en redes sociales. b.- No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder en forma remota). c.- Habilitar las conexiones Wi-Fi en los smartphones y notebooks solamente cuando se las está utilizando. d.- Participar de todas las actividades de concientización que se ofrecen tanto en la propia organización como a través de medios especializados en seguridad de la información. 10 Tech&roi Tech&roi 11

7 [seguridad ti] [cronica central] Las peores prácticas Uso de las contraseñas en internet a nivel Latinoamérica Al día de hoy, el uso de contraseñas para autenticarse ante un sistema es muy común y ha ido en aumento, debido a los cada vez mayores ataques que sufren las empresas a nivel mundial. Debido a dicha situación, el Centro de Defensa de Aplicaciones de Imperva (ADC por sus siglas en inglés) se dio a la tarea de analizar los diferentes comportamientos de los usuarios al momento de crear una contraseña para tener acceso a aplicaciones de la red empresarial, así como en las redes sociales que visitan y utilizan para promover sus servicios y/o productos, desconociendo los riesgos mayores a los que están expuestos, pues toda vez abierta la puerta a la empresa, los hackers tienen oportunidad de violar la seguridad de contraseñas y robar toda la información que le parezca interesante, y en la mayoría de los casos es la información sensible y de mayor valor la que resulta dañada y, peor aún, afectan a terceros, que pueden ser los clientes de la organización, y toda la información personal de empleados que puede estar en alto riesgo de que los delincuentes informáticos hagan mal uso de la misma. En dicho estudio se descubrió que la mayoría de las contraseñas utilizadas, generalmente, son nombres propios, cosas favoritas, términos cariñosos, términos informáticos, secuencias de teclado y términos religiosos, siendo la primera la de mayor peso, pues representa el 48% del uso de contraseñas. Daniel, Ángel, Andrea, Carlos y Amanda son los cinco nombres más comunes. (Gráfica 1) Por otro lado, el análisis revela la forma en que los usuarios seleccionan contraseñas y ofrece una alternativa para evaluar si las mismas funcionan realmente como mecanismos de seguridad. Los 32 millones de contraseñas que se evaluaron permitieron un panorama global, de las cuales 1,830,196 se identificaron en idioma español, la contraseña más común en cualquier idioma resultó ser numérica o en combinaciones tales como: ó abc123. Las palabras encontradas en español fueron 1,001,662. El mecanismo del estudio consistió en la investigación de cuáles contraseñas venían de usuarios hispanoparlantes: palabras en español, incluyendo nombres propios y expresiones mal escritas intencionalmente; y la frecuencia de uso de las contraseñas. En un análisis general de las 32 millones de contraseñas, y de acuerdo a recomendaciones de la NASA para la selección de contraseñas, mismas que sigue la ADC de Imperva, se reveló que sólo la mitad de las contraseñas contenía siete o menos caracteres, siendo que la recomendación mínima es de ocho caracteres; el 30% de los usuarios eligió contraseñas cuya longitud fue igual o menor a los seis caracteres. El 60% de los usuarios eligen sus contraseñas dentro de un conjunto limi- 12 Tech&roi Tech&roi 13

8 [seguridad ti] [seguridad ti] tado de caracteres. Alrededor del 40% de los usuarios utilizan solo caracteres en minúsculas para sus contraseñas, y cerca del 16% utilizan solamente dígitos. Menos del 4% de los usuarios utiliza caracteres especiales; y solo el 0,2% de los usuarios tienen una contraseña que podría considerarse fuerte. Es importante destacar que en el uso de las contraseñas es recomend a b l e una mezcla de caracteres especiales, números, letras minúsculas y mayúsculas. Además, no debería ser un nombre, una mala palabra o una palabra que esté en el diccionario. No se deberá incluir una parte de su nombre ni su dirección de correo electrónico. Casi la totalidad de las 5000 contraseñas más populares, utilizadas por el 20% de los usuarios, fueron solo nombres, malas palabras, palabras del diccionario o contraseñas triviales (dígitos consecutivos, teclas adyacentes del teclado, e t c. ). Un pirata informático puede tener acceso a una nueva cuenta cada segundo o un poco menos de 17 minutos para