Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto

ElevenPaths    7 agosto, 2020

Base de datos de más de 900 servidores empresariales Pulse Secure VPN

Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con información recopilada sobre más de 900 servidores empresariales Pulse Secure VPN. El medio digital zdnet.com ha conseguido obtener y analizar la información, entre la que se incluyen: direcciones IP de los servidores Pulse Secure VPN, versión del firmware y claves ssh de los servidores, lista de usuarios y hashes de contraseñas, entre otros. La información parece haberse obtenido entre el 24 de junio y el 8 de julio de 2020.

Desde la cuenta de Twitter de Bank Security afirman que, tras analizar la información obtenida, todos los servidores Pulse Secure VPN incluidos en la lista ejecutaban una versión de firmware vulnerable a la vulnerabilidad CVE-2019-11510. Debido a ello, se estima que el agente amenaza que ha recopilado esta información podría haber utilizado un exploit para dicha vulnerabilidad y, una vez obtenido acceso a estos sistemas, ha extraído la información para crear este repositorio.

Más información: https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/

Ejecución remota de código en Microsoft Teams

El investigador Reegun Jayapaul de Trustwave ha publicado un análisis sobre Microsoft Teams en el que afirma que la aplicación sería vulnerable a ataques de ejecución remota de código. El incremento del uso de las aplicaciones de videoconferencia como ayuda en el teletrabajo durante la crisis sanitaria, ha derivado en que los agentes amenaza hayan puesto foco en este tipo de herramientas, y en este sentido, Microsoft Teams ha sido uno de los recursos más utilizados.

En 2019, este software publicó un parche que eliminaba la posibilidad de que un atacante pudiera usar el volumen de actualizaciones del software para incluir cargas maliciosas, dada la capacidad de actualizar a través de una URL. Sin embargo, tal como resalta el investigador, esta no era una solución completa puesto que se permiten conexiones locales a través de un recurso compartido. La prueba de concepto para demostrar este hecho pasa por utilizar un recurso compartido remoto de SMB, creando un servidor Samba con acceso remoto público y nombrando la carga maliciosa como Squirrel, gestor de instalación y actualizaciones de Teams. Para la mitigación de esta amenaza, se recomienda analizar ejecutables con el nombre de Squirrel.exe e investigar las posibles conexiones salientes de SMB.

Noticia completa: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/

Nueva vulnerabilidad en TeamViewer

El investigador de seguridad Jeffrey Hofmann ha descubierto una nueva vulnerabilidad en la plataforma TeamViewer de Windows codificada con CVE-2020-13699 y con un CVSS v3 de 8.8. Esta herramienta es utilizada para la conexión en remoto tanto a equipos informáticos como a dispositivos móviles. La vulnerabilidad descubierta implica que versiones vulnerables de TeamViewer no ejecutan correctamente los controladores URI, lo que podría llevar a agentes amenaza explotar este fallo mediante la inclusión de un iframe malicioso en un dominio web creado con fines para realizar un ataque.

La explotación de esta vulnerabilidad se puede iniciar de forma remota y no requiere autenticación previa, por lo que se considera susceptible de sufrir ataques denominados como “watering hole”. Hasta el momento, no hay indicios de que esta vulnerabilidad esté siendo explotada, ni tampoco que se encuentre disponible ningún exploit. Desde la compañía han lanzado una nueva actualización, que recomiendan aplicar (15.8.3) para corregir este fallo de seguridad que afecta a versiones previas de TeamViewer.

Todos los detalles en: https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/m-p/99129

Nuevas técnicas de ataques de temporización

Un grupo de investigadores ha descubierto una nueva técnica para los ataques de canal lateral basados en temporización que los hace más efectivos. Un ataque de este tipo se basa principalmente en las variaciones de tiempo de transmisión de la red, lo cual depende de la congestión de esta. La nueva técnica, llamada TTA (Timeless Timing Attacks) hace uso de la multiplexación que ofrecen los protocolos de red y la ejecución concurrente de las aplicaciones para analizar el orden de respuestas y dejan de depender de la sincronización, y por lo tanto, de los tiempos de transmisión de la red. Esto se permite solamente en aquellos protocolos con HTTP/2, incluidos los servicios web que admiten HTTPS.

Adicionalmente, los investigadores afirman que este nuevo método podría ser implementado contra servicios de Tor, usándose esta técnica también en servicios web con HTTP/1.1, permitiendo a un agente amenaza crear dos conexiones a un nodo de esta red y enviar solicitudes simultáneas desde ambas para medir la diferencia de tiempo.

Más información: https://thehackernews.com/2020/07/http2-timing-side-channel-attacks.html

Expuestos 20GB de documentos internos de Intel

La compañía tecnológica Intel se encuentra investigando una brecha de seguridad, después de que un total de 20GB de documentos internos fueran expuestos en MEGA. La compañía ha confirmado la autenticidad de los documentos, algunos catalogados como “restringidos” o “confidenciales”, si bien cabe destacar que entre estos no se encuentran datos confidenciales de clientes o empleados. El responsable del robo envió estos archivos a Till Kottmann, responsable de un canal de Telegram que publica datos filtrados accidentalmente de empresas tecnológicas, quien subió a MEGA una parte de estos archivos.

Por el momento Intel sospecha que el robo se produjo por una persona con acceso a su Centro de Recursos y Diseño, donde proporcionan documentos técnicos no públicos a sus socios comerciales, y no de un acceso no autorizado. Si bien, el responsable del robo afirmó a Till Kottmann que estos datos fueron obtenidos mediante el acceso a un servidor no seguro alojado en el CDN de Akamai.

Toda la información en: https://www.zdnet.com/google-amp/article/intel-investigating-breach-after-20gb-of-internal-documents-leak-online/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Gastos de envío gratuitos: ¿son una buena opción para tu tienda online?

Edith Gómez    7 agosto, 2020

En ocasiones, justo cuando el cliente va a hacer clic para comprar y finalizar su compra, se encuentra con unos gastos inesperados, de los que no ha sido informado previamente. Esto suele hacerle desconfiar de la página web en la que está, por lo que deja abandonado el carrito y se marcha a otro sitio.

¿Qué crees que pasaría si, en lugar de ocultarle información, le dijeras desde el principio, cuál es el coste del envío del producto? Sin duda, la transparencia es clave para aumentar la confianza con tus clientes. Y esto en gran medida depende de tu honestidad.

Pero aún hay algo más que puedes hacer para optimizar tus ventas y reactivar esa confianza. Se trata de estimular en la mente del consumidor las ganas de comprar, con un cartel grande y visible, donde el usuario lea “Gastos de envío gratuitos”.

