Home Blog Page 2

Cómo Reiniciar después del COVID-19 – El “New Normal” de los Modelos de Negocio

0

Por Genaro Delgado – Cofundador de </cyberwag>

Desde el 28 de enero de 2020, la fecha del primer caso registrado de Covid19 en México, nos hemos visto cayendo en un agujero de incertidumbre social, de salud, económica y de seguridad interminable y nadie sabe qué tan profundo es.

De manera diaria los medios de comunicación, como “aves de mal agüero”, detallan las tasas de infección, el cierre de negocios, el aumento del desempleo y la dramática contracción económica, tanto de los países considerados como los líderes comerciales y tecnológicos del mundo, como de nuestro México, que aún no figura en esta lista. El Fondo Monetario Internacional (FMI) predice que la escala de la crisis que se está gestando, ahora llamada “The Great Lockdown”, será equiparable más a la Gran Depresión de los años 30’s que a la Crisis Financiera Global del 2008.

Las empresas están cerrando sus puertas, e industrias enteras se han ido a una hibernación de operaciones obligada. Las organizaciones que pueden operar virtualmente continúan haciéndolo, pero su productividad apenas se mantiene. Mientras avanzamos hacia el siglo 21 y todas sus ventajas tecnológicas y de comunicaciones, la mayoría de las empresas realmente están en “modo ceguera”, sostenidas, en algunos países, no en México, por estímulos y fondos de rescate del gobierno, con poca o ninguna idea de lo que está sucediendo en los mercados de consumo nacional, ni se diga a nivel mundial.

Algunos expertos en los temas de resiliencia y continuidad de negocios, dentro de organizaciones como Softtek, Deloitte, Grant Thornton, IBM, Dell, Hardvard Business School, MIT, por supuesto </cyberwag>, por mencionar algunas, coinciden en que tendremos al menos 3 fases generales que los sectores productivos estarán desafiando, y esperando salir bien librados, estas son:

Preservación. Las organizaciones de todos tamaños y sectores que pueden mover sus operaciones a un trabajo remoto (Home Office) lo están haciendo. Plataformas como Meet de Google, Zoom, Microsoft Teams, WebEX de CISCO, Blue Jeans, por mencionar algunas, están ayudando mucho en los temas de teletrabajo en la comunicación de equipos. Plataformas como Transparent Business, #slack, GSuite, Zoho, Trello, entre muchas otras, están ayudando en la gestión de proyectos y de equipos. Organizaciones con modelos minoristas como AMAZON o Aliexpress, se están llevando el tesoro de los modelos de Internet.

Hibernación. Las organizaciones que sobreviven a la Fase 1 donde solo es preservar su modelo de negocio, esperan con angustia una dura crisis. Estas organizaciones sobreviven con los ahorros y los ingresos que puedan generar y en algunos países con los estímulos y rescates gubernamentales.

Reactivación. las organizaciones que aún permanecen en pie, reinician sus negocios en un mundo nuevo, irrevocablemente cambiado.

Ahora bien, el problema es que las organizaciones estarán enfrentando, en la realidad, una fase a la vez, y no se están preparando para participar en un nuevo terreno de juego (the new normal) desarrollando nuevas oportunidades de negocio en condiciones de extrema incertidumbre. Es decir, su “Reacción” es más de pánico por la incertidumbre, más que una “Reacción” estratégica.

Estamos transitando de la preservación a la hibernación, y las organizaciones en estos momentos tal vez tengan su última oportunidad de analizar cómo esta recesión económica les perjudicará y así generar su plan de reactivación y continuidad de negocio. Deberían estar preguntándose cómo generar nuevas fuentes de ingreso que les ayude en cada etapa.

Veámoslo desde esta perspectiva: si su empresa brinda servicios esenciales, como alimentos, salud, transporte y logística, probablemente saldrá bien librado. En cambio, si su modelo de negocio no satisface las necesidades primarias de sus clientes, está en problemas y es hora de ser creativo

En la siguiente imagen, Deloitte describe un escenario optimista de cómo puede ser la posible recuperación de las actividades comerciales después del COVID-19:

Las organizaciones tienen una cuestión de meses para volver a imaginar su negocio antes de que empiece la reactivación con un “New Normal” que no entiendan y que no estén preparados, y con ello destinados a cerrar sus puertas.

Es momento de que reúnan a su equipo y comiencen a buscar modelos de negocio para este New Normal, como si sus vidas dependiera de ello (para darle un poco de dramatismo y urgencia)

¿Cómo puedo hacer un plan de transformación para sobrevivir a esta crisis?

No le vamos a mentir, no hay receta que les permita asegurar la existencia de sus negocios post-pandemia, pero si hay herramientas y metodologías les permite mitigar el riesgo de irse a la quiebra financiera.

Lo primero es hacer un cambio dramático en la forma de ver nuestros negocios que tienen tal vez muchos años operando de manera estable y que ahora ya no lo es tanto. Este cambio es:

Los dueños y directores de las organizaciones deberán de dejar de pensar en sus modelos empresariales actuales y cambiar su visión ahora como una Startup, es decir, una organización que busca un modelo de negocio rentable y escalable en un ambiente de mucha incertidumbre

Cultura Lean Startup y Organizaciones Exponenciales

Ahora si, una vez hecho ese cambio de perspectiva propia pongamos manos a la obra:

1.- Integrar un Equipo Especial de Respuesta Anticrisis

Es necesario y de manera urgente, integrar un equipo de alto rendimiento que provengan de las áreas críticas de su negocio, por ejemplo: ventas, finanzas, producción, etc. Todas las operaciones que no sean críticas, deberán ser excluidas de este equipo emergente. ¿cómo podemos definir las operaciones críticas de nuestros negocios?, de una manera muy simplista (que para este momento está bien pero posteriormente tendremos que hacer un análisis más riguroso), preguntándose por ejemplo: ¿si llegaran a desaparecer las operaciones de finanzas internas mi negocio muere en poco tiempo, o podemos subsistir mandando esta operación con un tercero para que sea costeable? (suponiendo que la información pueda ser manejada por un tercero de acuerdo a nuestras normas de seguridad de la misma)

La sugerencia de que solo estén las personas que representen las operaciones críticas de la organización se debe a que es necesario que exista una política de ser brutalmente honestos en las sesiones llamadas SPRINT para forzar el proceso de transformación y tratar de justificar por qué somos una operación crítica que debería seguir en el CORE del negocio.

Las sesiones SPRINT que se llevarán, pueden ser de manera remota usando algunas de las plataformas de comunicación para equipos que ya hemos descrito. Podemos integrar documentos “vivos” o colaborativos con la suite de Google o Microsoft 365, que nos ayudará a estar trabajando en ideas y templates de manera más organizada. También podemos integrar herramientas como #slack y Trello para definir cada idea y generar un canal de gestión de proyecto por cada una de ellas. Es decir, tenemos que ser aun más organizados que antes.

2.- Primero conozcamos nuestro modelo de negocio actual, después destruyámoslo

Necesitamos crear un punto de partida que nos permita definir el rumbo de una transformación disruptiva en nuestro modelo de negocio. Para ello, es conveniente usar una herramienta que nos permita visualizar el cómo es que funciona nuestro negocio, como una radiografía. Usaremos el Business Model Canvas o Lienzo de Modelo de Negocio (para este artículo no profundizaré en su historia, beneficios, usos y demás, simplemente daré un esquema general de aplicación para nuestro caso de estudio, pero podrás conocer más sobre esta herramienta en la liga activa en su nombre)

El proceso de llenado es relativamente sencillo; aunque no existe una secuencia correcta, podemos estandarizar una para facilitar por donde empezar:

  1. Propuesta de valor. Una propuesta de valor es un paquete de ofertas de productos y servicios que crea valor para un segmento de clientes.
  2. Segmentos de clientes. ¿A quiénes les vendemos?
  3. Canales de Distribución. Qué canales utilizamos para entregar valor a los clientes?
  4. Relación con los clientes. ¿Cómo creamos y mantenemos la comunicación con nuestros prospectos y posteriormente con nuestros clientes?  
  5. Socios Clave. ¿Cuáles son las las asociaciones (comerciales y no comerciales) requeridas para que el modelo funcione?
  6. Actividades clave. Las actividades u operaciones clave necesarias para que el modelo de negocio que tenemos funcione en el tiempo.
  7. Recursos clave. ¿Qué recursos son necesarios para que el modelo funcione?
  8. Modelo de Costos. ¿Cuáles son nuestros principales costos en el negocio para que siga funcionando?
  9. Modelo de Ingresos. ¿Cómo genero ingresos en mi negocio?  

