¡Bienvenidos!

Un espacio pensado para ti, contribuyendo en la transformación digital de tu negocio.

Último Post

AMBIT TEAM

Producto sanitario y emergencia sanitaria ocasionada por el COVID-19

En un movimiento sin precedentes en España, debido a la pandemia provocada por la COVID-19 y a la gran demanda de producto sanitario (sobre todo sistemas y productos barrera, además de respiradores artificialesse han producido acciones por todo el país con una carga solidaria absolutamente emocionante.  

Nos referimos, concretamente, a cadenas de solidaridad para fabricar material de protección hecho con impresoras 3D. Miles de voluntarios, de manera absolutamente altruista, han destinado su tiempo, recursos, experiencia y conocimiento para diseñar, fabricar y distribuir material de protección sanitario en 3D. Se han fabricado, en tiempo récord, visores protectores, mascarillas reutilizables, accesorios para respiradores artificiales

Aumento de la demanda de producto sanitario. Reacciones sin precedentes 

Estos productos han podido llegar a los lugares de necesidad, entre los que se encuentran centros médicos, residencias de tercera edadcentros de coordinación de transporte público, etc. contribuyendo a disminuir la gran demanda que había de estos productos.  No puedo continuar estas líneas sin dar mi más sincero agradecimiento a todas estas personas que, sin duda, se han convertido en un referente solidario que nolvidaremos.  

Los productos que tienen como fin médico específico, entre otros, la prevención, tratamiento o alivio de una enfermedad que no ejercen su acción principal prevista en el interior o en la superficie del cuerpo humano por mecanismos farmacológicos, inmunológicos ni metabólicos, pero a cuya función puedan contribuir tales mecanismos, son productos sanitarios. 

Los productos citados anteriormente cumplen con la definición, siendo por lo tanto productos sanitarios y como tales están sujetos a una regulación muy estricta. Tal regulación nos protege como pacientes y usuarios y, a la vez, establece unos requisitos exigentes a los distintos agentes económicos que la misma regulación identifica (fabricantes, distribuidores, representantes autorizados o importadores).  

Regulación que aplica a los productos sanitarios 

El hecho de que estos productos sean producto sanitario ha provocado una situación complejadado que la gran demanda de los mismos, que se presentó al inicio de la pandemia en España debía ser atendida de forma extremadamente rápida y con productos conformes a la regulación, garantizando en todo momento eficacia y seguridad al paciente y usuario. 

El cumplimiento regulatorio de un producto sanitario desde cero, no es un proceso especialmente ágil. Para un producto de riesgo medio-alto, puede fácilmente rondar los 15-18 meses hasta que se consigue marcado CE. Hay que decir, no obstante, que las exigencias regulatorias establecen, en función del riesgo, diferentes categorías, de forma que los requisitos son más o menos exigentes en función de la misma 

En Europa la regulación existen tres Directivas que regulan el producto sanitario. 

  • Directiva 90/385/CEE para productos sanitarios implantables activos. 
  • Directiva 93/42/CEE para a los productos sanitarios. 
  • Directiva 98/79/CE para productos sanitarios de diagnóstico in vitro. 

Estas Directivas, todavía vigentes, serán sustituidas por dos Reglamentos: 

  • Reglamento (UE) 2017/745 para producto sanitario y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE (entrada en aplicación 26 de mayo de 2021) 
  • Reglamento (UE) 2017/746 para producto sanitario de diagnóstico in vitro por el que se deroga la Directiva 98/79/CE (entrada en aplicación 26 de mayo de 2022) 

En Europa existen cuatro categorías o clases distintas de menor a mayor riesgo: I, IIa, IIb y III. Un producto clase I que no sea estéril y que no tenga función de medición es un producto autocertificado, lo que significa que es el propio fabricante el que declara conformidad. No se requiere intervención de terceras partes.

En cambio, en el resto de los productos (clases IIa, IIb y III, así como clases I estériles o con función de medición) para declarar conformidad del producto debe intervenir un Organismo Notificado (ON o NB atendiendo al término en inglés, Notified Body).  

clasificación producto sanitario

Esfuerzo de las empresas y de las autoridades sanitarias 

Además de las cadenas de solidaridad espontáneas, comentadas al inicio de este artículo, centenares de empresas han estado haciendo, y continúan haciendo un esfuerzo extraordinario en la producción de producto sanitario para el combate contra el coronavirus.

algunas lo fabrican habitualmente, pero para muchas es un campo nuevo, lo que ha implicado, y sigue implicando, un gran esfuerzo para que dichas empresas cumplan con las exigencias de la regulación. Es el caso de empresas con capacidad y tecnología para fabricar mascarillas higiénicas, guantes, batas, soluciones desinfectantes e incluso, a un nivel de mayor complejidad y exigencia regulatoria, respiradores artificiales 

El escenario comentado ha requerido también una labor de gran esfuerzo para las autoridades regulatorias, las cuales han dado y están dando absoluta prioridad a la evaluación de cumplimiento (expedientes técnicos, licencia previa de funcionamiento de instalaciones de fabricantes de producto sanitario, sistemas de gestión de la calidad) para todos aquellos productos relacionados con la lucha del coronavirus.

Además, desde mediados de marzo, son continuas las notas informativas de la Agencia Española de Medicamentos y Productos Sanitarios (AEMPS) en relación al COVID-19. Por ejemplo, relativas a recomendaciones de actuación en la industria de producción y distribución farmacéutica ante casos de infección por COVID-19; información sobre el suministro de mascarillas, guantes y soluciones desinfectantes a fabricantes de medicamentos, principios activos, productos sanitarios o biocidas;

Información sobre la situación actual (1 abril 2020) de evaluación de respiradores artificiales en proceso de autorización por la AEMPS; se establecen medidas excepcionales para agilizar las autorizaciones de productos antisépticos de piel sanase informa sobre las medidas especiales para la fabricación y utilización de mascarillas  quirúrgicas y batas quirúrgicas; se informa sobre las actuaciones de la AEMPS en relación a las mascarillas quirúrgicas en la situación de emergencia sanitaria ocasionada por el COVID-19.

También se informa sobre las medidas llevadas a cabo para aumentar la disponibilidad de geles y soluciones hidroalcohólicasparticipación por parte de la AEMPS en dos workshops internacionales para potenciar el desarrollo de tratamientos y vacunas contra COVID-19; celebración, por parte de la AEMPS, de un encuentro extraordinario con los 22 países iberoamericanos para impulsar la colaboración internacional contra la COVID-19; se informa sobre las medidas adoptadas para facilitar la gestión de las autorizaciones y modificaciones de medicamentos de uso humano considerados esenciales durante la crisis de COVID-19;

Además, se informa del aplazamiento en la entrada en aplicación del Reglamento (UE) 2017/745 sobre los productos sanitariosse realizan actuaciones por parte de la AEMPS para agilizar y fomentar los ensayos clínicos y estudios observacionales sobre COVID-19; medidas excepcionales aplicables a los ensayos clínicos para gestionar los problemas derivados de la emergencia por COVID-19, etc. 

La situación de emergencia sanitaria ocasionada por el COVID-19, ha aumentado de manera importante el riesgo de que se introduzcan en el mercado productos sanitarios utilizados principalmente para la prevención y/o tratamiento del COVID-19 que no cumplen con la legislación vigente y que pueden suponer un riesgo de salud pública.

La AEMPS continúa con su importante labor de detección de productos que estando en el mercado no cumplen regulación. El pasado 10 de junio, la AEMPS publicó un listado de productos sanitarios (mascarillas quirúrgicas, batas, guantes, etc.) especialmente utilizados durante COVID-19 y que no cumplen regulación.

En el 70% de los casos se trata de productos fabricados fuera de la Unión Europea y que requieren un representante autorizado dentro de Europa que asegure el cumplimiento de la regulación específica de aplicación al mercado europeo.

Los principales incumplimientos detectados están relacionados con certificados de marcado CE falsos, declaraciones de conformidad con información falsa, marcados CE indebidos como producto sanitario y el no disponer de representante autorizado en la Unión Europea (UE) cuando el fabricante carece de domicilio social en la UE o que el representante autorizado que figura en el etiquetado sea inadecuado. 

También se han detectado en el mercado tests para el diagnóstico de COVID-19 que tampoco cumplen regulación. En este caso, el 100% de los casos corresponden a fabricantes de fuera de la Unión Europea. Se detectan nuevamente datos falsos, bien en relación con el representante autorizado o bien en relación con su uso, indicándose como autodiagnóstico cuando se trata de un producto para uso profesional. 

Conclusiones 

Es muy importante, por lo tanto, entender que un producto sanitario entraña, en mayor o menor medida, riesgos para el paciente o usuario.  Es totalmente necesario que cualquier producto sanitario cumpla la regulación.

Esta regulación asegura, entre otros, que el fabricante ha evaluado y mitigado los riesgosha realizado una evaluación clínica del producto (de forma que demuestra seguridad y eficacia de este),  cumple los estándares que aplican al producto, diseña el material necesario para informar del uso correcto al usuario, diseña  una etiqueta conforme a la regulación y que, por lo tanto, se identifica correctamente al fabricante así como la fecha de caducidad, trazabilidad del producto (número de lote o número de serie), marca CE identificando el codigo del ON si aplica, etc. 

La exigente regulación redunda en una mayor protección de todos nosotros.  

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Retirada controlada de sistemas informatizados en entornos GxP

El proceso de retirada y desmantelamiento es la etapa final en la gestión del ciclo de vida de cualquier aplicación y supone la eliminación de ésta de las operaciones activas.

¿Qué es la retirada controlada de sistemas informatizados?

Muchos factores diferentes pueden desencadenar este proceso.

  • Avance tecnológico.
  • Nuevas adquisiciones.
  • Obsolescencia del proceso de negocio controlado por la aplicación.

En entornos GxP, la retirada de los sistemas informatizados es parte del ciclo de vida de la validación y debe seguir procesos bien definidos y documentados (ver sección 4.1 del Anexo 11 de las GMP). Esto implica definir claramente los inputs, outputs, estándares, actividades y entregables.

1. ciclo-vida-entorno-informatizado

Figura 1. Ciclo de vida de un sistema informatizado (Fuente: ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, 2008).

Si bien las fases anteriores se entienden bien, la industria puede no tener claro qué debe hacer cuando los sistemas quedan fuera de servicio.

¿Por qué es importante disponer de un proceso de retirada?

Consideramos que un sistema es GxP relevante si éste gestiona registros con impacto regulatorio. Estos datos deben ser accesibles, legibles e íntegros durante el tiempo de retención establecido por la normativa aplicable.

Esto significa que, aunque se elimine un sistema de las operaciones activas, si el periodo de retención de sus datos no ha vencido, deberá garantizarse que su consulta esté disponible.

Ciclo de vida de la retirada

De acuerdo con la guía GAMP 5, el proceso de retirada es independiente de la clasificación GAMP del sistema y debe contemplar lo siguiente:

  • Actividades del proceso de retirada y sus responsables. Es importante que defina los registros que deben ser conservados.
  • Acciones a realizar para “congelar” el sistema y garantizar que los datos estén protegidos contra modificaciones por usuarios o procesos automatizados.
  • Estrategia para asegurar que los registros GxP se mantienen íntegros y son retenidos adecuadamente y son accesibles durante el tiempo exigido por la normativa aplicable.
  • Pasos para desconectar, desmontar, desechar y/o reutilizar los componentes de hardware que no sean necesarios para la recuperación de datos.

Estrategias de archivo de datos y documentación relevantes

Estas son algunas de las estrategias más habituales:

Migración: 

migracion de datos sistema informatizado

Consiste en migrar los datos necesarios a un nuevo sistema.

Es importante tener en cuenta lo siguiente:

  • Compatibilidad o necesidad de transformación de los datos para que el nuevo sistema pueda recuperarlos.
  • Estado de validación del sistema al que se migran los datos; debe asegurarse que los datos están protegidos.
  • Válido para registros estáticos y dinámicos.

Archivado en papel 

archivado_papel_sistemas_informatizados

Consiste en:

  • Recolectar toda la información en papel relacionada con el sistema.
  • Imprimir los registros electrónicos que es necesario retener.
  • Archivar todos los datos.

Es importante tener en cuenta lo siguiente:

  • Control de acceso físico al archivo.
  • Válido sólo para registros estáticos.

Existen otras muchas estrategias disponibles, tales como la virtualización o la congelación física, pero al final, el enfoque de la estrategia a seleccionar debe determinarse en función de:

  • La frecuencia de acceso a los datos prevista.
  • La necesidad de reprocesamiento.
  • El nivel de riesgo de los registros y la robustez de los medios que los sostienen.

Sea cual sea la estrategia seleccionada, debe asegurarse que existen controles para garantizar que los registros y los datos permanezcan seguros, completos y precisos, y que se conserve la vinculación firma / registro donde corresponda.

Gestión del cambio

Una retirada debe seguir un procedimiento de gestión de cambios, al igual que cualquier cambio en la fase de operación del ciclo de vida del sistema. Esto nos permitirá garantizar que la retirada se realiza de forma controlada y bajo el conocimiento de todas partes interesadas que se ven afectadas.

Para más información consulte nuestro blog sobre Gestión de Cambios de Sistemas Informáticos en Entornos Regulados.

Conclusiones

  • Es imprescindible identificar los registros que deben ser retenidos.
  • No existe una estrategia única de archivado y retención de datos.
  • Debe asegurarse la integridad de los datos retenidos.
  • La retirada de un sistema debe estar procedimentada.

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos. Podemos evaluar su sistema, proceso y aportarle las propuestas de mejora para cumplir con el marco regulador vigente.

En línea con lo argumentado, ofrecemos servicios para la definición de procesos y la validación de la retirada de sistemas informatizados.

Además, estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

¿Qué es ITSM? Gestión de servicios IT en detalle

En un mercado globalizado y marcado profundamente por la digitalización de las empresas y un enfoque hacia la satisfacción del cliente, disponer de una gestión de servicios TI (ITSM) eficiente es de vital importancia para las empresas que quieran tener éxito y ser competitivas.

Los distintos recursos TI que puede ir incorporando una empresa hoy en día requieren de un sistema de gestión avanzado y eficiente, para no encontrarse ante situaciones críticas que pueden llegar a interrumpir el servicio, ralentizar los procesos, disminuir la calidad del servicio, o incluso llegar a perder clientes. 

Qué es ITSM 

La gestión de servicios TI (ITSM, Information Technology Service Management) es un sistema que permite un control sobre los recursos TI de una empresa, alineándolos con las necesidades y objetivos de la misma. ITSM aporta un enfoque estratégico para la implementación, gestión y monitorización de los servicios TI de una organización, atendiendo a la necesidad o el deseo de productos y servicios entre los consumidores de servicios, internos y externos. 

Cuáles son las ventajas de ITSM 

ITSM tiene como principal objetivo conseguir que la empresa consiga alcanzar sus objetivos con una gestión segura y eficiente de sus recursos tecnológicos  formando un ecosistema que a su vez puede facilitar la entrega del valor de los servicios. Las principales ventajas que aporta esta disciplina son: 

  • Optimización de procesos y recursos TI. ITSM centraliza y automatiza todos los procesos que se llevan a cabo dentro de la empresa, consiguiendo un mejor flujo de trabajo y un mayor rendimiento de las TI. 
  • Reducción de costes. Esta automatización y centralización de los procesos permite aumentar la productividad a la vez que se reducen los costos (optimizando los recursos tecnológicos, eliminando procesos que no aporten valor, entre otros). 
  • Monitorización del rendimiento. Facilita el análisis y la evaluación del desempeño de los servicios TI (con el uso de informes automatizados y el uso de métricas alineadas con objetivos, KPI). 
  • Toma de decisiones. ITSM permite una gestión ágil de servicios TI, permitiendo tomar decisiones más precisas en menos tiempo. 
  • Mayor satisfacción del cliente. ITSM garantiza la calidad del servicio y de la atención y soporte al cliente, lo que aumenta el grado de satisfacción del mismo. 
  • Incremento de la productividad de los trabajadores. ITSM aporta a los trabajadores de la empresa herramientas y mecanismos que facilitan su trabajo, aumentando sus índices de motivación y su productividad. 

Cuáles son los marcos de ITSM 

La gestión de servicios TI requiere la implementación de una serie de buenas prácticas, que están recogidas en distintos marcos. Dentro de los marcos más conocidos y utilizados para la gestión de las tecnologías de la información en una empresa nos encontramos: 

  • ISO 20 000. La normativa ISO 20 000 recoge una serie de requerimientos para una gestión de servicios TI de calidad, y es utilizada para verificar si cumple con las mejores prácticas en ITSM (como las recogidas en ITIL). 
  • Cobit. Este marco se preocupa en orientar a las empresas en la implementación y mejora de procesos para el control y administración de los recursos TI, describiendo los principios que soportan a las organizaciones y su relación con el uso de activos y recursos TI. 
  • Microsoft Operations Framework (MOF). Aporta 23 documentos que sirven como guía a los profesionales de TI en la creación, implementación y gestión de servicios TI, incluyendo directrices aplicables durante todo el ciclo de vida del servicio TI. 
  • ITIL Best practices. Quizás sea el marco más utilizado en la actualidad por las empresas que disponen de un ITSM de éxito. 

Gestionar servicios TI con ITIL 4 

ITIL es el marco de referencia más utilizado en la actualidad en ITSM. Fue creado en los años 80 para responder a la necesidad de la empresa de encontrar un sistema de gestión de sus activos y recursos tecnológicos eficiente.

Con el paso del tiempo ITIL ha ido evolucionando, pasando de ser una serie de buenas prácticas de gestión de recursos tecnológicos, a todo un marco de gestión utilizado por empresas de éxito a nivel mundial. 

Con la última versión ITIL 4 de 2019 se produce un avance en este marco de gestión ITSM para adaptarlo a las características del mercado actual (las ya comentadas globalización, digitalización y enfoque hacia la entrega de valor al cliente) y permitir que las empresas puedan abordar los nuevos desafíos de gestión de servicios TI y utilizar las nuevas tecnologías de la información. 

Características de ITIL 4 

Las principales características de este marco para la gestión de servicios TI son: 

Los sistemas de información afectan en la actualidad a toda la organización por lo que es indispensable que todo el personal reciba formación en los principales fundamentos de ITIL. 

Los agentes externos a la empresa como proveedores TI o colaboradores deben alinearse con el negocio, para conseguir garantizar la calidad del servicio. 

ITIL es un marco para conseguir la máxima calidad del servicio en la gestión de TI, por lo que es necesario realizar una comunicación efectiva con los clientes, haciendo que cualquier contacto con los mismos sea beneficioso.

El servicio debe ser entregado cumpliendo las condiciones acordadas con el cliente y asegurando que pague un precio adecuado a la calidad recibida (el costo en ITIL 4 se ve como un atributo de calidad que debe ser evaluado dentro del servicio). 

ITIL propone las mejores prácticas para la gestión de servicios TI, proporcionando una serie de procesos integrados con el objetivo de entregar el servicio TI con la mayor calidad posible. Esta serie de mejores prácticas son estándar en el sector y reconocidas a nivel mundial. 

Cuáles son las novedades de ITIL 4 

ITIL 4 aporta una serie de cambios fundamentales en su modelo: 

  • Sistema de Valor del Servicio (SVS). Toda la empresa, departamentos, dirección, colaboradores, etc., trabajan de forma unida para facilitar la creación de valor en la entrega del servicio. ITIL 4 aporta un enfoque holístico que permite aplicar un modelo operativo flexible y que permite adaptarse a distintos enfoques de trabajo, según las necesidades. 
  • Referencias específicas a la Agilidad. ITSM necesita un enfoque ágil que permita aumentar la rapidez y capacidad de respuestas, adaptándose a cada situación. Dentro de los siete puntos que definen ITIL, ahora tres de ellos permiten el desarrollo de servicios TI más ágiles. 
  • Principios guía. ITIL 4 incorpora siete principios guía con el objetivo de fomentar la mejora continua dentro de una empresa. 
  • Prácticas de Gestión. Los procesos pasan a ser prácticas de gestión en esta nueva versión de ITIL. Este nuevo sistema de valor de servicios incluye 34 prácticas divididas en: 14 de gestión general, 17 de gestión de servicios y 3 de gestión técnica. 

