Mesa Redonda sobre Transformación Digital en los sectores que dinamizan la economía

El pasado viernes 22 de septiembre tuve el honor de participar en una mesa redonda sobre transformación digital organizada por la asociación Ejecutivas & Consejeras (Eje&Con) y la Real Sociedad Matemática en la Universidad de Málaga. Se trataba de unas jornadas sobre Liderazgo y desafíos STEM (las siglas en inglés de Ciencia, Tecnología, Ingeniería y Matemáticas).

Este post es para dar cuenta de unas cuantas cosas que aprendí en esa ocasión y sobre las que he pensado este fin de semana.

La presentación de Elena Gil Lizasoain sobre el big data despertó mucho interés

El programa de actividades era bien amplio, y comenzaba el jueves 21 con la inauguración oficial, varias ponencias y mesas redondas a las que no pude asistir por motivos de agenda. Yo participé en parte del programa del viernes 22.

Tras una brillante intervención de Elena Gil, CEO de LUCA (Last Universal Common Ancestor), acerca del potencial del Big Data, se produjo una ronda de preguntas por los asistentes, sobre perfiles y capacitación, y una interesante pregunta sobre la representatividad de los conjuntos de datos de uno sólo operador telefónico acerca de los movimientos de los turistas en Murcia (una de las aplicaciones que nos mostró la ponente).

Orígenes de los visitantes a Murcia desde la provincia de Alicante. Fuente: http://data-speaks.luca-d3.com

Es verdad, una muestra sesgada, por muy grande que sea, no deja de tener un sesgo que puede distorsionar la interpretación. Un gran amigo de hace décadas estaba sentado a mi lado durante la charla, y me hablaba de la cita de Mark Twain:

Hay mentiras, malditas mentiras y estadística

Ahora podríamos añadir un peldaño más: Hay mentiras, malditas mentiras, estadística y Big Data. No seré yo de los que se oponen a los avances, aunque sí creo que la cautela y las cuestiones éticas en el uso de la tecnología son siempre el punto de partida imprescindible. Mal empleado, el big data tiende a confirmar nuestros prejuicios previos, simplemente por los conjuntos de datos históricos que empleemos, o por la programación del aprendizaje automático que realicemos. Sobre todo, la principal barrera, como en tantas cuestiones de la transformación digital, sería interpretar este reto como un reto tecnológico. No lo es. Es un reto de gestión. Se trata de desarrollar las capacidades necesarias para interpretar las 4 Vs de grandes Volúmenes de datos, que llegan a toda Velocidad, en formatos diVersos y de cuya Veracidad nos tenemos que asegurar. Eso es el unicornio del Científico de Datos

Moderó la mesa Eva García Lizcano, y participaban Gabriele Scattolo, la directora de la tienda IKEA Málaga, Pedro Antonio de Alarcón, de LUCA – Big Data for Social Good y yo mismo. Aquí están las preguntas que me hizo Eva, y lo que yo quería responder. Lo que realmente respondí seguramente sería distinto, pero no se diferenciaba mucho.

¿Cómo abordáis la transformación digital en una empresa de aguas, coméntanos algunos ejemplos aplicados de decisiones data driven? Hemos constituido cinco laboratorios de aceleración digital, temáticos y orientados a la operación, las relaciones con los clientes y ciudadanos, la comunicación y las administraciones. Cada uno de ellos promueve proyectos innovadores que transforman la actividad, desarrollan propuestas de valor o testean nuevos modelos de negocio, de una forma abierta a inclusiva, juntando a usuarios con productores, estimulando la colaboración y el intercambio. Por poner un par de ejemplos, uno antiguo y uno nuevo, podemos citar, en lo antiguo, nuestras herramientas de planificación de la renovación de redes de alcantarillado y abastecimiento (Metresa y Metrawa), que recopilan y analizan todos los datos sobre el estado de conservación de la red y recomiendan cuáles renovar y cómo, para que la ciudad saque el maximo partido. cada euro invertido. En lo nuevo, podemos mencionar nuestra plataforma CityDataVision, que integra datos del servicio, de otros servicios urbanos y datos abiertos como los meteorológicos y los del censo para resumir en forma de mapas de calor las viviendas vacías o la evolución de la actividad comercial, ayudando a los decisores urbanos a entender el metabolismo de la ciudad.

¿Qué tipo de operativa se realiza en un Operation Lab? Los Dinapsis Operation Labs abordan la transformación digital de las operaciones de las empresas de aguas mediante espacios con tres funciones especializadas: un Hub Operativo, un Lab especializado y un Showroom de sus actividades. En el Hub operativo se centralizan servicios de planificación de inversiones en los activos, mantenimiento OPEX, control en tiempo real, gestión de la telemedida y gestión de la fuerza de trabajo en campo. En el Lab se exploran nuevas propuestas de valor y/o nuevos modelos de negocio, en colaboración con el ecosistema local/regional de innovación, para desbordar las fronteras tradicionales del ciclo integral del agua y aportar nuevos servicios y nuevas oportunidades a la sociedad. El Showroom es la apertura transparente de esas actividades que acabo de describir y una invitación a participar en el juego a todas las personas y entidades que tengan una idea, un sueño con el que construir juntos nuevas oportunidades y horizontes.

¿Cómo aplicáis la innovación en una empresa de servicios para el sector del agua? La innovación ha sido, es y será el centro psicomotor de nuestra actividad. Más allá de cómo aumentar la eficiencia en la distribución o la versatilidad de la depuración del agua residual, vivimos en una perpetua rueda de reinvención de nuestra actividad, tanto en mejoras incrementales como en la disruptiva pura y dura. En cada tramo del embudo o “funnel” de innovación, Suez interviene, desde la investigación básica, con proyectos Life, H2020, empresas de capital riesgo en su programa Vento, centros tecnológicos, del que CETaqua Andalucía, no muy lejos de aquí, es un magnífico ejemplo, o con los laboratorios de innovación más aplicada como Dinapsis. Pero sobre todo, se trata de una actitud de constante cuestionamiento y exploración del presente para imaginar y construir el futuro de un mundo más habitable, sostenible, diverso, moderno y socialmente equitativo.

Me gustó mucho conocer la visión de Gabriele y de IKEA sobre el poder del grupo, el impulso a la diversidad en su empresa (un 60% de sus directivos son mujeres, al parecer) y los valores como la capacidad de asumir y delegar responsabilidades, la inquietud e inconformismo y la apertura al cambio propuesto por otros.

Pedro Alarcón citó a Platón para hablar de Big Data y los proxies que emplean para interpretar la realidad, como las sombras de la caverna. La visión de la teledetección permitió pronosticar la caída de los resultados de Walmart; había menos coches en sus aparcamientos, y el mapa de calor de las llamadas durante el terremoto de hace un año en México permitió destacar las zonas más afectadas. Es decir, el Big Data puede devolverle el favor a la sociedad, en vez de servir sólo para diseñar mejores campañas de marketing, cada vez más invasivas e inquietantes.

Lo mejor fue que se abriese, por iniciativa de Eva, un pequeño debate sobre la forma de potenciar la presencia de la mujer en las actividades relacionadas con las STEM. Recuerdo que cuando estudié la carrera, allá por el siglo pasado, tenía muy pocas compañeras de promoción. En el debate improvisé que esto se debe a un sesgo cultural que atribuye a las mujeres roles relacionados con otras disciplinas. Y no estoy de acuerdo con que eso siga siendo así. Nuestra sociedad necesita a la mujer en todos los campos profesionales, en todos los rangos jerárquicos. Sin eso, nos torcemos, perdemos competitividad, queda más sitio, demasiado, para los típicos groseros que sólo convencen por la fuerza, física o de sus gritos e intimidaciones, que inhiben el desarrollo del talento y de las ideas más creativas, que serán las ideas que nos rescaten de nuestra destrucción. Iniciativas como la de esta mesa redonda, estas jornadas de LiDES, la RSME, EJE&CON y la Universidad de Málaga, ayudan a dar visibilidad a lo (poco o mucho) que podamos avanzar en este terreno y hacer de este un lugar mejor en el que crecer y vivir.

P.S: Añado un enlace a un vídeo de TED que mi amigo Dani Cardelús me hizo llegar ayer. Sobre big data, oráculos y thick data. Y sobre cómo lo estructurado y modelado no es necesariamente lo que más interesa pronosticar acerca de la realidad.

Y después he visto este otro sobre cómo detectar malas estadísticad.

Anuncios

Espera, ¿qué? Y otras preguntas esenciales, por James E. Ryan


Este libro ha sido una recomendación de mi mentor Alfons Cornellá, que como contaba en otro artículo, tiene una deliciosa biblioteca en las instalaciones de The Institute of Next. Y le estoy muy agradecido por este libro repleto de experiencia, que se lee en dos sentadas y en que el autor no se anda por las ramas ni trata de parecer más sabio, más intachable ni más voluntarioso que ninguno de nosotros, los demás.

Es un tratado de ética en toda regla, en mi opinión, y cuenta las preguntas esenciales que deberíamos aprender a plantear a los demás y a nosotros mismos para vivir vidas plenas, con sentido en las cuatro cosas que importan en la vida: el amor, la familia, el trabajo y la bondad.