No necesita profundizar en los detalles de su modelo de negocio. Simplemente necesitamos una visión clara y de alto nivel de los elementos centrales.

Aquí un ejemplo con el estudio del caso de modelo de negocio de UBER

Que empiece la destrucción creativa…

Una vez que hemos hecho la radiografía del modelo de negocio actual, hagamos una destrucción creativa de nuestro modelo. 

En lugar de ver el lienzo como hechos sobre su negocio, piense en ellos como suposiciones que pueden tener o no un verdadero bloqueo posterior a la pandemia.

Entonces, ¿Qué pasaría si estos supuestos son falsos? ¿Qué nivel de riesgo representaría esto para su negocio? ¿Sería un inconveniente? ¿O te llevaría al cierre total?, en pocas palabras, ¿qué pasaría si tu actual forma de hacer negocios ya no sirve para un futuro? y ¿qué probabilidad calculas de que esto sea correcto?

¿Sus clientes seguirán interesados ​​en su propuesta de valor actual, posterior al cierre? Estamos entrando en tiempos de escasez y hambre. Las prioridades y los valores de las personas cambiarán. ¿Cómo cambiará esto cómo te ven? ¿Podrá seguir sirviendo a sus clientes utilizando los mismos canales, o estos canales deberán cambiar? ¿Podrá seguir formando el mismo tipo de relaciones con los clientes? Las relaciones cara a cara están fuera de la mesa en el futuro previsible.

Este es un Riesgo de Conveniencia, es decir, existe el riesgo de que su oferta disminuya de valor y no sea tan deseable como antes de la pandemia. Ahora bien, ¿Qué nivel de riesgo representa eso para su negocio? ¿Es un riesgo mínimo? ¿O es una catástrofe?

Ahora revisemos los Riesgos de Viabilidad. ¿Sus socios y proveedores clave estarán allí para usted después del cierre? ¿Estarán incluso en el negocio? ¿Podrá realizar las mismas actividades y / o utilizar los mismos recursos que utilizó antes de la crisis del COVID-19? ¿Los tipos de cambios en el mercado que se están dando en este momento aumentarán los costos de su operación? ¿Cómo cree que la recesión afectará a su modelo de ingresos? 

Debe ser brutalmente honesto al responder a estas preguntas. Este no es momento para ilusiones. 

Si no está 100% seguro de que su modelo de negocio podrá sostenerse posterior a la pandemia, tiene trabajo urgente qué hacer. Tendrá que reinventar su negocio

3.- Creando un portafolio de posibles nuevos modelos de negocio

Las empresas más exitosas del mundo nunca se detienen. De frente, están haciendo lo que mejor saben hacer, ejecutando ofertas comerciales probadas que saben que ofrecen valor a los clientes. De vuelta a casa, están explorando continuamente nuevos modelos de negocios, lo que les permite anticiparse y adaptarse a las nuevas condiciones y comprometerse con nuevos clientes y mercados. Estas son las mejores prácticas para mantenerse en el tiempo.

Si ha llegado hasta aquí entonces quiere decir que su actual modelo de negocio tiene muchas debilidades para enfrentar un mundo comercial posterior a la pandemia. Por lo tanto es momento de poner en modo turbo la creatividad del equipo anticrisis. 

Para salir de este agujero, sin fondo todavía, debe crear al menos media docena de posibles nuevos modelos de negocio para reemplazar el que tiene. Un portafolio de modelos de negocios amplio y diverso, y asignar a su equipo la tarea de probar nuevas ideas de negocios con clientes, proveedores y expertos relevantes, hasta que finalmente identifique un modelo que funcione para uds.

El Lienzo de Portafolio del Modelo de Negocio de Strategyzer ayuda a administrar este proceso. Esta herramienta permite documentar todos los modelos de negocio que se están trabajando y realizar un seguimiento a través del proceso de prueba, validación y mejora. Que posteriormente los podemos poner en una herramienta como Trello.

Básicamente se divide en dos procesos:

1.- Explorar innovación: el equipo se dedicada a visualizar nuevos modelos de negocio lo más creativo posible. 

2.- Innovación en ejecución: el equipo se dedicada a ejecutar y mejorar los modelos comerciales creados.

Business Models and Business Portfolios by Alexander Osterwalder

Estos dos procesos los podemos gestionar con los Googel Design Sprints. Esta es una herramienta de gestión de la innovación muy poderosa que permite empujar la generación de un Producto Mínimo Viable que pueda salir a probarse y tener una mejor certidumbre sobre el modelo de negocio creado.

4.- Espera lo mejor, y prepárate para lo peor!

Estamos atravesando una situación totalmente atípica en todos los sentidos. Dentro de cada uno de nosotros llevamos una lucha interna en el cómo enfrentamos cada fase de esta pandemia, sus impactos y sus consecuencias. Sabemos que hay por lo menos 3 tsunamis de crisis que se avecinan, el tsunami de salud, el tsunami económico/social, y el tsunami de seguridad. Si hacemos bien nuestra transformación, tal vez podamos mitigar el golpe de seguridad social que se vendrá cuando no haya cómo adquirir los bienes y servicios que estamos acostumbrados a disfrutar.

Para escapar de esta situación, los líderes empresariales necesitan aprender del mundo de la innovación. Específicamente, necesitan aprender cómo acelerar la conversión de suposiciones a hechos tan rápido como puedan, teniendo en cuenta que en una situación como esta, muchas cosas solo se revelarán con el tiempo.

¿Todavía necesitas más incentivos para empezar a tener un plan de continuidad de negocios que te ayude a reiniciar después de la pandemia? Lee estas tres tesis armadas simplemente de una cadena de acontecimientos mundiales.

Los negocios 100% físicos han terminado, no necesariamente han muerto, pero si están en un modo de futuro desconocido. Los negocios online son el presente y el futuro. Si aún no ha establecido una visión de mandar su modelo de negocio a modelo online, en este momento su actual negocio tiene un valor hipotético, totalmente desconocido.

La interrupción de la cadena de suministro internacional está aumentando los costos de los negocios. Si su margen de ganancias actual depende de cadenas de suministro internacionales de bajo costo, entonces su modelo de negocio actual tiene un valor hipotético.

Esta recesión económica absorberá la plenitud que gozábamos hace algunos meses en los mercados de consumo. Si su organización opera con productos y servicios “nice to have” en lugar de “necesarios”, su modelo de negocio tiene un valor hipotético.

Conclusión

La creatividad e innovación es lo que nos convierte en personas inspiradas y satisfechas. Las personas, cuando les dan las herramientas adecuadas, son capaces de lograr cosas asombrosas. Podemos cambiar nuestras vidas, podemos cambiar el mundo

Conseguir que se produzca esta innovación es y seguirá siendo un esfuerzo común en múltiples aspectos y de múltiples actores, empresas, gobiernos, instituciones educativas y la sociedad; y aunque muchos países ya han logrado dominar los sistemas de producción, manufactura y comercialización a gran escala, muy pocos han conseguido un valor verdadero para la sociedad, que solo surge en un ecosistema más dinámico y arriesgado, un ecosistema de innovación. Por esta razón lo más prudente es atreverse.