Los activos y recursos TI son cada vez más importantes para cualquier tipo de empresas y no solo afectan al departamento TI, sino a la totalidad de organización. Por eso es importante disponer de una gestión de servicios IT eficiente que permita aumentar la competitividad y productividad de la empresa, garantizando la entrega de un servicio de calidad. 

ITSM con el marco ITIL 4 permite que las organizaciones afronten su gestión de servicios TI adaptándose a los nuevos desafíos y condiciones del mercado. Con las mejores prácticas de gestión técnicas y de servicios, un enfoque flexible que busca la satisfacción del cliente y un sistema que permite crear valor, ITIL es el marco ideal para ITSM en la actualidad. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Validación de sistemas informatizados en entornos GxP

A menudo los conceptos de verificación y validación, o bien se confunden, o bien se interpretan diametralmente opuestos.

Desde la óptica de la 21 CFR 820 (Quality Systems Regulations for Medical Devices), se diferencian claramente, tal como sigue:

  • Se explicita el término ‘verificación’ como la realización de pruebas específicas y evidenciadas, que demuestran que un determinado requerimiento de diseño es cubierto por el sistema.
  • En este caso la ‘validación’ se entiende como la demostración evidenciada de que el sistema es capaz de cubrir el ‘intended use’ en el más amplio concepto del proceso en el que interviene.

En el ámbito de la validación de sistemas informáticos en entornos GxP, nos encontramos con diferentes escenarios que solo ayudan a aumentar la confusión, sobretodo si intentamos hacer encajar terminología que no tenemos muy clara con conceptos de ciclo de vida y metodologías de desarrollo (SCRUM, COBIT, AGILE…).

De este modo, el equipo de desarrollo habla su idioma y desde el equipo de validación hablamos otro, que puede, o no, coincidir en los contenidos, pero lo que es seguro es que a nivel terminológico se genera una gran confusión.

A todas luces, lo que es incuestionable es que se debe comprobar el funcionamiento del sistema informático antes de que éste entre en operación en las actividades del día a día, a través de diferentes etapas de test.

Independientemente de qué etapas de test definamos, de cómo las designemos  y el nivel de detalle de las pruebas que se realizan (siempre dependiendo de si se trata de un software de Categoría 4 o 5 de la guía GAMP), debemos tener en cuenta siempre unos principios básicos.

Principios básicos 

El software desarrollado o configurado debe ser siempre testeado antes de ser entregado al cliente (se entiende ‘cliente’ como el ‘usuario’ del sistema). Estas pruebas serán completadas y adecuadamente evidenciadas, por el equipo de desarrollo o configuración del sistema.

El objetivo es comprobar que toda la funcionalidad que se ha desarrollado o customizado es capaz de operar según se ha solicitado en los requerimientos y conforme se ha definido en la documentación funcional del sistema.

En este sentido, desde la óptica del equipo de desarrollo/customización no se harán distinciones entre funciones GxP relevantes de las No-GxP relevantes, ya que su objetivo es ofrecer un software oficialmente probado, por lo que todos los escenarios de uso (use cases) deberían ser verificados adecuadamente.

Una vez cubierta la etapa anterior, el sistema será entregado a los usuarios para que puedan realizar las pruebas que le correspondan, con el fin de comprobar que el uso previsto del sistema es cubierto adecuadamente por la funcionalidad recibida.

Aquí el abanico de oportunidades y tipos de prueba a realizar se abre: desde la comprobación de todos los requerimientos, hasta la aproximación basada en los riesgos de las funciones y centrados en los aspectos que puedan comprometer de algún modo el cumplimiento de los principios GxP aplicables, con un esfuerzo considerable en forzar el sistema a situaciones límite.

Estos dos principios, que a priori parecen obvios y básicos, en ocasiones, por cuestiones de calendario y disponibilidad de recursos, se solapan y, sucede que a veces se aprovechan las pruebas de usuario para hacer comprobaciones que no ha podido completar el equipo de desarrollo.

Esta situación provoca que aparezcan errores que entorpecen la normal ejecución de las pruebas, los usuarios desconfían de la aplicación, se generan un gran número de desviaciones que obligan a corregir el programa y las pruebas de regresión se realizan de forma básica (o en ocasiones ni se realizan).

Al final se alcanza un nivel de validación con una documentación ciertamente difícil de presentar. Y a menudo preguntas tan básicas como ¿tras todas las correcciones realizadas se tiene certeza de que las pruebas realizadas son representativas? se quedan sin una respuesta clara e inequívoca.

Como conclusión final: el nivel de confianza sobre el sistema es muy bajo contradiciendo el principio básico de la validación de ‘disponer de un nivel de confianza razonable’ de que el sistema es capaz de operar según su uso previsto. Seguro que este escenario es reconocible por muchos de nosotros, por lo que, para evitar, o al menos minimizar estas situaciones, es necesario:

  • Planificar las diferentes etapas de test desde el inicio del proyecto, estableciendo de forma clara qué pruebas realizará el equipo de proyecto y qué pruebas los usuarios, dándoles el tiempo necesario y adecuado para cada una de ellas.
  • Definir las pruebas y nivel de documentación de cada etapa de test.
  • Ser estrictos en no iniciar pruebas de usuario (UAT, OQ…) sin haber superado con éxito las pruebas del equipo de desarrollo y sin una revisión de dichas pruebas por la Unidad de Calidad.

Como puedes verel proceso de validación de sistemas informáticos en entornos GxP es una tarea compleja y exhaustiva que requiere la asesoría de consultores expertos en la materia. 

AMBIT BST 

En Ambit ayudamos a nuestros clientes a validar y optimizar sus sistemas informatizados. Somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos. Por eso, si necesitas ayuda, no dudes en ponerte en contacto con nosotros

Si quieres conocer más sobre las soluciones que te podemos ofrecer paraimplantar la informatización en los procesos de tu organización, validar sistemas informatizados, garantizar la integridad de la información o implantar programas en proyectos GxP, te recomendamos este ebook.

Lo que no debes pasar por alto en una auditoría de ciberseguridad

No importa el tamaño de tu empresa para hacer una auditoría de ciberseguridad. 

La transformación digital que hoy se vive en el sector empresarial, empujado por la evolución vertiginosa de las tecnologías de la información, nos lleva a un horizonte de cambios que no imaginábamos hace unos años. 

Pero a la vez, la ciberseguridad se convierte en un pilar imprescindible en el funcionamiento diario de las empresas conectadas a la red. Además, econ el contexto actual que se está viviendo hay multitud de personas que están teletrabajando y, por lo tanto, conectadas a la vez.

Esta situación ha intensificado los ataques de los ciberdelincuentes  en tiempos de pandemia y esto exige a las organizaciones a reforzar su ciberseguridad para evitar los ataques. 

El especialista en ciberseguridad no sólo se encarga de mantener al día los equipos, antivirus y monitorizar las redes, sino que también es el encargado de realizar la auditoría de ciberseguridad que marcará tanto las pautas a seguir en el futuro para evitar un ataque, como los puntos débiles de nuestra empresa. 

Para conocer qué es lo mejor que podemos hacer ante estos casos, lo pertinente es conocer todo lo que no debes pasar por alto en una auditoría de ciberseguridad. 

¿Qué debe tener una auditoría de ciberseguridad? 

Para llevar a cabo una auditoría de ciberseguridad, debes seguir estos pasos: 

  • Conocer los servicios y sistemas que se van a auditar. 
  • Verificar en qué grado la empresa cumple con los estándares de calidad. 
  • Identificar todos los dispositivos y sistemas operativos de la empresa. 
  • Analizar los programas que están en uso. 
  • Comprobar las vulnerabilidades. 
  • Plantear un plan de mejora con medidas específicas. 
  • Implementar un plan de desarrollo y mejora, consecuencia de la auditoría.

Algo muy importante a tener en cuenta es que, a lo largo de los años venideros no sólo realizarás una única auditoría, sino que deberás hacer diversas. Idealmente, las auditorías de ciberseguridad deberían realizarse cada 6 meses, de esa manera serás capaz de detectar puntos débiles que hayan podido surgir. 

Fases de una auditoría de ciberserguridad 

Una auditoría de ciberseguridad completa incluye diferentes auditorías de la infraestructura tecnológica de tu empresa. Puedes hacerlas todas o sólo algunas si tu empresa careciera de ellas. 

Auditoría web 

Se trata de conocer el grado de seguridad del servidor web y la página. 

¿Es vulnerable a un ataque que instale un virus y que se propague cada vez que alguien entra? ¿Contamos con el indicador https que indica que estamos en un servidor seguro? ¿Hemos bloqueado todas las puertas traseras y bugs conocidos del CMS? 

Auditoría de código 

Es una prueba de calidad sobre el código de las aplicaciones informáticas que se utilizan en la empresa, tanto si han sido desarrolladas por terceros como in-house. Así, podemos detectar vulnerabilidades. 

Hacking ético 

El hacking ético es la simulación de uno o diversos tipos de ciberataque y uso de técnicas de hacking, para determinar el grado de exposición de nuestra empresa a esos ataques. 

Ingeniería social 

¿Tus trabajadores conocen los riesgos de abrir un archivo adjunto de origen desconocido? ¿Están familiarizados con el phishing o términos como malware o ransomware? 

Muchos ataques tienen detrás altas dosis de ingeniería social para lograr hacer pasar un email malicioso por un email legítimo. 

Auditoría de contraseñas 

Todavía hoy, muchos usuarios y trabajadores anotan sus contraseñas en una libreta o utilizan contraseñas poco seguras (1234 sigue siendo la más utilizada). Un hacker puede descubrir una contraseña poco segura en segundos, y conocer el grado de vulnerabilidad de las mismas nos ayudará a mejorar su seguridad 

Auditoría de la red 

Hacer un mapa de la red de la organización o empresa y cómo esta se conecta a internet es un primer paso para conocer cómo los ciberdelincuentes pueden atacar nuestra red. Tras esta medición, será el momento de actualizar el firmware de los dispositivos móviles, sistemas operativos de ordenadores y renovación de equipos obsoletos, implementación de sistemas seguridad como Firewalls, WLAN, WPA2, VPNs… 

Beneficios de una auditoría de ciberseguridad 

En la seguridad de una empresaa nadie se le ocurriría dejar la puerta del servidor abierta a los ciberdelincuentes para que puedan robar datos, información confidencial o simplemente utilizar nuestros ordenadores para un ataque a gran escala. 

Parece una obviedad, pero la mayoría de los ciberataques empiezan por un exceso de confianza de un trabajador que abre un archivo infectado, o lo que es lo mismo: deja las llaves de casa puestas en la cerradura. 

Por eso, se debe tener especial cuidado con la rápida evolución de las ciberamenazas. Según el informe, Risk in Focus 2020. Hot topics for internal auditors (RIF20) que cada año publica el Instituto de Auditores Internos, la seguridad de la información y la protección de datos son los principales focos de ataques de los ciberdelincuentes este 2020 por lo cualquier auditor debe tener especial cuidado en estos dos aspectos.  

El objetivo de este informe es identificar los principales riesgos a los que se enfrentan las empresas europeas este año para asegurar una buena supervisión en ciberseguridad. El documento recomienda que las empresas estén alertas porque los métodos empleados para atacar la seguridad de los datos son cada vez más sofisticados. También pone énfasis en priorizar la seguridad de los servicios en la nube.  

Teniendo en cuenta estos aspectos, una auditoría de ciberseguridad debe determinar el grado de exposición a los ciberataques, filtraciones de datos, problemas con la privacidad de los usuarios y bases de datos, seguridad de la página web, nivel de optimización de sistemas… así como todos los riesgos derivados del día a día 

Así, conociendo en detalle el grado de exposición a las amenazas podremos: 

  • Prevenirposibles ataques 
  • Crear protocolos si estos llegan a producirse 
  • Mejorar la seguridad de los datos de nuestros clientes o usuarios 
  • Conocer el grado de eficiencia de los sistemas y programas instalados

Tras la auditoría de ciberseguridad, ¿qué? 

Tras la realización de la auditoría de ciberseguridad podremos ser conscientes del grado de vulnerabilidad de nuestra compañía a los posibles ataques. El informe, además, debe contar con la enumeración de las medidas a llevar a cabo para mejorar la protección de los sistemas de la empresa. 

Así mismo, la auditoría de ciberseguridad debe contar con uno o varios protocolos en caso de ataque. En ellos, se debe especificar qué hacer en caso de que nuestra empresa sea atacada y qué pasos se van a seguir.

Por ejemplo: cómo aislar el sistema afectado o qué deben hacer los trabajadores. Tras el ataque hay que hacer una auditoría forense, en donde se determinará qué ha sucedido con detalle, qué ha fallado y cómo evitar que vuelva a suceder. 

La necesidad de realizar auditorías de ciberseguridad cada vez es mayor para las empresas. Estudios recientes confirman que un 68% de las organizaciones invertirá mucho más en su ciberseguridad tras los ataques sufridos durante la pandemia.  

¿Tienes alguna duda sobre cómo desarrollarla en tu empresa? 

AMBIT BST 

En Ambit BST somos expertos en ciberseguridad y, por eso, te asesoramos y ayudamos a mejorar la seguridad en las infraestructuras TI. Ofrecemos todo tipo de servicios para que protejas la tecnología, los datos y la información de tu empresaPídenos una consulta y te acompañamos en el proceso.

Qué es la trazabilidad y cuáles son sus tipos

La trazabilidad es una exigencia en la Unión Europea para algunas industrias como la de productos farmacéuticos desde hace dos décadas. 

Sin embargo, pese a extremar las precauciones frente a contaminaciones y fraudes, en busca de proteger al consumidor, se han producido algunos episodios preocupantes en los últimos años que han llevado al endurecimiento de la legislación relativa a la trazabilidad de los productos farmacéuticos y a la introducción de un nuevo requisito que complementa la trazabilidad: la serialización de los productos farmacéuticos. 

Los países que no pertenecen a la Unión Europea también llevan años implementando la trazabilidad en todos los productos farmacéuticos, y elaboran nuevos requisitos para solventar problemas. Pero, antes de hablar sobre la trazabilidad en la industria farmacéutica, conviene tener claro qué es la trazabilidad. 

Concepto de trazabilidad y tipos 

La trazabilidad es un concepto que nace en la industria química y alimentaria y puede definirse como la obligatoriedad de ir recopilando toda la información que permita conocer en todo momento la composición y origen de las materias primas de un producto, los tratamientos u operaciones unitarias a los que ha sido sometido y dónde se va a comercializar. 

Aunque los responsables de plantas industriales, almacenes y rutas comerciales deben conservar la documentación de las etapas previas y aportar la que les concierne para continuar la cadena, al consumidor final no le llega toda esta documentación. Lo que se hace para detectar el origen de cualquier alimento o producto farmacéutico contaminado o peligroso es usar herramientas de software e identificar los lotes de los productos que salen al mercado.  

El etiquetado de los productos farmacéuticos es todavía más cuidadoso, y obedece a lo que se conoce como serialización. La serialización complementa a la trazabilidad en la industria farmacéutica. Volviendo a la industria química en general, existen tres tipos de trazabilidad, y los tres son imprescindibles para alcanzar la trazabilidad total: 

  • Trazabilidad ascendenteExige conocer al detalle el origen de la materia prima, los datos del proveedor y otros detalles pormenorizados aunque necesarios para conseguir lo que pretende asegurar la trazabilidad total. Por ejemplo, si hablamos de industrias cárnicas además del origen del animal sacrificado y la forma de cría, se necesitaría conocer la fecha de sacrificio. En el caso de la industria farmacéutica, la trazabilidad ascendente afectaría incluso a los minerales como el dióxido de titanio empleados como excipientes o, algo más sencillo de entender por el consumidor, el origen animal o sintético de otro excipiente, la lactosa, para poder evitar alergias (APLV). 
  • Trazabilidad de procesos. Es la información relativa a los procesos industriales a los que se somete a las materias primas o a los commodities en planta. 
  • Trazabilidad descendente.Se ocupa del seguimiento de la puesta en el mercado de los productos. Aquí es donde entra en juego como complemento de la trazabilidad la serialización.

Beneficios de la trazabilidad en la industria farmacéutica  

El fin último de la trazabilidad es la seguridad del consumidor final, aunque también permite garantizar la calidad de los productos manufacturados por una empresa farmacéutica concreta y hacer un seguimiento en tiempo real. 

En la industria química, se entiende por calidad el grado de ajuste a unas especificaciones que, pasando al sector farmacéutico, se centran en la dosificación, la correcta estandarización de los principios activos y la ausencia de contaminantes o la presencia de ellos por debajo de los niveles estipulados como seguros. 

Pero la nueva trazabilidad farmacéutica que se está implantando busca eliminar la posibilidad de que se introduzcan fármacos falsificados en las farmacias y en los hospitales, como ya ha sucedido en algunos países. También permite reducir el fraude y hacer un seguimiento en tiempo real de las existencias. 

Sin embargo, medidas que se toman en busca de un bien común pueden plantear problemas puntuales. Es lo que sucede ahora con el intercambio de productos entre farmacias o la compra conjunta, algo que ya no se permite (véase la tabla adjunta). 

8.2. Qué-es-la-trazabilidad-y-cuáles-son-sus-tipos-2

Fuente: Elsevier, Previsiones para un cambio de ciclo, E. Granda Vega, Doctor en Farmacia. 

La trazabilidad de los productos farmacéuticos fuera de Europa 

Aunque Europa fue la pionera en exigir una trazabilidad totalen productos farmacéuticos y alimentarios, muchos otros países han seguido sus pasos. 

En Estados Unidos, la FDA es la encargada de recoger las exigencias y se puede decir que los fármacos estadounidenses, hoy en día, son tan seguros como los europeos.

No obstante, Estados Unidos se enfrenta a un problema compartido con Europa, aunque ellos lo sufren con mayor intensidad: la existencia de farmacias online ilegales, que distribuyen productos falsificados o adulterados pero aparentan cumplir con todos los requisitos. Y este problema se acentúa cuando los ciudadanos adquieren fármacos sin receta fuera de las fronteras de su nación. 

Por supuesto, tanto en Europa como en Estados Unidos existen numerosas farmacias online autorizadas para vender no solo productos de higiene sino también algunos productos sin receta, como suplementos o vitaminas que no superen determinadas dosis unitarias. El problema suele estar en el mercado negro y en quienes venden de manera no legal productos que requieren receta para ser dispensados.  

Por ello, las farmacias de la mayoría de los países desarrollados o en vías de desarrollo han endurecido las exigencias para vender estos productos, haciendo imprescindible una receta oficial para obtener la mayoría de ellos. Por supuesto, cada farmacia es libre de dispensar a un enfermo crónico conocido su medicina y que le entregue la receta cuando tenga cita con su médico, aunque también pasa a ser la responsable en caso de que esa receta no llegue nunca. 

Siguiendo con la trazabilidad de los productos farmacéuticos dispensados con y sin receta en el mundo, en Latinoamérica el referente es Argentina. Otros países, como Brasil, han pedido una prórroga hasta el presente 2020. La Organización Mundial de la Salud (OMS) sigue de cerca la implementación de la trazabilidad de los productos farmacéuticos en Latinoamérica porque allí hasta un 30% de los fármacos dispensados presentan alguna irregularidad, casi siempre relacionadas con falsificaciones. 

A nivel global, se espera que la mayoría de los países desarrollados o en vías de desarrollo puedan garantizar la trazabilidad de sus productos farmacéuticos para el año 2022. Y, para ello, se hace conveniente unificar los criterios de serialización entre los diferentes países adheridos a este compromiso. 

Por ejemplo, a día de hoy, los envases de medicamentos que se dispensan en las farmacias contienen toda la información requerida en lo que se conoce como datamatrix, un código bidimensional, pero hay diferencias entre la presentación europea y la rusa: 

8.3. Qué-es-la-trazabilidad-y-cuáles-son-sus-tipos-3

Fuente: CSV Experts 

Todos los departamentos involucrados en la serialización de fármacos deberán estar intercomunicados entre sí. Dado que el plazo de tiempo restante es corto, dos años, se busca que la serialización se vaya validando y uniformizando por niveles, para cumplir con las fechas establecidas. 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos y si quieres conocer más de las soluciones que te podemos ofrecer en el campo de la salud, no dudes en ponerte en contacto con nosotros.