¿Cómo influyen los gastos de envío gratuitos en el consumidor?

La palabra “gratis”, desde el punto de vista del neuromarketing, genera en el usuario una percepción positiva, que incluso puede condicionar sus compras.

Por eso, el factor de los gastos de envíos gratuitos ha supuesto para muchos dueños de tiendas online una estrategia de marketing efectiva.

Pongamos un ejemplo. En la parte final del proceso de compra, al cliente le aparece en pantalla un mensaje que indica que para cubrir los gastos de envíos gratuitos tendrá que gastarse al menos 15 € más. El cliente podrá decidir entre:

  1. Buscar otro producto con valor superior a 15 € y así ahorrarse los gastos de envío.
  2. Hacer la compra y pagar el extra del gasto de envío.
  3. Irse del sitio web porque se siente engañado.

Según diversos estudios, las ventas disminuyen cuando el ecommerce oculta el importe de los gastos de envío en el inicio del proceso de compra. Por eso, te aconsejo que aclares esta información desde que el cliente entra a tu sitio web.

Razones por las que debes ofrecer gastos de envíos gratuitos

Los gastos de envío juegan un papel decisivo en las ventas online de cualquier negocio, siempre que tengas margen para utilizarlos.

Estas son las razones principales por las que debes plantearte incluir esta estrategia de marketing para vender más:

  • Generas confianza al no ocultar información.
  • Aceleras el proceso de compra, facilitándole al usuario tomar su decisión final.
  • Llegarás a un público más amplio.
  • Evitas que el usuario compare precios con otros ecommerce que no tienen gastos de envío gratis.
  • Promueves que el usuario compare precios con tiendas físicas, pero sabemos que la compra online es más ventajosa por el precio, la variedad que ofrece y por el factor del tiempo.

¿Es recomendable incluir gastos de envío gratis siempre?

El consumidor, al comprar por Internet, entiende que es un proceso tedioso si lo compara con el proceso de comprar en una tienda física. Y por eso, considera que esa molestia debería correr por parte del vendedor. Por otro lado, cuando ve la palabra “gratis”, eso le motiva a la compra.

Pero lo cierto es que los gastos de envío nunca son gratis, ya que se incluyen en el precio final del artículo que el usuario ve. Es simplemente una estrategia de marketing que los dueños de los ecommerce deben utilizar estratégicamente para impulsar al comprador.

¿Qué otras opciones existen?

Para que te salga rentable incluir gastos de envío gratis, debes calcular tu margen de beneficio. Para ello, deberás negociar con la empresa de logística el mejor precio, sin perder calidad (en cuanto al tiempo de entrega o al estado del paquete).

Estas son las opciones que tienes para determinar los gastos de envíos en tu tienda online:

  • Gastos de envío en función del volumen del pedido.
  • Subida del precio de tus artículos, siempre que no supere demasiado a los de tu competencia.
  • Tarifa fija de envío, independientemente del importe del pedido.
  • Envío gratis a partir de un importe mínimo.
  • Reducción del coste, ofreciendo más posibilidades para el tiempo de entrega (en lugar de recibir el pedido en 24 horas, en 72 horas).
  • Suscripción a una cuota mensual o anual para todos los envíos (tipo Amazon Prime).

Preguntas frecuentes sobre gastos de envío gratuitos

Estas son las preguntas más comunes que los dueños de negocios online suelen hacerse sobre los gastos de envío.

¿Qué ocurre si el cliente devuelve el producto? ¿Debo asumir el coste de los gastos de devolución?

Según la ley, cuando el consumidor compra algo por Internet, tiene 14 días naturales para devolverlo si no queda satisfecho, sin dar ningún tipo de explicación.

Pero esta ley no obliga al vendedor a hacerse cargo por completo de los gastos de devolución. Por tanto, el vendedor puede exigir al cliente que se ocupe de ello.

Si no sabes qué será mejor para tu negocio, que el gasto lo asuma el cliente, tu empresa o fijar una tarifa fija para las devoluciones, deberás valorar varios factores:

  • Promedio de las devoluciones.
  • El coste de envío medio.
  • Una media del margen de beneficios.

En función de estos parámetros, podrás tomar una decisión más coherente y acertada.

¿Qué umbral de envío gratuito debo fijar para que me resulte rentable?

Otra cuestión importante es calcular tu umbral de envío gratuito. De esta forma, sabrás si puedes ofrecer envíos gratuitos a un precio justo.

Para averiguar cuál es tu umbral de envío gratis, necesitas conocer cuál es tu ticket medio por cliente (de los últimos 6-12 meses). Esto puedes obtenerlo en Google Analytics (Conversiones >  Comercio electrónico > Visión general > Valor medio de pedido).

Para obtener un umbral justo, al ticket medio de tu tienda tienes que aplicarle entre un 10% y un 20 % por encima. Por ejemplo, si tu ticket medio semestral es de 40 euros, puedes añadir envíos gratis a partir de 48 euros (20 %).

Si un cliente tiene que gastar más para beneficiarse del envío gratis, ¿cómo le facilito que gaste esos euros adicionales?

Lo primero que debes pensar es en ponérselo fácil a tu cliente y eso se consigue evitándole dolores de cabeza y pérdida de tiempo.

Algunas estrategias efectivas son:

  • Mostrando productos relacionados (up selling).
  • Enseñando productos complementarios (cross selling).

Añade frases del tipo: “Si los compras juntos, envío gratis”.

¿Los gastos de envío gratis son aptos para cualquier tienda online?

Depende. No es lo mismo enviar un cable de televisión que un armario, ¿no?

Si una empresa vende productos voluminosos, como pueden ser muebles, el vendedor tiene que pensar en qué otros servicios extra necesitará para transportar el artículo de un punto a otro.

Estos servicios pueden ser la subida a domicilio, un transporte con unas medidas especiales, montaje, envío internacional, etc.

En este sentido, aunque tengas un buen margen de beneficios, es inviable enviar gratis estos productos por sus condiciones especiales.

Análisis de APPs relacionadas con COVID19 usando Tacyt (I)

Andrés Naranjo    Amador Aparicio    6 agosto, 2020

Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo la de Android, ya limita la publicación y búsqueda de términos como “covid” o “coronavirus”: Google le ha declarado la guerra a aquellos que intentan aprovecharse del miedo para ganar descargas. A día de hoy, sólo permanecen en Google Play aquellas que pertenecen a estamentos oficiales de los distintos gobiernos.