James Ryan es el undécimo decano de la Facultad de Educación de Harvard, y un experto en Derecho y Educación. El libro está construido alrededor de sus experiencias vitales como esposo, como padre, como abogado, como hijo adoptivo, como profesor y como amigo. No son teorías racionalistas ni un manual de instrucciones para ser feliz, son anécdotas y hechos de su vida, aunque no siempre salga muy bien parado. De hecho, es agradable comprobar que tiene ese hábito tan americano de saber reírse de sí mismo.

James E. Ryan. (Fuente: harvardmagazine.com)

He hecho uno de esos dibujos que posiblemente sólo yo entienda con mi resumen del libro.

Si nos preguntamos estas cosas en los momentos oportunos, o si les hacemos la pregunta a los que nos rodean, nos será mucho más fácil ver con claridad qué debemos hacer.

La primera pregunta, la de “Espera, ¿qué?” es el primer paso para entender lo que alguien nos propone, para evitar rellenar los huecos con suposiciones y sobreentendidos. Pone al que pregunta en posición de observar y comprender, y requiere del interlocutor una respuesta que elabore y aclare lo que está planteando.

La segunda, que son dos clases de preguntas, en realidad, es “Me pregunto por qué…” y “Me pregunto si…”. Preguntarse el porqué de las cosas que presenciamos nos ayuda a despertar la curiosidad, a descubrir de dónde vienen los absurdos que presenciamos a diario, y a darnos cuenta de que probablemente no sean tan absurdos o a decir “me pregunto si…” podrían ser de otro modo si empezamos algo, si hacemos algo al respecto.

La tercera pregunta, “¿No podríamos al menos…?” es un desatascador de situaciones encalladas, una bujía que enciende motores calados rebajando la ambición inicial de un proyecto demasiado amplio y troceándolo en un primer paso, o al menos provocando una conversación de un alcance manejable sobre algo de lo que hay que hablar. Es el comienzo del entendimiento mutuo, en esos casos. O la forma de darse cuenta de que los sueños pueden tratar de alcanzarse, o de llegar cerca de ellos.

La cuarta pregunta es la que muchos hombres varones deberíamos hacer más a menudo. Es un clásico que cuando alguien, en particular un ser querido, o nuestra pareja, nos cuenta un problema, tengamos la tentación irresistible de interrumpirle para dar nuestra visión de lo que resolvería el problema, como si fuéramos unos expertos, como si entendiésemos todas las circunstancias de la otra persona, como si fuésemos “el salvador”. Preguntar “¿Cómo puedo ayudar?” reconoce implícitamente y con modestia que no sabemos, que necesitamos la ayuda del otro, una pista sobre cómo ayudar, y es una mano tendida que ofrece nuestra ayuda si puede servir de algo. También es un instrumento potente, pues traslada la responsabilidad de mejorar su situación a la persona que tenemos enfrente, le hace pensar en qué necesita, formularlo, si quiere hacer algo al respecto.

La quinta pregunta es una linterna que no siempre utilizo. Es el foco en lo que importa, que resulta muy fácil de perder con las distracciones cotidianas, los pretextos y la procrastinación. Hay que preguntarse y preguntar “¿Qué es lo más importante?” si se quiere llegar a algún sitio. Es la clave para saber a dónde o a qué se quiere llegar cuando se emprende algo. La anécdota del parto de su tercer hijo que el autor comparte aquí me resulta tristemente familiar, y consuela saber que uno no es el único en poner por delante cosas que no importan nada cuando no se ha planteado bien las prioridades.

Hay una pregunta bonus, tomada de un poema de Raymond Carver, que dice “¿Obtuviste lo que querías de la vida, a pesar de todo?”. La vida está llena de decepciones y tropiezos, de sufrimiento y esfuerzos perdidos, es cierto. Pero se puede avanzar en la felicidad, se puede obtener lo que importa si uno se plantea y plantea habitualmente las preguntas que este libro nos pone delante. Son cosas que ya sabíamos, claro, pero ¿por qué no lo hacemos por costumbre?

Los ejercicios de Happier, de Tal Ben Shahar

Este libro que encontré por casualidad en las instalaciones del Institute of Next se está revelando como una fuente de inspiración que me ha venido muy bien estas vacaciones. Ayer dediqué un ratito a copiar un resumen de los ejercicios que el autor proponía al final de cada capítulo. Tres cuartillas de las que he hecho tres fotos:

El pase de diapositivas requiere JavaScript.

Seguramente la gente que sabe ser feliz, que guarda con facilidad el equilibrio entre la satisfacción y el propósito vital, no necesite estos ejercicios. Pueden ser perogrulladas. Todo el mundo sabe crearse unos rituales, aunque para otros, esos rituales pueden ser de castigo o de autodestrucción irreflexiva. Pero a mí me sirven de ancla o de motor, según toque.

Ahora que queda poco para que terminen las vacaciones, que me han permitido disfrutar de mi familia, de mi ocio, del descanso y del calor espantoso que ha hecho estos días, estos ejercicios me han parecido un buen intento de conservar este espíritu positivo, esta predisposición abierta a lo que el mundo tenga que ofrecer y a ofrecer lo que yo pueda al mundo.

Otro día, con tiempo, puede que traduzca esas notas al castellano. Hoy voy a rebañar el sábado, a apurar lo que queda de este tiempo magnífico.

Guía de Agile para líderes de negocios, por McKinsey

Este artículo de Santiago Comella-Dorda, Krish Krishnakanthan, Jeff Maurone, and Gayatri Shenai para McKinsey me interesa. Esta vez, en vez de traducir como un loro de repetición, voy a hacer un esquema y opinar.

 

Aunque nació para el desarrollo de software, parece bien claro que Agile va mucho más allá. Se trata de hacer colaborar a equipos dispares en entregar un producto mínimamente viable para satisfacer la necesidad (historia de usuario) del usuario final. Estos equipos trabajan en rachas entregando avances cuya utilidad comprueban rápida y directamente con quienes las va a usar, y de ese contacto directo obtienen información sobre lo que funciona, lo que no, y sobre la evolución que han sufrido las necesidades desde que se enunciaron por primera vez. La directiva juega un papel clave, un apostolado de esta nueva forma de trabajar, una celebración de los éxitos que se irán cosechando, dándoles visibilidad, y una tolerancia al error aprendizaje, que es lo que hace avanzar los proyectos.

Es un cambio de paradigma por completo, al evitar esa penosa fase inicial de especificación y redacción de requisitos, que a los equipos de negocio les supone una distracción de su cometido y a los de sistemas un código indescifrable que además, al finalizar el larguísimo periodo de desarrollo por métodos convencionales-clásicos, queda obsoleto y genera quejas de cómo funciona el software por precisamente los mismos que pidieron que funcionase así. Se trata de mezclar y agitar las distintas funciones para que puedan colaborar de forma productiva y con un ritmo ágil, que pronto entregue resultados, aunque estos no sean perfectos. Ya se perfeccionará en sucesivas oleadas.

¿Llegará esto algún día a las empresas de nuestro país (y no sólo a BBVA, por ejemplo, me refiero a todas)? Sería algo deseable, en mi opinión.

Adoptar una visión de ecosistema de la tecnología de negocios, según McKinsey

Este artículo de febrero de 2017 de Driek Desmet, Niels Maerkedahl y Parker Shi para McKinsey, explica la conveniencia de adoptar una visión de ecosistema de la tecnología de negocios.

Para aprovechar por completo la nueva tecnología de negocios, los Directores de Sistemas de Información (en inglés, CIO) deben adaptar sus funciones tradicionales de Tecnologías de Información (TI) a las oportunidades y desafíos de los “ecosistemas” tecnológicos emergentes. Y aquí se explica cómo.

La TI ha funcionado tradicionalmente como el cimiento para mantener una empresa funcionando. Una de sus funciones principales ha sido proteger las operaciones de la compañía con cortafuegos y encriptación para mantener fuera las tecnologías externas. Con el avance de las tecnologías, sin embargo, está emergiendo una inmensa matriz de oportunidades y fuentes de ventaja competitiva más allá de los tradicionales muros del negocio. Estas capacidades se están coaligando en una miríada de nuevos ecosistemas (Ver diagrama 1).

A menudo estos ecosistemas se superponen. Una aplicación de pago social, por ejemplo, puede ser parte de los ecosistemas de servicios móviles, sociales, de datos y bancarios. El Internet de las Cosas (IOT por sus siglas en inglés) es un ecosistema donde múltiples aplicaciones se comunican entre sí como una red.

Al conectarse a esos ecosistemas, las empresas pueden obtener acceso a redes enteras. Pueden, entre otros beneficios, encontrar nuevos clientes, indagar en nuevas fuentes de datos y mejorar los procesos de negocio establecidos.

Los CIOs y las organizaciones de TI tienen un inmenso papel que jugar en la captura de esas oportunidades. Pero no pueden hacerlo por medio del “business as usual“. En un entorno de ecosistemas, centrarse sólo en “proteger el centro” puede limitar la capacidad de una empresa para capitalizar las oportunidades que surjan. Para adaptar su compleja arquitectura de tecnología de negocios para funcionar en un mundo de ecosistemas, los CIOs tendrán que arreglárselas para aproximar a las tecnologías externas y al mismo tiempo gestionar los problemas de seguridad y lograr un asidero en el cada vez más rápido caudal de innovaciones tecnológicas.