Plan maestro validación de sistemas informáticos en entornos regulados

Los procesos de fabricación en entornos regulados tales como las industrias farmacéuticas y médicas en general, dependen cada vez más de la tecnología. Por eso, se hace necesario garantizar que los sistemas informatizados funcionen de forma adecuada y cumplan con las normativas regulatorias.  

De este modo, el proceso de validación de sistemas informáticos permite asegurar que una tecnología cumple con las expectativas de funcionamiento que se tiene de ella, en consonancia y línea con la regulación estricta o buenas prácticas que se requiere del sector farmacéutico.

Qué dice la normativa sobre este tema 

En el Anexo 15 de la guía de Normas de Correcta Fabricación de medicamentos y principios activos (NCF)especifica lo siguiente: 

  • [Principio] Los sistemas informatizados utilizados en la fabricación de medicamentos, ya sea de forma directa o indirecta, deben validarse, de acuerdo con los requisitos definidos en el Anexo 11  incluido en la misma guía. 
  • [Apartado 1.1] Todas las actividades de cualificación y de validación deben planificarse y debe tenerse en cuenta el ciclo de vida de las instalaciones, de los equipos, de los servicios, de los procesos y del producto. 
  • [Apartado 1.4] Los elementos clave del programa de cualificación y de validación de la planta deben definirse con claridad y documentarse en un Plan Maestro de Validación (PMV) o en un documento equivalente.

¿Qué es un Plan Maestro de Validación de sistemas informatizados?

El Plan Maestro de Validación es uno de los documentos clave para poder realizar los procesos de validación de sistemas informatizados. Este documento describe la metodología a seguir en la validación de los sistemas informatizados de una compañía y todos los aspectos necesarios para poder llevar a cabo una validación con garantías. Incluye, además, un listado de todos los sistemas que se deben validar. 

El alcance de un PMV suele ser a nivel de toda la compañía, sin embargo, también puede definirse para un área de negocio, un grupo de sistemas o incluso para un sistema en concreto (muy utilizado para sistemas multi-site). 

Como toda la documentación que se genera dentro del sistema de gestión de calidad, el PMV es un documento regulado. Por esta razón, debe estar aprobado, firmado y fechado por personas autorizadas y adecuadas. Además, debe revisarse periódicamente y mantenerse actualizado. 

Diferencia entre Plan Maestro de Validación y Plan de Validación 

Generalmente, existe cierta confusión entre ambos términos ya que ambos documentos definen, a priori, la estrategia de validación. Pero hay una serie de matices que implican que conceptualmente sean diferentes documentos. 

Un Plan Maestro de Validación describe la metodología a seguir en las actividades de validación de sistemas informatizados, en general, e incluye todas las casuísticas que pueden producirse. Describe, además, las áreas de la compañía sobre las que se aplica e incluye una planificación a alto nivel. Es decir, el Plan Maestro de Validación expone la estrategia global que adopta la compañía en referencia a la Validación de Sistemas Informáticos.

Un Plan de Validación describe en detalle las actividades específicas que se van a realizar  durante la validación de un sistema específico, en una implantación concreta. 

A nivel jerárquico, el Plan de validación se encuentra por debajo del Plan Maestro de validación. 

¿Por qué es importante disponer de un Plan Maestro de Validación? 

La creación y mantenimiento adecuado de un PMV facilita el mantenimiento de la consistencia dentro de la compañía en la forma de realizar las tareas de validación sin dejar margen a la improvisación.

Un PMV bien definido debe contemplar todas las casuísticas; validación prospectiva, validación retrospectiva, estrategia a adoptar según la categoría GAMP del sistema que puede producirse en una organización relativas a la validación. 

Por otro lado, permite agilizar el proceso de realización de planes de validación específicos, evitando repetir puntos definidos ya en el Plan maestro de validación. De este modo, el Plan de Validación se centra en las actividades concretas que se realizarán en un proyecto específico de validación, los entregables y las responsabilidades. 

Y un aspecto relevante, el Plan Maestro de Validación muestra de una forma clara y rápida a los inspectores/auditores el enfoque de la compañía respecto a las actividades de validación de los sistemas informatizados. 

Cabe destacar, que la definición de un buen Plan Maestro de Validación dotará a la organización de una potente herramienta que aportará homogeneidad y repetibilidad a las acciones de validación de los diferentes sistemas. A todo ello cabe considerar la agilidad que incorporará en la toma de decisiones durante la validación, evitando ambigüedades y discutir repetidas veces temas ya acordados. 

¿Qué información debe contener un Plan Maestro de Validación? 

Un PMV debe definir la información indispensable para llevar a cabo un proceso de validación de un sistema informatizado. 

Debe contener o hacer referencia a la siguiente información (entre otros): 

  • Alcance: debe definirse las áreas /departamentos/sistemas sobre los que nuestro PMV es aplicable. 
  • Roles y Responsabilidades sobre las actividades de validación. 
  • Identificación del entorno regulatorio aplicable. 
  • Referencia a documentos relevantes: políticas, procedimientos… 
  • Definición de la metodología de riesgos. 
  • Estrategia de validación: definición de forma clara de los pasos a seguir en la validación de nuestros sistemas. 
  • Definición de los entregables a realizar. 
  • Definición de la categoría GAMP de nuestros sistemas. 
  • Gestión de desviaciones: definición de procedimiento a seguir y registro a cumplimentar en el caso de detección de desviaciones durante el proceso de validación. 
  • Gestión de la documentación: definición de cómo se llevará a cabo la gestión de la documentación de los proyectos. 
  • Metodología de codificación de la documentación. 
  • Revisión periódica. 
  • Glosario: definición de términos relacionados con la validación, normativas…para facilitar el entendimiento del documento. 
  • Estrategia para el mantenimiento del estado de validación: gestión de incidencias y gestión de cambios.

En definitiva, uno de los principales requisitos que deben cumplir los sistemas informatizados para la fabricación de productos en entornos regulados es la validación, que no es más que la acción documentada que demuestra que cualquier procedimiento, proceso, equipo, material, actividad o sistema obtiene los resultados esperados de acuerdo con los principios de la normativa de las Buenas Prácticas de Fabricación (BPF).  

Para ello es imprescindible elaborar y ejecutar un Plan Maestro de Validación (PMV), donde se recojan todos los procesos, operaciones o procedimientos que deben ser validados. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos. Podemos evaluar su sistema, proceso y aportarle las propuestas de mejora para cumplir con el marco regulador vigente.

Si quieres ampliar información sobre nuestro servicio de validación de sistemas informáticos o conocernos mejor, no dudes en ponerte en contacto con nosotros.  

Metodología ITIL: gestión de incidencias y objetivos

Un proceso de gestión de Incidencias bien implementado en una organización consigue que el flujo de trabajo y servicio no se vea interrumpido durante periodos de tiempo prolongados e inaceptables.

Para que un servicio funcione de forma óptima es necesario que disponga de una gestión de incidencias eficiente, capaz de solucionar cualquier problema o adversidad de forma eficaz, en el menor tiempo posible. 

La metodología ITIL4 aporta un proceso de gestión de incidencias (Incident Management) que permite el buen funcionamiento de una organización, haciendo que los clientes internos y externos se sientan seguros y tengan la sensación de que hay un control total sobre cualquier situación o incidencia.  

A principios de 2019, AXELOSpublicó la última versión de su popular marco ITSM (gestión de servicios de tecnología de la información), ITIL4. 

AXELOS es el organismo oficial de ITILcreadpor la Oficina del Gabinete del Gobierno Británico para aplicar las metodologías de Mejores Prácticas utilizadas en todo el mundo por profesionales de la industria en gestión de servicios TI. Entre ellas, se incluye ITIL.

En artículo, analizamos una de las partes integrales de ese marco ITIL4: la gestión de incidencias. Uno de los cambios que encontramos en esta nueva edición, es que los procesos pasan a denominarse prácticas. 

Gestión de incidencias como una práctica 

Como apuntábamos antes, debemos hablar de administración de incidentes (incidencias) enmarcado en el servicio de prácticas de gestión. Para entender cómo funciona el proceso de incidencias bajo la metodología ITIL es necesario conocer el significado de algunos conceptos como qué son las incidencias, la escala de tiempos, los modelos de incidencia y las incidencias graves. Muchos de estos conceptos en su definición vienen de las versiones antecesoras de ITIL 

Qué se considera una incidencia 

Se define una incidencia como una interrupción no planificada de un servicio, o reducción en la calidad de un servicio”.  El objetivo del proceso de gestión de incidentes en ITIL es minimizar el impacto negativo de los incidentes mediante la restauración del funcionamiento normal del servicio lo más rápidamente que sea posible. 

Las incidencias pueden afectar a todo el procedimiento, a un usuario o incluso a la totalidad de la organización, por eso es importante disponer de un sistema eficiente que se encargue de minimizar sus consecuencias 

Objetivos de la gestión de incidencias 

La gestión de incidencias bajo la metodología ITIL, se encuentra dentro del sistema de valor del servicio (SVS) y tiene como objetivo prevenir o restaurar en el menor tiempo posible cualquier interrupción o retraso que afecte a la calidad del servicio (no planificada) y minimizar el impacto de las operaciones comerciales. 

La velocidad de recuperación es la máxima prioridad en este proceso. Eso significa que estas incidencias, a menudose abordan con soluciones temporales en lugar de soluciones permanentes. Posteriormente, se implantan dichas soluciones permanentes para optimizar el tiempo de respuesta. 

La gestión de incidencias afecta a toda la organización, por lo que ésta debería derivar a todos los usuarios un único punto de contacto y disponer de un equipo dedicado y responsable de abordar las incidencias.  

El service desk en ITIL4 ha pasado de ser considerado como una función, a formar una parte estratégica dentro de las organizaciones y es el único punto de contacto de los usuarios. Sin este contacto se pasarían por alto las limitaciones de estructura o la priorización de incidencias, por ejemplo. Esto significa que un incidente de alta prioridad podría ignorarse mientras el personal maneja un incidente de baja prioridad.  

En este sentido, el service desk permite que el personal de soporte maneje los acontecimientos y la información de todos con prontitud, fomentando la transferencia de conocimiento entre el personal de soporte, creando modelos de autoservicio, recopilando datos de tendencias TI y respaldando la gestión efectiva de problemas. 

Pasos para la gestión de incidencias en ITIL V4 

Para poder gestionar las incidencias y restaurar el nivel del servicio hay que seguir estos pasos, que abarcan todo el ciclo de vida de las mismas. 

1. Detectar la incidencia 

Disponer de un sistema de monitorización que permita detectar incidencias es clave para poder reaccionar lo antes posible y así minimizar el alcance de las mismas. Muchas veces las incidencias son reportadas por los propios usuarios, por lo que hay que facilitar las herramientas multicanal necesarias para su reporte (por ejemplo, formularios web, correo electrónico, chatbots y similares). 

2. Registrar la incidencia 

Todo incidente debe quedar registrado de forma individual e incluir la mayor cantidad de información posible para así disponer de datos que faciliten su resolución. El registro debe contener información de vital importancia sobre la incidencia como son la hora y fecha en que se produjo o se reportó, canal por el que se reportó la incidencia, la persona que registró la incidencia, los datos del usuario, descripción del problema. 

A lo largo del ciclo de vida de la incidencia se deben ir incorporando al registro nuevos datos como las actividades realizadas para la resolución, técnico o técnicos asignados, fecha y hora de la resolución, errores asociados, hora del cierre de la incidencia, y otros datos relacionados. 

3. Categorización 

La categorización implica asignar una categoría y al menos una subcategoría al incidente teniendo en cuenta estos objetivos: 

  • Primero: clasificar los incidentes según sus categorías y subcategorías.  
  • En segundo lugar, permite priorizar algunos problemas. Por ejemplo, un incidente puede clasificarse como "red" con una subcategoría de "interrupción de la red". Esta categorización, en algunas organizaciones, se consideraría un incidente de alta prioridad que requiere una respuesta a un incidente mayor. 
  • El tercer propósito es proporcionar un seguimiento preciso de incidentes. Cuando se clasifican los incidentes, surgen patrones. Es fácil cuantificar con qué frecuencia surgen ciertos incidentes y señalar tendencias que requieren capacitación o gestión de problemas. 

Este proceso queda registrado por niveles de prioridad, siendo estos los más habituales: 

  • Incidente Crítico  
  • Incidente Alto 
  • incidente Medio 
  • Incidente Bajo 

Esto se basará en la cantidad de usuarios afectados y el nivel de interrupción que está causando dicha incidencia. En este sentido, la gravedad de los incidentes —es decir, que sus consecuencias negativas (impacto) sean mayores o menores— permite priorizarlos a lo hora de acometer su resolución. 

4. Priorización 

En un primer momento se debe evaluar si un incidente puede ser solucionado de forma inmediata o si es necesario de la intervención de un especialista o miembro del departamento TI. 

La priorización de incidentes es importante para el cumplimiento de la respuesta de SLA. La prioridad de un incidente está determinada por su impacto en los usuarios y en el negocio y su urgencia. La urgencia es la rapidez con que se requiere una resolución. El impacto es la medida del alcance del daño potencial que el incidente puede causar. 

Los incidentes graves, por ejemplo, tienen un tiempo de resolución menor, puesto que su impacto en el servicio es mayor. Por lo tanto, la prioridad depende de la urgencia y del impacto de cada incidente, aunque a veces pueden existir otros aspectos que también influyan en su nivel de prioridad (por ejemplo, en el caso de clientes preferenciales). 

En cambio, los incidentes de baja prioridad son aquellos que no interrumpen a los usuarios o al negocio y se pueden solucionar.  Los incidentes de prioridad media afectan a algunos miembros del personal e interrumpen el trabajo hasta cierto punto. Los clientes pueden verse ligeramente afectados o incomodados. 

Una vez identificado, categorizado, priorizado y registrado, ya se puede pasar a la resolución de la incidencia. Este proceso implica cinco pasos: 

5. Resolución de la incidencia 

5.1. Diagnóstico inicial:  

Esto ocurre cuando el usuario describe su problema y responde preguntas para intentar solucionar el problema. Como se mencionó anteriormente, la mayoría de los incidentes deberían ser resueltos por el personal de soporte de primer nivel. Si es así ya no se debe pasar al siguiente paso de escalada.  

5.2. Escalada de incidentes:  

Muchas veces las incidencias no pueden ser resueltas por el equipo de Service Desk que realiza el primer contacto, por lo que es necesario que deriven la misma a una persona o grupo concreto. Este escalado puede producirse de dos maneras: 

  • Escalado funcional. Cuando no se puede resolver la incidencia en un primer nivel y se deriva a otro grupo o persona responsable. 
  • Escalado jerárquico. Cuando la incidencia tenga la magnitud de poner en riesgo el cumplimiento del contrato de servicio (SLA), debe notificarse a los responsables del servicio correspondiente. 

5.3. Investigación y diagnóstico:  

Estos procesos tienen lugar durante la resolución de problemas cuando la hipótesis del incidente inicial se confirma como correcta. Una vez que se diagnostica el incidente, el personal puede aplicar una solución, como cambiar la configuración del software, solicitar un nuevo hardware... 

5.4. Resolución y recuperación: 

Una vez encontrada la solución para la incidencia debe ser aplicada, realizando las pruebas necesarias para asegurar que dicha solución sea óptima y queda resuelta. En este paso se confirma que el servicio del usuario se ha restaurado al nivel de SLA requerido. 

5.5. Cierre del incidente: 

Como el mismo nombre dice, es la parte final del ciclo de vida de una incidencia. La solución de la mismaEn este punto, también es necesario asegurarse de que el cierre se ha categorizado y que los registros contienen todos los datos relacionados con la incidencia cumplimentados. 

En este punto, la organización puede pedir a los usuarios que completen un breve cuestionario una vez que se cierra el problema para determinar si estaban contentos con la prestación del servicio. La encuesta es una buena manera de identificar cualquier problema en el proceso de gestión de incidentes ya sea del personal de servicio de asistencia o de resoluciones insatisfactorias. 

La gestión de incidencias es parte fundamental de un servicio TI de calidad, ya que permite evitar que se produzcan muchas situaciones que interrumpan el servicio, o en caso de producirse, reduzcan el tiempo y el impacto de las mismas. 

La gestión de incidentes no acaba con el cierre del mismos, ya que uno de los enfoques de ITIL4 es la mejora continua, buscando reiterativamente soluciones de prevención que impidan que surjan problemas o incidencias que afecten a la calidad del servicio. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Mejores herramientas ITSM comerciales y opensource

La influencia de los servicios TI en las empresas de hoy en día es cada vez más importante, por lo que disponer de una herramienta adecuada de gestión de servicios TI (ITSM) se hace imprescindible para poder optimizar el servicio. En el mercado existe una amplia oferta de herramientas ITSM donde poder encontrar aquella que mejor se adapte a cada organización.

En este artículo hablaremos de cinco herramientas ITSM, tres de ellas comerciales que ofrecen una amplia variedad de opciones de gestión, y dos open source adecuadas para aquellas organizaciones que necesiten una gestión de servicios TI, pero no dispongan de los recursos necesarios para contratar una herramienta profesional. 

Cuáles son las mejores herramientas ITSM 

Podemos encontrar dos tipos de herramientas de gestión de servicios, las herramientas ITSM comerciales que requieren un pago por licencia o por uso (normalmente mensual) y herramientas ITSM de código libre u open source. 

Herramientas ITSM comerciales 

Si una organización busca una herramienta de gestión de servicios TI completa y profesional, debe optar por una solución comercial que le aporte garantías, soporte, potencia y la funcionalidad necesaria para cubrir todos los aspectos que abarca la gestión de servicios TI de forma eficiente. 

Las mejores herramientas ITSM (comerciales) que el equipo de AMBIT BST ha seleccionado y que podemos encontrar actualmente en el mercado son:

1. ManageEngine

Manage Engine es una herramienta completa de administración de TI que cubre todas las necesidades de un negocio respecto a la gestión de sus tecnologías de la información. Son más de 120.000 empresas de todo el mundo las que utilizan esta solución para administrar su TI. 

En esta herramienta se integra la gestión completa de TI incluyendo soluciones para: 

  • Active Directory y Exchange. Herramienta web para la administración de identidad y acceso para entornos Windows. Permite administrar, auditar y generar informes de manera sencilla 
  • Help Desk. Servicio de atención al cliente y soporte de TI con una administración integrada sobre un marco ITIL. 
  • Administración de escritorios. Solución para la administración de workstations, dispositivos móviles y tablets.  
  • Administración remota de dispositivos móviles. Administración de dispositivos móviles multiplataforma que permite configurar y proteger smartphones y tablets. 
  • Redes. Solución para la gestión de cada aspecto del rendimiento de la red, con software para la administración de infraestructuras de red y centros de datos de grandes empresas. 
  • Servidores y centros de datos. Soluciones para monitorear y optimizar el rendimiento de sus centros de datos y servidores. 
  • Administración de Aplicaciones. Gestión del rendimiento de aplicaciones, tanto en entornos de red, virtuales o cloud. 
  • Seguridad TI. Soluciones para gestionar la seguridad TI y el cumplimiento de normas y protocolos de seguridad y buenas prácticas. 
  • Análisis avanzado de TI. Aplicaciones para analizar TI y poder optimizarlas.
  • Trabajo en la nube. Gestionar TI desde cloud on demand (según las necesidades del cliente). 

2. EasyVista

Esta herramienta ofrece soluciones profesionales para ITSM y Self Help. La plataforma ITSM de EasyVista ofrece una integración de soluciones que facilita la entrega de servicios TI consiguiendo una reducción de costes de hasta un 50 %.  

Las principales características de esta solución integral de gestión de servicios TI son: 

  • Automatización en la gestión de servicios. Utiliza Service Manager que permite uso de ITSM simple y ágil, bajo un entorno que cumple con las exigencias de ITIL. 
  • Servicio de atención y soporte. Automatización de respuestas tanto para clientes, como para empleados, con soporte para chatbots, agentes virtuales y otros canales de autoservicio.  
  • EV Service Manager. Automatización de procesos inteligente, asistencia multilenguaje, gestión de activos y financiera de TI y análisis avanzado de informes. 
  • Service apps. Micro apps personalizables de forma sencilla para ITSM (arrastrar y soltar y uso de plantillas). Facilita la gestión móvil con cuadro de mandos, autoservicio de clientes o apps para el personal TI. 
  • EV Self Help. Gestión de soporte inteligente que potencia el autoservicio y que permite disminuir las llamadas al contact center en un 30 %.