Para este rápido análisis vamos a usar la herramienta Tacyt de ElevenPaths, el ecosistema de ciberinteligencia móvil, donde su estructura de Big Data supervisa, almacena, analiza, correlaciona miles de aplicaciones nuevas cada día, y cuya información tenemos accesible para cotejar o comparar en base a consultas fáciles y sencillas.

Una de las ventajas que nos ofrece Tacyt es que podemos tener accesibles todas las aplicaciones independientemente de la ubicación. Ya que Google Play puede ofrecer sólo resultados en función de nuestro país de origen según la disponibilidad que haya propuesto el desarrollador. Desde España, vamos al repositorio Oficial de Google Play y buscamos aquellas APPs relacionadas con la COVID19.

Apps oficiales en España accesibles en el market de Google (10 en total)
Apps oficiales en España accesibles en el market de Google (10 en total)

Nada que ver sin embargo con el número de aplicaciones encontradas en cualquier market no oficial:

Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus”
 Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus”

Como ocurre con otros markets, Aptoide, por ejemplo no descarga directamente la APP que hemos solicitado sino el “descargador” a través del que se solicitará la descarga real. Esto puede intuirse fácilmente comprobando que el tamaño del archivo es el mismo:

Descargas de apps desde APTOIDE
Descargas de apps desde APTOIDE

De hecho, lo comprobamos fácilmente en Tacyt al subir estas aplicaciones, las detecta como una sola, con idéntico hash:

Y es que Tacyt no sólo incluye sus propios motores de descubrimiento y descarga de aplicaciones, sino que además, usando la función de carga (ya sea vía web o API) el usuario puede subir las aplicaciones para ser analizadas, que podemos ver etiquetadas como “userUpload” y además etiquetarlas con nuestras propias etiquetas identificativas (como en la imagen, el autor de la subida o el mercado de donde se descargó).

Esta función de subida nos puede ser muy útil para detectar en markets no oficiales versiones alteradas de nuestras aplicaciones legítimas, por ejemplo, de una entidad bancaria. Tacyt incluye en la interfaz un botón para comparar aplicaciones.

En cualquier caso, no dejamos pasar la oportunidad de desaconsejar totalmente la instalación de aplicaciones desde fuentes no oficiales.

Búsqueda con Tacyt en Google Play de apps relacionadas con la COVID19 desde el inicio de la Pandemia

Vamos a centrar la investigación en Google Play. Se hace uso de los filtros para formar la siguiente búsqueda en Tacyt. Como puede verse estas consultas compuestas (dorks) habituales en búsqueda en Google, por ejemplo, son de fácil lectura:

((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (origin:"GooglePlay") AND (createDate:"2020-03-14 00:00:00 - today")

Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma
Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma

Respuesta de Tacyt con la búsqueda anterior:

Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España
Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España

Buscamos ahora con Tacyt APPs no oficiales relacionadas con la COVID19 desde la fecha oficial del inicio de la pandemia. Para esta tarea, podemos usar el parámetro ORIGIN indicando la exclusión, por ejemplo -origin:GooglePlay o sea, todas aquellas cuya procedencia no es la oficial.

((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (-origin:GooglePlay) AND (createDate:"2020-03-14 00:00:00 - today")

Apps no oficiales publicadas desde el inicio de la pandemia
Apps no oficiales publicadas desde el inicio de la pandemia

Por ejemplo nos fijamos en los permisos de la APP con nombre de paquete “coronavirus.tracker.news” y haremos un rápido análisis.

Los siguientes permisos son sospechosos: (sólo comentamos permisos diferentes a los “normales” de las APPs oficiales que atenten contra la privacidad o seguridad)

  • android.permission.CHANGE_WIFI_STATE: permite que la APP cambie el estado de conectividad Wi-Fi.
  • android.permission.INTERNET: permite que la APP abra conexiones de red.
  • android.permission.WRITE_EXTERNAL_STORAGE: permite a la APP escribir en el almacenamiento externo del dispositivo.
  • android.permission.READ_EXTERNAL_STORAGE: permite a la APP leer en el almacenamiento externo del dispositivo.
  • android.permission.WAKE_LOCK: permite usar PowerManager WakeLocks para evitar que el procesador entre en suspensión o la pantalla se oscurezca.

Para cualquier investigación, podemos cargar en Tacyt las APPs en lote y luego buscarlas mediante una etiqueta customizada y localizando, por ejemplo, como decíamos, permisos sospechosos:

De igual forma, podríamos haber usado para buscar indicios la fecha de caducidad del certificado (a veces sospechosamente amplia), apikeys, cadenas de texto o emails asociados a malware, y un largo etc…

En la siguiente parte veremos más información sobre los hallazgos.

¿De dónde han salido tantos códigos QR?

José María Lissen    6 agosto, 2020

La situación actual ha hecho que en muchos establecimientos el papel haya desaparecido. Esto es algo que vemos claramente en sectores como la hostelería o el turismo.

Donde antes nos encontrábamos una carta o un folleto, hoy tenemos un cartel o una pegatina con un código QR (Quick Response, respuesta rápida), que nos ofrece toda la información sobre el producto o servicio que oferta el establecimiento.

La razón de esta proliferación es que esta herramienta evita el contacto físico directo, por lo que las garantías de seguridad e higiene para el usuario son mayores.

La presencia de los códigos QR en establecimientos comerciales siempre ha sido cuestionada por los expertos en marketing. Sin embargo, lo que parecía una tendencia pasajera se impone hoy como norma en esta nueva era pos-COVID.

¿Para qué se usan los códigos QR?

Los códigos de respuesta rápida llevan en el mercado mucho tiempo, pero su uso estaba prácticamente limitado a ofrecer información adicional sobre un producto o servicio.

Esto es, en pocas palabras, transmitir con el QR todo lo que no cabe en una presentación estándar, y que evidentemente tiene poca importancia comparado con el contenido principal.

Para leer un código QR basta con abrir el escáner en nuestro dispositivo móvil y enfocar el código de barras para acceder a la información adicional.

Si tenemos un iPhone, podemos usar nuestra propia cámara para la lectura. Si usamos Android, con Google Lens también podremos acceder directamente. No es necesario tener una aplicación específica instalada en nuestro móvil para realizar la acción.

¿Para qué más se van a usar los QR?

Ahora que parece que los QR están implantados en todas partes, podemos empezar a pensar qué nuevos usos se les dará, ya que comienzan a cobrar gran importancia en la relación con el público en general.

