EXalli

Tablero de Control

felipeglezEl lunes 31 de enero fue el evento de presentación de una nueva asociación civil llamada Observatel. Como su nombre lo sugiere, se trata de un grupo creado con la intención de fungir como espacio de análisis de la industria mexicana de telecomunicaciones, la cual desde hace años –es decir, desde siempre– se encuentra inmersa en un contexto de interminables problemas y de disputas regulatorias y políticas que estancan su desarrollo y exasperan a todos los involucrados.

Y es precisamente eso: la exasperación, lo que motivó el surgimiento de ese grupo.

Lo más destacable del mencionado evento de lanzamiento fue el poder de convocatoria mostrado: asistieron los presidentes de la Cofetel y de la CFC: Mony De Swaan y Eduardo Perez Motta, respectivamente; los presidentes de las comisiones de Comunicaciones y de Radio, Televisión y Cinematografía en las cámaras de senadores y de diputados; el presidente de la Canieti, Santiago Gutierrez; los representantes de las asociaciones de consumidores Al Consumidor y Amedi, y el presidente de la Corporación Universitaria para el Desarrollo de Internet (CUDI), Carlos Casasus –quien, por cierto, fue el primer presidente de la Cofetel, lo cual significa que a él le toco poner en marcha dicho organismo, allá en el lejano 1996.

A este presidium sumémosle que en el público estaban muchas de las figuras que hoy encabezan los debates más relevantes del sector (prensa, comisionados de Cofetel, académicos, consultores -es decir, la grilla en pleno), y queda claro que el surgimiento de Observatel fue todo un suceso. (Ah, y se me olvidaba: el moderador fue nada menos que Ricardo Raphael, uno de los analistas políticos más notables hoy en día en México.)

Quiénes conforman el grupo

El grupo nace con el objetivo expreso de fungir como ojo de observación ciudadana a lo que sucede en la industria mexicana de telecomunicaciones. Para ello, en esta primera fase su principal aval radicará en la autoridad moral de su Consejo Directivo. A saber:

Irene Levy. Impulsora y creadora del grupo, es una abogada especializada en telecomunicaciones, columnista del periódico El Universal y profesora en la Ibero.

Salma Jalife. Formó parte del puñado de personas que fundaron la Cofetel, donde tuvo a su cargo el área de asuntos internacionales; en fechas recientes se ha dedicado a actividades de consultoría, apoyando, entre otros, a organismos reguladores de algunos países sudamericanos.

Gabriel Platas. Analista y periodista especializado en medios de comunicación y la industria de telecomunicaciones, es profesor en la UAM-Xochimilco y columnista del periódico El Universal.

Ramiro Tovar. Consultor en regulación y competencia económica, con mucho énfasis en el sector de telecomunicaciones, es profesor del ITAM, así como asesor de la oficina de rectoría en dicha universidad.

William Hiarmes. Productor y conductor de radio. Responsable de la imagen de los servicios informativos ‘La Red de Radio Red’ y catedrático universitario desde hace 14 años en diferentes instituciones, es miembro del Comité de Creatividad de la Asociación de Radiodifusores del Valle de México.

En lo que respecta a su misión concreta, los puntos principales son:

1. Observar los acontecimientos vinculados con el sector y aportar nuestra propuesta de dirección y rumbo.

2. Reducción y eliminación de la brecha digital.

3. Propiciar que la transparencia sea un eje rector de las autoridades.

4. Incidir en la definición de las políticas públicas del sector desde una perspectiva técnica.

5. Tender puentes entre sociedad, autoridades, industria y usuarios, a través de foros de discusión, proyectos, cursos y estudios.

6. Ser un punto de encuentro para los distintos actores.

7. Traducir las telecomunicaciones con planteamientos “amigables” para acercarlos a todos.

8. Vincular los temas del sector con el interés público.

En ese sentido, Irene Levy ha expresado su interés en incorporar al grupo a los principales centros de discusión, como sería el Consejo de Cofetel –como representantes ciudadanos– y órganos similares.