comprometer 1000 cuentas, y el problema es exponencial, ya que después de la primera ola de ataques, sólo tomaría 116 intentos por cuenta para comprometer el 5% de las cuentas, 683 intentos para comprometer al 10% de las cuentas y alrededor de 5000 intentos para comprometer al 20% de las cuentas.»sugerencia Ante este panorama, Imperva sugiere a los usuarios: elegir contraseña fuerte para los sitios en donde almacena información cuya privacidad le importa, utilizar una contraseña diferente para todos los sitios y nunca confiar a un tercero sus contraseñas importantes (correos electrónicos, banca, servicios médicos, etc.). Los administradores deberán hacer cumplir una política de contraseñas seguras, asegurarse de que las contraseñas no sean guardadas en texto claro y emplear mecanismos robustos para detectar y mitigar ataques maliciosos en las credenciales de inicio de sesión; y políticas de cambio de contraseñas. Existen varias razones por las que toda empresa debería poner extrema atención en el uso de las contraseñas: Los empleados desconocen la mejor forma de crear y utilizar una contraseña para tener acceso a los sistemas de las organizaciones. Si su empresa es un blanco para los ataques externos e internos, lo primero que hacen es tener acceso a las contraseñas con el objetivo de entrar a las redes empresariales. Ejemplo: un ciudadano francés conocido con el seudónimo Hacker Croll enfrentará cargos por sabotear cuentas de correo electrónico en las páginas de Facebook, y Twitter. Otro caso fue que en el 2005, los piratas irrumpieron el sistema de Recursos Humanos de la US Air Force, adivinaron las contraseñas de los usuarios y extrajeron 300 mil registros. Las organizaciones deberán utilizar mecanismos de seguridad robusta para el uso de contraseñas, con ello protegen a sus empleados de ataques cibernéticos y, al mismo tiempo, están resguardando su información más valiosa.»contraseña Segura Una de las precauciones básicas a la hora de mejorar la seguridad de las empresas es utilizar una contraseña segura. Lo que se deberá hacer es: -No utilizar palabras comunes del diccionario -Usar un algoritmo para recordar las contraseñas: -Este cochinito tiene cuatro patas =ect4p -Cambiarlo para cada sitio: Ect4pamigo para Facebook Ect4pbanco para Bancos -Cambiar las contraseñas frecuentemente. El administrador de las redes empresariales deberá considerar además, implementar, tecnologías que ayuden a reducir los ataques en el uso y procesos de la información valiosa en internet, tales como: Web Application Firewal y HSM basados en la criptografía. *Pueden buscar más información en 14 Tech&roi Tech&roi 15

9 [portada] [portada] La administración del portafolio TI La administración del portafolio de TI es una de las tareas más complejas en el proceso de asignación de prioridades para proyectos a emprender y distribución de recursos. Por Jose Camilo Daccach T. Cuando iniciamos todos nuestros talleres de Planeación Estratégica de TI, una parte fundamental es la identificación de expectativas de los asistentes para validarlas y garantizar que se podrán cumplir durante el mismo. En este proceso siempre están unas expectativas similares, dentro de la cual resaltamos el tema de alineación de la tecnología informática con las estrategias del negocio, y en este orden de ideas recordamos el tránsito que ha dado la tecnología informática de ser un reflejo de hechos pasados, donde su impacto en el negocio era nulo, a convertirse hoy en un motor habilitador, y en casos importantes, a ser el diferenciador y generador de esa ventaja competitiva que mantiene el negocio a flote. Esto explica por qué hay tanta presión sobre la necesidad de alinear y nos quedamos cortos en el cómo. Hemos desarrollado unas herramientas interesantes que permiten que el Plan Estratégico de TI esté alineado con el plan estratégico de la compañía, herramientas que hemos visto aplicadas en todo tipo de negocio. Ahora que están alineados los dos planes, surgen conclusiones de más o menos diez años de investigaciones sobre herramientas para sacarle el mayor valor a las inversiones de TI, para llevar un paso más allá el impacto de las TIC en el negocio y sus resultados. Ya está claro que la tecnología informática es una inversión más de la compañía, y