“Mientras miramos al futuro, su promesa y sus retos, vemos un nuevo mundo valiente, el periodo más rápido y emocionante de la historia humana. Experimentamos más cambios y de forma más rápida que cualquier generación anterior, y este cambio es impulsado en gran medida por el desarrollo tecnológico e innovación, y esto nos ayudará a ser más participativos y más colaborativos, incluso más sensibles con nuestros congéneres de lo que jamás podremos imaginar y volver a serlo”

Si necesitas asesoría para resolver esta transformación necesaria en tu organización, mándanos un mensaje y revisaremos el cómo podemos intervenir para ayudarte

Algunas ligas de interés

La Vanguardia: La recuperación post coronavirus será gradual

World Bank Blog: Planificar la recuperación económica tras la COVID-19 (coronavirus): lista de verificación de la sostenibilidad para los responsables de formular políticas

El Universal: Cuáles son los 3 escenarios posibles para la recuperación económica tras la pandemia del COVID-19

Forbes: El liderazgo resiliente ante el COVID-19

El futuro del trabajo en la era de la Inteligencia Artificial

0

Por Genaro Delgado- Cofundador de </cyberwag>

“¿Desaparecerán nuestros trabajos ante la llegada de los robots? ¿Qué deberían estudiar los jóvenes hoy para tener éxito en el mercado laboral del mañana? ¿Cómo cambiará esta transformación tecnológica la forma en que trabajamos? ¿Ayudará a combatir el grave problema de la informalidad o, por el contrario, hará que empeore?” … Estas fueron las preguntas planteadas para desarrollo del estudio llamado “El Futuro del Trabajo” por parte del Banco Interamericano de Desarrollo (BID).

En el desarrollo de dicho estudio plantean las tendencias de lo que ellos le llaman “tsunami tecnológico” y “envejecimiento demográfico” como las verticales de los cambios que al menos en América Latina y el Caribe podrían estar transformando el contexto laboral en los próximos años, sin embargo, como ellos concluyen, aun cuando hay muchos datos que nos permiten estructurar estrategias para enfrentar la evolución de habilidades y competencias laborales del presente y futuro en un contexto globalizado y digital, el futuro del trabajo sigue siendo es un escenario todavía incierto.

La verdad es que no sabemos como se comporte el mercado laboral en el 2050; y como bien sabemos, el año 2050 se ha convertido en un número para especular cambios o transformaciones para la humanidad de una manera drástica.

Los avances en Inteligencia Artificial (IA), Aprendizaje Automático (Machine Learning) y Robótica están generando una nueva era de automatización que igualan o superan el desempeño humano en una gran gama de actividades laborales físicas y actualmente ya se suman las que requieren competencias cognitivas

Por lo anterior se ha generado una histeria mundial ya que muchas personas creen que en los siguientes 30 años, billones de personas se volverán obsoletas desde un contexto económico-laboral. Otros creemos que la evolución de etas tecnologías seguirán creando nuevos empleos y de mayor valor para las personas y la sociedad en general como ha sucedido siempre hasta ahora con cada “Revolución Industrial”

La verdad es que ambos escenarios, tanto el pesimista como el optimista tienen grandes posibilidades de convertirse en realidad, ya que con los avances de Inteligencia Artificial y Aprendizaje Automático un cambio en todas las reglas de juego en el mercado laboral será inminente.

¿Por qué sentimos esa ansiedad pesimista u optimista del futuro labora? ¿qué dieta de información tenemos que alimente esa angustia?

Empecemos por darle un contexto a la Inteligencia Artificial y Aprendizaje Automático en nuestro tiempo. Con la aparición de los asistentes digitales como SIRI, Cortana o Google, pasando por los autos autónomos y los androides como Sophia y Atlas, la Inteligencia Artificial progresa de una manera vertiginosa abarcando desde algoritmos de búsqueda de Google, plataformas de desarrollo como Watson de IBM incluso armas autónomas. Hoy en día el alcance de nuestra Inteligencia Artificial es una “IA estrecha/débil”, ya que está diseñada para realizar una tarea muy específica, por ejemplo, solo el reconocimiento facial o solo las búsquedas en Internet o solo conducir un automóvil, o solo charlar con posibles respuestas más comunes; como ya lo podemos anticipar, este tipo de Inteligencia Artificial puede superar a los humanos en cualquier tarea específica ya se física y algunas cognitivas, como por ejemplo el robot Atlas a través de sus múltiples y numerosos sensores y un conjunto de actuadores complejos, pude recrear y perfeccionar movimientos humanos e hibridarlos con movimientos de otras especies animales, así como tomar mejores de decisiones para tareas de rescate o acciones en desastres naturales que un ser humano; o que tal jugar ajedrez con Inteligencia Artificial informática; en el juego milenario chino GO, se entrenó con cientos de miles de patrones de juego a la IA llamada Alpha Go para jugar contra el campeón Lee Sedol, y en 2017 este encuentro se llevó a cabo, dejando boquiabierto al mundo, porque no solo Alpha Go demostró una superioridad en la resolución de movimientos complejos, sino que dio indicios de “creatividad” en los movimientos. El siguiente video es el documental completo de Alpha Go

El objetivo a largo plazo es seguir mejorando la Inteligencia Artificial hasta lograr una “IA General” la cual superaría a los humanos en casi todas las tareas cognitivas incluyendo aprender, analizar, comunicar y, por encima de todo, comprender las emociones humanas

En las últimas décadas, la investigación en neurociencia y la economía conductual humana ha permitido entender de mejor manera el comportamiento humano y su toma de decisiones. Esto es fundamental porque la revolución de la Inteligencia Artificial no solo tiene base en aumento de capacidad y velocidad de cómputo, sino que es impulsada en gran medida por los avances en las ciencias sociales y ciencias naturales, por ejemplo, mientras más tengamos comprensión de los mecanismos bioquímicos que implican a las emociones, los deseos y las elecciones humanas, mejores serán estas computadoras a la hora de analizar todo este comportamiento humano, a predecir las decisiones que como humanos tomamos, y con ello a sustituir a todo tipo de actividades como los abogados, contadores, médicos, conductores, pilotos, etc.

Estos avances nos han permitido descubrir y entender que todas las elecciones que hacemos desde qué comer, qué vestir, elegir mascota y elegir pareja, no son resultado de un “libre albedrío” sino de las probabilidades calculadas por millones de neuronas en fracciones de segundo, es decir, lo que llamamos “intuición” realmente es un algoritmo bioquímico que reconoce patrones recurrentes (no me mal interpreten, se que nuestro cerebro es un sistema muy complejo al momento de tomar decisiones pero para nuestro artículo el manejarlo de una manera simplista reduce el estrés de explicarlo todo a niveles de neurocirujano o psiquiatra) que nos ayuda evaluar y tomar las decisiones lo mejor posible de acuerdo a nuestros “estándares” de conocimiento y experiencia acumulada.

¿Qué profesiones en la era de la IA serán las que sobrevivan o surjan?

La respuesta simplificada podría ser que animemos a crear y elegir profesiones donde las máquinas sean poco efectivas y que la probabilidad de su automatización sea muy lejana; y para ello podemos plantear las siguientes preguntas:

  • ¿Esta profesión requiere interactuar con personas y hacer uso de inteligencia social?
  • ¿Esta profesión subyace procesos creativos e ideación de soluciones ingeniosas a problemas complejos?
  • ¿Esta profesión requiere trabajar en un ecosistema donde existen muchas situaciones impredecibles?