El reto: mantener la ecuanimidad

Yo en lo personal aplaudo cualquier acción que haga de México un país más democrático y ordenado, y no me queda duda de que este grupo es un paso en esa dirección. Precisamente por ello, no quiero despedirme sin abordar un último punto: el reto de ser objetivos.

Con el tiempo, y a medida que ganan visibilidad e influencia, grupos como este corren el riesgo de distorsionar su agenda. Ya sea por presiones externas o por la simple tentación del poder, los organismos de vigilancia a veces se convierten en voceros (o incluso gestores) de criticas 'de oficio' que, lo sabemos, con frecuencia tienen más víscera que análisis informado; o, peor aún, actúan a favor de intereses de los grupos de poder.

Observatel deberá evitar esas tentaciones y comprometerse a que sus opiniones –y sus batallas, que sin duda las habrá– estén siempre sujetas al rigor de criterios técnicos y legales, y guiadas por las normas éticas que estoy seguro hoy los animan.

Hasta ahora, viendo sus participaciones en prensa y en las discusiones públicas en temas de interés de la industria, podemos decir que su actuación ha sido impecable. Que siga así, y bienvenido sea, pues, Observatel.

Visita su página www.observatel.org y síguelos en Twitter: @observatel @soyirenelevy @salmajalife @telecomymedios @tovarlibertario

(© esdrújula.net, 18/feb/2011)

felipeglezComo hemos visto en las entregas anteriores, el manejo de cuentas de usuario para entrar a los sistemas informáticos proporciona tres certezas a una organización: productividad (cada empleado puede hacer todo lo que le corresponde), seguridad (que no hagan ni vean lo que no deben) y trazabilidad (saber quién hizo qué, cuándo y desde dónde).

Y, ya conociendo los riesgos que tu empresa corre si hay un descontrol al respecto, ahora veremos algunas políticas que puedes establecer para estar cierto de que cada empleado tiene una cuenta bien configurada, y que sólo él la usará.

Concientiza al personal. Antes que cualquier otra cosa, lo primero que tienes que hacer es asegurarte de que todo tu personal sepa que no debe nunca usar cuentas ajenas, ni dejar que otros usen la suya. Dilo cuando contrates gente; repítelo muchas veces y con mucha claridad, y así al menos habrás eliminado los malos usos ocasionados por ignorancia o distracción.

Que lo firmen. En realidad, ésta debería ser una práctica generalizada para todos los aspectos de seguridad de la información (y de confidencialidad dentro de las empresas). Cada vez que contrates a alguien, en el proceso de inducción pon por escrito las reglas para protección de usuario+contraseña, y haz que firme un documento de conocimiento y aceptación de las mismas.

Inclúyelo en la definición de puestos. Ya sea como un anexo a tus definiciones de puestos, o como documentación independiente a cargo del área de Sistemas, asegúrate de que esté bien definido y por escrito, cuáles son los servicios para los que cada puesto necesita una cuenta (acceso a la red, software administrativo, de producción, correo-e...), y con qué privilegios. Así evitarás una de las causas de error más comunes que hay en una organización: que algún técnico sobre la marcha decida sobre aspectos en los que no caben los criterios personales.

Define un procedimiento de baja. Así como debes establecer con claridad qué se debe hacer cuando llega un nuevo empleado, también es necesario definir cómo se procederá al respecto cuando alguien se va: básicamente, asegurarse de que todos sus servicios quedarán deshabitados (o re-dirigidos, como sería en el caso del correo-e). Este procedimiento de baja, por cierto, tendría que estar ligado al registro de cuentas que a continuación describo.

Mantén un registro. Puede ser en papel, en Excel o en la intranet de la empresa. Lo importante es que en algún lugar esté apuntado en forma clara e inequívoca, los servicios que cada empleado tiene asignados, con qué privilegios, y las anotaciones pertinentes para cada caso. Y si lo haces en forma de bitácora –es decir, registrando los cambios a lo largo de tiempo–, será mejor aún.