como tal debe ser tratada; lo que exige un retorno de esa inversión similar al retorno de las demás inversiones que hace la empresa en el curso del negocio. Se traen entonces herramientas del entorno financiero, de manejo de portafolios financieros, para manejar el portafolio de TI. A manera de ejercicio y utilizando su intuición administrativa, responda sí o no a las siguientes preguntas para el período de los doce meses anteriores: La empresa gasta la cantidad adecuada en TI? La empresa gasta ese dinero en los sitios apropiados? Obtuvimos el retorno esperado para estas inversiones? Si la respuesta es sí para las tres preguntas, es claro que tiene un sistema de manejo de portafolio en pie, sin embargo, la gran mayoría de las empresas en nuestro ámbito, no puede responder afirmativamente a las mismas, lo que implica que es hora de repensar el tema. El repensar de las inversiones en TI como un portafolio de TI requiere de un modelo y se ha trabajado en los principios que rigen los portafolios financieros, principios con los cuales están familiarizados los cuadros directivos en las empresas. El primer paso es identificar los elementos que componen este portafolio de inversiones de TI. Este portafolio debe contemplar todo el dinero que se invierten en tecnología informática, tanto operativo como gasto de capital y depreciaciones, incluyendo la tecnología misma, los servicios, información digitalizada, subcontratación y gente, dedicada al tema de la tecnología informática. Se puede separar, entonces, este portafolio en tres grandes grupos o elementos a tener en cuenta. El primero son los gastos para sostenibilidad, es decir, los gastos requeridos para mantener los sistemas actuales operando. El segundo son los programas (grupos de proyectos ligados a un objetivo del negocio); y, El tercero son los proyectos (actividades para crear resultados bajo presupuesto y cronograma) que se encargan de generar nuevos servicios. Estos dos (programas y proyectos) reposan sobre las funciones de TI que manejan las actividades recurrentes como operaciones, mantenimiento, planeación, desarrollo, adquisición, seguridad, pruebas, etc. La separación en estos grupos ha permitido que varios estudios concluyan que la distribución del portafolio está recargado hacia la sostenibilidad, y en promedio demuestran que un 66% del presupuesto cumple con el objetivo de sostenibilidad mientras solo el 34% del presupuesto cumple con propósitos 16 Tech&roi Tech&roi 17

10 [portada] [portada] para generar nuevas iniciativas de negocio. Estas cifras generan desconcierto, sin embargo, ahora permiten saber este desbalance. El manejo del portafolio permitirá diseñar estrategias que permitan un mayor retorno de esta inversión. Una vez que se tengan claros estos elementos y los valores respectivos, se aplican y distribuyen entre objetivos para la inversión de TI y clases de inversión de TI.»Identificar objetivos del negocio Teniendo claro los diferentes componentes del portafolio de TI, es necesario, ahora, identificar cuáles son los objetivos que tiene el negocio para invertir en la tecnología informática, objetivos que no son nuevos, pero que ahora clasificamos en cuatro grandes grupos, grupos para los cuales tenemos también clases de activos correspondientes, activos pertenecientes a este portafolio de TI.»Reducir el costo de hacer negocios Por aquí inició la aplicación de la tecnología informática en los negocios. Los proyectos de mejoramiento de procesos y el reemplazo de personas por sistemas automatizados generaron las primeras inversiones en tecnología informática. Hoy todavía se tienen proyectos de aplicaciones de TIC que permiten reducir el costo de hacer negocios, proyectos impulsados por lo general por las nuevas tecnologías. Un ejemplo claro es la implementación de la Voz sobre IP (VoIP) reduciendo hasta en un 90% los costos de llamadas telefónicas de larga distancia. Hoy ya no es un proyecto de reducción de costos sino que ha mitrado a hacer parte de una capacidad tecnológica compartida. En este grupo incorporamos los activos del portafolio de TI que conocemos como sistemas transaccionales, encargados del manejo del movimiento del día a día en forma automatizada y sistematizada. Estos activos no solo reducen costos sino que