Como ya lo pudieron visualizar, el futuro del trabajo en la era de la IA es muy incierto, hay más preguntas que respuestas, sin embargo, este es el momento de plantearse las preguntas correctas, y como lo han hecho muchos expertos, éstas podrían ser:

¿Qué tipo de futuro quieres? ¿Qué te gustaría que pasara con la automatización del trabajo? ¿Qué consejo profesional le darías a los niños de hoy? ¿Prefieres nuevos trabajos que reemplacen a los viejos, o una sociedad sin empleo donde todos disfruten de una vida de ocio y riqueza producida por máquinas?  ¿Las máquinas inteligentes nos reemplazarán, coexistirán con nosotros o se fusionarán con nosotros? ¿Qué significará ser humano en la era de la inteligencia artificial? ¿Qué te gustaría que significara? ¿Y cómo podemos hacer que el futuro sea así? 

“Si una máquina es capaz de pensar, podría hacerlo más inteligentemente que nosotros, y entonces ¿en qué lugar nos deja? Aun cuando pudiésemos mantener a las máquinas en una posición de subordinación, deberíamos, como especie, experimentar una gran dosis de humildad”

Alan Turing, 1951

Vigilancia cibernética – Plataformas que nos espían a cambio de servicios digitales “gratis”

0

Por Genaro Delgado – Cofundador de </cyberwag>

“La vigilancia digital es el modelo de negocio real de Internet de nuestros tiempos. Las personas somos los arrendatarios agrícolas en las fincas de Google, Facebook y TokTok. La renta que les pagamos son nuestros datos personales, usados principalmente en al personalización de la publicidad”

Criptógrafo Bruce Shceneier

Mientras más usemos estas plataformas conjugado con su exponencial crecimiento de su capacidad técnica de recopilación y análisis de datos, más saben de nosotros y nuestro comportamiento, así es como construyen más fácilmente sistemas espías-publicitarios y con ello menos intimidad tenemos.

La mayoría de las personas en el planeta lleva consigo y de manera voluntaria sistemas de rastreo inteligentes todo el tiempo, lo llamamos smartphones. A través de nuestros dispositivos, las plataformas recopilan metadatos, que son todos los datos de las búsquedas  que hacemos en la red, nuestro correo electrónico, llamadas de teléfono móvil, , los datos que envían todos esos aparatos que tenemos conectados a nuestro dispositivo (Alexa, refrigeradores, estufas, sistemas de calefacción, automóvil, sensores de riego, entre muchos otros en el contexto de Internet de las Cosas), así como el análisis para reconocimiento facial de lo que graban nuestras cámaras y de las fotos publicadas en redes sociales – ¿alguna vez te has preguntado cómo es que INSTAGRAM está valuado en más de 100 mil millones de dólares si nunca pagaste la descarga de su app? ¿publicidad? – solo es parte del negocio- ¿Qué más podrían vender?, ¿a quién?, ¿y por qué quisieran nuestros datos? Una pista, nuestros metadatos son muy valiosos, el problema empieza cuando preguntamos a quién y por qué se les venden.

En el siguiente video de la BBC en español, resumen el caso polémico de cómo un modelo de psicología y un algoritmo de extraordinaria precisión sirvieron a Cambridge Analytica para analizar los perfiles de millones de usuarios de Facebook e intentar influenciar en sus votos en la campaña de Trump.

Snowden y Wikileaks, el gran destape

Las revelaciones de Edward Snowden de que las autoridades estadounidenses y británicas habían obligado legalmente a las empresas de telecomunicaciones e Internet a compartir datos, aunado al escándalo de Wikileaks, donde expusieron documentos de malversaciones financieras, redes de acoso y tráfico infantil administradas por políticos, hasta conspiraciones muy elaboradas para controlar a la población, hicieron más evidente que la red abierta de Internet es una plataforma donde es más sencillo hacer que algo sea público y al alcance de todo el mundo y más difícil que continúe siendo privado.

Entandamos que el mayor aporte de Internet para la humanidad ha residido no solo en interconectar a ciudadanos de todo el mundo, sino en compartir públicamente conocimientos, opiniones y hasta denuncias, pero paradójicamente el mayor peligro que nos provee Internet es la pérdida de nuestra intimidad.

¿Por qué nos debería interesar el saber por qué y cómo nos vigilan digitalmente y qué implicaciones tiene para nuestras vidas, negocios, educación y movilidad?

La aparición del COVID-19, ha puesto en jaque las leyes ganadas contra del uso de los metadatos de las personas, ya sea por gobiernos u organizaciones privadas.

No solo se ha justificado la puesta en marcha de un programa robusto de vigilancia cibernética en países como China y España, sino que ha funcionado exitosamente para mitigar los nuevos brotes de contagio de esta enfermedad y así salvar vidas

Por ejemplo, en el caso de China, además del análisis de control a través de sus cámaras en todas las ciudades y centros de movilidad como aeropuertos, están analizando rostros y ahora están dotadas de sensores térmicos, de tal manera que analizan temperatura, cualquier persona detectada puede ser confinada hasta revisar su estatus de salud (no importando si tiene familiares que atender, son extraídas por las autoridades para que no se propague la enfermedad, y posteriormente visitan su hogar para ponerlo en cuarentena); las personas que necesitan movilidad por sus labores, tiene que descargar de manera “voluntaria” la app de movilidad la cual será su llave de entrada a los lugares de trabajo o de compra de víveres. Esta app se conecta a los sistemas de acceso y permite identificar quiénes han estado en lugares marcados como altamente vulnerados por la enfermedad, esto hace que no se les permite la entrada y activa las alertas a sus sistemas de salubridad para que tomen cartas en el asunto. Aunque este análisis de datos realmente se puede hacer sin el consentimiento del usuario y por petición del gobierno, qué mejor que sea voluntario a través de una campaña de los resultados positivos por haber aplicado estas acciones radicales, con ello se evitarán las demandas posteriores por el uso de la información “confidencial” digital de los ciudadanos.

En el siguiente video de la BBC en español, resumen como el gobierno chino ha usado herramientas tecnológicas polémicas, como el rastreo de teléfonos. Y otros países empiezan a mirar a soluciones similares.

El aceptar voluntariamente el ser “salvados” de nosotros mismos por los gobiernos, o el que nos vendan “lo que necesitamos”, tal vez sea nuestro futuro cercano, un nuevo terreno de juego controlado.

Te imaginas un lugar donde tu vida digital es monitoreada todo el tiempo, y si comes sano de acuerdo al plan de nutrición del sistema de salud con los proveedores autorizados, estudias los temas enfocados a la productividad que tu país necesita en los institutos autorizados, si opinas bien de tu gobierno en las plataformas certificadas, si actúas de acuerdo al marco moral estipulado por los organismos gubernamentales, estas dado de alta en el sistema tributario y declaras todo tus ingresos y pagas los impuestos correspondientes, tu país te recompensa con créditos baratos, acceso a mejor vivienda, salud y educación; pero por el contrario, realizas opiniones malas a través de plataformas ilegales digitales, no actúas de acuerdo al código ciudadano de convivencia, o no declaras tus ingresos correctamente, incluso, te desconectas de tus dispositivos digitales, tu gobierno puede multarte, incluso apresarte… bueno, pues esto ya pasa en China, y en la Unión Europea empezaron a realizar el mismo experimento.

“… La privacidad es también una condición de la libertad de expresión. Esa condición consiste en la posibilidad de escoger qué información debe ser privada y confiar en que esa decisión sea respetada”

Timothy Garton Ash, analista político de la transformación digital de Europa

Como lo hemos dado a notar, la privacidad digital es un tema muy complejo, porque si bien no estamos de acuerdo con que gobiernos u organizaciones nos vigilen y controlen nuestras acciones de consumo comercial o nuestro comportamiento y gustos personales a través de nuestras huellas digitales…

la verdad es que no estamos dispuestos a pagar el precio: “DESCONECTARNOS”

Marta Peirano avisa en esta charla que es urgente preocuparse y proteger nuestro anonimato en la red.

Puedes leer este artículo también en la Revista Líder Empresarial.