Haz revisiones sorpresa. En una cultura como la nuestra, que poco valora el rigor en los procesos y el cumplimiento de las reglas, es especialmente recomendable establecer métodos de vigilancia y coerción. Ya sea que lo hagas tú mismo o con el apoyo de algún tercero de confianza, de vez en cuando... a) Pide que te muestren el registro de cuentas y cotéjalo con la lista de todos los empleados, cerciorándote de que no sobre ni falte nadie... b) Toma algunos empleados al azar y verifica que sus servicios asignados en el registro sean los que les corresponden en su definición de puestos... c) Ingresa al control de usuarios en los sistemas en sí, y verifica que su configuración en los hechos coincida con lo que está anotado en el registro.

felipecolumna

Como se puede ver en el diagrama, que las cuentas de usuarios se utilicen y se administren en forma adecuada, no es un asunto exclusivo del Departamento de Sistemas: es necesario contar con la participación del Área Administrativo, y la Dirección General hará bien en hacer sus propias revisiones para evitar sustos y sembrar un ambiente de disciplina.

Por supuesto que podemos expandir y profundizar mucho esta lista; pero como guía general está bastante completa, y puedes tener la certeza de que minimizará el descontrol en las cuentas de usuario. Y ya con el riesgo de errores prácticamente eliminado, en cualquier situación de mal uso casi tendrás la certeza de que hay una dosis de mala fe.

(© esdrújula.net, 20/dic/2010)

* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.net

felipeglezLa pasada entrega hablé sobre la relación y las diferencias que existen entre un empleado de una compañía y su cuenta de usuario en los sistemas informáticos.

Tras destacar la importancia de que cada cuenta esté configurada rigurosamente de acuerdo con la definición de puesto del empleado, decía yo que cualquier omisión en ese sentido debe ser vista como una afectación a la seguridad de los sistemas -y sobre todo, de la información de la empresa.

Pues bien, hoy retomo el tema de la seguridad de la información.

El concepto de las cuentas de usuario obedece principalmente, ya lo hemos visto, a la necesidad de que cada empleado pueda desempeñar adecuadamente su trabajo –y a la vez, evitar que haga y vea cosas que no le correspondan.

Pero esa es sólo una parte del asunto. Manejar cuentas de usuario tiene una consecuencia adicional, que es la posibilidad de rastrear quién hizo qué. Si un sistema está bien hecho, lo esperable es que lleve un registro de todo lo que en él se lleve a cabo. En los programas administrativos o contables, por ejemplo, cada vez que se captura una póliza, se hace una salida de almacén, se da de alta un cliente o se lleva a cabo cualquier otra acción, quedará constancia del usuario que lo hizo y en qué momento fue.

Por todo lo anterior, así como es riesgoso que a un empleado se le otorguen privilegios excedidos, también lo es –y en mucho mayor medida– que alguien use una cuenta que no sea suya. Desgraciadamente es algo que sucede con más frecuencia  de lo que debería, y se da varias maneras, todas ellas indeseables.

Veamos:
Compartir una cuenta: cuando una misma clave y contraseña es utilizada por varios empleados. Esto suele darse con la 'complicidad' del área de sistemas, pues sólo se explica en situaciones donde alguno o varios de los involucrados no tenga su propia cuenta, y sería difícil que eso sucediera sin que el personal de sistemas se dé cuenta. Que haya cuentas compartidas es, pues, muestra de excesiva laxitud –y por ende, de inconsciencia por parte de los ingenieros a cargo.

Prestar una cuenta: cuando un empleado permite que otro ingrese al sistema con su cuenta de usuario. Esto puede darse en versión ‘controlada’ (el usuario teclea su propia contraseña) o ‘excedida’ (el préstamo incluye revelarle la contraseña). En el primer caso, la ocasión de hacer daños con nombre ajeno es limitada (mientras dure esa sesión); pero si el ‘invitado’ conoce la contraseña, queda abierta para que regrese en cualquier momento ya sea a husmear información que no le compete o a realizar actividades para las que no tiene autorización.

Obviamente, esta práctica es difícil de ser detectada por el área de sistemas. Por tanto, en vez de idear formas de corregirlas, lo procedente es de inicio evitar que se lleven a cabo.

Estos préstamos generalmente no se hacen por mala fe, sino por alguna necesidad de los involucrados (alguien necesita hacer algo y no tiene los privilegios correspondientes; ausencia laboral de alguien, etcétera). Para estas circunstancias, debe existir un procedimiento de asignación de privilegios en forma temporal, y los empleados tienen que saberlo.