también mejoran el desempeño organizacional.»proveer mejor información Este objetivo pretende precisamente lo que su título dice: obtener mejor información mediante el procesamiento de los datos recogidos y presentarlos de tal manera que faciliten el entendimiento del negocio y la toma de decisiones que generen resultados y permitan encausar las acciones hacia el logro de los objetivos. Bajo este objetivo incorporamos activos de TI conocidos como activos informacionales, los cuales proveen información para administración, contabilidad, reportes y comunicaciones internas y con clientes, proveedores y demás. Adicionalmente permite efectuar+ temas de proyecciones, análisis de ventas, relaciones con los clientes, y muchas aplicaciones que permite el análisis de la información transaccional.»obtener una ventaja competitiva o más innovación Si bien la tecnología en sus primeras aplicaciones era netamente transaccional, con el tiempo se convirtió en un excelente aliado de procesos de generación de ventajas competitivas y un perfecto habilitador de procesos de innovación. Los sistemas estratégicos permiten apoyar la entrada a nuevos mercados, desarrollo de nuevos productos o funcionalidad, además de generar implementaciones novedosas de la tecnología informática. Los cajeros electrónicos en la industria financiera constituyen un excelente ejemplo de cómo habilitaron una estrategia de abarcar mercado. También ilustran como estos sistemas estratégicos son estratégicos en una ventana de tiempo específica. Luego migran a ser informacionales, transaccionales o infraestructura, como es el caso de los cajeros electrónicos.»capacidad tecnológica compartida Por último está el objetivo de proveer una capacidad tecnológica compartida por todos los miembros de la organización. Una capacidad que va elevando el nivel de servicio en la media que más tecnología se va haciendo presente. La infraestructura tecnológica es lo que permite compartir los recursos, entendiendo la infraestructura como técnica y el recurso humano que la mantiene, usada por múltiples aplicaciones. Caben aquí los servidores, las redes de comunicaciones, las bases de datos, y los escritorios de ayuda. En estos cuatro objetivos y grupos de TI se dividen entonces los costos de mantener y proveer nuevos servicios. Por lo general, tanto los servicios actuales como los nuevos proyectos tendrán componentes que pueden asignarse en diferentes proporciones a los cuatro grupos arriba indicados. El paso a seguir, entonces, es buscar los estados financieros, repartir el valor tanto de los costos recurrentes y de mantenimiento, como los presupuestos de los proyectos en curso, y tomar las decisiones de tal manera que el retorno de estas inversiones en tecnología informática esté acorde con el parámetro de retorno esperado en las demás inversiones de la compañía. * j.c. daccach 18 Tech&roi Tech&roi 19

11 [dirección] [dirección] El desempeño bajo control Las soluciones de software para gestionar el desempeño empresarial permiten que los directores financieros asuman un nuevo rol y se conviertan en verdaderos asesores estratégicos. Por Emilio Mariño Las cosas ya no son como eran. Para nadie es hoy novedad que la complejidad y la propia naturaleza del entorno mundial de negocios obligan a compañías de todos los tamaños y sectores de industria a utilizar herramientas diferentes para enfrentarse a la nueva realidad. Hoy, las presiones vienen desde distintos frentes y todas a la vez: desde juntas de directores y activistas, hasta autoridades regulatorias y clientes que, a partir del alcance del comercio electrónico y del acceso generalizado a Internet, son cada vez más exigentes. Sin mencionar un sinnúmero de condiciones financieras globales, incluyendo tasas de cambio y tasas de interés que cambian a velocidad de vértigo. Al mismo tiempo, las empresas deben someterse a múltiples regulaciones y legislaciones gubernamentales en vigencia dentro de sus mercados o en los mercados donde opera su red extendida de negocios. Ante este escenario, los CEOs recurren cada vez más a sus CFOs o directores financieros para que propongan soluciones a estos desafíos. Hoy en día, los CFOs han cambiado de rol y pasado de manejar procesos y sistemas estandarizados de negocios, a convertirse