267 millones de cuentas de Facebook son vendidas por USD$540 en la DarkWeb

0

Hace uno días estábamos publicando 10 recomendaciones de seguridad para las viodeollamadas de Zoom, ya que a principios de este mes de abril fueron expuestos miles de grabaciones vulnerando así su privacidad, y una semana después se publicó que más de 500 mil cuentas de Zoom fueron vendidas a través de la DarkWeb. Bueno pues ahora le tocó nuevamente a Facebook.

La empresa Cyble, con su equipo de investigación de amenazas y fraudes en la DarkWeb, volvieron a encontrar una amenaza a la privacidad de los usuarios de redes sociales, en específico Facebook. Encontraron una lista de 267 millones de perfiles de usuarios de Facebook, estadounidenses casi en su totalidad, vendida por solo 540 dólares americanos.

Los investigadores compraron y verificaron la información. Este mismo número de 267 millones, a finales del año pasado fue muy mediático, ya que la misma cantidad de registros de usuarios estadounidenses se encontró en línea para su venta.

Afortunadamente, la lista no contenía contraseñas de ingreso a sus perfiles, pero los datos incluían los ID’s de usuario de Facebook, sus direcciones de correo electrónico, nombre del usuario, fechas de nacimiento y números de teléfono. Es decir, toda la materia prima para elaborar campañas de PHISHING y SPOOFING en nombre de Facebook. 

Si un pequeño porcentaje de usuarios hace clic en el enlace malicioso enviado e ingresa sus datos en una página de inicio de sesión apócrifa de Facebook, se pueden robar datos mucho más valiosos.

Aunque en este caso no se vulneraron las contraseñas, Facebook recomienda a todos los usuarios que cambien sus contraseñas y se aseguren de no haber utilizado una contraseña en Facebook en otros lugares ya que con las direcciones de correo electrónico, los cibercriminales pueden hacer coincidir esas direcciones con las posibles contraseñas (haciendo ingeniería social) y luego probar varios sitios. 

También recomiendan que habiliten la autenticación de dos factores. Esto asegura que cualquier violación de nombre de usuario y contraseña no permitirá que un atacante acceda a la cuenta, el uso de dicha protección podría evitar el éxito de al menos el 99% de los ataques. Puedes revisar esta configuración de seguridad AQUÍ

¿Cómo podrías saber si tu cuenta de email es parte de una lista vendida en la DarkWeb?

Puedes revisar tu dirección de correo electrónico en el sitio oficial del laboratorio de investigación de la empresa CYBLE aquí, solo necesitas ingresar tu dirección de correo electrónico y hacer la búsqueda.

Guía de Seguridad del NIST para un marco de teletrabajo, acceso remoto y el BYOD (Bring Your Own Device)

0

¿Qué es NIST?

El Instituto Nacional de Estándares y Tecnología (NIST) fue fundado en 1901 y ahora forma parte del Departamento de Comercio de los Estados Unidos. NIST es uno de los laboratorios de ciencias físicas más antiguos del país.  La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

¿Cómo me pueda ayudar NIST con el marco de trabajo remoto en el contexto de seguridad de la información para mi empresa?

NIST tiene pautas sobre el teletrabajo y el acceso remoto para ayudar a las organizaciones a mitigar los riesgos de seguridad asociados con las tecnologías empresariales utilizadas para el teletrabajo, como servidores de acceso remoto, los dispositivos cliente de teletrabajo (los dispositivos de los usuarios o empleados que se conectan al servidor) y comunicaciones de acceso remoto.

La publicación descargable: “Guía para el teletrabajo empresarial, acceso remoto y seguridad para traer su propio dispositivo (BYOD)” se emitió en 2016, y sus recomendaciones siguen siendo relevantes hoy en día más que nunca. Como resumen, el documento explica la siguientes medidas de seguridad:

1.- Desarrollar y hacer cumplir una política de seguridad de teletrabajo, como tener niveles escalonados de acceso remoto

2.- Requerir autenticación de múltiples factores para el acceso a la empresa en sus servidores remotos

3.- Uso de tecnologías de cifrado validadas para proteger las comunicaciones y los datos almacenados en los dispositivos del cliente

4.- Asegurar que los servidores de acceso remoto estén protegidos de manera efectiva y se mantengan completamente actualizados

5.- Asegurar y auditar los controles de seguridad de todo tipo de dispositivos de teletrabajo (los dispositivos que usarán los trabajadores para acceder a los servidores remotos o procesos cloud de la empresa), incluidas computadoras de escritorio y portátiles, teléfonos inteligentes y tabletas, contra amenazas comunes.

Planifique las políticas y controles de seguridad relacionados con el teletrabajo basándose en el supuesto de que los entornos externos contienen amenazas hostiles

Una organización debe asumir que las instalaciones, redes y dispositivos externos contienen amenazas hostiles que intentarán obtener acceso a los datos y recursos de la organización.

Las organizaciones deben asumir que las partes malintencionadas obtendrán el control de los dispositivos del cliente de teletrabajo (colaboradores en teletrabajo) e intentarán recuperar datos confidenciales de ellos o aprovechar los dispositivos para obtener acceso a la red empresarial. Las opciones para mitigar este tipo de amenaza incluyen encriptar el almacenamiento del dispositivo, encriptar todos los datos confidenciales almacenados en los dispositivos del cliente y no almacenar datos confidenciales en los dispositivos del cliente. Para mitigar las amenazas de reutilización de dispositivos, la opción principal es utilizar una autenticación fuerte, preferiblemente multifactor, para el acceso empresarial.

Las organizaciones también deben asumir que las comunicaciones en redes externas, que están fuera del control de la organización, son susceptibles de escuchas, intercepciones y modificaciones. Estos tipos de amenazas pueden mitigarse, aunque no eliminarse, mediante el uso de tecnologías de encriptación para proteger la confidencialidad e integridad de las comunicaciones, así como la autenticación de cada uno de los puntos finales entre sí para verificar sus identidades.

Otra asunción importante es que los dispositivos del colaborador en teletrabajo se infectarán con algún tipo de malware. Los posibles controles para esto incluyen el uso de tecnologías antimalware, soluciones de control de acceso a la red que verifican la seguridad del colaborador antes de otorgar el acceso, y una red separada en las instalaciones de la organización para los dispositivos del colaborador en teletrabajo incorporados para uso interno.

Descarga completa la Guía para el teletrabajo empresarial, acceso remoto y seguridad para traer su propio dispositivo (BYOD)

Conclusión

Hacer que los recursos de una organización sean accesibles de forma remota permite el teletrabajo pero también aumenta el riesgo de seguridad. Las organizaciones deben considerar cuidadosamente el equilibrio entre los beneficios de proporcionar acceso remoto a recursos adicionales y el impacto potencial de un compromiso de esos recursos. Para mitigar el riesgo, las organizaciones deben asegurarse de que los recursos internos que elijan poner a disposición a través del acceso remoto para fines de teletrabajo estén reforzados contra las amenazas externas y que el acceso a los recursos se limite al mínimo necesario.

Si tu organización necesita ayuda para implementar controles de seguridad de la información, con gusto podemos ayudarte, mándanos un correo para contactarnos y conocer tus necesidades y requerimientos.

Seguridad en Zoom: Cómo configurarlo para evitar invasión a tu privacidad!

1

Por Genaro Delgado – Cofundador de </cyberwag>

La plataforma de videollamadas Zoom ha cobrado mucha relevancia en estos momentos como medio de comunicación de equipos de trabajo en la emergente estrategia de Home Office empujada por el COVID-19 a nivel mundial.

Esta herramienta ha sido una gran aliada para las organizaciones de todo tipo: empresas, instituciones gubernamentales, instituciones educativas, financieras, de salud y hasta reuniones virtuales entre familias. Sin embargo puede convertirse en una gran pesadilla si no se cuenta con una adecuada configuración que permita gestionar la privacidad de tus datos y los datos sensibles de tu organización.

¿Por qué es necesario configurar la seguridad de #Zoom?