IDC predice que en 2018 más del 50 por ciento de las grandes empresas – y más del 80 por ciento de las empresas con estrategias avanzadas de transformación digital – crearán o se asociarán con plataformas digitales (IDC predice la emergencia de la “Economía DX” en un período crítico de transformación digital ampliamente difundida e inmenso crecimiento de la escala de las tecnologías de plataformas de terceros en todos los sectores, 4 de noviembre de 2015). Al mismo tiempo, se espera que haya más de 50 millardos de dispositivos conectados en 2020, según Cisco.

Estos números apuntan a una reformulación radical de lo que son las TI y cómo los CIO las gestionan -no como un conjunto interno de tecnologías de información (IT) sino como una amplia red de tecnologías de ecosistema (ET). Para el CIO, este cambio también crea una importante oportunidad de trabajar estrechamente con el CEO en las prioridades del negocio y en convertirse en un socio estratégico de primer nivel.

Comprender las tecnologías de ecosistema

ET encapsula un conjunto expandido de capacidades y funciones TI (Diagrama 2). El CIO aún debe gestionar las funciones TI de varias velocidades (Ver artículo de 2014 sobre la arquitectura IT de dos velocidades) así como los programas bilaterales actuales. La nueva capa de ET representa un nuevo conjunto de capacidades así como la extensión de las existentes.

Los CIOs puede definir y dar forma a sus ET de tres modos:

1. Abriendo la TI interna al mundo exterior

Este planteamiento trata de construir la TI para enlazar sistemas y capacidades conducidos internamente con los sistemas externos. Un ejemplo de esto en acción es la app móvil de Delta Air Lines, la cual se extiende a Uber de forma que los viajeros pueden encargar un coche para cuando aterrizan. Kraft ha expandido su app de recetas para convertirse en una herramienta de gestión de la despensa, generando una lista de la compra que se conecta sin fisuras con el servicio de entrega de alimentación Peapod. Piensa en ello como extender en itinerario del cliente (customer journey) – y la relación de la empresa con el cliente – por medio de la integración con otros proveedores de servicios (3).

Muchas empresas ya han estado suministrando capacidades de integración para socios aguas arriba y aguas abajo -tecnologías como EDI (intercambio electrónico de datos) que han existido durante décadas. Sin embargo, esos puntos de integración suelen ser estáticos. Son conexiones bilaterales con un grupo pequeño, seleccionado previamente, de socios como distribuidores y suministradores. Esos puntos de integración ocurren con poca frecuencia y a menudo por lotes.

El futuro de la integración en ecosistemas externos forzará a las empresas a interactuar con muchos más socios que cubran un amplio abanico de funciones, desde la obtención de clientes hasta publicidad en redes sociales o soluciones de pago. Eso es porque el bajo coste de la tecnología y un entorno dinámico de start-ups ha conducido a un inmenso aumento de la velocidad con que se presentan nuevos servicios. Esto significa que las funciones de TI deben seguir el “principio de Amazon” de hacer disponibles los componentes de un sistema como servicios para permitir la integración con el ecosistema. Las conexiones deben ser abiertas, dinámicas y funcionar en tiempo real de forma que puedan integrar socios, tecnologías y aplicaciones cuando se necesiten.

Una implicación clara es la necesidad de diseñar una arquitectura tecnológica de bajo peso construida sobre microservicios y interfaces de programación de aplicaciones (APIs) que permitan a terceros engancharse con facilidad en el nuevo ecosistema. Los CIOs deben empezar a pensar en términos de arquitectura de plataformas como hacen los fabricantes de equipamiento original (OEMs) de la industria automovilística para permitir futuras mejoras en todo el ecosistema. Puede que incluso tengan que ofrecer un “app-store”  para permitir que los consumidores seleccionen a su antojo las capacidades deseadas -y, por supuesto, la infraestructura debe ser robusta y segura.

Un ejemplo de cómo esto puede ser una jugada ganadora se puede encontrar en los agentes de telecomunicaciones que expanden sus servicios conectados al comercio electrónico, la música, la salud, los seguros, la educación, los medios y los hogares inteligentes. Estos servicios estarían todos conectados en un ecosistema que ofreciese al cliente múltiples servicios a través de la columna vertebral de la tecnología de las telecos. El AppExchange de Salesforce ya está haciendo esto creando un entorno en la nube donde los desarrolladores pueden crear y lanzar sus propias apps.

2. Internalizar las TI externas

Este planteamiento se centra en abrir los sistemas TI internos de forma que el negocio pueda conectar las capacidades externas disponibles en el ecosistema para servir mejor a sus propios clientes, apoyar a sus propios empleados o crear nuevos productos y capacidades, a menudo ofrecidos por medio de SaaS (software como servicio) y APIs. Un ejemplo sencillo es integrar una aplicación de punto de venta (POS) de un tercero dentro de los sistemas internos de pago de una empresa para simplificar un proceso de adquisición en la tienda de un cliente. O integrar una función de chat de atención al cliente de un tercero en la página web de una empresa. O incluso integrar Yammer para ayudar con la productividad de los empleados.

Este planteamiento cambia claramente como TI diseña y gestiona sus sistemas. Ya no se trata de comprar paquetes de software y construir en sus instalaciones soluciones a la medida o trabajar con unos pocos integradores de sistemas para entregar una solución de negocio. Ahora de trata de comprender de principio a fin la experiencia del cliente t cómo los servicios externos y los ya disponibles pueden utilizarse con las soluciones internas para ofrecer una propuesta completa y única en su especie. Las empresas tendrán que complementar las habilidades internas con la especialización externa integrados íntimamente en el tejido de su desarrollo de aplicaciones y gestión de infraestructura de TI. Se trata de crear un entorno 24×7 que permita ofrecer productos a millones de clientes por todo el mundo.

Una empresa líder de viajes internacionales, rota por las start-ups del mercado, decidió aumentar sus capacidades para conducir su transformación. Un componente importante de su estrategia era usar distribuidores especializados procedentes del ecosistema externo para soportar diversas capacidades, por ejemplo, movilidad, motor de búsqueda, CRM, pagos. Este planteamiento les permitió acelerar su transformación, ampliar la escala de sus servicios y pulsar el talento especializado a medida que las tecnologías evolucionaron y la demanda creció fuertemente.

3. Modernizar la TI para escalar la innovación

Todos hemos oído suficientes veces cómo de frenético se ha vuelto el ritmo de las nuevas tecnologías. Pero merece la pena recordar que muchas de las nuevas herramientas tienen el potencial para cambiar radicalmente el modelo de negocio de una empresa, aunque eso no esté claro desde el comienzo. Para que no nos coja desprevenidos y adoptar una posición competitiva más agresiva, las empresas deberían empezar a probar esas tecnologías para estar preparados para incorporarlas en cuanto se pruebe su valor y se puedan funcionar a gran escala. Esto puede ser cosa de “jugar” con la nueva tecnología (como con los estándares de código abierto) en “piscinas de arena” dedicadas donde la conectividad entre la tecnología interna y externa se pueda probar. Más aún, los líderes de TI deberán formar activamente asociaciones o alianzas con distribuidores y proveedores de servicios para comprender y evaluar realmente cómo la tecnología puede utilizarse en su entorno de negocio.

Es cierto que muchas empresas ya han estado invirtiendo activamente en tecnologías emergentes. Por ejemplo, muchas empresas de servicios financieros han establecido fondos de capital riesgo internos para invertir en tecnologías como blockchain y la IoT. Sin embargo, las empresas han demostrado menos progresos -y éxito- en integrar esas tecnologías en su infraestructura TI existente y en extender con éxito la propuesta de valor a sus clientes. Las start-ups tienen a menudo tecnologías inmaduras que no pueden crecer, y a menudo se apalancan en servicios externos en la nube que podrían no ser compatibles con la propia estructura en la nube de su propia empresa. De ahí que sea importnte para las empresas pensar con detenimiento cómo habilitan una suave integración de la solución técnica y la cultura de trabajo para capitalizar completamente los productos que las start-ups están ofreciendo. Si no se hace correctamente, las empresas crearán la siguiente oleada de infraestructura TI de espagueti.

Dada la escala de la innovación, sería virtualmente imposible mantenerse al día a menos que el CIO designe analistas o arquitectos específicos cuyo trabajo sea identificar y evaluar la compatibilidad de las tecnologías externas. El grupo de innovación DBS, por ejemplo, ha establecido un rol de vicepresidente senior de fintech con la responsabilidad de identificar, integrar y gestionar miembros potenciales del ecosistema. Esta persona lidera y dirige los acuerdos locales y regionales con las fintech, y reporta a la dirección global de las asociaciones.

Sin importar cuál de los modos -o combinación de modos- elijan el CEO y el CIO, la TI se mueve al primer plano no sólo por la tecnología sino también por la innovación en modelos de negocio.

Cómo empezar con el ET

Mientras que construir un ET es complejo y se basa en muchas interdependencias, hemos encontrado que enfocarse en los siguientes seis elementos da a los CIOs y CEOs una gran ventaja para sacarle el máximo partido:

Barra lateral – Preguntas que el CEO puede hacerle al CIO:

  • ¿Has identificado el conjunto de tecnologías, plataformas y distribuidores que nos pueden ayudar a acelerar nuestra estrategia digital?
  • ¿Cómo de rápido puede un socio potencial integrar nuestros sus servicios en los suyos?
  • ¿Cómo de rápido podemos añadir a un nuevo distribuidor o socio hoy para acelerar una capacidad específica como la conectividad en directo de datos?
  • ¿Cuáles son las tres fuentes de valor más importantes que el ecosistema externo puede aportar?
  • ¿Qué talento y capacidades necesarios para el éxito en el ecosistema has identificado? ¿Cómo los estás construyendo?
  • ¿Cubren nuestras políticas de ciberseguridad a los socios externos? ¿Y a sus socios?
  • ¿Cómo estamos garantizando que nuestros servicios se están exponiendo y pueden actuar con el ecosistema más amplio?