en agentes del cambio y asesores estratégicos de los altos mandos. En este nuevo rol, los directores financieros pueden tomar ventaja de los últimos desarrollos en las soluciones de software para la gestión del desempeño empresarial (EPM, por sus siglas en inglés), que ayudan a las organizaciones a capitalizar el valor de los datos corporativos, haciéndolas más ágiles y otorgándoles los niveles de sincronización organizacional, visibilidad y claridad que necesitan para alcanzar la excelencia en el desempeño. Los directores financieros también deben velar para que sus propias metas, actividades y procesos estratégicos estén alineados con la estrategia global de la compañía. Por lo tanto, deben verificar que las actividades de planeamiento financiero se realicen apropiadamente y que su propio desempeño sea monitoreado y medido. Las soluciones para la gestión del desempeño pueden constituirse en el salvavidas que las compañías necesitan para maximizar sus niveles de rentabilidad, estar al día con las regulaciones y optimizar su eficiencia, ya que garantizan la disponibilidad de información precisa, en el momento oportuno y en el contexto adecuado. Hasta hace poco, la gestión del desempeño se limitaba al uso de hojas de cálculo y planes contables individuales. De hecho, todavía algunas compañías con ingresos en el orden de los miles de millones de dólares planifican de esa manera. Pero esto está cambiando. Como consecuencia directa de la transformación de las redes de negocios y la globalización, las compañías que deseen competir con éxito están obligadas a demostrar un altísimo nivel de agilidad. La nueva realidad demanda la implementación de iniciativas de gestión de riesgos, rentabilidad y eficiencia operacional, no solo dentro de las fronteras internacionales, sino a través de las fronteras organizacionales. Esto implica colaboración y procesos de toma de decisión basados en volúmenes de datos, así como la capacidad para gestionar las partes móviles de la maquinaria de generación de valor en tiempos lo más cercanos posibles al real. Si el director financiero de una compañía no logra obtener visibilidad clara sobre este sistema disperso o abarcar sus múltiples interdependencias, su empresa no será competitiva, ni en el corto ni en el largo plazo. La gestión correcta del desempeño elimina la brecha que suele existir entre la formulación y la ejecución de las estrategias corporativas. Por consiguiente, si se desea comprender cómo funciona realmente, es vital entender los procesos de ejecución que se implementan dentro de la empresa y la manera en que generan valor.. El objetivo final consiste en mejorar continuamente la salud financiera de la or- 20 Tech&roi Tech&roi 21

12 [dirección] [dirección] ganización. Las aplicaciones EPM para el área de finanzas dan soporte al ciclo de vida del desempeño, ya que aportan una sólida tecnología de gestión de estrategias que promueve la consistencia y la sincronización de los desarrollos. Estas aplicaciones permiten racionalizar las actividades de planificación y garantiza cierres ágiles y confiables, mientras que administra los costos y ayuda a maximizar la rentabilidad. Los directores financieros, los departamentos de finanzas y los gerentes administrativos pueden utilizar estas aplicaciones en las siguientes áreas críticas: Gestión estratégica de recursos: optimiza la eficiencia mediante la alineación de la estrategia empresarial con las mediciones individuales, funcionales y divisionales de desempeño; asímismo, establece metas, iniciativas e indicadores clave de desempeño que tengan relación y reflejen de manera correcta las metas estratégicas trazadas por la organización. Planeamiento, definición de presupuestos y pronóstico: administra y mide eficientemente el alcance de los planes de negocios e implemente tácticas de negocios proactivas en lugar de reactivas. Consolidación y generación de reportes financieros: acelera el proceso de cierre financiero y garantiza la entrega de la información confiable que la organización y todos los involucrados en el proceso requieren. Gobierno financiero y controles sobre el cumplimiento regulatorio: asegura que los procesos de negocio del área financiera satisfagan los requisitos de cumplimiento que se han establecido