La rapidez de respuesta de estos códigos ahorra tiempo en acciones tan habituales como agregar un contacto a la agenda del teléfono, función que ya ha anunciado WhatsApp que estará disponible en Android y en iOS. 

El futuro de los QR parece estar en el pago sin contacto, una función muy interesante para todo tipo de negocios. PayPal ya permite esta forma de pago a través de su app, y esto es algo que puede cambiar por completo el mercado contactless, dado que el sistema de wallet no termina de generalizarse.

Cómo usar los códigos QR en tu empresa

Ahora que hemos visto las posibilidades de los códigos QR, ¿por qué no usarlos en nuestro negocio?

Empezar a utilizar los códigos de respuesta rápida es muy sencillo. Lo primero que tenemos que hacer es recurrir a un generador para crear el QR.

GOQR.me y Visualead son dos ejemplos muy populares y fáciles de usar. Algunos sitios permiten además personalizar el código con nuestro logo, como QRCode-Pro.

Si lo que buscamos es máxima customización y un análisis exhaustivo del rendimiento del QR, lo mejor será que recurramos a alternativas de pago.

Una vez hemos seleccionado el generador, nos metemos en la parte de diseño, una de las más importantes. Lo primero que tenemos que hacer es seleccionar el tipo de contenido que queremos compartir: una URL, una dirección, un teléfono, la clave wifi de nuestro local… Los QR almacenan información de todo tipo, así que podemos ser creativos, dentro de unos límites.

Cuando insertemos el ítem, solo queda revisar la vista previa y personalizar el diseño antes de la descarga del código.

Un QR puede aumentar las conversiones

Con la descarga del código toca pensar dónde lo insertamos, pero antes de su colocación fija, conviene probarlo con las aplicaciones antes mencionadas para asegurarnos de que funciona.

Los QR son capaces de aumentar las conversiones de nuestro negocio, pero solo si los utilizamos correctamente. ¿Qué recomendaciones debemos seguir para conseguirlo?

Correcta visualización del contenido

Si la información que queremos compartir no se despliega correctamente, no servirá de nada. El caso clásico de mal uso de un QR es el que dirige a una página web que no está optimizada para móviles.

Ubicación física

No insertes el QR en un lugar de paso, donde el usuario no tenga tiempo de escanearlo (por ejemplo, en la puerta del negocio).

Descripción mínima del contenido

Es muy importante que el código venga acompañado de una frase, un logo o una llamada a la acción, que indique al usuario lo que le espera cuando lea el QR.

Los QR y la situación que vivimos actualmente parecen ir de la mano, en un período en el que la distancia social abre la puerta a un mundo cada vez más sin contacto físico.

El uso de códigos de respuesta rápida puede ser la solución para poner en marcha una nueva forma de relacionarse con los usuarios, donde la seguridad de los clientes es el principal objetivo.

Teleconsulta: su práctica durante la pandemia y la necesidad de un marco legal

Julio Jesús Sánchez García    6 agosto, 2020

La crisis del COVID-19 y su fuerte impacto en el sistema sanitario está provocando que algo se mueva por fin en el ámbito de la digitalización de la sanidad. La pandemia está siendo una gran desgracia para el conjunto de la humanidad pero de las crisis hay que tratar de salir fortalecidos. Lo cierto es que también estamos viendo actos de heroísmo, nuevos desarrollos tecnológicos, usos y costumbres que van a cambiar, barreras y miedos que se están venciendo… Ahora queda mucho por hacer. Entre otras cosas, aprovechar las lecciones aprendidas. En este post en concreto me referiré a la regulación de la teleconsulta.

Hay que reforzar mecanismos como la OMS para que estén preparados los planes y las tecnologías para la siguiente posible pandemia. También hay que mejorar los instrumentos de respuesta. En general, lo vivido se debe aprovechar para impulsar la transformación digital de la sanidad, que no solo va a venir bien de cara a una crisis futura sino, en el día a día, para prestar una mejor asistencia a todo el mundo.

Válvula de escape e indefinición

El sistema sanitario se ha visto sometido a la mayor y peor de las presiones. De la noche a la mañana, mientras una parte importante del sector se veía inmersa en una lucha desigual con la avalancha de casos, el resto de los profesionales sanitarios debía seguir prestando el servicio habitual pero “guardando las distancias”.

Lo que las empresas hemos vivido como una inmersión súbita y traumática en el teletrabajo (que, en general, ha funcionado bien), en el sector sanitario se ha convertido en la necesidad urgente de aplicar la teleconsulta y la atención a distancia, allí donde no había medios ni práctica en la misma.

Muchos sanitarios se han encontrado atendiendo por teléfono a sus pacientes. Otros ya tenían medios de comunicación electrónica a su alcance y han intensificado su uso. Pero todo ello ha ido enmarcado en una importante indefinición ya que no hay una regulación de la teleconsulta. Existe preocupación tanto sobre la mejor forma de aplicar estas tecnologías, como sobre el soporte legal que estas prácticas tienen en el sistema español.

Guía de buenas prácticas

En lo referente a las buenas prácticas en el uso de la teleconsulta, desde la Asociación de Salud Digital publicamos una guía que está a disposición de los profesionales sanitarios. A grandes rasgos, más allá de utilizar los medios tecnológicos adecuados, el quid de la cuestión es que el profesional elija a los pacientes idóneos para esta práctica, la definición de horarios, un ambiente de trabajo adecuado y que todo quede correctamente reflejado en la historia clínica del paciente.

La legalidad y pertinencia de la telemedicina, a debate

Respecto al soporte legal de estas prácticas, el pasado 14 de julio se celebró un encuentro virtual bajo el título “La ética y el derecho, valores en alza ante una crisis epidémica”. El objetivo era aclarar algunos conceptos clave en cuanto a la regulación de la teleconsulta y pertinencia de la telemedicina como práctica de los profesionales sanitarios.

Regulación de la teleconsulta

Entre las interesantes intervenciones estuvo la de mi compañera en la Junta Directiva de la Asociación de Salud Digital, Inmaculada Castelló, socia en el bufete de abogados Pinsent Masons. Hizo un análisis de la legislación actual, tanto europea como española, que cubre la telemedicina y la teleconsulta. La conclusión fue que no están específicamente regulados, aunque sí sujetos a la normativa de prestación de servicios médicos.