3. Matrix42

Matrix42 es una solución integral para la gestión de espacios de trabajo y la simplificación del trabajo digital, que permite una gestión y uso de TI mucho más rápida gracias a la automatización de procesos (como la distribución software o la asignación de licencias). 

Matrix 43 integra cinco plataformas principales:  

  • Unified Endpoint Management (UEM). Herramienta enfocada al usuario que permite desde una única interfaz sencilla e intuitiva, la gestión de todo tipo de dispositivos. 
  • Software Asset Management (SAM). Solución para la gestión de activos TI, licencias y contratos, ofreciendo un sistema que permite un control transparente y total. 
  • Automated Endpoint Security (AES). Sistema que proporciona una gestión de seguridad de 360º sobre los dispositivos, los sistemas y los datos. Automatizando procesos consigue detectar amenazas y evitar daños. 
  • Service Management (ITSM). Incluye diversas soluciones ITSM como Service Desk, Workflow Studio, Service Catalog y Solution Builder que permiten optimizar la gestión del servicio TI. 
  • MyWorkspace. Soluciones de espacio de trabajo en la nube que facilita el trabajo de los empleados, aumentando su productividad.

Herramientas ITSM open source

Podemos encontrar en el mercado algunas herramientas de gestión de servicios TI open source, que permiten a muchas organizaciones sin los recursos económicos necesarios para implementar una solución comercial, disponer de una herramienta ITSM. 

Dos de estas herramientas ITSM open source son: 

1. Combodo ITOP

Combodo ITOP se presenta como una solución integral para ITSM que permite a las empresas gestionar sus servicios TI teniendo en cuenta el conjunto de buenas prácticas ITIL. Las principales características de esta herramienta incluyen gestión de configuración y servicios TI, HelpDesk, Gestión de cambio, problemas, incidentes y requerimientos y portal de usuario. 

Con ITOP se puede organizar la infraestructura TI (servidores, aplicaciones, máquinas virtuales y dispositivos móviles, entre otros). Es una solución flexible que permite adaptarse a cada empresa y es compatible con cualquier sistema operativo, al ser una aplicación basada en web. 

2. OTRS 8 

OTRS es una solución que permite optimizar los resultados de ITSM gracias a sus funcionalidades. Se trata de una solución que aporta transparencia en la gestión y que se integra con otras plataformas como CRM o sistemas de administración de documentos. 

Cuenta con un portal del cliente muy fácil de utilizar que permite a los clientes describir con precisión sus solicitudes de servicio. Además, simplifica la gestión de tickets que serán recibidos de forma automática por los agentes apropiados para su resolución, disminuyendo el tiempo empleado. 

Utiliza un sistema de informes que utiliza claves de desempeño (KPI) para medir la consecución de objetivos en la gestión de TI. 

Con las cinco herramientas ITSM que se han comentado es posible encontrar aquella que se adecue a las necesidades de cualquier empresa, teniendo en cuenta su dimensión, nivel de servicios TI y capacidad económica. 

Las herramientas comerciales, más completas y profesionales, permiten realizar una gestión de servicios TI integral, incorporando módulos específicos para las distintas facetas relacionadas con TI. Muchas empresas encontrarán la solución a su ITSM en las herramientas open source que les permitirán mejorar la gestión de sus tecnologías de la información. 

AMBIT BST

AMBIT BST es partner gold de las soluciones tecnológicas presentadas en este post como “herramientas comerciales” con lo que estamos a disposición para dar respuestas desde nuestro área de ITSM. Si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros 

SaMD: Software as Medical Device

El avance de las tecnologías de la información y la comunicación está iniciando una transformación en la atención médica, gracias, entre otros factores, al uso de dispositivos médicos inteligentes, entre los que se incluyen herramientas de software avanzadas

Estos nuevos dispositivos permiten. por ejemplo: disponer de conectividad inalámbrica, el uso de sensores más precisos, utilización de inteligencia artificial, trabajar en la nube, o el uso Big Data.

El Software as Medical Device se está convirtiendo en una herramienta cada vez más utilizada en el sector de la salud para mejorar entre otras cosas: la toma de decisiones terapéuticas o la monitorización de los pacientes.

Qué es Software as a Medical Device

La Food and Drug Administration (FDA)utiliza la definición de la  International Medical Device Regulators Forum (IMDRF) para referirse al término Software como producto sanitario o SaMD (Software as a Medical Device), como un programa informático cuyo objetivo es llevar a cabo una o diversas finalidades médicas.

Un dispositivo software independiente que tiene un uso previsto  médico se denomina SaMD. En este sentido, la característica definitoria de SaMD es que realiza estas funciones médicas, siendo un software independiente sin formar parte de un equipo médico. Es decir, el dispositivo software es el equipo médico o producto sanitario por sí mismo.

Habitualmente, el software médico se instala en plataformas informáticas con uso no médico, que pueden conectarse a redes virtuales, dispositivos médicos tradicionales u otro hardware de uso general.

Un software sanitario puede tener multitud de usos previstos y resultar de gran ayuda a los profesionales médicos para mejorar la salud de los pacientes. Puede, así mismo, ayudar a reducir costes de los centros médicos y hospitales.

Ejemplos de Software as a Medical Device 

  • Software que proporciona información (input) a otro producto sanitario con un hardware diferente u otro software médico. Por ejemplo, el software de planificación de tratamientos que suministra información utilizada en un acelerador lineal es un SaMD.
  • El software con uso médico previsto, que funciona en una plataforma hardware convencional (ordenador, tablet, móvil). Por ejemplo, el software destinado al diagnóstico de una enfermedad.
  • El software que está conectado a un producto sanitario que contiene hardware pero que no es necesario para que ese producto alcance su uso previsto.

¿Cuáles son los ejemplos de software que no son Software as a Medical Device?

Un software que forma parte de un producto sanitario de hardware, no cumple con la definición de Software como un Producto sanitario.

A continuación detallamos algunos ejemplos:

  • Software utilizado para "accionar o controlar" los motores y la bomba de infusión de medicamentos o software que controla un marcapasos. Son los denominados "software embedded", "firmware”, entre otros.
  • Software que se basa en los datos de un producto sanitario, pero que no tiene una finalidad médica, por ejemplo, el software que codifica los datos para su transmisión desde un producto sanitario.

Ejemplos de SaMD 

Según la FDA, el software se puede categorizar como SaMD si está diseñado para llevar a cabo una finalidad médica prevista por sí mismo. Esto incluye software o aplicaciones móviles destinadas a tratar, diagnosticar, curar, mitigar o prevenir enfermedades u otras afecciones.

Son muchos los programas o aplicaciones que están considerados como SaMD, como las Apps o programas informáticos. La FDA incluye un listado con varios ejemplos, entre los cuales se citan los siguientes:

Aplicaciones móviles:

las aplicaciones móviles reguladas como SaMD utilizan las funciones integradas de una plataforma móvil como luz, vibraciones, cámara u otras fuentes similares para realizar funciones de dispositivos médicos (por ejemplo, aplicaciones médicas móviles que utilizan los profesionales autorizados para diagnosticar o tratar una enfermedad).

Ejemplos de estas aplicaciones:

  • Un sensor que está conectado a una plataforma móvil para medir y mostrar la señal eléctrica producida por el corazón (electrocardiógrafo o ECG). Posibles códigos de producto: DPS, MLC, OEY (21 CFR 870.2340), MLO, MWJ (21 CFR 870.2800).
  • Un sensor conectado a la plataforma móvil para amplificar y "proyectar sonidos asociados con el corazón, arterias y venas y otros órganos internos" (es decir, un estetoscopio electrónico). Código de producto: DQD (21 CFR 870.1875 (b).

Otros ejemplos del listado incluyen:


  • Una aplicación móvil que toma datos de un medidor de glucosa en sangre y un registro de alimentos del paciente para proporcionar recomendaciones de dosis de insulina para la diabetes (SaMD).
  • Software que analiza el historial médico y los datos de diagnóstico de un paciente para determinar la dosis correcta del medicamento. El software que recopila recupera y organiza los datos médicos reales es el SaMD.

Hacia dónde se dirige SaMD

El SaMD está ayudando a mejorar la atención médica, ofreciendo a los profesionales sanitarios mejor información y acelerando los tiempos en su toma de decisiones.

La movilidad de datos de este tipo de software permite ofrecer opciones de tratamientos médicos más precisas, sobre todo cuando se hace con el uso de la inteligencia artificial (IA) y del Big Data (recopilación y análisis de grandes volúmenes de datos) para obtener información clínica única. Pero la industria sanitaria se enfrenta a grandes retos para armonizar y regular este tipo de tecnología aplicada a la atención sanitaria.

Los avances tecnológicos y la evolución de la inteligencia artificial y el internet de las cosas harán que los dispositivos y programas de aplicación médica sean cada vez más sofisticados y precisos, pero son un reto a nivel regulatorio, por lo que se refiere a la protección de datos sensibles (regulación HIPPA en Estados Unidos).

Software as Medical Device tiene un papel fundamental en este entorno con múltiples aplicaciones, pudiendo ser utilizado, tanto por los médicos, como por los propios pacientes.  

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos y si quieres conocer más de las soluciones que te podemos ofrecer en el campo de la salud, no dudes en ponerte en contacto con nosotros.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Cibersanidad: la importancia de las TIC

El sector médico y sanitario también se encuentra marcado por la digitalización y el avance en las tecnologías de la información y la comunicación (TIC).  

Este avance ayuda  mejorar la calidad de vida y el bienestar de las personas disminuyendo los desequilibrios de acceso a los servicios de salud y, a su vez, optimizando los costes operativos de los servicios médicos.  

En este artículo hablaremos de la importancia de las TIC en el sector sanitario, veremos qué es la cibersanidad y por qué tiene tanta transcendencia el uso de las nuevas tecnologías en la mejora de la salud. 

Qué son las TIC 

Las TIC o tecnologías de la información y comunicación son el conjunto de tecnologías y técnicas relacionadas con la gestión de información en cualquier ámbito empresarial o personal.  

En el ámbito empresarial, las TIC son todos aquellos recursos, herramientas y aplicaciones cuyo objetivo son el de procesar, administrar y compartir la información, utilizando para ello diversos soportes tecnológicos. 

El sector sanitario ha experimentado una gran transformación con la implantación de las TIC, que han supuesto una nueva forma de trabajar en el ámbito de la medicina y la atención a los pacientes. 

Qué es la cibersanidad 

La Organización Mundial de la Salud (OMS), define la cibersanidad como, “la transferencia de recursos y cuidados de salud por medios electrónicos”, por lo que es un medio para lograr la utilización rentable y segura de las TIC en el ámbito de la medicina y la salud.  

El término cibersanidad engloba estas tres áreas principales: 

  • La entrega de información y documentación sanitaria a través de Internet  
  • El aprovechamiento de todo el potencial de las nuevas tecnologías para mejorar los servicios de salud pública 
  • El uso del comercio electrónico para la gestión de servicios sanitarios.

Existen confusiones terminológicas entre cibersanidad y telemedicina hasta el punto que no todos los países utilizan el mismo término para describir el mismo servicio. Hay tres posturas diferentes al respecto: unos autores consideran que telemedicina y cibersanidad son sinónimos, otros entienden que la cibersanidad es un término más amplio que incluye la telemedicina y hay un tercer grupo que distinge los dos conceptos, según el cual, la telemedicina comprende las diferentes ramas de la medicina (telecardiología, la telerradiología, teleoftalmología...) mientras que la cibersanidad incluye el concepto de salud electrónica en general (las tecnologías de la información y la comunicación en la salud, entre pacientes y profesionales...). 

De todos modosel informe “WHO Telemedicine: opportunities and developments in Member States" cita que, para la OMSla telemedicina, a diferencia de la cibersanidadestá relacionada con estos cuatro elementos:  

  • Objetivo de ofrecer una mejor atención clínica. 
  • Permitir superar barreras geográficas al tratar pacientes a distancia. 
  • Utilizar nuevas tecnologías de la información y la comunicación. 
  • Tiene como meta mejorar la salud de los pacientes. 

En todo caso, las principales Organizaciones Internacionales, la Unión Europea (UE), la Unión Internacional de Telecomunicaciones y la Agencia Espacial Europea (AEE) han adoptado oficialmente el término cibersanidad 

El IoT aplicado al campo del eSalud 

En Internet of Things (IoT), los dispositivos en la nube comparten información entre sí y esto posibilita el hecho de analizar multitud de flujos de datos de forma más rápida y precisa.  

Como hemos dicho, la eSalud hace referencia a un desarrollo técnico y a una nueva forma de trabajar para mejorar la sanidad a través de la utilización de las TIC. Por esta razón, el IoT es un gran potencial en el campo de la salud electrónica para aumentar y mejorar la calidad y el acceso a la atención médica y, además, reducir el coste de la atención. 

Las tecnologías que se interrelacionan en la informática médicael eSalud, utilizan aplicaciones como sistemas online de salud para poder atender a personas ubicadas en distintos puntos geográficos. También hacen uso de sistemas de monitorización que ofrecen un flujo continuo de datos para que los profesionales puedan tomar mejores decisiones de atención, por ejemplo.  

En este sentido, un sistema de eSalud basado en IoT no solo da un enfoque más inteligente a los servicios de salud, sino que también logra que el proceso de toma de decisiones sea más preciso y eficaz. 

En eámbito del eSalud aparecen una serie de nuevos términos que están relacionados con la salud y las nuevas tecnologías. Estos términos son: 

Salud 2.0. Nuevas formas de comunicación entre paciente y médicos. 

  • M-health. Uso de dispositivos móviles e inalámbricos en la salud. 
  • Telesalud. Cuidados y servicios médicos a distancia con el uso de TIC. 
  • e-pacientes. Personas capaces de utilizar nuevas tecnologías en internet para mejorar su salud. 
  • e-profesionales. Profesionales de la sanidad con competencias en el uso de las TIC para un mejor desarrollo profesional. 

Por qué son importantes las TIC para la cibersanidad 

El avance en las tecnologías de la información y la comunicación hacen que cada vez sea más sencillo, menos costoso y se obtengan mayores beneficios de su uso en el ámbito sanitario. Las principales ventajas que aporta el uso de las TIC en la cibersanidad son: 

Mejora de la atención al paciente 

Transmitir de forma correcta y eficiente la información relacionada con los temas de salud siempre ha sido una de las mayores dificultades dentro del sector sanitario. Con el uso de las TIC se mejora la seguridad del paciente, proporcionando un acceso inmediato y directo a su historial médico, consultando online sus tratamientos, registrando su evolución y, en definitiva, reduciendo errores e incrementando la calidad del servicio de atención al paciente. 

Menores costes de los servicios médicos 

Las TIC proporcionan una considerable reducción del tiempo necesario para procesar los datos e informes de los pacientes. Además, con el uso de la receta electrónica los profesionales de la medicina liberan mucho tiempo diariamente. Estas mejoras a causa del uso de las TIC se traducen en una reducción de los costes de los servicios médicos. 

Reducción de los costes administrativos 

Todos los procesos administrativos relacionados con la salud llevan asociados una gran cantidad de documentación (facturas, comunicaciones, informes, etc.). Las TIC automatizan muchos de estos procesos y evitan el uso de papel al cambiarlo por formato digital (con la consiguiente reducción en el gasto de material fungible y almacenamiento). Los costes administrativos se ven altamente reducidos con el uso de las TIC para la gestión administrativa. 

Obtención de datos 

Mediante las TIC es posible recopilar datos sanitarios voluminosos de información (Big Data) para mejorar las políticas de salud pública y determinar dónde asignar recursos, facilitar la investigación sanitaria, evaluar la eficacia de los productos farmacéuticos, ofrecer información a los pacientes interesados en determinados tratamientos, por ejemplo. 

Desarrollo de nuevas tecnologías 

Es un ámbito en continuo avance que ofrece nuevos sistemas de acceso a la salud, tales como, a una mejor información biomédica, apps que agilizan la toma de decisiones clínicas innovadoras formas de comunicación que lejos de despersonalizar, pueden ayudar a mejorar la comunicación médico-paciente, aumentar la calidad de la atención y crear métodos más precisos de asistencia sanitaria.  

Descentralización de la atención médica gracias al 5G 

El 5G abre la puerta a un nuevo nivel de conectividad y de potencia de comunicación que puede cambiar el sector salud. Por ejemplo, con los wearables se puede mejorar el monitoreo y la administración de los fármacos, reduciendo la necesidad de visitar presencialmente al médico. 

Este tipo de red también permite tener un control en tiempo real de la salud del paciente, además, de mejorar la atención médica de las personas que viven lejos de los núcleos urbanos. En definitiva, esta accesibilidad a los datos y a los dispositivos de monitorización, concede mayor control al paciente sobre su propia salud. 

Aplicaciones de inteligencia artificial (IA) 

El uso de la inteligencia artificial en el sistema de salud, así como productos específicos para el paciente obtenidos con la impresión 3D o la consolidación de la cirugía robótica, son algunas de las innovaciones que contribuyen a mejorar la curación del paciente.

Con la IA se pueden proporcionar mapas de ruta y sistemas de navegación para cada quirófano, abordar innumerables variables que enfrentan los equipos quirúrgicos, desde rotación del personal, herramientas y recursos, ayudar al diagnóstico y tratamiento, proporcionar cuidadores robóticos, aliviar la carga de los médicos, agilizar el proceso de desarrollo de nuevos fármacos... 

Implementar nuevos modelos sanitarios 

La implementación de las TIC lleva consigo una transformación digital que afecta no sólo a los medios físicos y programas de gestión, sino que producen un cambio en la forma de trabajar y de ejercer la medicina y el desarrollo de la sanidad.  

Además, en situaciones de crisis sanitarias como la actualprovocada por el COVID-19, las TIC, no solo han sumado, sino que también han sabido adaptarse a los cambios urgentes que requerían nuevos modelos sanitarios, fruto de la pandemia

Por ejemplo, gracias a las TIC, el modelo de prestación de la asistencia primaria se ha reorientado hacia la atención telemática (teléfono, teleconsulta y videoconferencia) tanto de los pacientes afectados por el COVID19 como del resto.  

También se han impulsado mejoras en el acceso a los servicios, como por ejemplo: el uso de la eConsulta, o la activación de la acreditación no presencial (vía telefónica y utilizando una autenticación por SMS) y se han aumentado las funcionalidades de los serviciosfacilitando el envío telemático de registros de incapacidad o desplegando nuevas herramientas como el acceso a los sistemas de información de los profesionales sanitarios de manera remota y la videoconsulta 

En este caso, la crisis sanitaria ha sido un catalizador para implantar las TIC en diversos proyectos, planes de contingencia, servicios e iniciativas, se están posicionando como imprescindibles para cualquier sistema sanitario moderno. 

Las tres grandes mejoras que ha proporcionado el uso de las TIC en el sector sanitario son: 

  • Mejora del acceso a la sanidad. Las TIC han facilitado el acceso a la sanidad para muchas personas, sobre todos aquellas que viven en lugares más aislados (zonas rurales o de difícil acceso). 
  • Renovación de la atención primaria. La atención sanitaria ha experimentado una gran mejora, principalmente en las áreas del cuidado de enfermedades crónicas, el servicio de entrega de información sanitaria y la coordinación de los cuidados sanitarios. 
  • Aumento de la calidad del servicio. Los distintos países que aplican las TIC en su sistema sanitario han visto como este se ha enriquecido y ha aumentado su calidad.  

El uso de dispositivos móviles como smartphones y tablets, así como el trabajo en la nube, están aportando nuevos beneficios en el ámbito de la salud, aumentando el tiempo que se dedica al cuidado y tratamiento de los pacientes, el acceso en cualquier momento y lugar a pacientes e informes médicos, la disminución del número de errores de los profesionales sanitarios (medicación o errores en los datos) y mejorando la movilidad de los médicos (teniendo siempre disponibilidad de acceso a los datos). 