1. Repensar la estrategia del negocio. De qué forma, o combinación de formas, una empresa elige interactuar con los diversos ecosistemas (o crear el suyo propio) depende de tres cosas: su estrategia, el entorno de mercado y el apetito por el riesgo de la empresa en su conjunto. Esto a su vez requiere que el CIO trabaje estrechamente como un socio con el CEO y la directiva para ayudar a dar forma a la estrategia de negocio identificsndo las tecnologías y ecosistemas emergentes que podrían causar una ruptura en el mercado, determinar dónde están las futuras fuentes de valor, y desarrollar la acciones estratégicas necesarias para capturarlo. Este diálogo es una exploración bidireccional y constante en la que la tecnología y la estrategia de negocio están enlazadas inextricablemente. El papel del CIO no es sólo determinar la factibilidad sino ayudar al negocio a determinar qué amenazas y oportunidades existen al comprometerse en ecosistemas (ver el artículo “fundamentos económicos de estrategia digital“).

2. Desarrollar la infraestructura. La nueva integración bidireccional de tecnologías es dinámica por naturaleza; ocurre en tiempo real con miles de socios o consumidores finales. Esto requiere que las empresas rediseñen la arquitectura de integración de siguiente generación para darle soporte y reforzar los estándares abiertos que puedan adoptarse con facilidad por terceros. Se deberá extender también el catálogo existente de gestión de datos para incluir los datos de terceros y la potencial integración con proveedores de datos maestros externos. Tiene que haber una arquitectura y gobernanza de datos claras para asegurar la limpieza de los datos, su racionalización y la estandarización para que los sistemas funcionen.

3. Reinventar los procesos y estructuras de gestión de clientes. Cuando los clientes llaman con problemas técnicos, será un desafío averiguar dónde estarán los puntos de fallo en un entorno de ET. ¿Está en los sistemas de la empresa, en los servicios de terceros, en la nube que aloja el servicio, en la red, o en una combinacion de todos los anteriores? Esta realidad requerirá que las empresas revisen de manera radical sus procesos de infraestructuras y soporte.

Crear Acuerdos de Nivel de Servicio (SLAs) que definan claramente protocolos para la resolución de problemas y sus escalado con los que todas las partes estén de acuerdo será crucial. Crear etiquetas de identificación estándar o “tripwires” e integrarlos en los servicios, socios y tecnologías participantes del ET será importante para localizar los problemas con rapidez para que se puedan resolver.

Estos estándares y acuerdos, sin embargo, no son una excusa para ir rebotando a los clientes de un socio a otro y otro. La compañía orientada al cliente debe resolver los problemas detrás del escenario y ahorrarle al cliente la complejidad de navegar por el ecosistema de socios.

4. Definir los parámetros par la ciberseguridad, los asuntos jurídicos y las alianzas. Como resultado de la infraestructura extendida, las políticas y procesos de ciberseguridad internas deberán incluir a los socios y distribuidores. Habrá que definir y acordar un nuevo conjunto de estándares de seguridad que articule claramente cómo se realizará la integración y qué tipos de datos se pueden intercambiar y con quién.

Trabajar con un amplio abanico de terceras partes levantará también otras preguntas legales. Los problemas de propiedad intelectual, responsabilidad, privacidad, reparto de beneficios y asuntos de normativa y cumplimiento legal tienen todos el potencial de dificultar severamente el logro de los beneficios de incorporarse en un ecosistema más amplio. Los problemas de licencias ya han surgido entre las empresas de la nube y los negocios de hardware y software en casa del cliente a causa de competir y los diferentes modelos de negocio. La propiedad de los datos y la gestión de clientes en particular serán cruciales dada la necesidad de las empresas de acceder a ambos.

Esto requerirá habilidades de negociación muy destacadas, y un compromiso de desarrollar y aplicar un amplio conjunto de estándares para evitar la constante renegociación con cada nuevo socio o distribuidor desde cero. Establecer un planteamiento de app-store donde los estándares se enuncian con claridad, se aportan herramientas y se hacen acuerdos específicamente al principio pueden proporcionar un modelo útil.

Unirse a una red de distribuidores tambuén requiere cambios en la ceritificación de habilidades y la gestión del desempeño de los ditribuidores. Las empresas deberán definir claramente los estándares y procedimientos con que los distirbuidores deberán operar y directrices que definan cómo se incorporará el distribuidor en el ciclo de vida de la entrega. Home Depot está desarrollando estándares con los fabricantes de sus productos para asegurar la compatibilidad con el sistema de hogar conectado Wink. Las empresas que hacen esto de la forma más efectiva tratan las relaciones y alianzas con los distribuidores con mucha transparencia. Las funciones de suministro interno y gestión de distribuidores deberán reestructurarse para trabajar más como M&A, la cual puede integrar nuevos socios o establecer nuevas alianzas con rapidez y efectividad.

5. Cultivar una mentalidad “abierta”. Los CIOs se han centrado tradicionalmente en proteger los sistemas y garantizar que funcionen bien. Pero el nuevo mundo digital exige una implicación más activa con el mundo exterior parar comprender las amenazas competitivas y las fuentes de valor. Los CIOs debería empezar por desarrollar una visión mucho más compatible con el exterior de la infraestructura TI actual y pensar en cómo diseñar nuevas formas de integrar de forma significativa los sistemas externos. Pasar mucho tiempo construyendo complejos sistemas “a prueba de balas” es contraproducente; probar una aplicación o un nuevo entorno de plataforma debería llevar unos días o semanas.

6. Invertir en nuevas capacidades. A medida que los negocios se involucran cada vez más con las tecnologías del ecosistema externo, se necesitarán arquitectos full-stack y los ingenieros de infraestructura de convergencia que puedan aportar pericia en el software empaquetado de terceros, dominar diversas tecnologías punteras y aportar experiencia en integrar múltiples tecnologías. Las capacidades de “traductor” también serán cruciales para tender el puente entre los objetivos de negocio y los requisitos tecnológicos del ecosistema. Cualquier nueva función dentro de la arquitectura de la empresa debería colaborar estrechamente con el negocio para comprender cómo los servicios externos se pueden integrar con los productos para ampliar la propuesta de valor al cliente.

Con el avance de la computación e infraestructuras en la nube como software programable, los recursos de infraestructura (esto es, redes, servidores, almacenamiento, aplicaciones y servicios) pueden ahora proveerse con rapidez, gestionarse y operarse con un mínimo esfuerzo. Esto requiere ingenieros de DevOps (la integración de desarrollo y operación) y de la nube, que tengan experiencia en navegar en un ecosistema de computación en la nube y software de programación rápidamente cambiante, así como científicos de datos, ingenieros de automatización, y arquitectos de empresa. Las empresas también necesitarán encontrar unos pocos desarrolladores senior que puedan establecer estándares de app-store.

Las empresas han subcontratado muchas de esas capacidades. Pero debido a la creciente importancia de las habilidades de ingeniería y automatización, muchos se están pensando dos veces ese planteamiento a medida que la TI evoluciona de utilidad a facilitador.

Integrar la TI de una empresa con las capacidades de terceros crea oportunidades de capturar nuevas y sustanciosas fuentes de valor. Pero hasta que la TI se expanda para convertirse en ET, la gran mayoría de esas oportunidades seguirán fuera de su alcance.

Cómo evitar otro proyecto Blockchain sin sentido

Este artículo que he visto por casualidad en twitter me ha parecido muy interesante, sobre todo porque en él Gideon Greenspan, el CEO de una startup de proyectos blockchain (Coin Sciences Ltd) se dedicaba en noviembre de 2015 a disuadir a potenciales clientes que en realidad no necesitan blockchain.

Evitando el proyecto blockchain sin sentido

Cómo determinar si has encontrado un caso de uso real de blockchain

Los blockchains reciben demasiada atención de los medios. Ya está, por fin lo he dicho. Desde Sibos hasta Money 20/20 pasando por las portadas de The Economist y Euromoney, parece que todo el mundo quiere subirse al carro del blockchain. Y sin duda como otros en ese espacio, estamos viendo un número rápidamente creciente de empresas construyendo pruebas de concepto sobre nuestra plataforma y/o pidiéndonos ayuda.

Como joven startup que somos, podrías pensar que se nos ha subido el éxito a la cabeza. Seguramente ahora es el momento de obtener un montón de dinero y construir esa plataforma de alto rendimiento de la siguiente generación de blockchain que ya hemos diseñado. ¿A qué estamos esperando?

Te diré una cosa. Estamos esperando alcanzar una comprensión más clara de dónde las blockchains aportan valor de verdad en las TI de las empresas. Verás, una amplia proporción de esos proyectos que nos llegan no tienen nada que ver con las blockchains. Así es como funciona. Gran empresa oye que las blockchains son el último grito. Gran empresa busca internamente a algunas personas a las que les interesa el asunto. Gran empresa les da un presupuesto y les dice que vayan a hacer algo “blockchainístico”. Justo después llaman a nuestra puerta, agitando billetes de dólar, pidiéndonos que les ayudemos a pensar en un caso de uso. ¿Y ahora qué?