alrededor del mundo, mitigando así los riesgos a que se expondría la organización si no cumpliera. Modelado de costos y rentabilidad: maximiza la rentabilidad al manejar en tiempo real los costos (incluyendo los asociados a los servicios de tecnología de la información), la capacidad y los ingresos de la compañía, a nivel de diversas dimensiones del negocio, tales como producto, canal y geografía.»los beneficios Dentro de los beneficios de negocios derivados de la gestión EPM se cuentan los siguientes: Más alto grado de automatización: propone un cambio positivo en las cargas laborales y tipo de actividades que deben desempeñar los directores financieros. De acuerdo con una investigación conducida por BPM International, la única red integrada de consultoría sobre la Gestión del Desempeño de Negocios en Europa, las compañías que antes empleaban un promedio de 29 días (en los Estados Unidos y el Reino Unido) y 50 días (en la Unión Europea) en el proceso de cierre, consumen un promedio de entre 10 y 14 días cuando cuentan con un sistema automatizado de cierres contables. Datos confiables: a medida que los sistemas transaccionales y de consolidación se hagan cada vez más integrados y eficientes, la calidad de los datos mejorará considerablemente, lo que incrementará los niveles de confianza, aportará capacidades de análisis detallados y reducirá los riesgos de incumplimiento regulatorio. Además, los datos pueden ser etiquetados, con el fin de ofrecer un mayor grado de granularidad, así como diferentes perspectivas para la elaboración de informes externos y de gestión. Alineación a escala empresarial: la alineación de las metas financieras globales con indicadores clave de desempeño específicos, tales como la satisfacción de los clientes, permite a los individuos percibir cómo sus tareas cotidianas inciden en el desempeño financiero de sus organizaciones. Conexión más profunda entre las finanzas y la generación de valor (lo que se traduce en un mejor desempeño y más altos niveles de rentabilidad): a medida que el papel desempeñado por los directores financieros y los departamentos de finanzas siguen expandiéndose y adquiriendo un carácter más estratégico, y que la automatización acelera las tareas rutinarias, el área financiera dispone de más tiempo para identificar y evaluar oportunidades de perfeccionamiento del desempeño operacional. Informes internos y externos mejorados y oportunos: la generación de informes acelerada permite reducir los tiempos empleados en recopilar y reconciliar datos. Esto se traduce en menores costos, información disponible para los altos mandos y más altos niveles de previsibilidad y confianza dentro del mercado. En resumen, si los directores financieros cuentan con las soluciones apropiadas de gestión del desempeño, estarán mejor preparados para satisfacer los requisitos del negocio en esta nueva realidad. A la vez, podrán realizar una fácil transición hacia la adopción de su nuevo y exigente rol como asesores estratégicos de sus respectivas organizaciones. Emilio Mariño es el Vicepresidente Senior de SAP BusinessObjects América Latina y el Caribe. El ejecutivo tiene más de 15 años de experiencia en la industria de la tecnología. Como líder de la línea de negocios SAP BusinessObjects, es responsable del posicionamiento en América Latina y el Caribe de soluciones de inteligencia de negocios y de optimización del desempeño, que permiten a las empresas tomar decisiones acertadas, al tiempo que mitigan riesgos y están al día con las regulaciones vigentes. *vicepresidente senior de sap business objects américa latina y el caribe 22 Tech&roi Tech&roi 23