Básicamente quiere decir que es legal para un prestador sanitario o un profesional el uso de medios de comunicación digital en el ejercicio de la profesión siempre que se cumpla la legislación existente, tanto nacional como autonómica. Ésta se refiere a ámbitos como la necesaria autorización del servicio sanitario prestado, su registro ante las autoridades sanitarias, el cumplimiento de la ley General de Sanidad y resto de disposiciones nacionales y autonómicas así como el Reglamento General para la Protección de Datos. Y todo ello desde la perspectiva geográfica de que la legislación aplicable será la correspondiente a la de la ubicación que corresponda al prestador del servicio sanitario, que no se corresponderá necesariamente con la ubicación del médico o el paciente que entran en comunicación para el acto médico.

Aspectos deontológicos de la telemedicina

Otra participación muy relevante fue la de Juan José Rodríguez Sendín, presidente de la Comisión Central de Deontología de la Organización Médica Colegial (OMC). Esta corporación ha publicado recientemente el Informe : “La telemedicina en el acto médico. Consulta médica no presencial, econsulta o consulta online”, sobre los aspectos deontológicos de esta práctica.

En su intervención, Juan José Rodríguez destacó varios aspectos clave del uso de la teleconsulta. Por un lado, la falta de homogeneidad tanto en los medios facilitados para su uso como en la formación y predisposición por parte del colectivo médico. Por otra parte, la falta de regulación de la teleconsulta con un marco normativo específico que le dé cobertura.

Requisitos imprescindibles para la Organización Médica Colegial

Pero para la OMC se trata, sin duda, de un recurso valioso con numerosos beneficios tanto para la seguridad de los profesionales como para evitar riesgos y desplazamientos a los pacientes. Así que, con el beneficio del paciente siempre en el punto de mira, se recomienda su uso siempre que se haga con prudencia y más con un sentido de complementariedad de las visitas presenciales que como sustitución de las mismas.

Son, en cualquier caso, requisitos imprescindibles de la teleconsulta para la OMC, la necesidad de voluntariedad y consentimiento por ambas partes, la identificación clara y fehaciente de los participantes en el acto médico y el acceso en todo momento a la historia clínica del paciente por parte del facultativo tanto para su consulta como la grabación de los datos relevantes que sucedan en la sesión. Por lo demás, rige el código deontológico para las consultas a distancia igual que para las consultas presenciales.

Impulso a la transformación digital de la sanidad

En el encuentro quedó patente que no son pocas las comunidades autónomas y otros prestadores que ya se han puesto en marcha para dotar a los profesionales de herramientas de teleconsulta que complementen la atención presencial. De este impulso esperamos por fin pasos firmes en la dirección correcta de la transformación digital de la sanidad tras tantos años de avances pírricos.

En cualquier caso, es importante resaltar que la teleconsulta es una parte de la transformación digital, pero no toda. La atención no presencial no tiene por qué ser solo teleconferencia; hay muchas otras herramientas útiles que deben ser tenidas en cuenta como los chats, la mensajería, los foros o la educación sanitaria de los pacientes.

Imagen: Thomas Hawk

ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source

ElevenPaths    5 agosto, 2020
  • Esta nueva Fundación para la Seguridad del Código Abierto (OpenSSF) reúne a las empresas líderes en tecnología como Microsoft, Google, Red Hat e IBM, entre otros
  • Combina los esfuerzos de Core Infrastructure Initiative, GitHub’s Open Source Security Coalition y otros proyectos de seguridad de código abierto de los miembros fundadores del consejo de administración de GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, la Fundación OWASP y Red Hat
  • ElevenPaths se une como Additional Founding Member a esta nueva Fundación

La Organización Linux ha anunciado la creación de la Fundación para la Seguridad del Código Abierto (OpenSSF). La OpenSSF es una colaboración entre industrias que reúne a las empresas líderes en tecnología con vistas a mejorar la seguridad del software de código abierto (OSS) mediante la consolidación de una comunidad más amplia, con iniciativas específicas y mejores prácticas. Combina los esfuerzos de Core Infrastructure Initiative, GitHub’s Open Source Security Coalition y otros proyectos de seguridad de código abierto de los miembros fundadores del consejo de administración de GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, la Fundación OWASP y Red Hat, entre otros. Otros miembros fundadores son ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber y VMware.

ElevenPaths, la compañía de ciberseguridad de Telefónica, se une como miembro fundador, donde Rames Sarwat, Chief Revenue Officer de ElevenPaths, declaró que «la seguridad de una aplicación o servicios corporativos depende principalmente de la seguridad de todos sus componentes. La gran mayoría de las aplicaciones y servicios empresariales no se desarrollan en su totalidad dentro de la empresa, ya que utilizan componentes de código abierto que ayudan a acelerar el ciclo de desarrollo y ampliar su funcionalidad. Por lo tanto, es esencial garantizar que todos los componentes de código abierto cumplen con las mejores prácticas de desarrollo seguro y que se llevan a cabo revisiones periódicas para lograr un impacto positivo en todo el software que hace uso de estos componentes. La adhesión a la Fundación para la Seguridad del Código Abierto (OpenSSF) se ajusta completamente a nuestra visión y principios».

El software de código abierto se ha convertido en algo omnipresente en los centros de datos, así como en los dispositivos y servicios de consumo, lo que muestra su valor entre los tecnólogos y las empresas. Debido a su proceso de desarrollo, el código abierto que llega en última instancia al usuario final tiene una cadena de contribuyentes y dependencias. Por ello, es importante que los responsables de la seguridad de su usuario u organización sean capaces de comprender y verificar la seguridad de esta cadena de dependencia.

El OpenSSF reúne las iniciativas de seguridad de código abierto más importantes de la industria, así como las personas y empresas que las apoyan. La Core Infrastructure Initiative (CII) de la Fundación Linux, creada en respuesta al fallo Heartbleed de 2014, y la Open Source Security Coalition, fundada por el Laboratorio de Seguridad de GitHub, son solo dos de los proyectos que se reunirán bajo la nueva OpenSSF. El gobierno de la Fundación, la comunidad técnica y sus decisiones serán transparentes, y cualquier especificación y proyecto desarrollado serán independientes de los proveedores. La OpenSSF está comprometida con la colaboración y el trabajo tanto en la fase inicial como con las comunidades existentes para avanzar en la seguridad del código abierto para todos.

Jim Zemlin, director ejecutivo de la Fundación Linux afirmó que «creemos que el código abierto es un bien público y a través de cada industria tenemos la responsabilidad de unirnos para mejorar y apoyar la seguridad del software de código abierto del que todos dependemos. Garantizar la seguridad del código abierto es uno de los pasos más importantes que podemos dar, y requiere que todos nosotros, en todo el mundo, colaboremos en el proyecto. La OpenSSF proporcionará ese foro para un verdadero esfuerzo de colaboración entre industrias».