La tecnología, pues, se ha convertido en una importante herramienta para el sector de la salud. Su uso ha posibilitado mejorar el diagnóstico y tratamiento de enfermedades, así como también realizar seguimientos más exhaustivos a los pacientes y reducir cirugías invasivas, entre otros aspectos.  

Pero la llegada del 5G, que ya hemos mencionado en el apartado anteriorpermitirá reducir las distancias y tiempos de consulta entre paciente y médico, incluso será más fácil pedir una segunda opinión de un experto sin importar en qué lugar del mundo se encuentre. Las operaciones quirúrgicas también mejorarán gracias a la posibilidad de realizar cirugías a tiempo real con la asistencia virtual de especialistas. 

Como ves, el uso de las TIC en el sector sanitario beneficia a todas las partes involucradas,  desde médicos que ofrecen una mejor atención sanitaria y ven facilitado su trabajo, ahorrando tiempo, tomando mejores decisiones y disminuyendo el número de errores, hasta centros sanitarios y proveedores de productos y servicios médicos (trabajo más eficiente, reducción de costes, entre otros). 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos y si quieres conocer más de las soluciones que te podemos ofrecer en el campo de la salud, no dudes en ponerte en contacto con nosotros.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Análisis GAP en la gestión de activos software

Las empresas necesitan optimizar sus recursos para ser más ágiles y efectivas, pudiendo así incrementar su productividad. La digitalización y los cambios disruptivos implican que las empresas aumenten el uso de recursos tecnológicos para sus procesos, comunicaciones y administración.

El incremento de software utilizado para gestionar las distintas actividades y tareas empresariales, que además están relacionados entre sí, provocan que la gestión de la tecnología de la información necesite de un sistema adecuado que permita optimizar estos activos. 

Para conocer el estado de los activos de software las organizaciones deben realizar un análisis GAP para descubrir aquellas brechas (fallos, software sin licencia, procesos no cubiertos, cuellos de botella y similares).

Este análisis, es muy útil para analizar la madurez de la gestión de activos de softwaredebe estar alineado en función de las políticas, procesos y procedimientos que la organización tenga implementados. Disponer de un sistema de gestión de activos permitirá conseguir un mejor rendimiento de los activos tecnológicos de la empresa. 

Qué es el análisis GAP 

El análisis GAP oanálisis de brechases un procedimiento basado en la comparación de una situación deseada o marcada en unos objetivos con la situación dada o de partida. Esta comparativa entre ambas situaciones deja al descubierto las brechas por las cuales no se están alcanzando los propósitos y permite tomar las medidas correctoras

La intención de realizar un análisis de brechas es la de detectar las diferencias existentes, en un momento determinado, respecto a un punto de referencia seleccionado. Sirve, por tanto, en la finalidad de determinar estrategias y acciones orientadas a un objetivo identificado. 

La perspectiva desde la que se realiza el análisis GAP es muy amplia, puede estar enfocada a los procesos de negocio, la organización, la dirección comercial o las tecnologías de la información (TI) entre otras. 

Cómo gestionar los activos TI 

A medida que las empresas van evolucionando, incorporan nuevos programas y aplicaciones para mejorar su gestión y procesos. Administrar todo ese software puede convertirse en un proceso arduo y complejo por lo que necesita un proceso de gestión, lo que se conoce como Software Asset Management.

Qué es Software Asset Management

SAM (Software Asset Management) es un sistema de gestión encargado de velar por el ciclo de vida completo de los Activos SoftwareEste sistema abarca desde la petición de dotación de un nuevo software en la infraestructura, pasando por la adquisición de licencias y contratos de mantenimiento o subscripciones, el despliegue y uso del software, hasta su eventual retirada. 

SAM garantiza: 

  • El cumplimiento de normativas y auditorías  
  • Reducción de procesos manuales 
  • La mitigación de riesgos nivel operativo y reputacional 
  • Optimizar el ROI gracias a una reducción del TCO 
  • Racionalizar el uso de activos de software

Este tipo de actividades pueden llevarse a cabo en las organizaciones con el apoyo de soluciones tecnológicas de un partner solvente acreditado.

Cómo sacar el máximo partido con SAM 

Como hemos visto antes las organizaciones que han implementado SAM consiguen proteger sus inversiones de software, identificando lo que se dispone, dónde está instalado y si está utilizando sus activos de manera eficiente. Llegando a lograr con el paso del tiempo y aplicando correctamente todos los procedimientos, una situación óptima en su infraestructura de TI. 

Para garantizar la continuidad del proceso, Ambit BST recomienda crear una oficina de Gestión SAM a fin de dar continuidad al plan SAM a través de controles, inventarios y formación los empleados. Disponer de una plataforma para la gestión de activos de software nos permitirá administrar de forma eficiente los activos de software y proporcionar beneficios a las empresas, reduciendo costes, mejorando procesos, facilitando el crecimiento y, en definitiva, obteniendo un mayor rendimiento y aprovechamiento de los activos TI. 

Para sacar el máximo partido a la estrategia SAM deben implementarse las mejores prácticas para la gestión de activos de software: 

Implicar a la dirección 

Es importante que las personas encargadas de la toma de decisiones en la empresa estén informadas de la estrategia de gestión de activos de software. Por esta razón es importante que el líder de la gestión de activos de software sea un ejecutivo de alto nivel que disponga de comunicación directa con los responsables de los distintos departamentos y así poder involucrarlos en la estrategia SAMy garantizar su éxito. 

Utilizar una herramienta adecuada 

Es importante disponer de una herramienta que se adapte a las necesidades de gestión de los activos de software de la organización, por lo que es importante analizar las distintas opciones existentes en el mercado teniendo en cuenta los siguientes factores: 

  1. Escalabilidad. 
  2. Flexibilidad. 
  3. Detección de activos. 
  4. Gestión de licencias. 
  5. Monitorización e informes. 

Disponer personal altamente capacitado 

Además de disponer de la plataforma adecuada, es preciso que el personal encargado de utilizarla disponga de alta capacitación y experiencia.

Es necesario disponer de un equipo que se encuentre realmente preparado para afrontar la gestión de activos de software, haciendo especial énfasis en la comunicación (interna entre miembros del equipo y externa con los diferentes departamentos). 

Monitorizar la gestión de los activos de software 

Es imprescindible medir la evolución de la estrategia SAM por lo que el uso de indicadores clave (KPI) correctamente alineados con los objetivos fijados son fundamentales (tasa de utilización de software o la relación entre licencias usadas y no utilizadas son dos ejemplos de este tipo de KPI). La monitorización de la gestión de los activos de software con el uso de métricas permitirá comunicar a la organización, tanto el éxito de la implantación de SAM como las desviaciones.  

Identificar los activos de software 

La herramienta SAM permite identificar o descubrir los activos de software existentes en la empresa. Al organizar y confeccionar una lista de todos los activos de software, se pueden encontrar brechas o fallos, como la duplicidad de software. 

La clasificación de los activos de software también permitirá asignarles prioridades según su implicación o importancia (alta prioridad para los que impliquen mayor incidencia en áreas importantes como ventas, costes, o similares y baja prioridad para los que no afectan a los costes, como los de licencias free). 

La organización de los distintos activos de software también permite crear una lista negra donde incluir todo aquel software que no puede ser utilizado. 

Gestión eficiente de licencias 

Tener un control de todas las licencias de software que maneja la organización permite ahorrar costes al poder asignarlas o reciclarlas, evitando la adquisición de nuevas licencias, y disminuyendo el número de las mismas que se encuentran inactivas (sin ser utilizadas). 

Auditorías de software 

Son muchos los motivos por los que se puede realizar una auditoría, como motivos internos de la propia empresa, motivos externos (que pueden acarrear multas y dañar la imagen de la empresa) u obtener certificaciones (ISO/IEC 19770), estándar internacional relacionado con la gestión de activos de software -SAM). 

Por lo tanto, es importante que el proceso de gestión de software esté siempre preparado para una auditoría, realizando análisis GAP y de cumplimiento de licencias. El análisis de brechas permite identificar aquellas licencias que están en uso o aquel software que carece de las mismas dentro de una organización, facilitando la gestión de los activos de software y evitando posibles sanciones o un deterioro de la imagen de la empresa. 

Las plataformas de Software Asset Management son fundamentales a la hora de gestionar los activos de software de TI y requieren de una alta capacitación por parte del personal que las utilizan.  

Aquellas empresas que administren de forma eficiente sus activos de software pueden lograr una ventaja competitiva (en costes y mejora de procesos). La estrategia SAM debe estar bien definida y contar con unos objetivos claros fijados, asignando unos roles y responsabilidades determinados a las personas implicadas en su implementación.

El análisis GAP, la elección del equipo y la plataforma adecuada, los procesos, la implicación de los distintos departamentos y directiva, la gestión eficiente de licencias de software, el uso de KPI para la monitorización y la categorización de los activos de software, son algunas de las mejores prácticas para una gestión óptima de los recursos de software de TI. 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos.

Si quieres sacar partido al proceso de gestión de los activos de software, y conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros."

Cualificación de equipos de producción en entornos regulados

La cualificación de los equipos de producción es necesaria para las industrias farmacéuticas, clínicas y de dispositivos médicos, altamente reguladas, ya que si surgen inconsistencias en los mismos podrían desencadenar incumplimientos en las regulaciones e incluso la retirada del mercado de los productos fabricados con dichos equipos. 

El primer paso para llevar a cabo la cualificación de los equipos de producción en el sector farmacéutico y de la salud, será evaluar el impacto del equipo en función de scriticidad GxP. Eso es, la aplicación de las normativas de buenas prácticas dentro de la industria del sector regulado para asegurar que los suministros tengan un nivel de calidad aceptable y una seguridad al paciente o consumidor.  

Por lo tanto, se deberán definir los procesos críticos dentro del sistema, empezando por los de mayor criticidad, definir los flujos de datos y la criticidad de cada componente para así dimensionar correctamente las actividades de cualificación requeridas.  

En este sentido, es necesario definir el ciclo de vida de las etapas de cualificación para los equipos. Estas etapadeberán quedar recogidas en el Plan Maestro de Validación (PMV)Este Plan incluye la metodología que se debe seguir para validar los sistemas informatizados de una empresa y todos los aspectos necesarios para llevar a cabo una validación. Incluye, además, un listado de todos los sistemas que se tienen que validar. 

Ciclo de vida de los equipos en entornos regulados

Las etapas que comprenden la cualificación de los equipos (ver Anexo 15 de las GMPs) son las siguientes: 

Requerimientos de Usuario (URS)

Se deberán definir todos los requerimientos de funcionalidad, de seguridad y regulatorios que deben cumplir los equipos, ya que estos serán la base de las pruebas de cualificación a ejecutar en futuras etapas. 

Análisis de Riesgos (RA)

El análisis de riesgos determina el nivel de riesgo de cada uno de los requerimientos especificados en el documento de URS, incluso los requerimientos regulatorios, con el fin de poder dimensionar las pruebas necesarias para mitigar los riesgos detectados en las etapas de IQ/OQ y PQ.

Cualificación del Diseño (DQ)

Esta primera etapa de cualificación, consiste en obtener verificación documentada de que los equipos cumplirán con el propósito para el que están diseñados y sus requisitos están cubiertos por el diseño. Para ello, se trazarán los requerimientos de usuario definidos con la documentación técnica aportada por el proveedor del equipo (Functional SpecificationDesign Specification, Manuales, etc..).

FactoryAcceptanceTesting (FAT) / Site Acceptance Testing (SAT) 

Tanto las pruebas FAT como las pruebas SAT las deberá realizar el proveedor del equipo. Las pruebas FAT se realizarán en las instalaciones del proveedor, y una vez finalizadas y documentadas de forma correcta, se procede al transporte e instalación del equipo en su ubicación final.

Asimismo, en función del componente, el proveedor realiza unas pruebas SAT o commissioning o puesta en marcha del equipo una vez instalado en planta.

Cualificación de la Instalación (IQ)

La cualificación de la instalación del equipo tiene como objetivo verificar la instalación de cada componente atendiendo a los siguientes aspectos:

  • Correcta instalación de los componentes de acuerdo a las especificaciones. 
  • Verificación de los planos y esquemas. 
  • Existencia de procedimientos de uso, mantenimiento y limpieza. 
  • Idoneidad de materiales en contacto con el producto. 
  • Calibración de instrumentos. 

 Cualificación Operacional (OQ)

Una vez finalizada la cualificación de la instalación, se continua con la cualificación operacional. Esta cualificación está diseñada para verificar el cumplimiento de las funcionalidades de cada equipo atendiendo a:

  • Operaciones del equipo. 
  • Pruebas de comportamiento del equipo en sus límites de operación superiores e inferiores, así como en las peores condiciones de trabajo que se puedan dar (tolerancias).

Cualificación en Funcionamiento (PQ)

Como última etapa de la cualificación, se aborda la cualificación en funcionamiento, la cuál consiste en una monitorización de los equipos en un entorno de producción, para demostrar que el equipo es adecuado para el uso previsto por parte de los usuarios finales, que han recibido la formación adecuada y acorde a su responsabilidad. En esta etapa también se asegura que los procedimientos contienen la información idónea para trabajar con los equipos. 

Una vez finalizadas todas las etapas de cualificación, se elaborará el Informe Final de Validación (IFV), donde se demostrará que todas las actividades descritas en el Plan de Validación se han llevado a cabo con éxito. También se incluirán los resultados obtenidos en cada etapa de cualificación y las desviaciones que hayan podido surgir durante el desarrollo de dichas etapas. 

ciclo_vida_producto_entornos_regulados

Revisión Periódica

Además, será necesario establecer un período adecuado para comprobar que los equipos continúan cualificados a lo largo del tiempo. También será necesario establecer que si se producen cambios, estos se realizan de manera controlada,  igual como las actividades que se deben llevar a cabo en una recualificación de los equipos 

La revisión periódica de los sistemas debe realizarse de acuerdo con un procedimiento concreto y se debe documentar incluyendo las acciones correctivas y su seguimiento (plan de acción) hasta su resolución. 

La periodicidad de la revisión puede indicarse en el inventario de sistemas informatizados requerido por la normativa que, entre otros datos, puede contener la siguiente información: funciones básicas del sistema, criticidad GxP, categoría GAMP, estado de la validación, frecuencia revisión periódica, responsabilidades sobre el sistema (system owner,  process owner, data owner), usos de firma electrónica.

Todo este proceso de validación es un requerimiento de calidad que deben cumplir las empresas del sector farmacéutico, clínico y de dispositivos médicos como parte de las Buenas Prácticas de Fabricación. Los diferentes procesos pasan por una evaluación, documentación y detección de errores existentes para darles una solución.  

De este modo se garantiza un correcto procedimiento de los productos tanto por el nivel de calidad exigido como también por la garantía de seguridad que requiere la normativa. 

En este sentido, cuando un sistema está validado se entiende que es estable, capaz y robusto, logrando seguridad y optimización del proceso, calidad en el resultado, reducción de costes y aumento de la productividad, además de cumplir con las regulaciones y normas requeridas. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes enponerte en contacto con nosotros. 

Ponemos a disposición de nuestros clientes un equipo técnico con años de experiencia en la realización de este tipo de cualificaciones para el sector farmacéutico. Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Gestión de cambios de sistemas informáticos en entornos regulados

Los sistemas informáticos implementados para automatizar los procesos en la industria regulada (industria farmacéutica, biotecnológica, producto sanitario…) sufren constantemente cambios a lo largo de su ciclo de vida, ya sea en la fase de implementación como de uso en un entorno de producción.

Un buen sistema de Gestión de Cambios, integrado en el Sistema de Gestión de la Calidad de la compañía tal como está descrito en el Anexo 11 de las GMP (sección 10), es necesario para garantizar que dichos cambios se introducen de manera controlada, coordinada y documentada.

Cambios tales como:

motivos_gestion_cambiosSon ejemplos típicos que pueden darse durante las diferentes fases del ciclo de vida del sistema. En función de la fase donde tengan lugar pueden tener mayor o menor impacto en el estado de la validación de este.

¿Qué implica no disponer de un sistema de Control de cambios?

El adecuado control de los cambios dentro de una compañía a menudo es una tarea dura e ineficaz por no disponer de un buen sistema de gestión, conllevando a altas cargas de trabajo, elaboración de mucha documentación, o documentación incompleta debido a una falta de comunicación o comunicación inadecuada. Pueden implicar un proceso de formación de los usuarios antes o después de su implementación.

Paralelamente, en muchos casos los cambios pueden ser urgentes, lo que añade un punto de complejidad adicional a una gestión de los mismos.

Una de las consecuencias directas de un mal sistema de gestión de cambios es que muchos de los cambios realizados no llegan a ser gestionados o no se gestionan adecuadamente llegando incluso a perder el control del estado del sistema; este hecho puede derivar en muchas ocasiones a la apertura de desviaciones por parte de auditorías, e incluso warning letters por parte de los inspectores de la FDA o EMA.

Definición, identificación y clasificación de los cambios

Los primeros aspectos a considerar son:

  • Definir qué se entiende por cambio. Existen muchas interpretaciones del concepto, por lo que la organización debe definir en su glosario qué entiende por cambio. Esta definición debe ser sencilla y sin ambigüedades: un cambio en un sistema informático es toda modificación de un elemento que está bajo control, tales como funcionalidades, configuración, procedimientos, usuarios… Evidentemente, diferentes tipos de cambios pueden tener distintos tratamientos.
  • Fase del ciclo de vida donde se detecta. El impacto de un cambio sobre el sistema no será el mismo si este se encuentra en fase de desarrollo o por el contrario ya está soportando datos críticos de la compañía. En ocasiones solo será necesario trazar el cambio mientras que, en otras, la ejecución y documentación de pruebas tras su implementación, serán indispensables para garantizar la fiabilidad de las pruebas realizadas hasta el momento o incluso para garantizar el estado de la validación si el sistema ya ha sido liberado.
  • Clasificación de los cambios. Es fundamental tener una clasificación básica de los tipos de cambios. Dependiendo de ella se activarán unos mecanismos de tratamiento determinados, niveles de autorización, nivel de testeo, validación y documentación necesaria para justificar los cambios.
clasificacion_cambios

En este modelo, se clasifican los cambios como menores o mayores en función del esfuerzo necesario para implementarlos y retornar el sistema a un estado validado (o controlado). Habitualmente, se lleva a cabo esta clasificación en base al número de horas o el coste.

Los cambios urgentes se caracterizan por la necesidad imperiosa de aplicarlos para continuar con la actividad, y serán documentados retrospectivamente, ya que su periodo de advertencia es corto o nulo y la implementación de la solución suele ser inmediata. Se recomienda no abusar de este tipo de clasificación.

¿Cómo llevar a cabo una buena gestión de los cambios?

Para que el proceso resulte exitoso deben tenerse en cuenta los siguientes aspectos:

  • Intervención de la Unidad de Calidad en los cambios que tienen impacto regulatorio (GxP), de modo que asegure que los requisitos regulatorios no se ven afectados por el cambio y, si es así, quedan adecuadamente evaluados y documentados.
  • Disponer de un procedimiento que describa el proceso y las responsabilidadessobre el cambio con el fin de garantizar que todas las etapas para su correcta gestión se han llevado a cabo: identificación, evaluación, aprobación, implementación, validación, aceptación y cierre del cambio. La guía GAMP Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems contiene información detallada de cada una de las etapas del proceso.
  • Creación del Change Advisory Board (CAB), que se reunirá periódicamente (y frecuentemente) para valorar los cambios sobre sistemas en producción, con la participación de personal representativo como Process Owner, System Owner y la Unidad de Calidad.En este comité se priorizarán los cambios, se analizará su impacto y las acciones a realizar. Para la correcta gestión del CAB, nace la figura del Change Manager, que puede tener un papel meramente de gestión, pero centralizando todos los cambios que se realizan en el área.

Utilización de herramientas informáticas para la Gestión de los Cambios

La gestión en papel de los cambios suele ser una tarea onerosa. Y como todo proceso que depende de revisiones, autorizaciones, etc… requiere que alguien efectúe un seguimiento continuo.

Por esta razón, las organizaciones que tienen un sistema de gestión de cambios maduro, acostumbran a implementar sistemas informatizados para llevar a cabo todas las operaciones, con el fin de garantizar la correcta gestión y trazabilidad de todos los cambios que se realizan.