13 [sociedad digital] [sociedad digital] Múltiples son las ocasiones en que los gobernantes se han reunido para discutir sobre sus pueblos y las condiciones de gobernabilidad. Mucha tinta se ha utilizado para imprimir sus acuerdos y las noticias difundidas, por los medios escritos. También muchas horas de video en la TV. Asimismo, muchos bytes se han almacenado en los portales de los países, las agencias gubernamentales y no gubernamentales como en las noticiosas. Y de toda esta discusión, en América Latina los resultados que impactan en el bienestar de los gobernados siguen siendo tema pendiente. Al observar los datos de las economías de los países de la región, no hay prueba que demuestre que los acuerdos de las Cumbres de Gobernantes impactan en la calidad de vida de la población. Por el contrario, los niveles de logro en educación, salud, seguridad y economía del hogar siguen siendo dramáticos e, incluso, son peores en muchos casos. A comienzo de siglo (tan celebrado en su llegada), se realizó la XII Cumbre Iberoamericana de Jefes de Estado y de Gobierno, en Bávaro, República Dominicana, entre el 15 y 16 noviembre de año 2002, que dio lugar a la Declaración de Bávaro. No se puede soslayar que fue un hito histórico la Declaración de Bávaro ( correspondiente a la citada XII Cumbre Iberoamericana de Jefes de Estado y de Gobierno. En tal ocasión, sobre 55 acuerdos, para Sociedad Digital se reconoció específicamente: En el Artículo 37: Reconocemos que una de las principales características de la mundialización es Por: guillermo ruiz guevara* el desarrollo de las nuevas tecnologías de la información y las comunicaciones que propician una mayor difusión de los conocimientos, por lo que se impone desarrollar planes de cooperación a fin de que nuestros pueblos estén en mejores condiciones de aprovechar las oportunidades que aquellas ofrecen, y a su vez enfrentar exitosamente el desafío que plantea la actual tendencia hacia la homogeneización cultural. En defensa de nuestra identidad cultural subrayamos la importancia del acceso a las nuevas tecnologías de comunicaciones e información y el desarrollo de programas específicos que permitan disminuir la brecha tecnológica entre los países. *Consultor en informática y sistemas aplicados a la educación; gjruizg@mixmail.com Entre las cumbres y el gobierno peruano En el Artículo 38: Acogemos con beneplácito la convocatoria de las Naciones Unidas para la Cumbre Mundial sobre Sociedad de la Información ( a realizarse en dos etapas: Ginebra 2003 y Túnez Consideramos que la misma brindará una oportunidad única para que todos los actores claves de la comunidad mundial conformen una visión común sobre la utilización de las tecnologías de información en beneficio del desarrollo y alcancen una mejor comprensión de esta revolución tecnológica y sus repercusiones sociales, culturales, y económicas. Entre los principales desafíos a ser abordados se identifican la necesidad de colmar la brecha digital, la libre circulación y el acceso equitativo a la información y al conocimiento, la ampliación de la participación de Sobre estos acuerdos, todos dignos nuestros países en un sistema de administración de aplauso, cabe destacar la toma de la red informática internacional que sea transparente y democrático, así como la conveniencia Jedes de Estado y Gobernantes, así de conciencia que suscribieron los de lograr un consenso sobre normas éticas y principios que permitan el desarrollo de una verdade- como la importancia que se ofreció a los recursos tecnológicos para el acceso a la información. Sin ra sociedad de la información. embargo, en el caso peruano, han En el Artículo 56: Conscientes de los retos que quedado en las buenas intenciones la sociedad de la información plantea a nuestros pueblos y en cumplimiento del mandato de la XI Cumbre Iberoamericana de propiciar iniciativas de cooperación que conduzcan a la conformación de una comunidad virtual iberoamericana, valoramos los avances realizados por la iniciativa CIBERA ( y encomendamos a la SECIB su seguimiento, con vistas a la integración como programa de cooperación iberoamericana. Sobre estos acuerdos, todos dignos de aplauso, cabe destacar la toma de conciencia que suscribieron los Jefes de Estado y Gobernantes, así como la importancia que se ofreció a los recursos tecnológicos para el acceso a la información. Sin embargo, en el caso peruano, han quedado en las buenas intenciones iniciativas como las siguientes: Crear una Comisión Ordinaria de la Sociedad de la Información en el Congreso de la República. La que pudo iniciarse como Mesa de Coordinación entre los Congresistas y la sociedad civil o los gremios; con la participación formal, entre otros, del Consejo Privado para la Agenda Digital ( Esta labor pudo sentar las bases que favorecieran la dinámica del Congreso en la dación de normas que permitan la consolidación de la Sociedad de la Información en nuestro país. Comisiones de esta naturaleza actúan ya en los Parlamentos de España, México y Argentina, por citar algunos países iberoamericanos. Crear el Consejo Nacional de la Sociedad de la Información, que actúe en coordinación con la Oficina Nacional de Gobierno Electrónico e Informática ( de la Presidencia del Consejo de Ministros, en la formu- 24 Tech&roi Tech&roi 25