A principios del mes de abril de 2020, en The Washington Post se publicó una investigación donde revelan cómo miles de videosllamadas grabadas quedaron expuestas en la web con una simple búsqueda (cabe recalcar que las grabaciones no fueron extraídas de los servidores de Zoom) El problema es que en estas videollamadas se podría recabar nombre de usuarios, cuentas, ver sus rostros, en algunas videollamadas conocer sus estatus médicos, financieros, o juntas de corporativos donde explicaban estrategias (en los mejores de los casos) y mucha información más.

Una semana después, se revela que 534 mil cuentas de usuario de Zoom se vendían en centavos de dólar (por cuenta) a través de foros de la #DeepWeb, ya que cibercriminales habían encontrado como explotar las vulnerabilidades de la plataforma, que en gran parte era responsabilidad del usuario el proteger su información.

Varias empresas corporativas y distritos escolares en todo el mundo han decidido prohibir el uso de Zoom.

Por lo anterior, es necesario que nos concienticemos de que la seguridad de la información es responsabilidad de todos (puedes revisar nuestro post sobre el tema aquí) y tomar las medidas precautorias que nos ayuden a mitigar los riesgos de que nuestros datos sean expuestos en la red.

¿Cómo configuro una reunión más segura en Zoom?

1.- Usar siempre la generación automática de “Meeting ID” de esta manera cada reunión tendrá un ID de reunión diferente y solo servirá para una sola reunión y no para todas las que organice. De esta manera mitigarás el riesgo de comprometer todas tus reuniones que usan el mismo ID.

2.- Es importante que las reuniones tengan sus propias contraseñas, sin embargo también es importante que esta opción esté reforzada con una “Desactivación de la contraseña embebida en el enlace de la reunión” (ver el punto 5)

3.- Desactivar la cámara tanto del Host como de los participantes al entrar a la reunión para evitar momentos incómodos. Esta acción obliga a los participantes a solo activar las cámaras cuando sea necesario.

4.- Activar la sala de espera nos permitirá bloquear la entrada a algún participante desconocido. Desactivar el micrófono a los participantes también es una medida de control de momentos incómodos al iniciar la reunión.

Ahora bien, hay medidas adicionales que debemos tomar en cuenta y que solo están en las opciones de configuración avanzadas que podemos revisar en nuestros navegadores web:

5.- Desactiva la opción de contraseña embebida en el enlace de la reunión esto obliga a que cada participante deba ingresar la contraseña para unirse a la reunión.

6.- Si cuentas con una versión Premium de Zoom, es conveniente activar la función la de conector cifrado de sala H.323/SIP, que te permitirá garantizar una conexión más segura de extremo a extremo. Esta función requiere de algunas configuraciones previas que puedes revisar en el siguiente enlace: Introducción al conector de sala H.323/SIP

7.- Desactivar el uso de “Fondo Virtual” te permitirá ver el fondo real y ésto podría funcionar como una verificación de que el participante no comparte de forma inadvertida contenido confidencial en un lugar público, como puede ser una cafetería.

8.- Puedes activar la opción de alertar al Host de alguna cuenta que no es parte de la lista de invitados. Esto funciona cuando la invitación a la reunión se hace a través de una lista de envío específica.

9.- Puedes activar o desactivar esta opción donde los participantes puedan o no compartir sus pantallas. Así tendrás el control en cada reunión, de acuerdo a su temática, el que los participantes puedan inadvertidamente compartir información sensible a otro participantes.

10.- Activar la opción de “Difuminar la instantánea” para dispositivos con iOS permite que el participante con este tipo de dispositivos pueda hacer una conmutación de tarea mientras comparte pantalla sin que queden expuestos datos o información confidencial mientras hace esta acción, crea una pantalla de protección.

Conclusión

Zoom es una gran herramienta de comunicación, sin embargo es importante tomarse un tiempo para revisarla, leer sus política de privacidad de datos para conocer si cumple con los requisitos que nuestra organización o uso personal espera de esta plataforma.

De cualquier manera, siempre es recomendable revisar más opciones de plataformas de comunicación para equipos de trabajo, aquí dejamos algunas:

Meet de Google

Microsoft Teams

CISCO WebEx

BlueJeans

Zoho Meeting

Skype

La invasión a la Privacidad en tiempos de COVID-19

0

Por Albertina Cardiel – Consejera fundadora de </cyberwag>

El encontrar información y fotografías de una persona desde el hospital o desde su casa, incluso obtener su localización, además de conocer sus síntomas, algunas de sus reacciones y el impacto que están viviendo sus familiares, quienes, a su vez, también comparten lo propio, es solo una manera de exponer nuestra privacidad, a pesar de todos los esfuerzos de protección que se han realizado estas acciones tienden a minimizarlos.

Estamos viviendo también la guerra de los datos, todo por obtener la última información de la persona cuya prueba resultó positiva, asintomática, quienes resultaron negativos, aquellos que ya se han recuperado y desafortunadamente los que han fallecido; por supuesto que para muchos de estos casos, se está rompiendo la barrera de confidencialidad de la institución que proporciona la información, de aquel medio u entidad que trata de extraerla y en una última instancia, el acuerdo de privacidad que se firmó o se hizo de conocimiento a la persona afectada.

Por último, pareciera ser permitido el dejar entrar a mi empleador, a mi equipo de trabajo, mis amigos; a ese que había sido el lugar de mayor privacidad o intimidad, este momento de exponer en una videoconferencia o en una plataforma disponible para quien guste “entrar” parece ser “el nuevo normal”.

En la parte laboral, tomando en cuenta que la regulación del teletrabajo había sido aprobada por nuestra Ley Federal del trabajo en junio pasado, no significa que las empresas estuvieran preparadas en infraestructura, políticas y procedimientos para garantizar los servicios y mucho menos para controlar estos activos de información difíciles de limitar cuando se trata de un evento de la magnitud que estamos viviendo.

Se vale compartir!

Aquellos muchos casos en que se está solicitando a los empleados utilizar dispositivos personales para realizar sus funciones, simplemente porque no había otra salida para continuar prestando servicios, el permitir la utilización de un equipo móvil o de cómputo personal tiene implicaciones de aceptación de términos y condiciones que pudieran afectar los datos personales, además de los requerimientos de configuración y seguridad que debiesen establecerse, acompañados de una política para utilizar un equipo de propiedad privada, #BYOD (Bring Your Own Device, por sus siglas en inglés)

La información personal siempre será un activo complicado de gran valor, un derecho como lo marcan nuestras leyes en México, sin embargo, el Reglamento de Protección de Datos de la Comunidad Económica Europea, que es una de las más evolucionadas y estrictas en este rubro, tiene una provisión para suspender estos derechos en casos de emergencia sanitaria.

Sin duda, empresas y plataformas sociales digitales que no son necesariamente reconocidas como oficiales, están aprovechando esta “vulnerabilidad de suspensión y apertura” para difundir y utilizar la información, en la cual podemos listar: edad, sexo, etnia, estado civil, lugar de estudios y hasta geolocalización.

Suspensión de derechos!

Este permiso de acceso a datos privados está legitimado para organizaciones de salud en casi todos los países en casos de emergencia como lo es una pandemia, con el objetivo de apoyar en investigaciones de las enfermedades, propagación y prevención que en muchas ocasiones se ve entorpecido por todo lo que hemos comentado.

La verdad incómoda, es que pueden existir muchos intereses por acceder a esta información, desde los propios gobiernos cómo un mecanismo de control incluyendo la infraestructura tecnológica para recabar todos tipo de datos a fin de tener mayor control del ciudadano, el empleado o el consumidor. La triste realidad, es que, a pesar de todos los esfuerzos por regir la privacidad del individuo, el recibir las “letras chiquitas” en un documento o aplicación digital, crea una falsa sensación de tranquilidad que disminuye la posibilidad de mantenernos vigilantes ante la amenaza de nuestra propia protección.