Estas herramientas también permiten una correcta documentación de los cambios, ya que a través de ellas se puede ofrecer los formularios a completar, instrucciones, etc.

La revisión periódica de los sistemas informatizados

Si bien es necesario tener un control sobre el estado de los cambios, la revisión periódica (Periodic Review) es la herramienta adecuada para comprobar el estado de los mismos, y así poder tener una visión global de su afectación en el estado de la validación del sistema informatizado.

Conclusiones

  • Se debe disponer de mecanismos para registrar TODOS los cambios que ocurren sobre todos los componentes de los sistemas informatizados.
  • La gestión de los cambios requiere la definición clara de un proceso común a todas las modificaciones, si bien se pueden aplicar diferentes procedimientos atendiendo a los distintos tipos de cambios.
  • Todos los cambios deben estar adecuadamente registrados y documentados.
  • Las responsabilidades y circuitos de autorización, aprobación… se definirán en procedimientos corporativos.
  • El CAB es un mecanismo muy útil para la valoración de los cambios, priorización de los mismos, etc.
  • La Unidad de Calidad jugará un papel clave en la evaluación de los cambios, y determinarán las acciones específicas de aquellos cambios que afectan a las GxP.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Definición y funciones de soluciones Scada en entornos regulados

Las industrias tienen la necesidad de aumentar el rendimiento de sus activos buscando una mejora en sus procesos y operaciones.

Los fabricantes buscan aumentar su competitividad, utilizando sistemas de mejora en sus plantas de producción para que funcionen de manera más ágil y eficiente. Por eso muchas industrias utilizan un sistema de control SCADA que les permite controlar y optimizar su tecnología para aumentar la productividad y la calidad, minimizando los costes. 

A continuación, veremos qué es el sistema de control SCADA, cómo beneficia a una organización industrial y cuál es su impacto positivo en el sector farmacéutico.  

Qué es el sistema de control SCADA 

SCADA (Supervisory Control And Data Acquisition) es un conjunto de software y hardware que se encarga de la supervisión, control y adquisición de datos de un sistema, con el objetivo de controlarlo y optimizarlo. Este tipo de programas son de uso común en la industria, como pueden ser petroquímicas, sector farmacéutico, telecomunicaciones, militares y similares. 

Un software como SCADA juega un papel fundamental hoy en día en las operaciones industriales. Procesar los datos de forma rápida y eficiente ayuda a mejorar la toma de decisiones y reducir el tiempo de inactividad de los sistemas. 

Esistema SCADA cuenta con tres elementos fundamentales, las unidades de terminal remota (que conectadas a cada equipo recopilan la información), el sistema de comunicación (puede ser cable de red o fibra óptica en la mayoría de los casos) y la interfaz (el software con el que se controla el sistema). 

Características del sistema de control SCADA 

Las principales características de este sistema de control de producción industrial son: 

  • Lectura y escritura de datos. Con un sistema de control SCADA es posible monitorizar, recopilar y procesar información del sistema en tiempo real, interactuando directamente con dispositivos como sensores, autómatas (PLC), válvulas, equipos, etc. Por ejemplo, SCADA permite la conexión de miles de sensores para monitorizar y controlar la producción. 
  • Gestión de permisos. SCADA permite asignar a cada usuario un nivel de acceso que le permita monitorizar o manipular ciertos datos. Así se lleva un mejor control de la planta, donde cada trabajador tiene acceso solamente a los datos relevantes para su función. Además, con el control de acceso a SCADA, se puede controlar los accesos al sistema (quién, cuándo y dónde). 
  • Acceso remoto. Con el acceso remoto a SCADA se puede controlar los procesos industriales a distancia sin necesidad de estar presente en el lugar de trabajo. 
  • Importar y exportar datos: SCADA permite importar y exportar datos en programas externos (como Microsoft Excel). 
  • Sistema de alarmas. Dispone de un sistema de alarmas que avisa a los operarios sobre cualquier incidencia. 

Ventajas del sistema de control SCADA 

La implementación de un sistema de control industrial como SCADA ofrece a las fábricas una serie de beneficios, entre los que podemos destacar: 

  • Optimización de procesos y operaciones industriales, consiguiendo un ahorro considerable de tiempo (por ejemplo, eliminando tiempo empleado en visitas para supervisión al realizarse de forma remota). 
  • Mejora de la calidad de los productos, prediciendo errores antes de que se produzcan.  
  • Reducción de costes. Con SCADA se gana tiempo, se reducen los costos de ingeniería y se minimizan los riesgos. Parte del mantenimiento puede ser realizado por el propio usuario, lo que ayuda a disminuir el gasto en esta partida. 
  • Aumentar la disponibilidad de los activos, ofreciendo datos en tiempo real de los productos, subproductos y materias primas. 
  • Mejora la seguridad de los trabajadores y de los equipos y maquinarias industrialesAdemás, los operarios aumentarán su productividad al disponer de mejor información y una visión global en tiempo real de las operaciones. 
  • Es un sistema flexible y escalable, permitiendo agregar recursos adicionales fácilmente. 
  • Aumento de la productividad con el análisis de los procesos, permitiendo mejoras de los mismos (eficiencia y agilidad). 

Sistema de control SCADA en el sector farmacéutico 

Uno de los sectores que aplica el sistema de control SCADA es el farmacéutico. Esta industria regulada está expuesta a unas reglas y normas muy exigentes en sus procesos de fabricación y distribución de medicamentos (por ejemplo, la norma FDA 21 CFR parte 11 que recoge los requisitos necesarios para que los registros y firmas electrónicas sean seguros es uno de los aspectos que deben cumplir). 

El sistema SCADA ayuda a que la industria farmacéutica cumpla con la regulación y normativa vigente, a la vez que garantiza la seguridad de los productos, consiguiendo una producción más eficiente. 

Beneficios de SCADA en la industria farmacéutica 

SCADA es un sistema de control ideal para una industria como la farmacéutica, que depende de patentes y está sometida a unos controles y normativas muy exigentes. Por eso necesitan de un sistema de control que aumente su productividad, reduciendo al mínimo los costos. En este aspecto SCADA aporta una serie de ventajas como son: 

  • La optimización, control y monitorización en tiempo real de los procesos industriales permite aumentar la producción. SCADA ofrece una integración de todos los datos relevantes de la producción que facilita la mejora de los procesos. 
  • Disminuye los costes al minimizar el consumo de materias primas, con una eficiente administración y planificación de recursos. 
  • Implementa un sistema robusto para el registro de los datos y el control de la producción, permitiendo cumplir con la legislación vigente. La gestión de permisos a usuarios ofrece seguridad a la hora de acceso a la información (por ejemplo, firmas electrónicas solo a usuarios autorizados). 
  • Aporta un sistema avanzado de control de calidad, que permite aumentar la calidad de los productos fabricados. 
  • Permite detectar incidencias de forma precoz, pudiendo tomarse medidas correctoras para adelantarse a la resolución de las mismas. 
  • Ofrece una interfaz gráfica amigable, que facilita el acceso a los datos de forma cómoda, rápida y precisa. 
  • Permite una configuración modular, lo que garantiza que, ante un colapso parcial, no se paralice todo el sistema. 
  • Es un sistema escalable que permite ampliar o añadir mejoras, asegurando la eficiencia de cara al futuro. 

SCADA es un sistema de gestión y control industrial que permite mejorar la productividad de industrias de diversos sectores. La mejora de los sistemas de producción consigue reducir los costes, ganar tiempo y conseguir productos de mayor calidad, mejorando la productividad y transformando a la fábrica en una industria más competitiva. 

En el caso del sector farmacéutico, la implementación de un sistema de control SCADA permite obtener datos de todos los sistemas físicos de producción, cuyo análisis ayuda a optimizar procesos y reducir los costes, consiguiendo un aumento de la productividad.

Además, se trata de un sistema robusto y seguro que permite cumplir con las exigentes normativas y requisitos legales a los que está sometido este sector. Con un sistema de control SCADA, la industria farmacéutica puede garantizar estándares de calidad precisos y demostrables. 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Cómo hacer la trazabilidad de un producto

Dentro de la seguridad alimentaria y de todo plan de APPCC debe incluirse en sus procesos y registros un sistema de trazabilidad de productos. Con este sistema es posible conocer en cualquier momento el origen y ubicación de cualquier producto y las materias primas que lo componen. 

Desde el año 2005 llevar la trazabilidad de los productos alimentarios es de obligado cumplimiento para las empresas del sector alimentario de la Unión Europea.  

A continuación, veremos qué es trazabilidad, su importancia y cómo realizar la trazabilidad de un producto.  

Qué es la trazabilidad de un producto 

La trazabilidad es un conjunto de procedimientos, medidas y actuaciones que permiten conocer la trayectoria histórica de productos alimentarios, materias primas y pienso animal durante la cadena de suministro.  

Cuál es el objetivo de la trazabilidad 

La trazabilidad tiene como objetivo poder localizar cualquier producto alimentario o materia prima dentro de la cadena de suministro. Además, permite inmovilizar retirar cualquier producto en caso de que surjan problemas de seguridad alimentaria. 

Por ejemplo, supongamos que una determinada partida de aceite debe ser retirada del mercado, por detectarse que no está indicada para el consumo. Con la trazabilidad se pueden localizar todas las partidas existentes de dicho aceite a lo largo de toda la cadena de suministro, desde el fabricante, pasando por distribuidores mayoristas, hasta llegar a las tiendas o minorista donde se vende a los consumidores.

A través del número de lote del producto se puede alertar a todos los implicados para retirar el aceite del mercado, y minimizar o eliminar las consecuencias de su uso. 

Las tres visiones de la trazabilidad 

La trazabilidad otorga una visión de los productos desde tres puntos de vista:  

  • Visión hacia atrás. Donde se tiene en cuenta la información de los productos antes de llegar a la empresa (dónde, cómo y cuándo son fabricados, cómo se transportan y toda información relevante antes de su recepción en la empresa).  
  • Visión interna. Todo los procesos y actividades relacionados con los productos, una vez llegan a la empresa. Hay que tener en cuenta la recepción y almacenaje, si se mezcla con otros productos, si se les aplica algún proceso o tratamiento, en definitiva, toda acción que involucre a los productos dentro de la empresa.  
  • Visión externa. Una vez los productos salen de la empresa debe quedar constancia sobre su transporte y a quién y cuándo se venden, realizando un seguimiento post venta.  

Cómo hacer la trazabilidad de un producto 

Para implementar un sistema de trazabilidad de los productos de la empresa hay que seguir una serie de pasos que se recogen en un documento llamado Plan de Trazabilidad. Los distintos pasos recogidos dentro de ese plan serian: 

Definir los criterios para la agrupación de productos 

Es fundamental definir cuáles son los criterios que se van a utilizar para agrupar los productos dentro del plan de trazabilidad y cómo esos datos van a ser registrados en el sistema.  

Lo habitual es agrupar los productos por conjuntos llamados lotes. Cada lote genera una numeración única que debe incluirse en la etiqueta de cada uno de los productos pertenecientes a dicho lote. También es posible utilizar otro tipo de agrupación como partidas (más utilizadas en el sector primario) y agrupaciones de distintos productos (utilizadas en almacenamiento y distribución para enviar grupos distintos de productos). 

Esta codificación debe ser uniforme a lo largo de la cadena de suministro para facilitar la identificación de los productos. Por eso, es importante que todas las empresas involucradas en la cadena de suministro utilicen un sistema compatible de codificación que permita conservar el mismo número de lote a lo largo de la misma.  

El tamaño del lote o agrupación depende de los criterios que tenga la empresa para realizarlos. Mientras más precisa sea la agrupación de los productos, menor será la cantidad de producto que habría que retirar del mercado en caso de necesidad.

Por ejemplo, si una empresa agrupa el lote solo por fecha, tendría que retirar más cantidad de productos que si lo hiciese teniendo en cuenta fecha, hora y maquinaria. 

Crear un sistema de registros y documentación 

Es necesario registrar todos los datos generados y relacionados con el producto para poder realizar un control de la trazabilidad adecuado.  

La relevancia de la información debe ser la que marque un modelo de registro definido. Este modelo debe permitir que la información se proporcione a toda la cadena de suministro sin sufrir alteraciones, para lo cual, lo ideal es utilizar modelos automatizados que no requieran, o su uso sea mínimo, de la introducción manual de datos.  

En este punto es necesario disponer de las herramientas necesarias para poder realizar los registros correctamente y con el mayor grado de automatización posible. El uso de dispositivos tecnológicos (como los lectores de código de barras o identificación por radiofrecuencia RFID) facilitan mucho esta tarea. 

En el sector agroalimentario se utilizan habitualmente los códigos EAN 13 y EAN 128 (el EAN 128 es más interesante porque incluye la fecha de caducidad). 

Los registros que deben llevarse en un plan de trazabilidad son: 

  • Entrada de materias primas y otros productos o materiales en la empresa. 
  • Registros de todos y cada uno de los procesos de elaboración o transformación. 
  • Registro de los productos acabados o envasados en la empresa. 
  • Registros de las comprobaciones realizadas. 

Uso del sistema de identificación 

Las empresas deben utilizar un sistema de identificación que permita hacer un seguimiento del producto desde los tres puntos de vista, hacia atrás, internamente en la empresa y hacia delante o externamente.

Para ello el número de lote debe incluirse en etiquetas, albaranes y facturas. Además, debe proporcionarse otra información como: 

  • A quién se entrega el producto. 
  • Cantidad y tipo de productos entregados. 
  • Información sobre cantidad de embalajes. 
  • Fecha y hora de entrega. 
  • Tipo de transporte utilizado en la entrega.  

Control y gestión de incidencias 

Cuando se produce una situación que afecta a la seguridad alimentaria, las empresas están obligadas a retirar del mercado sus productos, informando a las autoridades. El plan de trazabilidad debe incluir los protocolos de actuación ante este tipo de crisis, permitiendo que se tomen las decisiones de forma ágil y correcta y minimizando los riesgos de los consumidores. 

Test del plan de trazabilidad 

El último paso para hacer la trazabilidad de un producto es comprobar que todo lo desarrollado en el plan funcione correctamente. Para ello hay que incluir durante el proceso la monitorización de las distintas actividades, así como también, un sistema de revisión de los distintos registros, para detectar anomalías o desviaciones, y poder tomar las medidas preventivas oportunas. 

Este proceso de monitorización del plan de trazabilidad debe ser realizado por personas ajenas a los procesos en sí mismos, con el objetivo de alcanzar un mayor nivel de objetividad y transparencia. 

La trazabilidad es una herramienta indispensable para asegurar que los alimentos sean de calidad aptos para el consumo. Además, permite localizar cualquier alimento dentro de la cadena de distribución para retirarlo del mercado en caso de necesidad, en un periodo corto de tiempo.  

La tecnología ayuda a que los procesos y registros de la trazabilidad cada vez sean más precisos y rápidos, proporcionando mayor grado de seguridad para el consumidor final. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Cómo cumplir la Ley de Protección de Datos en el sector farmacéutico

El sector farmacéutico maneja una gran cantidad de datos en su día a día. Además, estos datos son sobre la salud de los pacientes por lo que deben ser protegidos cumpliendo la legislación vigente amparada en la Constitución Española y regulada por reglamentos europeos y españoles. 

A continuación, ahondaremos en la Ley de Protección de Datos y su aplicación en el sector farmacéutico, descubriendo qué normas y leyes rigen la protección de datos y cómo se deben cumplir en este sector. 

Qué normativa deben cumplir las farmacias 

Las normas reguladoras de la protección de datos en el sector farmacéuticos son la RGPD, la LOPD, el Real Decreto-Ley 5/2018 y la Ley 41//2002, de autonomía del Paciente. 

RGPD: Reglamento General de Protección de Datos 

El RGPD es un reglamento europeo que se encuentra en vigor en toda la Unión Europea desde el 25 de mayo de 2018. Este reglamento protege los datos personales y la manera en que las empresas y organizaciones hacen uso de ellos (proceso, almacenaje y destrucción). El reglamento incluye las normas relacionadas con el incumplimiento de la normativa, indicando qué sucede en cada caso. 

Las normativas europeas son leyes de obligado cumplimiento por todos los estados miembros de la Unión Europea. 

LOPD: Ley Orgánica de Protección de Datos 

La LOPD es una Ley española que se encarga de garantizar y proteger los datos personales, obligando a todas las personas que intervengan en cualquier fase del tratamiento de datos personales, a garantizar la seguridad de los mismos. La LOPD asegura que los derechos de las personas que ceden sus datos, se encuentran protegidos.  

Cumplir con la LOPD implica el cumplimiento de una serie de condiciones. En caso de no cumplir con las mismas se producirán sanciones.  

Real Decreto-Ley 5/2018 

Este Real Decreto de medidas urgentes se aprobó para adaptar rápidamente el derecho español a la normativa de la Unión Europea en cuanto a protección de datos. 

Ley 41//2002, de autonomía del Paciente 

Esta ley del 14 de noviembre de 2002 regula la autonomía del paciente y recoge los derechos y obligaciones en materia de información y documentación clínica. 

Cómo debe cumplir la ley de Protección de Datos el sector farmacéutico 

Las farmacias deben tomar una serie de medidas concretas para poder cumplir con la Ley de Protección de Datos y evitar enfrentarse a posibles sanciones. El régimen sancionador se ha endurecido, pudiendo llegar las sanciones hasta los 20 millones de euros o el 4 % de la facturación anual. 

Por el RGPD es necesario que las farmacias dispongan de una documentación de forma inexcusable. Esta documentación incluye: 

Registro de tratamientos de datos 

Este registro de obligado cumplimiento debe recoger una serie de puntos sobre las actividades del tratamiento de los datos: 

  • Datos que se recogen y cuál es su fin. 
  • Qué medidas de seguridad se están aplicando. 
  • Indicar el nivel de seguridad correspondiente. 
  • Indicar el tipo de fichero (manual, mixto o automatizado). 
  • Si los datos van a salir fuera del ámbito europeo. 

Análisis de riesgos 

El análisis de riesgos debe recoger todos aquellos riesgos a los que puedan someterse los datos, como qué tipo de datos personales se almacenan, comunicación a terceros, indicar los datos especialmente protegidos y cualquier otro riesgo relacionado. 

Evaluación de impacto 

Esta evaluación de impacto es obligatoria para farmacias al tratar datos de salud (considerados datos sensibles). El objetivo de este informe de evaluación de impacto es minimizar la posibilidad de afectar, tanto los derechos como las libertades de los pacientes. 

Tras realizar este análisis de impacto, deben marcarse unas medidas de seguridad acordes al mismo. 

Contratos con Terceros y Empleados 

  • Contratos con encargados de tratamientos de datos. Las farmacias deben firmar un contrato de encargados de tratamientos con terceros, que son aquellas empresas a las que se ceden datos como, por ejemplo, asesorías, proveedor TI o laboratorios farmacéuticos. Con este contrato se asegura que los datos cedidos cumplen con la Ley de Protección de Datos. 
  • Acuerdos de confidencialidad con los empleados. Los empleados de una farmacia tienen contacto directo con datos muy sensibles, por lo que es importante firmar un contrato de confidencialidad donde se recoja el compromiso de confidencialidad y las consecuencias que acarrea no cumplirlo. Hay que tener en cuenta que las personas que se encuentran en prácticas (algo habitual en las farmacias) también deben firmar el acuerdo de confidencialidad. 

Consentimientos de usuarios 

Los datos personales de los clientes no pueden ser tratados sin su consentimiento. Para ello es necesario disponer de un documento donde se recoja el consentimiento expreso del cliente para el tratamiento de sus datos por parte de la empresa. 

En el documento de consentimiento del cliente se deben recoger de forma clara la finalidad del uso de los datos, los destinatarios, si van a ser cedidos a otros países y los medios para acceder o rectificar los datos. 

Documento de seguridad 

Se trata de un documento interno de la empresa donde se recogen las medidas que se van a tomar para garantizar la seguridad que debe cumplirse, incluyendo los sistemas informáticos, las oficinas, el personal y los equipos con los que cuente la farmacia. 

Otras medidas 

Aquellas farmacias que dispongan de página web deben incluir los textos obligatorios para cumplir con la Ley de Protección de Datos (política de privacidad, cookies y aviso legal). 