Y para los que ya tienen un proyecto en mente, ¿cuál es el problema? En muchos casos, el proyecto puede implementarse perfectamente utilizando una base de datos relacional normal y corriente. Sabes, mastodontes metálicos como Oracle y SQL Server, o para los de mentalidad más abierta, MySQL y Postgres. Así que permitidme que empiece por poner un poco de orden:

Si tus requisitos se cumplen con las bases de datos relacionales de hoy, estarías loco si usaras una blockchain.

¿Por qué? Porque los productos como Oracle y MySQL tienen detrás décadas de desarrollo. Se han desplegado en millones de servidores que ejecutan trillones de consultas. Contienen algunos de los fragmentos de código más exhaustivamente verificados, limpiados de errores y optimizados del planeta, y procesan miles de transacciones por segundo sin tan siquiera empezar a sudar.

¿Y qué hay de las blockchains? Bueno, nuestro producto fue uno de los primeros en llegar al mercado, y ha estado disponible durante exactamente 5 meses, con unos pocos miles de descargas. En realidad es extremadamente estable, porque lo hemos construido fuera de Bitcoin Core, que es el software que mueve bitcoin. Pero aún así, esta categoría entera de productos está todavía en pañales.

¿Entonces estoy diciendo que las blockchains no sirven para nada? Nada de eso. Pero antes de embarcarte en un reluciente proyecto de blockchain, tienes que tener una idea muy clara de por qué estás usando una blockchain. Hay un puñado de condiciones que deben satisfacerse. Y si no, deberías volver al tablero de dibujo. Quizá puedas definir mejor el proyecto. O quizá puedas ahorrarle a todo el mundo un montón de tiempo y dinero, porque no necesites una blockchain para nada.

1. La base de datos

Aquí está la primera regla. Las blockchains son una tecnología para bases de datos compartidas. Así que debes empezar sabiendo por qué estás usando una base de datos, con lo cual me refiero a un depósito estructurado de información. Puede ser una base de datos relacional tradicional, que contenga una o más tablas del tipo de las de las hojas de cálculo. O puede ser de la variedad más en boga de NoSQL, que funciona más como un sistema de archivos o un diccionario. (Desde el punto de vista teórico, las bases de datos NoSQL son sólo un subconjunto de bases de datos relacionales, de todos modos).

Un libro mayor para activos financieros puede expresarse con naturalidad como una tabla de una base de datos en que cada fila representa un tipo de activo cuyo propietario es una entidad en particular. Cada fila tiene tres columnas que contienen: a) El identificador del propietario, como un número de cuento, b) un identificador del tipo de activo, como “USD” o “AAPL” y c) la cantidad de ese activo poseída por ese propietario.

Las bases de datos se modifican por medio de “transacciones” que representan un conjunto de cambios a la base de datos que deben ser aceptados o rechazados en su conjunto. Por ejemplo, en el caso de un libro mayor de activos, un pago de un usuario a otro se representa por una transacción que deduce una cantidad de una fila y la añade a otra.

2. Múltiples escritores

Esta es fácil. Las blockchains son una tecnología para bases de datos con múltiples escritores. En otras palabras, debe haber más de una entidad generando transacciones que modifiquen la base de datos. ¿Sabes quiénes son esos escritores?

En la mayoría de los casos los escritores también explotarán “nodos” que guardan una copia de la base de datos y pasan transacciones a otros nodos a modo de peer-to-peer. Sin embargo las transacciones también podrían crearlas usuarios que no tienen un nodo a su cargo. Piensa por ejemplo en un sistema de pagos que se mantiene colectivamente por un pequeño grupo de bancos pero que tiene millones de usuarios finales en terminales móviles, comunicándose sólo con los sistemas de sus propios bancos.

3. Ausencia de confianza

Y ahora la tercera regla. Si hay múltiples entidades escribiendo en la base de datos, también tiene que haber cierto grado de desconfianza entre esas entidades. En otras palabras, las blockchains son una tecnología para bases de datos con múltiples escritores que no confían en los demás.

Podrías pensar que la desconfianza sólo surge entre organizaciones separadas, como los bancos que negocian en un mercado o las empresas implicadas en una cadena de suministro, pero también puede existir en el seno de una sola gran organización, por ejemplo, entre departamentos o las operaciones entre distintos países.

¿A qué me refiero concretamente con desconfianza? Quiero decir que un usuario no está dispuesto a dejar a otro que modifique las entradas de la base de datos que “le pertenecen”. De modo similar, cuando se trata de leer los contenidos de la base de datos, un usuario no aceptará como evangelio de “la verdad” lo que diga otro usuario, porque cada uno tienen incentivos económicos o políticos diferentes.

4. Desintermediación

Así que el problema, tal y como lo hemos definido hasta ahora, es habilitar una base de datos con múltiples escritores que no se fían unos de otros. Y ya existe una solución conocida de sobra para este problema: el intermediario de confianza. Esto es, alguien de quien todos los escritores se fían, incluso si no se fían por completo unos de otros. Sin duda, el mundo está lleno de bases de datos de esta naturaleza, como el libro mayor de las cuentas de un banco. Tu banco controla la base de datos y se asegura de que cada transacción es válida y que está autorizada por el cliente cuyos fondos mueve. Da igual lo amablemente que preguntes, tu banco nunca te dejará que modifiques directamente su base de datos.

Las blockchains quitan la necesidad de intermediarios de confianza habilitando que las bases de datos con múltiples escritores que no se fían unos de otros se puedan modificar directamente. No se necesita un guardián centralizado para verificar las transacciones y autenticar su origen. En vez de esto, la definición de una transacción se extiende para incluir una prueba de autorización y una prueba de validez. Las transacciones pueden por lo tanto ser verificadas y procesadas de forma independiente por cada nodo que mantiene una copia de la base de datos.

Pero la pregunta que debes plantear es: ¿Queremos o necesitamos esta desintermediación? Según sea tu caso de uso, ¿hay algún problema con tener una parte central que mantiene una base de datos de autorizaciones y que actúa como el portero de las transacciones? Hay buenas razones para preferir una base de datos basada en blockchain a un intermediario de confianza como menores costes, transacciones más rápidas, reconciliación automática, nuevas normas o la simple incapacidad de encontrar un intermediario adecuado.

5. Interacción entre las transacciones

Así que las blockchains tiene sentido para bases de datos compartidas por múltiples escritores que no se fían por completo unos de otros y que modifican la base de datos directamente. Pero todavía no es suficiente. Las blockchains brillan de verdad donde haya alguna interacción entre las transacciones creadas por esos escritores.

¿A qué me refiero con interacción? En el sentido más amplio, esto significa que las transacciones creadas por diferentes escritores a menudo dependen unas de otras. Por ejemplo, digamos que Alice envía unos fondos a Bob y entonces Bob envía a su vez algunos a Charlie. En esto caso, la transacción de Bob depende de la de Alice, y no hay forma de verificar la transacción de Bob sin comprobar la de Alice antes. A causa de esta dependencia, las transacciones pertenecen las dos a una sola base de datos compartida.

Llevando esto más lejos, una buena funcionalidad de las blockchains es que las transacciones pueden crearse colaborativamente por múltiples escritores, sin que ninguna de las partes tenga que exponerse a un riesgo. Esto es lo que permite realizar los acuerdos de entrega contra pago con seguridad en una blockchain, sin requerir un intermediario de confianza.

Un buen caso puede hacerse también para situaciones donde las transacciones desde distintos escritores están relacionadas entre sí, incluso aunque permanezcan independientes. Un ejemplo podría ser una base de datos de identidades compartida en la que múltiples entidades validan distintos aspectos de las identidades de los consumidores. Aunque cada una de esas certificaciones es independiente, la blockchain proporciona una forma útil de reunirlo todo de forma unificada.

6. Establecer las reglas

En realidad esto no es una condición, sino más bien una consecuencia inevitable de los puntos anteriores. Si tenemos una base de datos modificada directamente por múltiples escritores, y esos escritores no se fían completamente unos de otros, entonces la base de datos debe contener reglas incrustadas que restrinjan las transacciones que se pueden hacer.

Estas reglas son fundamentalmente distintas de las restricciones que aparecen en las bases de datos tradicionales, porque se relacionan con la legitimidad de las transformaciones que con el estado de la base de datos en un instante concreto. Cada transacción se comprueba contra estas reglas por cada nodo de la red, y las que fracasan se rechazan y no se retransmiten.

Los libros mayores de activos contienen un ejemplo sencillo de este tipo de regla, para prevenir transacciones que creen activos de la nada. La regla establece que la cantidad total de cada activo en el libro mayor debe ser la misma antes y después de cada transacción.

7. Elige a tus validadores

Hasta ahora hemos descrito una base de datos distribuida en que las transacciones pueden originarse en múltiples lugares, propagarse entre nodos a modo peer-to-peer, y se comprueban por cada nodo de forma independiente. ¿Entonces dónde entra la “cadena de bloques”? Bueno, uno de los trabajos de la blockchain es ser el registro autorizado final de las transacciones, en cuyos contenidos todos los nodos están de acuerdo de forma demostrable.