Con la formalización del grupo, se establece la estructura de gobernanza abierta que incluye un Consejo de Administración, un Consejo Consultivo Técnico y una supervisión independiente para cada grupo de trabajo y proyecto. La OpenSSF pretende acoger diversas iniciativas técnicas de código abierto para apoyar la seguridad del software de código abierto más importante del mundo, y todo ello se hará públicamente en GitHub.

Para obtener más información y contribuir al proyecto, se puede visitar https://openssf.org.

Declaraciones de los Governing Board Member

«La seguridad es siempre lo primero para Google y nuestros usuarios. Hemos desarrollado herramientas y sistemas de seguridad interna de carácter sólido que permiten consumir software de código abierto de manera interna, para nuestros usuarios y para nuestros productos basados en OSS. Creemos en la capacidad de crear productos más seguros y con un profundo impacto para todos, y nos entusiasma trabajar con la comunidad en general a través de la OpenSSF. Esperamos poder compartir nuestra innovación y trabajar juntos para mejorar la seguridad del software de código abierto del que todos dependemos», declaró el Director de Seguridad de Productos de Google Cloud, James Higgins.

«El código abierto se ha convertido en la norma de la empresa. Como tal, la seguridad de la cadena de suministro de código abierto es de suma importancia para IBM y nuestros clientes», citó Christopher Ferris, miembro de IBM y CTO de Tecnología Abierta. «El lanzamiento de la Fundación para la Seguridad del Código Abierto (OpenSSF) constituye un paso importante a la hora de proporcionar a las comunidades de código abierto la información y las herramientas que necesitan para mejorar sus prácticas de ingeniería segura, así como la información que los desarrolladores necesitan para acertar a la hora de elegir el código abierto».

«Como el código abierto es ahora el centro de casi todas las estrategias tecnológicas de las empresas, garantizar la seguridad del software de código abierto es esencial para asegurar la cadena de suministro de todas las empresas, incluida la nuestra», dijo Mark Russinovich, Director de Tecnología de Microsoft Azure. «Como con todo lo relativo al código abierto, reforzar la seguridad es un proceso que ha de llevar a cabo la comunidad. En Microsoft estamos muy contentos de ser miembro fundador de la Fundación para la Seguridad del Código Abierto (OpenSSF) y esperamos asociarnos con la comunidad para crear nuevas soluciones de seguridad que nos ayuden a todos».

Nota de prensa completa

Click to access elevenpaths-miembro-OpenSSF-seguridad-open-source-1.pdf

Las pymes y los pactos europeos para la recuperación

Juan Luis Manfredi    5 agosto, 2020

Las negociaciones no han acabado. Poco importa si los jefes de Estado y de gobierno llegan a un acuerdo o si terminan de cerrar los flecos en septiembre. Porque nos enfrentamos al Marco Financiero Plurianual (2021-2027), fijado en alrededor de 1,1 billones de euros, y al fondo de emergencia y recuperación tras la pandemia (750.000 millones de euros).

A estas cifras hay que sumar 240.000 millones de euros establecidos en la línea MEDE (Mecanismo Europeo de Estabilidad) para el sector sanitario y otros 100.000 millones de euros a través de la línea SURE, destinada a políticas de empleo.

Es un auténtico bazuka europeo de dinero público y privado, que persigue contrarrestar la caída del 16% del PIB europeo en el bienio 2020-2021.

Líneas maestras del plan económico europeo

El detalle de las cifras está por resolver y será campo de negociación una larga temporada, pero sí podemos anticipar las líneas maestras del plan económico europeo para la próxima década.

Las pymes y los proyectos emprendedores que nacen después del coronavirus se juegan mucho en varios escenarios al mismo tiempo.

El rescate directo a empresas que padezcan un problema de liquidez es una solución parcial y apropiada. Algunas pymes se salvarán por la vía del crédito SURE y otras líneas que surjan, pero serán las menos.

Turismo, hostelería, comercio minorista o cultura podrán recibir algunas ayudas específicas, pero serán puntuales y ajustadas al fondo de comercio previo. Sin embargo, los pactos europeos de la recuperación y la propia iniciativa New Green Deal sugieren otros caminos. Veamos cuáles son los escenarios de la pyme europea pos-covid.

Transformación digital

Es la gran demanda de los países centroeuropeos, por la vía de un gran mercado digital de bienes y servicios.

Está por ver cómo se aúna ese interés con la armonización fiscal, si bien intuimos que habrá una fuerte apuesta por contenidos digitales, servicios educativos y audiovisuales para un espacio económico común.

No habrá recuperación económica de la pyme si no orienta sus servicios a un entorno digital construido sobre plataformas, redes sociales y gestión masiva de datos.

Energía verde

La autonomía energética de los países de la UE es un asunto recurrente. Ante la obsolescencia de las energías fósiles, la apuesta por energías renovables es una jugada segura.

Se une ahora una línea de construcción y reforma arquitectónica vinculada a la eficiencia energética, la accesibilidad, los espacios tecnificados, la conectividad y otras medidas que dinamicen la economía de la construcción con fuerte orientación a las infraestructuras verdes.

Las pymes que sepan diferenciarse del sector de la construcción a granel, para ofrecer servicios especializados en transición ecológica, tendrán apoyo europeo.

Función de la administración pública

La crisis fiscal que viene recordará la necesidad de revisar qué tipo de sector público deseamos para el siglo XXI.

En perspectiva europea, multitud de pymes podrán ofrecer servicios mixtos (innovación social, servicios sobre el terreno, gestión mixta de edificios e infraestructuras).

En salud y educación, veremos partidas presupuestarias para incentivar la incorporación del sector privado con garantías de servicio público (igualdad, mérito, capacidad).

Así, en particular, se buscarán pymes que sepan evaluar políticas públicas, que puedan medir demandas sociales para convertirlas en políticas concretas y que puedan aportar experiencias internacionales.

El mercado internacional empieza en Europa

La competitividad de las pymes es una enorme preocupación para los rectores europeos.

El análisis comparado indica que países como España, Grecia o Bulgaria necesitan que sus pequeñas y medianas empresas crezcan para alcanzar la dimensión óptima del mercado europeo.

Con presencia en dos o tres mercados, la robustez, la dinamización o el acceso a distintos mercados garantiza la viabilidad de una firma en tiempos de crisis económica pos-COVID. Es la única lección evidente de 2008, que para España significó incrementar las exportaciones hacia Iberoamérica.