Cualquier incidente de seguridad debe ser notificado antes de 72 horas a las autoridades, según el nuevo reglamento europeo de protección de datos. 

Dependiendo del volumen de datos que maneje una farmacia puede ser necesario la asignación de una persona responsable de la protección de datos. Este Delegado de Protección de Datos puede ser un empleado de la empresa o un profesional externo contratado. Sus datos de contacto deben hacerse públicos, siendo comunicados a la autoridad correspondiente. 

Es habitual que las farmacias dispongan de cámaras de seguridad, en esos casos hay que seguir las medidas habituales como: indicar, colocando carteles, que se trata de una zona vídeo vigilada, no captar imágenes de la vía pública y no instalar cámaras en zonas como baños o vestuarios. 

Ni la LOPD ni la RGPD hacen mención específica al sector farmacéutico en cuanto a medidas especiales en la protección de datos. Por lo tanto, las medidas de seguridad a aplicar seguirán las indicadas al tipo de datos que se manejan y su volumen, en este caso al tratarse de datos relacionados con la salud, son considerados datos sensibles. 

Las farmacias deben cumplir como cualquier otra empresa con el reglamento europeo y con la ley española en cuanto a protección de datos, teniendo en cuenta las medidas especiales al tratarse de datos sensibles (como la obligación de realizar una evaluación de impacto). 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Sabemos que te preocupas por la confidencialidad y la seguridad de los datos. Por eso te invitamos a que conozcas el software cloud que obedezca específicamente al cumplimiento regulatorio de entornos GxP. Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios. ¡Descárgate esta guía gratuita sobre la transformación digital en la nube orientado exclusivamente al sector salud! 

Capex vs Opex, ¿qué opción elegir al invertir en IT?

Realizar una gestión financiera en la empresa de manera destacada no es tarea sencilla y una de las tareas más complicadas es la gestión de gastos. Saber cuándo un gasto es más rentable para la empresa es fundamental a la hora de tomar decisiones, las cuales pueden afectar tanto a los beneficios como al endeudamiento, incluso a las acciones operativas de la misma.

Si trasladamos estas decisiones de gasto e inversión al departamento TI de una empresa, podemos ver cómo muchas veces se plantean decisiones de difícil definición. Por ejemplo, si planteamos una empresa que necesita un cambio de su servidor por obsolescencia, nos encontramos ante dos decisiones.

Comprar un nuevo servidor con mayores prestaciones, lo que supondría un incremento del patrimonio de la empresa, pero con la gran pérdida de valor que sufre el inmovilizado informático. Y tendríamos una segunda opción que es acudir a una empresa de infraestructuras como servicios (IaaS) y contratar un servidor virtual de pago anual, con lo cual sólo realizaremos un gasto anual en servicios y no tocaremos el patrimonio de la empresa. Nos encontramos ante una decisión entre gasto de capital o gasto operativo, lo que se conoce como Capex y Opex.

Qué es Capex

La financiación que utilizan las empresas para adquirir activos físicos (nuevos o actualizar los existentes) se conocen como gastos de capital o Capex. Se suelen dividir en dos tipos:

  • Gastos de expansión: aquellos que invierten en nuevos activos que amplían los que dispone la empresa.
  • Gasto de mantenimiento: los destinados a mejorar o ampliar la vida útil de los activos que ya se poseen.

Estos gastos de capital no se cuentan como gastos de forma inmediata, sino que se amortizan los mismos durante un periodo de tiempo, ofreciendo diversas ventajas a las empresas (fiscales, contables…).

Algunos ejemplos de inversiones Capex son la compra de inmuebles (locales, oficinas, etc) o la adquisición de vehículos (de transporte o comerciales).

Qué es Opex

Los gastos operativos o de explotación son conocidos como Opex, y son gastos que se realizan de forma continuada y están relacionados con las operaciones de la empresa. Podemos definir Opex como los gastos fluctuantes que realiza una empresa.

Algunos ejemplos de estos tipos de gastos son: gastos en instalaciones, alquileres, o formación de personal.

Cómo invertir en TI

Hoy en día, en el sector TI, las inversiones tienden más a ser Opex que Capex. Esto es así debido a los rápidos cambios que se producen en las tecnologías, que hacen que tanto las herramientas de software como las infraestructuras de hardware queden obsoletas en muy poco tiempo. Por lo tanto, es más interesante alquilar esos servicios (lo que genera un gasto operativo, Opex), que comprarlos (que genera un gasto de capital, Capex).

Inversiones en la nube

Realizar una inversión por parte de una empresa en infraestructura y recursos cloud tiende hoy en día a realizarse mediante Opex debido a que:

  • La inversión en la infraestructura es muy grande
  • Definir las necesidades de la infraestructura TI es difícilmente predecible.
  • Las inversiones en IaaS son escalables, pudiendo aumentar los recursos según vayan siendo necesarios en muy poco tiempo (incluso con sólo unos clics de teclado).

Cuando las empresas llevan su infraestructura a la nube, se reducen los recursos tiempo y espacio necesarios para hardware y software, automatizando muchos procesos que les permite ser más eficientes.

Podemos poner un ejemplo donde se puede apreciar la necesidad de Opex en una contratación cloud:

Una empresa que comprase hace 2 años discos duros mecánicos para las copias de seguridad de sus datos. Solamente dos años después se puede contratar en la nube almacenamiento en discos sólidos (nueva tecnología de almacenamiento de lectura y escritura rápida, muy superior a la de los discos mecánicos). Por lo tanto, esa inversión que realizó hace 2 años quedó rápidamente obsoleta y no se puede amortizar. Si hubiese contratado esos discos duros mecánicos, ahora podría cambiar su plan de contratación a los nuevos discos sólidos, sin tener que perder una inversión en capital.

El anterior es un claro ejemplo de cómo la rapidez de cambio del mundo tecnológico hace que las inversiones Capex no sean rentables para las empresas al realizar inversiones TI, dejando el modelo Opex como una opción que se adapta mucho mejor a este tipo de inversiones.

Business Intelligence y Big Data

Algo similar a las inversiones en cloud ocurre cuando hablamos de adquirir o alquilar infraestructuras para Inteligencia de Negocios o Gran cantidad de datos. Los cambios tan rápidos que se suceden en el mundo tecnológico hacen más rentable alquilar estos servicios y añadirlos como gastos operativos, que adquirir toda la infraestructura necesaria para los mismos. Con la contratación de estos servicios, las empresas se aseguran de no quedar obsoletas en poco tiempo, y poder cambiar fácilmente de una tecnología a otra con facilidad y bajo coste.

Hoy en día se maneja tal cantidad de información que no queda más remedio que disponer de un modelo escalado para su procesado y almacenaje, que permita ir añadiendo recursos cada vez que sea necesario. En este aspecto el modelo Opex se adapta perfectamente, sustituyendo a la opción Capex.

IaaS, SaaS, PaaS

Las empresas que proporcionan servicios como IaaS (Infraestructuras como servicios), SaaS (Software como servicios) y PaaS (Plataformas como servicios), si realizan sus inversiones Capex, pues requieren de los equipos hardware y herramientas software necesarios para poder ofrecerlas al resto de empresas como servicios.

Gracias a esta oferta, la necesidad de realizar gastos de capital para TI, se ha reducido pasando a un modelo de gasto operativo Opex.

La tendencia de inversión en TI bajo el modelo Opex o de gasto operativo ha hecho que los balances de las empresas se vean afectados, reduciendo parte del capital que antes invertían en infraestructuras hardware y aplicaciones software, y aumentando sus gastos en contratación de servicios externos de alquiler de infraestructuras hardware y software.

En la mayoría de los casos, una inversión de capital en TI hará que las empresas gasten una gran cantidad de dinero en infraestructuras que quedarán obsoletas en un periodo corto de tiempo, y cuya inversión difícilmente se amortizará o recuperará. Por lo tanto, es recomendable que las empresas no realicen inversiones Capex en tecnología, salvo para casos muy puntuales como los que se han tratado en este artículo.

Las inversiones Capex, al suponer normalmente grandes desembolsos, requieren de toda una serie de trámites que necesitan más tiempo para aprobarse (cotizaciones, aprobación de órdenes de compra, etc.), por lo que, en tecnología, los gastos Capex se han movido hacia los Opex, dando pioridad al alquiler por encima de la adquisición.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

A continuación te ofrecemos esta guía gratuita donde se describe el proceso que debes seguir para ayudarte a calcular los costes de implementación de tu proyecto de TI en AWS. De esta manera sabrás cuánto te puedes ahorrar haciendo tu inversión en la nube.

5 Lecturas Imprescindibles: Combate los ataques cibernéticos utilizando la Dark Web Intelligence

Como partner de Manage Engine, desde Ambit queremos compartir este artículo con unas lecturas muy recomendables sobre la dark web con el fin de saber hacer frente a los posibles ataques cibernéticos y proteger la información privilegiada de las empresas.

Una de las grandes ventajas que ofrece la dark web es el anonimato y el cifrado, al mismo tiempo que permite a los usuarios acceder a todo lo que hay en la web, lo que la convierte en el foco de algunos de los ataques cibernéticos más notorios. Muchas de las actividades de la dark net están focalizadas alrededor de marketplaces que ofrecen munición, pornografía, drogas y malware masificados.

Con las empresas multinacionales proyectadas para invertir 5,2 billones de dólares en delitos cibernéticos en los próximos cinco años, los delincuentes están usando la dark net como plataforma para construir, perfeccionar y probar nuevos ataques antes de su lanzamiento oficial contra las compañías internacionales.

Los datos que circulan en la dark web no están indexados por los motores de búsqueda comunes, lo que dificulta saber cuál es la fuente de nichos y de amenazas sofisticadas como ransomware, acceso remoto a troyanos (RATs) y botnets. Asimismo, estas amenazas no se suelen tomar en consideración en las estrategias de seguridad empresarial y, como resultado, se han convertido en un refugio para los ciberdelincuentes. Esto solo refleja que el monitoreo oscuro de la dark web debe ser una parte integral de los procesos de amenazas de una organización.

Existen varias formas en las que las organizaciones pueden obtener ventajas de seguridad desde la dark web. Por ejemplo, los equipos de seguridad pueden estudiar las tendencias de vulnerabilidad emergentes y construir estrategias de mitigación. Por otro lado, también puede ayudar a identificar las motivaciones delictivas detrás de los ataques, así como los riesgos asociados con estas amenazas.

Una vez dicho todo esto, os sugerimos 5 lecturas interesantes sobre qué es la dark web y el significado de utilizar su inteligencia para identificar y prevenir ataques:

  1. Dark Web: What Is It and How Could It Affect Your Company? Hay una parte de Internet a la que muchos de nosotros no accedemos – la dark web. Es la parte oculta de la web y las actividades que la rodean suelen ser de naturaleza maliciosa. Aquí se explican 7 maneras de proteger los datos corporativos y de los clientes.
  2. An insider’s look into the dark web
    La mayoría de los ciberataques de seguridad y el malware empiezan y acaban en algún lugar de la dark web, lo que provoca que esta parte de la red sea fascinante para los investigadores de ciberseguridad de todo el mundo.
  3. Scan the dark web for threat intelligence
    Definir un plan de seguridad sólido y recopilar todas las amenazas es crucial para cualquier organización que intente acabar con los ataques cibernéticos. La dark web, aunque no se analice a menudo, puede proporcionar una gran cantidad de amenazas.
  4. Include dark web security strategies to strenghten your security framework
    Según el vicepresidente de Marketing, Barry Spielman, la mayoría de las organizaciones no saben nada sobre la dark web. Esto se está volviendo cada vez más problemático, ya que la falta de seguridad de la dark web en una estrategia de ciberseguridad pone en riesgo los datos corporativos y de los clientes.
  5. Threat intelligence from the dark web
    Muchos de nosotros pensamos en la dark web como un lugar donde los cibercriminales prosperan. Sin embargo, si es usada por los equipos de seguridad, puede ser una herramienta muy útil para ayudar a las organizaciones a detener los ataques en una fase temprana.

El estudio de la la dark web ayuda a reforzar los perímetros de seguridad de las empresas para conseguir una ventaja sobre las tendencias de seguridad emergentes. Permite a los equipos de seguridad imponerse o ganar el control sobre los esfuerzos de construcción planteados por los organizadores de los ataques cibernéticos.

Los ciberdelincuentes no van a dejar de hacer lo que mejor hacen por razones legales o éticas. Las organizaciones deben dar un paso más allá y estar atentas para acabar con los ataques. Esto puede conseguirse eliminando estas fuentes turbias y oscuras, y rechazando los ataques antes de que causen daño.

Qué es el design thinking for business innovation y cómo puede ayudarte a destacar de la competencia.

El design thinking for business innovation es una metodología que nos permite afrontar los retos con nuevas soluciones basadas en tres criterios: que el producto sea deseable por el usuario, que sea factible y que sea técnica y económicamente viable. Esta metodología nos obliga a combinar esfuerzos para lograr el objetivo marcado.

¿Dónde y cuándo surge el Design Thinking?

El Design Thinking no es un método nuevo, pero su popularidad ha ido en aumento gracias a la adopción que empresas como Zara o Apple han realizado en las últimas décadas. Esta metodología de diseño de producto nace en los años 70 en la Universidad Stanford en California, cuando se teoriza el ‘pensamiento de diseño’ y aplicar la forma en la que piensan los diseñadores a la empresa. Será la consultoría IDEO la primera en empezar a desarrollar esta metodología en el sí de una empresa.

Este pensamiento está centrado en dar con soluciones orientadas al ser humano (human centered). Empresas como SAP, por ejemplo, realizó interpretaciones de este pensamiento centrado en la escala humana, desarrollando metodologías propias que se aplican en el Design Thinking.

Tim Brown, CEO de IDEO, define el Design Thinking como “una aproximación estratégica centrada en el pensamiento del diseñador para integrar las necesidades de la gente, las posibilidades que nos ofrece la tecnología y los requisitos para lograr el éxito en los negocios”. La mezcla entre el pensamiento crítico, el pensamiento analítico y el pensamiento científico permite encontrar las soluciones a partir de generar nuevas ideas. Así, este pensamiento se fundamente en estos tres principios:

  • El deseo del consumidor: hay que entender qué necesita y qué espera el consumidor, explorar todas las posibilidades para generar innovación
  • Que sea tecnológicamente viable: grandes fracasos se han producido o bien por exceso de complejidad o por falta de visión tecnológica. Si el producto no es factible con la tecnología actual, debe aplazarse hasta que la tecnología lo sea.
  • Que sea viable en la estrategia de negocio: todo lo anterior no tiene sentido, si no es viable en la estrategia de negocio de nuestra compañía.

El Design Thinking debe desarrollarse con un proceso en el que ponemos en valor 5 características esenciales:

  • Generar Empatía entendiendo los problemas, necesidades y deseos que se entremezclarán en la solución que perseguimos.
  • Trabajar en equipo: cada individuo es capaz de aportar una singularidad al proyecto y su propia visión sobre cómo debe ser esa solución.
  • Desarrollar prototipos: cada idea debe ser llevada a la práctica a modo de prueba para determinar si es la mejor o la correcta. Así, podemos descubrir los fallos para mejorar.
  • Atmósfera lúdica para que el trabajo sea divertido y no aburrido, ya que es más fácil ser creativo si estamos bajo un ambiente distendido.
  • Durante este proceso se trabaja con técnicas de gran contenido visual, para poder dar rienda suelta a nuestra capacidad de análisis e innovación.

Las diferentes variantes del Design Thinking

Este conjunto de metodologías tiene la particularidad de ser adaptable a cualquier compañía, de manera que se puede variar para encajar sin problemas en la filosofía o manera de hacer propia. IDEO, por ejemplo, ha dividido esta metodología en tres etapas conocidas como las tres ‘i’:

  • Inspiración
  • Idea
  • Implementación

La escuela de negocios de la Universidad de Virgina ha generado una metodología con cuatro preguntas:

  • ¿Qué es?
  • ¿Y si…?
  • ¿Qué sorprende?
  • ¿Qué funciona?

SAP, de quien hemos hablado anteriormente, ha creado una ruta de 7 pasos o etapas que se consideran uno de los métodos más extendidos, aunque como vemos no es el único, para desarrollar esta metodología. La metodología de SAP tiene estos pasos:

  • Scope / Prospección
  • 360 Research / 360º desarrollo
  • Synthesize / Síntesis
  • Ideate / Ideación
  • Prototype / Prototipo
  • Validate / Validación
  • Implement / Implementación
  • Test / Test
  • Deploy / Despliegue

En nuestro caso describiremos una metodología de Design Thinking basada en 5 pasos.

El desarrollo del Design Thinking

El proceso del Design Thinking se centra en 5 pasos que no tienen por qué ser lineales.

  • Empatía
  • Definición
  • Conceptualización
  • Prototipo
  • Test

Empatía

Debemos tener una comprensión muy profunda de lo que nuestros clientes esperan y desean, así como de su entorno. Debemos ser capaces de ponernos en el lugar de nuestros clientes y no ver su realidad bajo nuestro punto de vista. Aquí los trabajos de focus group pueden sernos muy útiles para determinar qué esperan los clientes.

Definición

Sólo con la información correcta podemos crear una definición de lo que se espera. Nos focalizaremos en aquello que aporta valor e identificaremos los problemas que vamos a solucionar con el desarrollo del producto.

La idea

La etapa en la que nos centramos es la idea en sí misma y es posible que aquí surjan conceptos que no son viables ni tecnológicos ni económicos, pero es posible que identifiquemos ideas que, bien desarrolladas, puedan traer innovaciones.

El prototipo

No es más que la idea llevada a la realidad. Sólo con un prototipo seremos capaces de visualizar la idea en la práctica y tocarlo. Será inevitable ver si el producto en fase de prototipo se ajusta a lo que estábamos buscando, qué cambios debemos implementar y si estamos en el buen camino.

El test

Llevar el prototipo al mundo real nos permitirá saber si esa solución puede ser la correcta. Un ejemplo lo tenemos en el primer iPhone de Apple, cuando en 2006 se detectó en algunas analíticas web y en resultados de las operadoras de telefonía móvil la aparición de algunas decenas de dispositivos desconocidos. Los ingenieros de Apple estaban usando en el día a día los prototipos del primer iPhone para llamar o navegar por internet.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

¿Sabes que es la autenticación de dos factores o 2fa y cuáles son sus ventajas?

La máxima de que dos son mejor que uno nos va como anillo al dedo para hablar de la autenticación de dos factores. Un sistema de autenticación que poco a poco, desde finales de los años 90 y sobre todo durante la primera década de los 2000 se fue popularizando hasta alcanzar un gran prestigio por ser uno de los métodos más seguros para evitar entradas de terceros a nuestros servicios o datos personales.

En los departamentos de IT nadie duda ya de que la autenticación de doble factor es necesaria para controlar los accesos a sistemas y aplicaciones. Veamos sus ventajas.

¿Qué es la autenticación de dos factores?

Empecemos por el principio: el método más extendido y central de acceso a cualquier servicio personal o empresarial en internet sigue siendo la combinación de usuario (un nickname, email, numero de identidad, teléfono…) y una contraseña. El usuario dice al sistema quién somos, es nuestro nombre en ese servicio y de él derivan todos los datos personales que hayamos aportado.

La contraseña es el método que tenemos para demostrar que somos realmente quien decimos ser. Pese a la popularización de métodos de doble factor, las contraseñas deben ser complejas. Olvídate del 1234 o combinaciones como admin admin, cuanto más largas y más variedad de caracteres incorpore una contraseña, más segura será. Y si tienes miedo a olvidarla recuerda que tienes gestores de contraseñas gratuitos que permiten almacenarlas y compartirlas con todos los dispositivos que asocies.

El doble factor no es más que una segunda comprobación que el sistema nos realiza tras comprobar que la contraseña es correcta. El método más extendido es el conocido como ‘Token de software’, pero hay diferentes métodos.

Los principales métodos de autenticación de doble factor

El token de software es un código que se genera de manera aleatoria cada pocos minutos, cada vez que se genera uno, el anterior deja de ser válido y sólo sirve el que estamos viendo en ese momento en la pantalla. Este token se puede generar en una aplicación para teléfono móvil o bien en una página web. Algunos de los más populares son:

  • Google Authenticator
  • Amazon AWS
  • Microsoft Authenticator

También existen servicios que generan una contraseña de un solo uso para configurar servicios, como por ejemplo el correo electrónico, garantizando que un tercero no podrá acceder tan fácilmente a nuestros emails.