¿Por qué necesitamos este registro? En primer lugar, permite que los nodos recientemente incorporados calculen los contenidos de la base de datos desde cero, sin necesidad de que se fíen de otro nodo. En segundo lugar, responde a la posibilidad de que algunos nodos se pierdan algunas transacciones, debido a una caída del sistema o un ruido de comunicaciones. Sin un registro de transacciones, esto causaría que la base de datos de uno de los nodos divergiese de la de los demás, socavando el objetivo de una base de datos compartida.

En tercer lugar, es posible que haya dos transacciones en conflicto, de forma que sólo una de ellas puede aceptarse. Un ejemplo clásico es un gasto doble en que el mismo activo se envía a dos receptores distintos. En una base de datos peer-to-peer sin una autoridad central, los nodos podrían tener opiniones diferentes acerca de qué transacción debería aceptarse, porque no hay una respuesta objetivamente correcta. Al requerir que las transacciones se “confirmen” en una blockchain, aseguramos que todos los nodos convergen en la misma decisión.

Por último, en las blockchains al estilo de Ethereum, el ordenamiento preciso de las transacciones juega un papel crucial, porque cada transacción puede afectar a lo que ocurre en cada una de las subsiguientes. En este caso, la blockchain actúa para definir la cronología oficial, sin la cual las transacciones no se podrían procesar en absoluto.

Una blockchain es literalmente una cadena de bloques, en la que cada bloque contiene un conjunto de transacciones que se confirman como un grupo. Pero ¿quién es responsable de elegir las transacciones que van en cada bloque? En el tipo de “blockchain privada” que es adecuada para las aplicaciones empresariales, la respuesta es un grupo cerrado de validadores (“mineros”) que firman digitalmente los bloques que crean. Esta lista de admitidos se combina con alguna forma de esquema de consenso para evitar que una minoría de validadores se haga con el control de la cadena. Por ejemplo, MultiChain utiliza un esquema llamado diversidad de minería, en que los mineros autorizados trabajan a modo de “round-robin“, con algún grado de libertad para tener en cuenta los nodos que no estén funcionando.

Independientemente del esquema de consenso que se utilice, los nodos validadores tienen mucho menos poder que el propietario de una base de datos centralizada tradicional. Los validadores no pueden falsificar transacciones o modificar la base de datos violando sus reglas. En un libro mayor de activos, esto quiere decir que no pueden gastar el dinero de otras personas, ni cambiar la cantidad total de activos representados. Sin embargo, aún quedan maneras en que los validadores pueden influenciar indebidamente los contenidos de una base de datos:

  • Censura de transacciones. Si se coaligan maliciosamente los suficientes validadores, pueden impedir la confirmación en la blockchain de una transacción en particular, dejándola permanentemente en el limbo.
  • Resolución sesgada de conflictos. Si dos transacciones entran en conflicto, el validador que cree el siguiente bloque decide qué transacción se confirma en la blockchain, causando que la otra sea rechazada. La elección justa sería que la primera transacción que se haya visto, pero los validadores pueden elegir basándose en otros factores sin revelarlo.

A causa de estos problemas, cuando se está implantando una base de datos basada en blockchain, debes tener una idea clara de quiénes son tus validadores y por qué confías en ellos, colectivamente si no uno a uno. En función del caso de uso, los validadores podrían elegirse como: (a) uno o más nodos controlados por una sola organización, (b) un grupo central de organizaciones que mantienen la cadena, o (c) cada nodo de la red.

8. Respalda tus activos

Si has llegado hasta aquí, te habrás dado cuenta de que tiendo a referirme a las blockchains como bases de datos compartidas, en vez de con la definición más común de “libros mayores compartidos”. ¿Por qué? Porque como tecnología, las blockchains pueden aplicarse a problemas que van mucho más allá del seguimiento de la propiedad de activos. Cualquier base de datos que tiene múltiples escritores que no se fían unos de otros puede implementarse sobre una blockchain, sin requerir un intermediario central. Los ejemplos incluyen calendarios compartidos, colaboración al estilo wiki y foros de discusión.

Dicho esto, por ahora parece que las blockchains son sobre todo de interés para quienes siguen el movimiento e intercambio de activos financieros. Puedo pensar en dos razones para esto: (a) el sector financiero está respondiendo a la (con lo que sabemos ahora, minúscula) amenaza de criptomonedas como bitcoin, y (b) un libro mayor de activos es el ejemplo más simple y natural de una base de datos compartida con transacciones interdependientes creadas por múltiples entidades que no se fían unas de otras.

Si quieres usar una blockchain como un libro mayor de activos, debes responder a una pregunta crucial adicional: ¿Cuál es la naturaleza de los activos que se están moviendo? Con esto no me refiero sólo a dinero o bonos o cartas de porte, aunque por supuesto eso también es importante. La pregunta es más bien: ¿Quién está detrás de los activos representados en la blockchain? Si la base de datos dice que poseo 10 unidades de algo, ¿quién me permitirá reclamar esas 10 unidades en el mundo real? ¿A quién demando si no puedo convertir lo que está escrito en la blockchain en activos físicos tradicionales? (Mira este acuerdo para ver un ejemplo).

La respuesta, por supuesto, variará en función del caso de uso. Para activos monetarios, uno puede imaginar bancos de custodia que acepten dinero en la forma tradicional, y después acreditando las cuentas de los depositarios en un libro mayor distribuido movido por una blockchain. En finanzas comerciales, las cartas de crédito y de porte se respaldarían por el banco del importador y la compañía de transportes respectivamente. Y más adelante en el futuro, podemos imaginar un tiempo en que la principal fuente de bonos corporativos tenga lugar directamente en una blockchain por parte de la empresa que busque captar fondos.

Conclusión

Como mencioné en la introducción, si tu proyecto no satisface todas y cada una de estas condiciones, no deberías estar usando una blockchain. En ausencia de cualquiera de las cinco primeras, deberías pensar en: (a) un almacenamiento convencional de archivos, (b) una base de datos centralizada, (c) una replicación maestro-esclavo de bases de datos, o (d) múltiples bases de datos a los que se puedan suscribir los usuarios.

Y si cumples las cinco primeras, todavía queda trabajo por hacer. Debes ser capaz de expresar las reglas de tu aplicación en términos de las transacciones que una base de datos permite. Debes estar seguro de en quiénes puedes confiar como validadores y cómo definirás el consenso distribuido. Y por último, si estás pensando en crear un libro mayor compartido, debes saber quién estará respaldando los activos representados en ese libro mayor.

¿Tienes todas las respuestas? Enhorabuena, tienes un caso de uso de blockchain real. Y nos encantaría saber de tí.

Traducción del escrito de Gideon Greenspan, CEO and Founder, Coin Sciences Ltd

 

¿Éxito o mito? Los costes e impactos reales de los programas de ciberseguridad

Este artículo de Jason Choi, James Kaplan, Chandru Krishnamurthy y Harrison Lung en McKinsey tenía un titular que me ha tentado y que a lo mejor os interesa.

La ciberseguridad es un aspecto crítico de las infraestructuras tecnológicas que a menudo se malinterpreta. Aquí se cuenta cómo los líderes de negocio y de tecnología pueden asegurarse de que los activos importantes de la compañía sigan seguros.

Las empresas están usando todo tipo de tecnologías y técnicas sofisticadas para proteger los activos críticos del negocio. Pero el factor más importante en cualquier programa de ciberseguridad es la confianza. Cimenta todas las decisiones que los ejecutivos toman sobre herramientas, talento y procesos. Pero según nuestras observaciones, sin embargo, la confianza está en general ausente en las iniciativas de ciberseguridad de muchas organizaciones – en parte, a causa de agendas competitivas. Los líderes senior del negocio y la directiva pueden ver la ciberseguridad como una prioridad sólo cuando ocurre una intrusión, por ejemplo, mientras que el director de seguridad y su equipo ven la seguridad como una prioridad de todos los días, e incluso las transacciones más rutinarias del sitio web presentan brechas potenciales de ser explotadas.

Esta falta de confianza da paso a mitos comunes sobre la ciberseguridad -por ejemplo, sobre los tipos de amenazas que son más relevantes, la cantidad de gasto requerida para proteger los datos criticos, e incluso sobre qué conjuntos de datos están más expuestos al riesgo. Las percepciones se convierten en hechos, la confianza se erosiona aún más, y los programas de ciberseguridad acaban teniendo menos éxito del que podrían tener. Si la incidencia de las brechas ha sido ligera, por ejemplo, los líderes de negocio podrían tensar las riendas del presupuesto de ciberseguridad hasta que el CIO u otros líderes de ciberseuridad demuestren la necesidad de más inversiones en controles -quizá abriéndose a un ataque. Análogamente, si las amenazas se han documentado frecuentemente, los líderes de negocio podrían decir gastar más aún en nuevas tecnologías sin comprender que hay otros remedios, no técnicos, para mantener seguros los datos y otros activos de la empresa.

Video: Mitos de la ciberseguridad: ¿Qué es verdad y qué no?

Los ejecutivos pueden guardar los activos de negocio con más efectividad cuando reconocen cuatro falacias comunes sobre los programas de protección de datos.