1012-fgc-2-1Invadir una cuenta: utilizar un usuario ajeno sin conocimiento del interesado. Es una práctica de mala fe, y ello la vuelve la más delicada e incluso amenazante. Los préstamos con contraseña incluida (arriba descritos) dan pie a que el usuario 'invitado' en algún momento abuse del 'favor' y se conecte a escondidas. Lo peor es cuando un empleado 'roba' la contraseña de otro: sobra decir la seriedad del asunto, que evidentemente lleva intenciones ilícitas –y consecuencias legales.

La otra forma que se me ocurre para usar un usuario que no es el propio, son las cuentas olvidadas: de personal que ya no labora en la empresa, pero que por alguna razón su usuario no fue dado de baja. Pero estos casos sólo afectan la seguridad, en la  medida en que involucren cualquiera de las situaciones descritas antes.

Da igual en qué modalidad se dé el descontrol en las claves de usuario. Sea cual sea el caso, si hay cualquier duda o problema con la información y los datos, será imposible deslindar responsabilidades.

La próxima vez veremos algunas formas de impedir estas situaciones.

(© esdrújula.net, 7/dic/2010)

* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.net

felipeglezUna de las frases más típicas para convencer a alguien de que se le dará un buen servicio es la promesa de que "no será un simple número de cliente" o algo por el estilo.

Lo siento; pero en el caso de los sistemas de información, las cosas no funcionan así. Para que las cosas sucedan óptimamente, cada empleado de la empresa ante los ojos de los sistemas no es sino ‘una cuenta’.

Aclaro: al decir "los ojos de los sistemas" no me refiero al área de Sistemas, sino a los recursos informáticos en sí. (Sí, ya sé que ni los aparatos ni los programas tienen ojos, pero la verdad es que no se me ocurrió mejor manera de ilustrar mi idea).

En fin; decía yo que los sistemas no conocen empleados, sino cuentas. Tal vez el encargado del almacén se llame ‘Juan Pérez’; pero para el sistema administrativo se tratará de ‘jperez’, ‘almacen1’, ‘jp2745’ o algo por el estilo. Dicha cuenta deberá ser creada cuando Juan se integre a la empresa, y habrán de incluirle todos los privilegios y restricciones que le correspondan a su definición de puesto.

Esta distinción entre la persona (Juan Pérez) y la cuenta (jperez) suena obvia y trivial, pero no lo es tanto.

Nuestro amigo Juan, encargado de almacén, tiene derechos para consultar existencias de productos, ingresar altas, bajas y cambios, programar entregas, etcétera; y, obviamente, hay un sinfín de cosas que no debe hacer. A jperez, en consecuencia, el área de Sistemas le asignó los privilegios para hacer en el sistema precisamente las actividades corresponden, ni más ni menos.

¿Qué consecuencias tiene esto?

La configuración de una cuenta define puntualmente lo que el usuario puede o no hacer. Un privilegio faltante es un problema, pues obstaculiza que la persona haga su trabajo; pero eso normalmente se resuelve pronto, pues el propio empleado se encargará de hacerlo notar. El problema es cuando se otorgan privilegios de más o restricciones de menos: una configuración excedida es mucho más difícil de ser detectada –el empleado no tiene incentivos para reportarla– y debe, sin excepción alguna, ser considerada como una inseguridad del sistema.

Pensemos que, por error, el personal de Sistemas le otorga a jperez privilegios para ver la nómina de la empresa. Eso sería una afectación a la confidencialidad, y las consecuencias podrían ser odiosas; pero si la omisión va en el sentido de que pueda borrar registros contables o enviar archivos de ventas por correo, la cosa se vuelve de verdadero riesgo.

Y aquí volvemos a nuestro tema inicial: la diferencia entre el empleado y su cuenta.

¿La Dirección le daría a Juan Pérez permiso para, digamos, ver la nómina de la empresa? ¡Jamás! Pero esa no es más que la expresión de una preferencia, y en los hechos no le amarra las manos a nadie; lo que sí es determinante es la forma en que el Departamento de Sistemas haya configurado la cuenta jperez.