Expertos en Ciberseguridad. Una de las profesiones más buscadas en 2019 y tendencia en 2020.

0

Por Genaro Delgado – Cofundador de </cyberwag>

Nuestro mundo está más conectado que nunca, y a través de una transformación digital experimentamos más cambios y de forma más rápida que cualquier generación anterior; en el contexto empresarial los mercados son más fuertes y las tecnologías centrales que abarcan nuestras acciones diarias están emergiendo constantemente. Estas nuevas plataformas como los dispositivos de Internet de las Cosas (IoT), procesos y centros de datos en la “nube”, son las tendencias tecnológicas que permiten que nuestros datos sean compartidos en Internet para ser analizados y buscar patrones de comportamiento que le permita a los sistemas tomar mejores decisiones para nosotros (este tema de Biga Data, Analítica de Datos, Ciencia de Datos e Inteligencia Artificial para los mercados, lo retomaremos en otro artículo)  Pero este gran beneficio, tanto la construcción de una sociedad más conectada y cohesiva, como la construcción de negocios digitales exponenciales, tiene un costo. Cuanto más conectados nos volvemos, más vulnerables son nuestros datos y más frágiles son nuestras estructuras de vida o negocios digitales.

Internet es un importante facilitador para actividades de grupos criminales organizados en términos de ciberataques. En comparación con ganar dinero con crímenes más tradicionales, el ciber crimen contra PyMEs y corporativos es una mejor propuesta, ya que es de bajo costo y bajo riesgo para estos grupos criminales, y hay muchas partes del mundo donde las autoridades no procesan activamente dicha actividad, como es el caso de México.

Por lo anterior, los expertos de ciberseguridad se están volviendo agentes importantes para la toma de decisiones dentro de las organizaciones no importando su tamaño, su giro o sus modelos operativos de negocio. La verdad es que todas las empresas y negocios son vulnerables a ataques cibernéticos y eventualmente podrían ser atacadas creando mucho estrés y gastos para la recuperación de sus actividades empresariales.

Es por ello que en el Informe de Empleos Emergentes para México 2020 de LinkedIn (https://business.linkedin.com/content/dam/me/business/en-us/talent-solutions/emerging-jobs-report/Informe-de-Empleos-Emergentes-Mexico-2020.pdf) los expertos en ciberseguridad están dentro de la lista TOP 15. De acuerdo a este informe, las habilidades particulares que piden las empresas para contratar a estos profesionales son: Seguridad de la Información, Ciberseguridad General, “Penetration Testing”, Hacking ético y manejo de ISO 27001. Las industrias que están contratando a estos profesionales son: telecomunicaciones, gobierno, banca, aerolíneas y comercio electrónico principalmente.

Te preguntarás ¿qué hace comúnmente un profesional de la ciberseguridad para una empresa?, sus actividades más comunes son:

  1. A través del rol de CISO (Chief Information Security Officer), siendo éste la máxima autoridad en una organización para definir la estrategia y gestionar a los diferentes equipos de seguridad no solo informáticos, sino también físicos. 
  • Desarrollar, implementar y auditar por el complimiento de las normas, procesos y procedimientos de aseguramiento de la información dentro de la empresa, por ejemplo, la revisión de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ¿alguna vez te has preguntado cuáles son tus obligaciones al momento de pedir información personal de tus clientes, proveedores, distribuidores, empleados y a todo aquel que esté dentro de tu cadena valor? ¿qué pasaría si estos datos cayeran en manos de cibercriminales? ¿tienes algún protocolo para protegerlos?
  • Controlar el desarrollo seguro de proyectos. Uso de principios y buenas prácticas de seguridad durante el ciclo de vida de un proyecto, sobre todo informático, ya sea de implementación de software comprado o que se desarrolle “in-house”
  • Valorar los alcances de daños de intentos de intrusión en la empresa.
  • Descubrir, valorar y solucionar fallos de seguridad en la empresa
  • Realizar análisis forenses cuando ha habido una intrusión en la empresa. 
  •  Implementar los protocolos de recuperación y continuidad de las operaciones de las empresas una vez que han sufrido ataques fuertes, por ejemplo, ¿alguna vez te has preguntado qué pasaría si secuestraran todos los registros de tus ventas? (esto es típicamente lo que hace un ransomeware) ¿tienes un protocolo que te permita seguir con tus operaciones de venta aun cuando no tienes flujos de información histórica? ¿Sabías que más del 80% de las empresas mexicanas no cuentan con un plan básico de continuidad y recuperación?

En términos financieros, ¿por qué es importante tomar en cuenta contratar los servicios de los profesionales de la ciberseguridad? De acuerdo a la empresa ESET, Más del 70% de las violaciones de seguridad están dirigidas a las PyME’s; a pesar de ello, muchos empresarios creen que no son vulnerables a los ataques cibernéticos debido a su tamaño pequeño y sus activos limitados, sin embargo, esto no es del todo correcto; de acuerdo con estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PyME es en promedio de USD$38,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de los costos derivados por un ataque, entre ellos están:

  • Costo del robo y exposición de la base de datos de clientes y demás información sensible.
  • El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.
  • Costo de los expertos de terceros asignados para investigar y corregir el incidente.
  • Costo de las multas legales y de cumplimiento.

Entonces, en un ejemplo de una empresa con venta en línea (e-commerce) que sufre 6 intentos de intrusión en un año, tendríamos el siguiente resultado:

Cálculo de la Expectativa de Pérdida Anual = (Número de incidentes por año) X (Pérdida potencial por incidente) = 6 incidentes por año X USD$38000 = USD$228,000

Esta es la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.

Con los acontecimientos de estos dos últimos años (2018 y 2019), la gran mayoría de las empresas con presencia en Internet están prestando mucha atención en la protección, respaldo y planes de recuperación de la información de la empresa, y ya comenzaron a cuestionar el valor de la seguridad y acciones de los profesionales en Ciberseguridad.

¿Es posible calcular un Retorno de Inversión en Ciberseguridad para mi empresa?

0

Por Ricardo Velasco – Cofundador de </cyberwag>

Generalmente la parte más difícil al llevar a cabo proyectos de ciberseguridad o de continuidad de negocios, es convencer a los dueños y/o directivos, que realmente “hace sentido” invertir en dichos proyectos.

El reto radica en que tradicionalmente “hacer sentido” para los gerentes significa que el ingreso que resulte de la inversión será mayor que el costo total del proyecto.

¿Cuál es el problema entonces? El problema es que sí se puede calcular un costo asociado a proyectos de ciberseguridad, pero no existe un ingreso asociado a dicha inversión.

Por lo anterior, se debe cambiar el sentido de los proyectos de ciberseguridad, en lugar de buscar ingresos se debe de calcular costos por la no implementación de estos proyectos. Es decir, es calcular el costo del riesgo.

Y es que a pesar de que las organizaciones año tras año, aumentan sus presupuestos destinados a la ciberseguridad, la mayoría de los responsables del área aún tiene que justificar a su administración cada cantidad adicional gastada.

Cálculo de la Expectativa de Pérdida Anual (ALE por sus siglas en inglés)

El cálculo del ROI se basará en la prevención directa de pérdidas financieras.

Pongamos de ejemplo el presupuesto necesario para la protección de un portal de e-commerce (venta en línea)

Primero, es necesario calcular el ALE:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

En nuestro caso, el número de incidentes fue establecido razonablemente en 6 por año, esperando al menos 1 intento de intrusión o ataque directo al portal cada bimestre.

Para la determinación de la pérdida potencial por incidente el cálculo es un poco más “abstracto” dado que deben considerarse numerosos factores (interrupción directa en la operación, pérdidas por daño en la reputación, repercusiones en el valor de la acción y demás pérdidas de alto perfil relacionadas con una violación a la seguridad).