Según nuestra experiencia, cuando hay más transparencia sobre los programas de ciberseguridad de las empresas, y confianza entre las distintas partes interesadas, las empresas cosechan importantes beneficios. Los negocios pueden tomar mejores decisiones sobre sus prioridades de seguridad y planes de respuesta, así como sobre la formación y las inversiones necesarias para contener a los atacantes. En este artículo exploramos cuatro mitos comunes sobre ciberseguridad en que los ejecutivos tienden a creer, y sugerimos acciones conjuntas que los ejecutivos de negocio y de TI pueden emprender para crear más transparencia y entendimiento a lo largo y ancho de la empresa sobre las tecnologías y procesos que son más efectivos para proteger la información crítica del negocio.

Separando los mitos de los hechos

Sobre la base de nuestro trabajo con empresas a través de diversos sectores y geografías, hemos observado que los líderes de negocio y de ciberseguridad caen bajo el influjo de cuatro mitos centrales cuando hablan de desarrollar programas de protección para los activos de la empresa.

Mito 1: Todos los activos de la organización deben protegerse del mismo modo

No todos los datos son creados con igual valor. Los datos de clientes asociados con un programa de tarjetas de crédito o un programa de tarjetas de lealtad de un minorista son de más valor que los números genéricos de facturas y los documentos de políticas que las empresas generan en su seno. Las empresas no tienen infinitos recursos para proteger todos los datos a cualquier coste, y a pesar de ello la mayoría despliegan estrategias de ciberseguridad de “talla única”. Cuando se enfrentan con una petición de más fondos para ciberseguridad de la organización de TI, los líderes del comité de dirección tienden a aprobarlos como en un acto reflejo (especialmente al albur de una reciente brecha de seguridad) sin una discusión más detallada sobre compromisos. Por ejemplo, ¿cuánto es gastar “demasiado” para proteger un conjunto crítico de datos respecto a otro? O si la empresa protege todos los sistemas orientados al exterior, ¿que tipo de oportunidades está dejando escapar al no incluir a los proveedores en el lote (usando planteamientos adecuados de políticas y gobernanza)? Sin duda, la mayoría de los ejecutivos de negocios con los que hemos hablado reconocen un punto ciego cuando se trata de comprender el retorno que obtienen de sus inversiones en seguridad y las soluciones de compromiso asociadas.

Según nuestra experiencia, una estrategia fuerte de ciberseguridad proporciona una protección diferenciada de los activos más importantes de la empresa, usando una colección segmentada de medidas de seguridad. Los líderes de negocio y de ciberseguridad deben trabajar juntos para identificar y proteger las “joyas de la corona” – esos activos corporativos que generan más valor para la empresa. Pueden inventariar y priorizar los activos y entonces determinar la fuerza de la protección de ciberseguridad requerida en cada nivel. Al introducir más transparencia en el proceso, el valor de negocio en peligro y las potenciales soluciones de compromiso que habrá que hacer sobre el coste serían entonces más obvias para todas las partes. Una empresa minera mundial, por ejemplo, se dio cuenta de que estaba concentrando muchísimos recursos en proteger los datos de producción y exploración, pero que había fracasado al separar la información propia de la que se podía reconstruir a partir de fuentes públicas. Después de reconocer el fallo, la empresa reasignó sus recursos de acuerdo con esto.

Mito 2: Cuanto más gastemos, más seguros estaremos

De acuerdo con nuestra investigación, no hay una correlación directa entre el gasto en ciberseguridad (como proporción del gasto total en TI) y el éxito del programa de ciberseguridad de una empresa. Algunas empresas que gastan bastante en ciberseguridad están de hecho desempeñando peor que el resto del mercado respecto al desarrollo de la resiliencia digital (1: Salvo indicación en contra, las estadísticas relativas a la composición y efectividad de los programas de ciberseguridad de las empresas aquí mencionados corresponden a la encuesta McKinsey de madurez frente a riesgos cibernéticos de 2015) (Diagrama 1). En parte, esto se debe a que esas empresas no estaban necesariamente protegiendo los activos correctos. Como mencionamos antes, las empresas suelen actuar, a falta de otro planteamiento, con un “café para todos” (protegiendo todos los activos en vez de sólo las joyas de la corona). Meter dinero en el problema puede parecer buena idea a corto plazo -especialmente cuando se produce una intrusión- pero no es probable que un enfoque ad hoc de la financiación sea efectivo a largo plazo. Los líderes de negocio y de ciberseguridad deben alcanzar un entendimiento compartida de los costes y el impacto y desarrollar una estrategia clara para la financiación de programas de ciberseguridad. Los equipos de negocio y ciberseguridad de un proveedor de servicios sanitarios, por ejemplo, podrían ponerse de acuerdo en que proteger los datos de los pacientes es la primera prioridad pero que los datos financieros también deben protegerse de forma que no se comprometan las relaciones con los socios y las negociaciones de los servicios. Podrían asignar los recursos de acuerdo con esto. Sin este entendimiento compartido, los líderes de negocio podrían resistirse cuando ocurra una brecha de datos y hayan aportado fondos para cambios significativos en la infraestructura de seguridad. La falta de transparencia y confianza entre el equipo directivo y la organización de TI sólo empeoraría.

Diagrama 1

Diapositiva1

Mito 3: Los hackers externos son la única amenaza para los activos corporativos

Es cierto que las amenazas de fuera de la empresa son una inmensa preocupación para los equipos de ciberseguridad, pero también hay amenazas significativas entre las paredes de la empresa. Las personas que están más cerca de los datos u otros activos de la empresa pueden también ser el eslabón débil del programa de ciberseguridad de una empresa – especialmente cuando comparten contraseñas o archivos en redes no protegidas, hacen clic en enlaces maliciosos enviados desde direcciones de correo desconocidos, o actúan de otros modos que abren las redes de la empresa ante un ataque. No en vano, las amenazas desde el interior de la empresa son la causa del 43 por ciento de las brechas de datos (2: Grand theft data, Intel Secutiry, mcafee.com)

Los líderes de negocio y de ciberseguridad deben por lo tanto colaborar en las formas de mejorar la cultura interna del riesgo. Deben educar a los empleados de todos los niveles sobre las realidades de los ciberataques y las mejores prácticas para evitarlos -por ejemplo, celebrando reuniones por ciudades, montando campañas de phishing, o escenificando presentaciones de juegos de guerra para familiarizar a los empleados con las amenazas potenciales y así elevar la concienciación. Muchas de estas actividades deberán ser dirigidas por el CIO, el director de seguridad u otros profesionales de la tecnologías encargados de los programas de ciberseguridad. Pero ninguna será fructífera si los líderes de negocio de la empresa no están completamente implicados en un dialogo con la función de ciberseguridad y si las compañías no construyen mecanismos explícitos para asegurar que el diálogo continúa a largo plazo. Los líderes de negocio a todos los niveles deben darse cuenta de que son realmente la primera línea de defensa contra las ciberamenazas y la ciberseguridad nunca es sólo la responsabilidad del departamento de TI.

Mito 4: Cuanto más avanzada sea nuestra tecnología, más seguros estaremos

Es cierto que los equipos de ciberseguridad usan a menudo tecnologías potentes, punteras, para proteger los datos y otros activos de la empresa. Pero también es verdad que muchas amenazas pueden mitigarse usando métodos menos avanzados. Después de todo, la mayoría de las empresas no están enfrentándose a hackers de nivel militar. De acuerdo con la investigación, más del 70 por ciento de los ciberataques gloables vienen de criminales con motivaciones financieras que usan tácticas técnicamente simples, como e-mails de phishing (3: 2017 Data breach investigations report, Verizon, 2017, verizonenterprise.com).

Cuando las empresas invierten en tecnologías avanzadas, pero no comprende cómo usarlas del mejor modo, o no pueden encontrar administradores adecuadamente formados para gestionarlas, acaban creando graves ineficiencias en el equipo de ciberseguridad, comprometiendo por lo tanto el programa de ciberseguridad en su conjunto.

Las compañías, deben, por supuesto, explorar las últimas y mejores teconologías, pero también es crítico que las empresas establezcan y mantengan buenos protocolos y prácticas de seguridad para complementar las tecnologías emergentes -por ejemplo, desarrollar un programa robusto de gestión de parches (4: La gestión de parches es el proceso estructurado de obtención, comprobación e instalación de los cambios de código en un sistema de ordenadores administrado) y deshacerse del software cuyos distribuidores no proporcionen más actualizaciones de seguridad. Este tipo de fundamento puede ayudar a las empresas a mitigar muchas de las mayores amenazar a las que podrían enfrentarse. Pensemos en el siguiente ejemplo: el 14 de marzo de 2017 se lanzó un parche que cubre las vulnerabilidades de las que podría abusar el gusano encriptado WannaCry – unos dos meses antes de que el ransomware se abriese camino en más de 230.000 ordenadores de más de 150 empresas.

Mejor que perpetuar los mitos, los líderes de negocio y ciberseguridad deberían concentrarse en tener puentes sobre las grietas de confianza que existen entre ellos. Creemos que la mayoría de las empresas pueden hacer eso cuando los líderes de tecnología y negocio entrenan juntos su atención sobre los dos problemas principales del control: ¿Cómo gestionar las soluciones de compromisos asociadas a la ciberseguridad? y ¿cómo dialogar con más efectividad sobre los problemas y protocolos de ciberseguridad?

¿Cómo gestionamos las soluciones de compromiso?