Reshoring

Es una palabra que se repite con frecuencia en el circuito europeo. Consiste en la reindustrialización de los países, para recuperar fortaleza y presencia en sectores estratégicos que ahora producen en China.

Habrá interés en recuperar la producción farmacéutica, sanitaria o alimentaria, con el ánimo de dotar de autonomía estratégica al mercado europeo.

Las pymes que quieran competir en este segmento tendrán que ser capaces de atender la demanda de 500 millones de europeos. Los países meridionales tienen que apostar fuerte por revitalizar el tejido productivo con infraestructuras, servicios y transportes.

Turismo

Veremos una apuesta significativa para una industria que actúa como motor de otras industrias parejas (ocio, cultura, restauración, hoteles, transportes públicos y privados).

Solo en España o Italia, que arrojan cifras similares, representan el 12% del PIB y el 14% del empleo.

La pyme tiene una oportunidad de diferenciarse mediante la creación de valor añadido digital, ya sea mediante la preventa de espacios, o mediante la utilización del móvil como instrumento nuclear de la experiencia turística.

Las aplicaciones y servicios de cliente final tendrán como finalidad organizar unas masas turísticas cada vez menos aglomeradas.

Otra oportunidad se observa en los servicios de control, como pueden ser los test masivos en aeropuertos y estaciones, control y rastreo, protección de la privacidad o capacidad de intervención sanitaria sobre el terreno.

Economía de la empresa

Por último, me animo a una reflexión de economía de la empresa. La pandemia ha acelerado multitud de tendencias que ya no se irán: el teletrabajo, la oficina virtual, el incremento de reuniones telemáticas, la conectividad de los hogares, el auge desproporcionado del consumo audiovisual de plataformas o el ecommerce.

Ninguna de estas tendencias volverá a su etapa anterior. Aprovechemos desde la pyme para competir en este nuevo territorio por descubrir, en igualdad de incertidumbre con los grandes jugadores. No habrá otra.

Diez podcast para estas vacaciones

Alejandro de Fuenmayor    5 agosto, 2020

Sin dejar de lado las lecturas de verano, que tanto bien nos hacen, a continuación os dejo mi top ten personal de los podcast para estas vacaciones que me voy a llevar en mis cascos. Os animo a descubrir y disftutar de este fenómeno.

Sobre emprendimiento

Creo que éste es uno de los nichos que más ha crecido en los últimos tiempos, junto a los podcast de marketing digital. El formato que más se estila para esta temática es la entrevista a emprendedores. Pero también hay propuestas más innovadoras y divertidas como la de Víctor Correal en “No es asunto vuestro”. Se trata de uno de los podcast más innovadores en cuanto a formato de los que he escuchado. Víctor explica las vivencias para montar su empresa GuideDoc. También las herramientas y la tecnología que utilizó, las lecciones aprendidas y todos y cada uno de los vericuetos de esa apasionante aventura.

Pero los decanos de este minilistado en la categoría de emprendimiento son los podcast de KFund e Itnig, ambos de 2016.

El podcast de K Fund, abanderado por Jaime Novoa, es un compendio de aprendizajes e historia del emprendimiento patrio. Por él ha pasado un gran número de emprendedores y profesionales del venture capital. Transmite conocimiento y ayuda a familiarizarse con mucha de la jerga utilizadas en este sector.

En el podcast de Itnig, dirigido por Bernat Farrero, se nota que hay mucho oficio detrás. Las preguntas de examen que Bernat realiza a sus entrevistados es uno de sus grandes atractivos.

“Más que startups”, con un tono menos corporativo que los anteriores, recorre el estado del arte del panorama del emprendimiento español. Me gusta sobre todo la sinceridad y cercanía que tanto Alberto Molpeceres como Gonzalo Valverde y David Pombar ponen en cada uno de los episodios.

Los programas que más me gustan de “Más que startups” son los que han bautizado como “Enséñame tu Saas”. Sin duda, daría para un spin-off completo en el que repasar las herramientas con las que cada una de las empresas que pasan por sus micrófonos construyen sus productos y servicios digitales.

Sobre desarrollo personal

“Kaizen” es, sin duda, mi descubrimiento del año junto a la newsletter de Samuel Gil: “Suma positiva”. (El tema de las newsletters da para un post propio).

En “Kaizen”, Jaime Rodríguez de Santiago hace un repaso a las técnicas y herramientas que utiliza en su día a día para su objetivo personal de aprendizaje continuo. En el proceso para entender mejor el mundo, repasa temas tan variopintos como el estoicismo, los modelos mentales o las finanzas personales.

Me encanta el cuidado en su estética y la producción, que va desde los temas seleccionados hasta la música usada en las cortinillas.

Para estar al día de tecnología

Álex Barredo, aparte de firmar una de las newsletters más populares del panorama tecnológico en español, complementa la difusión de ésta con un podcast diario en el que desarrolla y comenta los contenidos de su newsletter.

Con “Mixx.io” y sus podcast satélites semanales Álex posiblemente sea el único podcaster español que se dedique profesionalmente a ello (al menos en mi pequeño circulo de conocimiento del sector). En sus podcast profundiza en detalle acerca de la figura del controvertido Elon Musk, el universo de Apple en Cupertino o charla con diferentes invitados en Kernel acerca de las plataformas y compañías tecnológicas con las que interactuamos en nuestro día a día.

Podcast para estas vacaciones para saber más de marketing digital

Seguramente una de las categorías más copadas, en la que yo no desembarcaría si tuviese que montar un podcast en 2020, es la del marketing digital.

“Marketing online” es un podcast diario de Joan Boluda, uno de los referentes de este sector en el mercado de habla hispana. Aunque, como el caso de Álex Barredo, éste no es el único podcast en el que se puede escuchar a Joan. Hasta cuatro más con carácter semanal forman parte de su portafolio sonoro.

“Quédate con el cambio” es toda una comunidad construida alrededor del podcast como nicho de mercado y, si os gusta el humor ácido, es vuestra mejor opción.

“Planeta M” es un programa tipo tertulia. En este podcast semanal disfrutaréis de un grupo muy variado de expertos en cada una de las principales disciplinas del marketing digital: desde el SEO, pasando por el email marketing, marketing de contenidos, eCommerce, marca personal, o redes sociales

El podcast producido por José Carlos Cortizo “En.Digital”, como bien dice su nombre, trata de abarcar todas las áreas del mundo digital. Ofrece una visión lo más amplia posible, plural y crítica de todas las tendencias de interés para los profesionales digitales. Cortizo se deja el alma en cada programa y saca lo máximo a todos sus entrevistados.