Se recomienda recurrir a fuentes de buena reputación para tomar costos promedios de incidentes de acuerdo a nuestra industria y tipo de empresa. Por ejemplo, de acuerdo a estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PYME es en promedio de USD$38,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de las cantidades:

Costo del robo y exposición de la base de datos de clientes y demás información sensible.

El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.

Costo de los expertos de terceros asignados para investigar y corregir el incidente.

Costo de las multas legales y de cumplimiento.

Entonces:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

ALE = 6 X USD$38000

ALE= USD$228,000

Esta es la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.

Cálculo del Retorno de Inversión (ROI por sus siglas en inglés)

El siguiente paso es justificar el dinero que se está requiriendo. Esto se puede hacer proporcionarle a la alta gerencia la información de los productos y soluciones más eficientes y efectivos, seleccionados cuidadosamente acorde a la relación precio/ calidad.

Para el ejemplo de la página web e-commerce (y sin tomar en cuenta costos relacionados con un programa de desarrollo seguro) típicamente se necesitará:

  • Web Application Firewall.
  • Análisis de vulnerabilidades y monitoreo de seguridad continuos.
  • Verificaciones de seguridad (web application pen testing).

Estimando que el costo anual del 1+2+3 = $40,000 y utilizando la fórmula para calcular el ROI de acuerdo a CISSP:

ROI = (ALE / Costo de controles compensatorios) X 100%

ROI = ($228,000 / $40,000) X 100%

ROI = 570%

Incluso como en este caso, con un ROI grande, con un valor subjetivo desde un punto de vista puramente técnico, hará más sentido este resultado al negocio y a la alta dirección que cualquier platica larga, persuasiva y detalla acerca de los peligros de los ataques de inyección de código SQL en las aplicaciones web.

El enfoque en ciberseguridad no se encuentra en mostrar las ganancias que se tendrán a través de ella, sino en mostrar las pérdidas y riesgos que se evitarán al utilizarlas adecuadamente.

¿DE QUIÉN ES LA RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN DENTRO DE UNA EMPRESA?

0

Por Genaro Delgado – Cofundador de </cyberwag>

En la actualidad, las amenazas cibernéticas están a la orden de día, solo en México alrededor de un 20% de las grandes empresas están preparadas para una contingencia de seguridad cibernética, mientras que las PyME’s no tienen un protocolo mínimo de seguridad cibernética ni mucho menos un plan de rescate y recuperación. Por esta razón, todas las organizaciones deben trabajar para mantenerse actualizadas y concientizar a sus colaboradores (desde lo dueños y directivos, hasta el colaborador que tienen el rango más bajo dentro de la estructura organizacional, incluso los clientes y proveedores) sobre el por qué la protección de seguridad de la información es responsabilidad de todos.

Dentro de foros y paneles de discusión, las preguntas más frecuentes en este tema son:

  1. ¿Qué tan prioritario debe ser el tema de seguridad cibernética en una organización y por qué?

Es altamente prioritario, y no solo para el área de TI, sino que cada uno de los colaboradores se tiene que ver como un “usuario”, y por tanto tiene que estar conscientes de las vulnerabilidades y ser partícipes de una cultura informática con base a seguridad.

  • ¿Cómo alinear a todo el personal para que ayude a salvaguardar la seguridad de la información de la empresa y que no haga cosas que la pongan en riesgo?

Desarrollando una cultura de seguridad de la información que permita entender que no solo es para el uso correcto de los medios o dispositivos electrónicos dentro de la empresa, sino que todo el personal se vea como parte de la cadena de vulnerabilidades para ataques cibernéticos, siendo las personas el eslabón más débil. Esta cultura se implementa con concientización y capacitación principalmente, ahora bien, es importante remarcar que debe haber auditorías internas de manera constante donde se revise que todos los colaboradores, clientes y proveedores estén haciendo las prácticas que aseguren la cultura implementada, de otra manera solo serán esfuerzos aislados y con alto costo.

  • ¿Qué elementos dentro de la organización vulneran la seguridad de la información?

Los elementos más comunes, dentro de cualquier organización, que pueden ser la puerta para ataques cibernéticos son:

Rotación de personal. Cuando alguno de nuestros colaboradores deja de pertenecer a nuestra organización (por cualquier razón), al menos ¿tenemos un protocolo de desactivación de sus privilegios y accesos a nuestros sistemas? Nos podríamos imaginar que pasaría si nuestro ahora excolaborador tiene aún los privilegios para descargar las bases de datos de clientes, proveedores o incluso de todo el personal, sacar sus datos privados y hacer un mal uso de ellos porque está enojado con la empresa. Y eso en el mejor de los casos, hay historias de terror de excolaboradores de corporativos que no piden rescate de información (ransomware), sino que simplemente destruyen información y dejan malware instalado para que siga la destrucción desde adentro, haciendo perder millones de dólares a las empresas y poner las bases de datos expuestas a hackers que pueden clonar identidades de las personas en ellas. Todo un desastre.

Home Office. En estos últimos años las empresas se han dado cuenta las ventajas de que a sus colaboradores se les brinde la oportunidad de trabajar remotamente; sin embargo, la mayoría de estas empresas no toma en cuenta el desafío y lo riesgos en términos de ciberseguridad que esto conlleva. No se necesita ser experto para obviar todas las posibles vulnerabilidades que se crean al momento que nuestros colaboradores se conectan remotamente a sus estaciones, tableros o grupos de trabajo desde casa, por ello es importante generar los protocolos mínimos de ciberseguridad que permitan asegurar la integridad de conexiones y la gestión de información. Hay muchas herramientas que nos permiten hacer la administración de equipos de trabajo remotos con gran seguridad.

Bring Your Own Device (BYOD por sus siglas en inglés), es una de las prácticas ya más comunes en casi todas las organizaciones, desde acceder a la empresa con tu dispositivo de telefonía celular (desde el más simple hasta el más sofisticado smartphone) hasta llevar tu propio equipo de cómputo para trabajar (incluyendo el manejo de USB o cualquier otro dispositivo de almacenamiento externo); la pregunta es ¿tenemos un protocolo de administre estos dispositivos dentro nuestras organizaciones? ¿sabemos que información entra o sale de nuestra organización? ¿los equipos que entran son auditados para revisar que no contengan malware? ¿estamos preparados para enfrentar un malware inyectado a través de la conexión de un dispositivo ajeno a la empresa? Incluso ¿revisamos que el software usado por los dispositivos ajenos a la empresa tenga licencia (no pirata)?

Definitivamente debemos tener política para la práctica BYOD y que podamos sacarle provecho de una manera segura, confiable y rentable.

  • ¿Qué tan conscientes están las personas sobre los datos que comparten a través de sus dispositivos?

La verdad es que no, no hay mucha consciencia en la mayoría de las empresas. No es culpa de las personas, sino que no existe una cultura organizacional enfocada al tema de ciberseguridad; y realmente se hizo visible su importancia a partir del 9/11 (2001) con el derribe de la Torres Gemelas de N.Y. EUA donde el no tener un mecanismo de intercambio sistemático de información sobre amenazas a través de sus identidades federales, estatales, locales, territoriales e internacionales para garantizar que todos tengan una imagen de la amenaza y puedan reaccionar en consecuencia, les costó uno de los acontecimientos más lamentables de nuestra historia. Este hecho empezó a hacer notar que todo tipo de organización, sobre todo los corporativos que manejan los recursos energéticos, financieros y de migración, pueden ponernos, no solo al país atacado, sino a todo el planeta en una posición indeseablemente frágil (en términos socio políticos) por lo que la importancia en la ciberseguridad se hizo un tema prioritario.

Ahora más que nunca, con la digitalización de los procesos, la conversión a espacios ciberfísicos, el internet de las cosas, e-commerce, etc., es necesario que nuestros colaboradores, clientes y proveedores se alineen a través de capacitaciones y auditorías de cumplimiento a una cultura de ciberseguridad para su propia integridad de sus vidas digitales.