Los profesionales de tecnología tienen que jugar un papel en reeducar al comité de dirección sobre las mejores prácticas en gastos de ciberseguridad -específicamente ilustrando por qué un enfoque segmentado de la ciberseguridad puede ser más efectivo que el “café para todos”. El presupuesto no puede crecer y menguar en función de que la compañía haya sufrido o no una intrusión reciente en sus sistemas. La ciberseguridad debe considerarse una inversión permanente, y las asignaciones deberían priorizarse sobre la base de la revisión del portafolio completo de iniciativas en curso. Los profesionales de negocio y tecnología deben trabajar juntos para gestionar las soluciones de compromiso asociadas a la ciberseguridad.

Al discutir en qué iniciativas invertir y en cuáles dejar de hacerlo, los profesionales del negocio y la tecnología pueden usar un modelo de categorización de riesgos con cuatro niveles de amenaza, desde mínima a grave. El equipo de ciberseguridad puede entonces implicar al comité de dirección en discusiones sobre los activos de datos más importantes asociados con cada parte de la cadena de valor del negocio, los sistemas en que residen, los controles que se aplican y las soluciones de compromiso asociadas con proteger los activos de mayor frente a los de menor prioridad.

A un nivel más amplio, los profesionales de la tecnología pueden ayudar al comité de dirección a crear bancos de intercomparación para los gastos plurianuales y transversales a la empresa en iniciativas de ciberseguridad que puedan revisarse con regularidad -por ejemplo, el gasto en ciberseguridad como porcentaje de los gastos totales en TI. El CIO y su equipo podrían crear un índice de gastos de inversión para las inversiones en seguridad para ayudar al comité de dirección a justificar los costes por pérdidas ajustadas al riesgo o los costes por porcentaje de infraestructura protegida. O los profesionales de tecnología y negocio podrían desarrollar conjuntamente una fórmula para cuantificar los beneficios de mejorar el programa de ciberseguridad. De este modo, pueden tomar decisiones claras sobre qué herramientas comprar y añadir a la arquitectura de ciberseguridad existente, qué sistemas actualizar y cuáles retirar.

Independientemente de las métricas utilizadas, es importante tener un proceso formal y exhaustivo de aprobación para la planificación y seguimiento de los gastos de inversión asociados a la ciberseguridad. Deben marcarse prioridades desde un punto de vista de negocio mas que desde uno de sistemas. Los CIOs y los directores de seguridad deben colaborar con el negocio para identicar esos activos con el potencial de generar la mayor cantidad de valor apra el negocio y desarrollar una hoja de ruta de cibsereguridad en consencuencia. La hoja de ruta ilustraría la distribución de “joyas de la corona” a lo largo y ancho de la organización y las mayores áreas de exposición. Trazaría los controles actuales y la secuencia para lanzar nuevas iniciativas de seguridad, a dos o tres años vista. Por supuesto, los ejecutivos de negocio y tecnología deberían revisar estos planes trimestral o anualmente para garantizar que siguen siendo relevantes dados los cambios en el entorno. La hoja de ruta también definiría roles y responsabilidades, así como los mecanismos por los que el comité de dirección y los líderes de la función de ciberseguridad podrían supervisar el avance respecto a lo planeado y revisarlo consecuentemente.

¿Cómo hablamos de ciberseguridad?

La comunicación pobre es la causa de mucha de la falta de confianza entre los líderes de negocio y los miembros de la función de ciberseguridad. Nuestra investigación indica que en la mayoría de las empresas, los profesionales de la ciberseguridad están al menos a dos niveles del CEO en la jerarquía corporativa, con pocas oportunidades de discutir directamente cuestiones y prioridades de protección (Diagrama 2). Es más, en cerca de la mitad de las empresas que estudiamos, había entre poca y ninguna documentación formal compartida por la función ciber con la directiva sobre el estado de sus sistemas defensivos; muchas empresas se apoyaban en correos electrónicos ocasionales, memoranda y notas (Diagrama 3).

Diagrama 2

Diapositiva2.PNG

Diagrama 3

Diapositiva3.PNG

 

Y aún más, cuando los profesionales de negocio y tecnología se reúnen en la misma sala, la ciberseguridad se suele discutir usando un lenguaje altamente tecnificado -por ejemplo, “Ya tenemos medidas para cubrir todas las CVE, sin embargo el APT es algo que debemos mantener vigilado. Con nuestra actual infraestructura SVM y SIEM, no hay forma de defendernos de esos ataques avanzados”(5: CVE – Vulnerabilidades y Exposiciones Comunes, APT: Amenaza Persistente Avanzada, SVM: Gestión de la Seguridad y la Vulnerabilidad, SIEM: Gestión de la información y eventos de seguridad). A pesar de la jerga, los profesionales de la tecnología y el negocio presentes en la sala entienden todos lo crítico que es construir un programa de ciberseguridad robusto dados los efectos potenciales en el resultado final si los activos de la empresa se ponen en peligro. Pero cada bando está típicamente oyendo sólo la mitad de la historia.

En vez de informar de que “se remediaron 10 vulnerabilidades”, por ejemplo, los profesionales de tecnología pueden usar ayudas visuales y lenguaje orientado a resultados para ayudar a los líderes de negocio a entender las amenazas potenciales de seguridad y las formas de contrarrestarlas. Una actualización del estado de cosas podría formularse mejor de la forma siguiente: “Nuestro equipo de ciberseguridad ha parcheado el agujero de seguridad en nuestro sistema de gestión de relaciones con los clientes que podría haber dado acceso a los hackers a millones de paquetes de datos de nuestros clientes minoristas, creando un daño financiero de 100 millones de dólares”. Los profesionales de ciberseguridad podrían también trazar u comunicar claramente los niveles de acceso al sistema para usuarios autorizados y no autorizados – un administrador de bases de datos tendrían privilegios mayores que los empleados de primera línea, por ejemplo.

Encontrar un vocabulario común es importante no sólo para asegurar una comunicación clara entre la directiva y la función de ciberseguridad sino también para elevar la concienciación sobre las potenciales ciberamenazas y los riesgos entre los empleados de toda la empresa. Los miembros de la función de ciberseguridad deberían programar reuniones frecuentes, regulares con la plantilla de todos los niveles para educarles sobre temas relevantes de ciberseguridad – cómo reconocer un email de phishing, por ejemplo – y para mostrar las capacidades de seguridad de la empresa. El equipo de ciberseguridad de una firma de tecnología realiza “giras” para demostrar qué sistemas están siendo examinados y cómo se están supervisando. Un minorista en línea, mientras tanto, incluye detalles sobre sus esfuerzos en ciberseguridad en informes financieros existentes previamente – por ejemplo, informando sobre su desarrollo de un escáner antimalware para proteger la integridad de su motor de recomendación, que ayuda a dirigir publicidad. Hace esto para ilustrar que la ciberseguridad es parte del proceso de negocio y puede ayudar a atraer ingresos.

Estas discusiones deberían tener lugar sin importar que la empresa esté ante una amenaza inminente o no. El equipo de ciberseguridad de una empresa que observamos compartía con la alta dirección un simple desglose de un evento típico de seguridad (infografía). El equipo quería dar a los miembros de la directiva una visión general paso a paso de lo que ocurriría en un ataque típico – no sólo para probar la efectividad de las capacidades de seguridad de la empresa sino también para familiarizar a las personas con las amenazas potenciales para que puedan reconocerlas cuando encuentren desviaciones respecto a la norma.

El pase de diapositivas requiere JavaScript.

Como mencionamos anteriormente, los líderes de tecnología podrían tener que liderar la carga en forjar comunicaciones directas, crear transparencia de costes, e identificando las prioridades del negocio. Pero las tareas sugeridas requerirán experiencia en comunicación a nivel de alta dirección, presupuestación y planificación estratégica -habilidades que podrían estar más allá del alcance de los miembros del equipo de ciberseguridad. Para alcanzar la velocidad de crucero con más rapidez, los líderes ciber podrían querer pedir ayuda a otros con experiencia relevante -por ejemplo, distribuidores y socios  que puedan compartir mejores prácticas. En el espíritu del desarrollo ágil, los equipos de ciberseguridad podrían también emprender estas actividades en modo “lanzamiento-revisión-ajuste”. Podrían actualizar los perfiles de amenazas y riesgos en sprints de entre uno y seis meses, asegurando de este modo que puedan responder a las más recientes tendencias y tecnologías.

No nos equivoquemos, el momento para fomentar una mayor transparencia sobre la ciberseguridad es ahora. Los accionistas deben tener confianza en la directiva y su capacidad para manejar brechas de seguridad sin afectar dramáticamente a la cotización e imagen de marca de la empresa. La directiva debe poder confiar en la afirmación del director de seguridad de información sobre que cada céntimo invertido en mejorar la seguridad o la infraestructura de TI merece la pena. La empresa debe confiar en que los distribuidores pueden proteger adecuadamente los datos compartidos o asegurar la estabilidad del servicio si ocurren brechas. Y, por supuesto, los clientes deben poder confiar en que sus datos personales se salvaguardan cuidadosamente tras los muros de la empresa.

La directiva y la función de ciberseguridad ya no pueden hablarse sin entenderse; la seguridad debe ser una responsabilidad compartida a través de las unidades de negocio. Debe incrustarse en diversos procesos de negocio, con el objetivo superior de construir una cultura de la resiliencia. Las empresas que dan pasos ahora para construir más confianza entre el negocio y la TI lo tendrán más fácil para promover un entorno resiliente y sobrellevar las ciberamenazas a largo plazo.