14 [sociedad digital] [software] lación y ejecución de políticas y estrategias que conduzcan al país a la consolidación de la Sociedad de la Información. Promover la comprensión de los legisladores, para fortalecer la normatividad que promueva la industria de programas para computadoras, que den soporte a sistemas gubernamentales de información confiable y de servicio seguro y oportuno para el proceso de toma de decisiones. Esto sería igualmente útil para el gobierno, sea de nivel central, regional o municipal, como para la ciudadanía. Sancionar normas y consensos que posibiliten pasar de ser un país exportador de bienes convencionales a ser un país exportador de conocimiento. Si el universo académico peruano acompañara la iniciativa, podría acordarse como objetivo nacional: crear inteligencia para la Debemos evitar que las Cumbres se exportación, lo que provocaría cambios profundos en la mentalidad de nuestros profesionales. tornen inaccesibles o sean sólo ocasiones de valor diplomático. Es conveniente que los gobernantes Normar y ejecutar iniciativas para el desarrollo sepan que los acuerdos de la Sociedad de la Información. Fue un ejemplo internacionales deben valer para interesante el que se lanzó bajo la denominación que la población alcance nuevas de Maestros del Tercer Milenio, proveyendo de oportunidades. No es posible que equipos de cómputo a los docentes, lo que es una los encuentros de gobernantes (por inversión en capacidades productivas. No debió ejemplo ALC-UE, diciembre 2008 en Perú; su última versión fue en el 2010, detenerse, más aún, deben buscarse fórmulas que en España) carezcan de un retorno la amplíen en el mismo sector y en otros más. efectivo y tangible para la población. Implementar estrategias para un Programa Nacional de Alfabetización Digital, que ya el Ejecutivo perfiló, desde la Presidencia del Consejo de Ministros, pero que no se impulsó. Esto dotaría a la población de capacidades para el acceso a la información, para su aprovechamiento productivo y su relación con las instancias de gobierno. Las sugerencias señaladas en los numerales 1 al 6 fueron tratadas con congresistas de diversas bancadas y con funcionarios de gobierno; sin embargo, estas o acaso otras mejores nunca se implementaron, a excepción de la señalada en el numeral 5, que ahora está detenida. Debemos evitar que las Cumbres se tornen inaccesibles o sean sólo ocasiones de valor diplomático. Es conveniente que los gobernantes sepan que los acuerdos internacionales deben valer para que la población alcance nuevas oportunidades. No es posible que los encuentros de gobernantes (por ejemplo ALC-UE, diciembre 2008 en Perú; su última versión fue en el 2010, en España) carezcan de un retorno efectivo y tangible para la población. Debiera instituirse una Hoja de Control de cada Cumbre, para que la población sepa de sus resultados y si le son beneficiosas, sea para el corto o largo plazo. Esto también serviría para medir la eficiencia de los gobiernos, de los gobernantes y de sus funcionarios. La interfaz e-task de Lexmark proporciona prestaciones de forma sencilla. Se trata de una interfaz gráfica que viene incorporada en los dispositivos multifuncionales de red y en el software Document Solutions Desktop de Lexmark, que puede ser adaptada a un usuario, a un grupo de trabajo, o empresa, mediante iconos intuitivos que permiten identificar y seleccionar rápidamente el proceso de trabajo adecuado. Por ejemplo, con la interfaz e-task de Lexmark, el dispositivo multifunción puede ser configurado por el departae-task de Lexmark Proporciona gestión segura de documentos Utilizando íconos intuitivos en la pantalla táctil de los multifuncionales, los usuarios tienen acceso directo a numerosas funcionalidades que incluyen escaneo a doble cara, fotocopia avanzada, autenticación de usuarios y gestión documental 26 Tech&roi Tech&roi 27