En otras palabras: una cosa es lo que se supone que Juan puede hacer, y otra muy distinta es lo que jperez en los hechos puede hacer.

Por eso digo que el área de Sistemas no tiene que pensar en personas, sino en cuentas. Y, en consecuencia, es importantísimo que el manejo de las cuentas -creación, asignación de privilegios, baja...- se lleve de manera ordenada y rigurosa.

La próxima vez abordaré algunos aspectos claves para mantener el asunto bajo control.

 

(© esdrújula.net, 29/nov/2010)

 


 

* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.net
Consultor y analista de las industrias de TI y telecomunicaciones. Fue editor del periódico NET@ de redes y telecoms, y ha colaborado en diversas publicaciones de la industria. Ha sido encargado y asesor de sistemas en empresas mexicanas, y participó en la coordinación de un proyecto de desarrollo de software para el sector salud. Actualmente colabora en el proyecto esdrujula.net, orientado a la generación de contenidos digitales. Desde 1998 forma parte del Consejo Consultivo de ExpoComm / B3 Forum México

 

felipeglezSi hay en las empresas alguien que necesita entender a profundidad todos los detalles de la misma, es el director de Sistemas.

No importa si se llama ‘director’ o ‘gerente’ o si lleva un título más rimbombante como ‘CIO’ o el mucho más modesto 'encargado'. Sea cual sea el caso, a la persona que tiene bajo su responsabilidad los sistemas informáticos de una empresa más le vale conocer cómo son los procesos a todo lo largo de la organización, pues su labor lo obliga a estar fuertemente involucrado en el control y la habilitación de los mismos. (O al menos debería ser así; pues si al encargado de los sistemas no se le involucra en los aspectos operativos, comerciales, financieros y demás, es muy probable que estemos hablando de una empresa que: a) No entiende que los datos y el flujo de información son indispensables para poder funcionar de manera eficaz, y/o b) Está en una posición vulnerable en aspectos como competitividad, calidad y prevención de pérdidas.)

Al decir que el director de Sistemas debería involucrase en el control de esos aspectos, me refiero a una situación mínima. Porque lo deseable es que su papel vaya mucho más allá, y tenga un rol activo en la definición de procesos, procedimientos y, óptimamente, en la generación de información que guíe la toma de decisiones.

Así, el reto del líder de Sistemas es muy claro: en vez de concebirse como un técnico que mantiene la infraestructura funcionando, debe es actuar como un estratega cuya visión marque caminos de excelencia para la organización.

graftrablero

Y es que, aunque la Dirección y las distintas Gerencias de las empresas seguramente conocen muy bien sus metas y sus requerimientos, lo más probable es que no tengan tanta claridad en cuanto a lo que las tecnologías existentes pueden hacer por ellos. Y si no hay alguien que aporte esa visión, la empresa se perderá de herramientas que le podrían ser de gran ayuda.

Algunos ejemplos:

Cualquier director de Ventas sabe que los sistemas de cómputo pueden apoyarlo con un estatus actualizado de lo que un cliente le debe, los inventarios disponibles y en consignación, etcétera. Pero seguramente no sabe si se puede tener un reporte de morosidad según la línea de productos adquiridos, o si en forma automática se pueden habilitar o deshabilitar distintos medios de pago, dependiendo del historial y las características de cada cliente.

En forma análoga, al director de Marketing le ayudaría saber qué tan posible es enlazar las bases de datos -clientes, cobranza, ventas...- para generar distintas campañas de correo acordes con el historial de cada cliente; los jefes de Piso difícilmente pedirán que en las áreas de trabajo haya tableros de control donde los distintos grupos puedan ver cómo van sus indicadores claves de desempeño; y a la propia Dirección no le vendría mal conocer las maravillas que hoy existen en materia de inteligencia de negocios y soporte de decisiones.

En siguientes entregas revisaremos distintas maneras en que un director de sistemas puede aportar valor a su empresa, mucho más allá de lo estrictamente técnico.

¡Suerte!

(© esdrujula, 21/nov/2010)

* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.com.mx