Sobre el mundo del podcasting

Y, como colofón a mi listado de podcast para estas vacaciones, un extra para quien quiera saber más sobre este apasionante mundo: un podcast sobre el podcasting.

“Tribucasters” es fiel reflejo de la edad dorada de este fenómeno. En él tanto Pol Rodríguez, de «Planeta M», como Corti, de “En.Digital”, hacen un detallado repaso de todas la novedades de este mercado y de las técnicas, estrategias y trucos de cada uno de sus invitados para haber conseguido lanzar programas que enganchan y duran en el tiempo.

Así que ¡no lo dudéis, y descargad alguno de estos podcast paras estas vacaciones! También os agradezco vuestras sugerencias.

Imagen: Paul Saad

Video Post #2: Hadoop para torpes (I) ¿Qué es Hadoop?

Paloma Recuero de los Santos    5 agosto, 2020

Continuamos con nuestra serie de vídeo-blogs sobre IA y Ciencia de datos. Después de un primer post de Introducción a la IA, en este segundo iniciamos una miniserie de 3 vídeos sobre Hadoop. En este primero, haremos una breve introducción en la que explicaremos qué es Hadoop, cuáles son sus principales características, cómo surgió y  por qué juega un papel tan esencial en el desarrollo de las tecnologías Big Data.

¡Sigue nuestra Playlist!
Vídeo Posts Big Data + IA

Cómo convertir el dato en un activo corporativo: Gobierno del dato

Dagmara Wójcik    5 agosto, 2020

Seguramente hayáis escuchado hablar de Marie Kondo, la famosa japonesa experta en poner orden en casa, cuyo método “KonMari” compila toda una serie de trucos para ordenar diferentes categorías de objetos (libros, ropa, utensilios, etc.) además de establecer guías para determinar qué objetos merecen o no quedarse en casa. Si hubiera un método “KonMari” en el ámbito de los datos, este sería, sin duda, el Gobierno del Dato.

A priori, parece que pocos cuestionan el valor que aporta una casa ordenada (bienestar emocional, saber dónde están las cosas, aprovechar al máximo el espacio en casa, etc.). No obstante, no ocurre lo mismo con el Gobierno del Dato, a menudo percibido como una serie de prácticas tediosas que no hacen más que complicar procesos, introduciendo más burocracia y lentitud en la organización.

Sin embargo, la finalidad que tiene el Gobierno del Dato no es otra que convertir el dato en un activo corporativo, es decir, facilitar que una organización sea capaz de extraer valor de los datos y tomar decisiones. Y es precisamente cuando la organización se dispone a abordar proyectos que pretenden habilitar esta toma de decisiones que surgen problemas derivados de un mal Gobierno del Dato.

Los problemas

  • El sponsor del proyecto desconoce si los datos cuentan con la calidad necesaria para construir un buen modelo, realizando inversiones “a ciegas”.
  • No se identifica claramente el ownership (quién es el responsable) de los datos y, por ende, cuáles son las áreas que deberían estar involucradas en la toma de decisiones.
  • Los ingenieros de datos se ven forzados a realizar una reingeniería sobre los datos recibidos para poder tratarlos correctamente.
  • Se desconoce qué variables son sensibles y qué controles de seguridad (ej: anonimización) se deben aplicar en cada caso.
  • La productivización de los modelos analíticos es lenta ya que implica integraciones complejas entre sistemas con equipos reducidos.
  • Los modelos analíticos no son reutilizables en diferentes operaciones porque los datos son distintos en cada una de ellas.

Estas y muchas más situaciones son las que en realidad aborda el Gobierno del Dato estableciendo guías y buenas prácticas, conocidas como disciplinas, con el principal objetivo de aportar valor al negocio mediante una buena gestión de los datos.

La teoría sobre el Gobierno del Dato puede ser realmente extensa, ya que son numerosos los organismos que exponen su propia visión acerca de “cómo gobernar los datos”, pero a la hora de llevarla a la práctica en el contexto de una organización, no es tan evidente saber por dónde hay que empezar.

Por ello, la puesta en marcha de Gobierno del Dato suele abarcar principalmente dos fases: una fase de Evaluación (o Assessment) y una fase de Despliegue.

Fase de Assessment o evaluación

La fase de evaluación trata de detectar qué prácticas de Gobierno del Dato se están llevando ya a cabo dentro de la organización, determinando su nivel de madurez inicial, así como conocer los planes estratégicos del negocio. De esta manera, es posible identificar cuáles son los activos (datos) que requieren ser gobernados con mayor urgencia y cuáles son las disciplinas de Gobierno del Dato que se deben adoptar de acuerdo a las prioridades del negocio.

Para poner esto en práctica, es necesario definir quién se encargará de las diferentes tareas referentes al Gobierno del Dato, cuáles son los procesos necesarios para llevarlas a cabo y qué herramientas pueden facilitarnos su puesta en marcha en el contexto de la organización. Esto es lo que, habitualmente, se conoce como Framework de Gobierno del Dato.

Fase de Despliegue

La fase de despliegue, más que un proyecto con un principio y un fin, es un proceso continuo que conlleva un cambio cultural y una nueva forma de cuidar el dato.

Al igual que no se ordena una casa una única vez en la vida, sino que el cuidado del orden es algo persistente, también el Gobierno del Dato requiere una continuidad que pasa por el constante alineamiento con las prioridades de negocio.

Es muy habitual en las organizaciones que existan unidades u oficinas de Gobierno del Dato que se encargan precisamente de coordinar el lanzamiento de las diferentes iniciativas de gobierno; así como de mantener una buena comunicación con diferentes stakeholders (ej: analítica, seguridad, negocio, etc.).

De este modo, la tanto la evaluación de las necesidades de la organización en torno al dato como la implementación de nuevas iniciativas de Gobierno del Dato es continua y, lo que es más importante, constituye una palanca más para acelerar el negocio.

En LUCA tenemos una amplia experiencia tanto a nivel nacional como internacional asesorando a nuestros clientes y acompañándoles en iniciativas de Gobierno del Dato. Como parte de nuestro servicio de consultoría estratégica, planteamos Frameworks de Gobierno del Dato alineados con la estrategia de data-driven de nuestros clientes, y contamos con un amplio equipo de expertos que ayudan a nuestros clientes a conformar su propia oficina de Gobierno del Dato.

Para mantenerte al día con LUCA visita nuestra página web suscríbete a LUCA Data Speaks o síguenos en TwitterLinkedIn YouTube.