Mientras que es habitual el uso de Google Authenticator o Microsoft Authenticator en el uso de las suites y servicios de Google Drive o One Drive de Microsoft, los token de hardware son menos utilizado por el gran público y funcionan a modo de llaveros o carteras de claves para cada ocasión. Cuando conectamos un dispositivo debemos hacer uso de este token de hardware para demostrar que estamos autorizados para usarlo, evitando así usos fraudulentos o no autorizados.

Los avances tecnológicos en los dispositivos móviles también están permitiendo sistemas de doble autenticación basados en el reconocimiento fácil con infra-rojos o con el escaneo de la huella digital. Aplicaciones de banca o los sistemas operativos MacOS y Windows incorporan ya la posibilidad de identificarnos con estos sistemas de reconocimiento biológico.

Las ventajas de la doble autenticación

Las principales ventajas respecto a la seguridad son muchas, ya que la doble autenticación se basa en la identidad del usuario a través de la combinación de usuario y contraseña, así como la del acceso a un dispositivo personal, como es el móvil.

Uno de los métodos más utilizados para descubrir contraseñas es el del ataque por fuerza bruta o de diccionario. Aunque seamos capaces de descubrir la contraseña, se necesitará otro dispositivo para poder acceder. Incluso con el uso de técnicas de ingeniería social, el conocido como phishing o envio de emails falsos para entregar a un ciberdelincuente nuestra contraseña, o a través de software maligno que espíe nuestras combinaciones, la doble autenticación permite mantener la privacidad.

Incluso ante actos tan poco recomendables como escribir la contraseña en un papel, pueden no ser tan peligrosos si usamos la doble autenticación.

Es decir, la doble autenticación es un muro extra de seguridad contra ataques, pero cuidado como hemos dicho anteriormente las contraseñas deben ser complejas para evitar descubrirlas con facilidad.

Por último, una de las ventajas que los usuarios aprecian al cabo del tiempo es el de no deber introducir la contraseña en ciertos servicios constantemente.

El uso de la doble autenticación en el día a día

La doble autenticación deberíamos utilizarla en prácticamente todos los accesos que realicemos a nuestros servicios. Sistemas como Windows Hello o el sistema de detección de huellas dactilares de MacOs nos sirven para acceder a nuestros ordenadores. El uso de tokens de software o a través de mensaje SMS también nos sirven para asegurar que somos nosotros quienes accedemos a un servicio.

En la empresa, el uso de tokens de software para la doble autenticación en los puestos de trabajo puede ser suficiente para garantizar la seguridad, pero en lo que se refiere al acceso a información delicada, los tokens de hardware estan llamados a ser la referencia de seguridad en nuestra compañía.

Por último, cabe recordar que la seguridad total y el riesgo 0 no existen y que los sistemas más seguros pueden esconder vulnerabilidades, por lo que es importante aplicar buenas prácticas de seguridad para estar protegidos.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos integradores y consultores en múltiples ámbitos, y nuestra misión es contribuir a la transformación digital de los negocios como vector de crecimiento y desarrollo. Si quieres conocer más, no dudes en ponerte en contacto con nosotros.

Buenas prácticas para mejorar la usabilidad y conseguir la mejor experiencia de usuario.

Hoy en día la experiencia de usuario se centra, como no puede ser de otro modo, en proporcionar soluciones interactivas que ofrezcan un intercambio continuo de información con el usuario para poder generarse, hablamos de la interacción hombre-máquina. Concepto que hace más de 20 años acuñó Donald Norman bajo el término User Experience en su obra The Design of Everyday Things.

Buenas prácticas para mejorar la experiencia de usuario

El lenguaje natural redefinirá la manera en la que navegamos

Actualmente las interfaces se diseñan con un enfoque centrado en el usuario y desde la perspectiva de usabilidad, utilidad, accesibilidad y arquitectura de la información. Además, participamos de cómo la irrupción del lenguaje natural está cambiando la manera en que la tecnología es capaz de procesar el lenguaje. Algunos usos comunes del procesamiento del lenguaje natural los encontramos en los sistemas de traducción automática, en los chatbots, en definitiva, existen multitud de aplicaciones gracias a los sistemas conversacionales

Experiencias de usuario por voz

Las capacidades de interactuar con las interfaces a través de la voz están madurando a pasos agigantados. Se espera que se conviertan en una parte fundamental de la experiencia de usuario, llegando a reconsiderar cómo se diseñan estas experiencias basadas en la voz.

La irrupción del Internet of Things

Los desarrolladores de UX y de interfaces de usuario han cambiado la manera en cómo crean las interfaces para los dispositivos móviles. Las empresas han tenido que reconfigurar su manera de trabajar para poder llegar a unos consumidores. El IoT ha provocado ya un cambio en el comportamiento de los consumidores, algo que va a requerir en los próximos años, que los desarrolladores deban volver a cambiar su manera de trabajar.

Cambios en la manera en que se gestionan los datos

La personalización de los controles a través de gestos va a afectar las prácticas en que se generan experiencias de usuarios e interfaces de usuario. Cada persona que acceda a una página web tendrá una manera única de ver los datos y gestionarlos. Esto requerirá un alto grado de sofisticación en los sites para poder llegar a cubrir esta nueva tendencia.

Fracturación

Nos encontramos en los primeros momentos de Amazon Echo, Google Soli o los bots de Facebook. Cada uno de estos medios tiene una experiencia de usuario distinta para las que hay que crear una experiencia de usuario distinta para cada una. La fractura entre las diferentes experiencias de usuario será mayor que la que puede existir en los dispositivos móviles.

Profundidad y detalle para centrarse en la experiencia de usuario

La interfaz de usuario tal y como la conocíamos se convertirá en sólo una comodity, y la experiencia de usuario estará centrada en la profundidad y los detalles.

Fusión de la experiencia de usuario con el mundo real

Los avances en la realidad aumentada y la realidad virtual tendrán una aplicación nueva en cuanto a experiencias de usuario en el mundo real. Hay que contar con los avances continuos en las tecnologías de inteligencia artificial y las aplicaciones controladas por voz. La experiencia de usuario y las interfaces de usuario para estas aplicaciones podrían tener un gran impacto en esta categoría emergente tecnológica.

Computación cognitiva aplicada a la interfaz del usuario

Las interfaces de usuario existen para permitir que los ordenadores interpreten nuestro mundo no estructurado. La computación cognitiva, una tendencia al alza desde hace unos años en el terreno de la inteligencia artificial, permite que esos ‘datos no estructurados’ sean computables y que las aplicaciones sean capaces de aprender a medida que interactuamos con ellas, ya sea usando el lenguaje escrito, hablado o natural. En los próximos cinco años, las interfaces de usuario terminaran siendo asistentes inteligentes capaces de centrarse en tareas concretas, limitadas en su alcance, pero infinitamente mejores para interactuar con el mundo real.

Los cambios de decisiones sin supuestos previos

Según las empresas sean capaces de asumir que la experiencia de usuario debe estar centrada en cada individuo, habrá un cambio radical en la manera de tomar decisiones que se basará en el punto de partida de la experiencia de usuario. Serán necesarias mayores inversiones en investigación, entrevistas con los usuarios y test que permitan saber si esa interfaz es usable o no. Los niveles de objetividad reducirán el riesgo de basarse en conjeturas o suposiciones y, al final de todo el proceso, nos llevará a experiencias centradas en los usuarios y no en las necesidades de las organizaciones que sostienen las páginas web.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

¿Qué características debe reunir un buen sistema de gestión documental?

Cada vez más se requiere seguir estándares ISO para la gestión documental en nuestra compañía. Los estándares nos permiten optimizar los procesos de gestión documental, además de acercarnos a la posibilidad de lograr la certificación ISO. Esta certificación será especialmente interesante para establecer y acreditar niveles de calidad en los procesos que se desarrollan en nuestra organización.

¿Conoces los requisitos ISO para que nuestra empresa pueda tener un buen sistema de gestión documental? Te explicamos en este artículo la normativa ISO y la gestión de documentos.

La normativa ISO en el sistema de gestión documental

Gestionar el conocimiento producido durante el desarrollo de las actividades empresariales es clave, y más en la actualidad donde la nueva economía se estructura alrededor de la información y su transformación en conocimiento.   Aun así, es difícil encontrar la información completa y accesible relativa a las ISO en esta materia, además de que en la mayoría de las ocasiones esta es compleja y muy técnica.

La realidad empresarial atraviesa por un entorno VUCA (del acrónimo Volatility, Uncertatinty, Complexity, Ambiguity) y son muchas las organizaciones que están reorientando sus modelos de negocio hacia un enfoque basado en procesos. Es en este punto, donde la gestión documental se constituye como un pilar para acompañar el rediseño y mejora de los procesos en las empresas de todo tipo.

La certificación ISO y el sistema de gestión documental

La certificación ISO no es un paquete de software que podemos añadir a nuestro sistema de gestión documental. Se trata de una serie de normas que debemos adaptar individualmente a cada proceso o circunstancia. Así cada empresa debe gestionar unas normas básicas, que son las primeras que se aplican, e ir añadiendo progresivamente las siguientes.

Concretamente la norma ISO 15489 ofrece un marco de regulación para la gestión documental en las organizaciones tanto públicas como privadas ya sea para clientes externos o internos.

En definitiva, la empresa debe crear sus propias técnicas a partir de lo que necesita y crear su propia estrategia, en muchas ocasiones desde cero.

Los gestores documentales para lograr loa certificación ISO

Para cumplir de manera estricta la certificación ISO, se deben seguir una serie de pautas que nos llevaran a elegir el sistema de gestión documental ideal para nuestra compañía. Debemos saber qué carencias tiene nuestro sistema para lograr la certificación ISO.

Entra en juego la figura del consejero ISO, que guiará a las compañías a crear una estrategia integral, detectando los puntos débiles y fuertes para reforzar los fuertes y cambiar los que son débiles, cumpliendo así la certificación ISO. El jefe de proyecto, por su parte, puede hacer esto en un principio para poder empezar a desplegar la certificación ISO dentro de la propia compañía, pero llegados a cierto punto del proceso, la incorporación del consejero es inevitable.

Con los resultados del análisis sobre la mesa y con un principio de estrategia ya desarrollado, podemos encarar el proceso de elección de un software que nos funcione y se adapte. No podemos incorporar el software tal cual y, casi con toda seguridad, debemos personalizarlo para que se adapte a lo que realmente vamos a necesitar.

El gestor documental para cumplir las normas ISO internamente

No todas las empresas van a beneficiarse del mismo modo de estos cambios para. A veces, el coste de proceso es alto y la empresa necesita más tiempo para poder amortizar los cambios producidos. En especial, las PyMES pueden encontrar más problemas para encarar este proceso.

Un buen sistema documental puede ayudarnos a cumplir las normas ISO. En cada norma ISO del sistema documental existen unas cláusulas básicas sobre la gestión de la información, los flujos de trabajo, el acceso a la información, los archivos… Estas funciones son las que permiten que el sistema de gestión documental pueda o no funcionar perfectamente para adaptarse a las certificaciones ISO necesarias.

¿Qué normas ISO son las adecuadas para un sistema de gestión de documentos?

Un buen sistema documental nos puede servir para cumplir con todos los certificados ISO. El gestor documental será quien nos guiará para crear la estrategia que nos lleve hasta cierta certificación. No todas las certificaciones son iguales ni todas las estrategias deben ser iguales. Normas como la ISO 27001 o la ISO 9001 incorporan explícitamente en su definición la integración de sistemas de gestión de seguridad de la información, por ejemplo, del mismo modo que hay certificaciones concretas sobre la gestión del archivo y almacenamiento que también pueden ser interesante de considerar.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos integradores y consultores en múltiples ámbitos, y nuestra misión es contribuir a la transformación digital de los negocios como vector de crecimiento y desarrollo. Si quieres conocer más, no dudes en ponerte en contacto con nosotros.

Incorporación de sistemas “multicloud” en la estructura IT de las empresas: Beneficios y ventajas de esta práctica

Los sistemas multicloud están basados en una nube formada por más de un servicio de nube, que puede ser tanto pública, operada por una empresa de servicios, como privada, operada y gestionada únicamente por sus usuarios finales.

Pongamos un ejemplo. Una empresa cambió su infraestructura de servicios a una nube privada, es decir: creó su propia nube para ofrecer unos servicios determinados a sus clientes. Pero sus clientes tienen la necesidad de seguir usando ciertos servicios que sólo puede ofrecer un proveedor de nube pública en concreto. La empresa requiere no sólo comprar el sistema de aplicaciones que le permite integrar ese servicio en concreto a su solución de nube privada, si no que además requiere poder gestionar ambas nubes de manera coordinada. Eso es un ejemplo de entorno multicloud, en donde la nube pública y la privada deberán funcionar coordinada y complementariamente.

Pero ¿cuáles son los beneficios principales del uso de un sistema multicloud y por qué tu empresa debería considerar esta práctica?

Beneficios y ventajas del sistema multicloud

Los sistemas multicloud son relativamente recientes y vienen acompañados de una serie de retos tecnológicos y de despliegue de esta infraestructura.

  • Visibilidad del sistema multicloud: estaremos ante un entorno en el que vamos a utilizar a la vez diferentes proveedores deben estar coordinados entre ellos. Debemos tener una visión clara de lo que se está ejecutando, en qué momento y en qué lugar. El monitoreo en este sistema es de vital importancia.
  • La seguridad: las políticas de seguridad deben ser consistentes y muy claras, porque no tendremos un único sistema de seguridad, sino dos o más que deben entenderse entre ellos. Debemos tener en cuenta que nubes públicas como las de AWS o Microsoft tienen unos grados de seguridad envidiables, gracias a su altísima descentralización y blindaje de sus servidores.
  • Automatización: para garantizar la eficiencia y reducir al máximo los errores, los sistemas deben ser automáticos, además de capaces de recuperarse de errores graves sin perjuicio hacia los usuarios.

 No existe un multicloud ideal

Hay excelentes soluciones para empresas en la nube, pero no hay una nube perfecta ni un sistema multicloud perfecto. Todos los sistemas deben ser adaptados a la empresa, porque ninguna nube puede hacerlo todo por si sola.

Mejoramos la latencia

Para reducir los tiempos de espera que sufren los usuarios de la nube de nuestra compañía, que se encuentran a kilómetros de distancia de los servidores físicos, la descentralización de la nube a partir del sistema multicloud permite que los usuarios puedan acceder a sus servicios con mayor velocidad. Además, si la nube privada falla, el sistema multicloud y la descentralización suple ese error, manteniendo el servicio siempre disponible.

Prevención contra el error

Los entornos multicloud por las características que hemos descrito anteriormente, permiten a las empresas ofrecer un servicio con unos índices de error muy bajos. El multicloud nos permite tener una copia de seguridad siempre disponible, además de permitir no interrumpir los flujos de trabajo si la nube principal falla. En este caso, el resto de los servidores de la nube multicloud seguirían funcionando.

Las oportunidades de negocio por la implementación del multicloud

Hay una serie de tecnologías emergentes que suponen una enorme oportunidad de negocio para las compañías.

Inteligencia artificial

Con las máquinas de aprendizaje, será posible automatizar la mano de obra en actividades que son repetitivas o requieren mucho esfuerzo y tiempo

El Blockchain

Además del beneficio de poder tener ingresos a través de las criptomonedas, el blockchain en las empresas permite realizar transacciones de manera más optima y eficiente que entre las instituciones bancarias.

Contenedores basados en la arquitectura del software

Los contenedores son piezas clave en la nube. Usar un contenedor basado en la arquitectura de la aplicación, permite mejor extracción de la misma y podemos sacar todo el provecho del sistema de multicloud por el que optemos.

La nube está en constante desarrollo

Los sistemas en la nube siguen en constante desarrollo, sean públicas, privadas o sistemas multicloud híbridos que reúna lo mejor de los dos sistemas de nube, generando una plataforma perfecta para ofrecer nuestros servicios a nuestros clientes.

La plataforma multicloud nos permitirá tener el control total de los servicios, garantizando que sólo pagaremos por los que queramos utilizar y que, además, podremos adaptar la nube para que realice aquellas funciones que consideremos totalmente imprescindibles.

En todo caso, el camino a seguir no es el de la nube, que ya es el presente, sino el del sistema multicloud híbrido que mezcle lo mejor de una nube privada, gestionada desde nuestra compañía, y el de una nube pública gestionada por terceros.

AMBIT

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

 

The future of workspaces: Cómo cambiará la ciberseguridad en los espacios de trabajo del futuro

¿Recuerdas cómo era el puesto de trabajo del ayer? Se trataba de puestos de trabajo inmóviles y que difícilmente podían llevarse fuera de la oficina. Conceptos como la nube o el teletrabajo simplemente no existían, porque el ordenador era fijo y la conexión a los servidores sólo podía hacerse en la misma oficina. La virtualización y la nube lo han cambiado todo, pero ¿cómo afectará la ciberseguridad a los espacios de trabajo en un futuro?

El puesto de trabajo del futuro: seguridad y colaboración

Si miras al puesto de trabajo de hoy podrás comprobar que es muy distinto a como era hace justo una década. Los ordenadores de torre y los monitores de tubo han dado paso a ordenadores portátiles y los teléfonos de centralita, han dado paso a las videoconferencias, chats y documentos online que pueden ser modificados por diferentes personas en cualquier lugar del mundo. Pero este es el principio de un cambio muy profundo que acaba de iniciarse. Los avances tecnológicos han convertido el día a día de nuestro trabajo en más flexible, colaborativo y también más seguro.

La seguridad debe estar en el centro del puesto de trabajo

La seguridad es la parte más esencial del puesto de trabajo y el desarrollo tecnológico del mismo no se puede detener. Un puesto de trabajo flexible y al que podemos acceder a distancia, necesita una protección y medidas de seguridad muy fuertes. La mejora de los protocolos de acceso, como los TCP-IP, o la encriptación de los datos mejora a diario. La encriptación de las comunicaciones se convierte en una necesidad, porque pese a que haya un ataque a nuestro ordenador, el ciberdelincuente no debe poder acceder a los datos.

Accesibilidad siempre a punto en favor de la flexibilidad

Las empresas cada vez tienden más a tener trabajadores repartidos por todo el mundo. No es raro encontrar trabajadores en diferentes zonas horarias del planeta. En consecuencia, es necesario no sólo que se puedan conectar, sino que lo hagan con total seguridad y en las mismas condiciones que los trabajadores que están físicamente en una de las sedes de la compañía. Entra en juego las tecnologías basadas en la inteligencia artificial aplicadas en la colaboración y la capacitación en destreza digital de los empleados.

Las compañías cada vez son más virtuales, más flexibles y colaborativas y nuestro objetivo debe ser la colaboración en tiempo real, además hacerlo de manera totalmente segura sin perder de vista la flexibilidad.

Un diseño inteligente para impulsar la innovación

Los avances tecnológicos transforman el puesto de trabajo, pero también incorporan novedades pensadas para hacer la vida más sencilla. El entorno virtual de trabajo debe ser seguro, colaborativo y en tiempo real. El cambio iniciado con los entornos de trabajo en la nube se ha trasladado ya a las oficinas.

La virtualización es ya una realidad y la nube es buena e importante por muchos motivos. El aumento de la productividad, asociado a la flexibilidad, ha permitido aumentar la fuerza laboral en las compañías manteniendo los costes a raya, ya que los trabajadores pueden ser más productivos sin que se haya aumentado la carga de trabajo. Las innovaciones que se iniciaron con la virtualización han logrado mejoras tecnológicas en muchos ámbitos: chat, gestión de equipo, metodologías de trabajo…

Los problemas de la virtualización del espacio de trabajo

Parte de los problemas para los profesionales de la seguridad informática es que se debe generar una serie de buenas costumbres y prácticas éticas pensadas para el personal de nuestras compañías.

En muchas ocasiones, la mejor estrategia de seguridad es la que ha sido capaz de implicar a los trabajadores en la prevención . Muchas veces los ataques cibernéticos se focalizan en el comportamiento de las personas, más que en los agujeros de seguridad, cada vez menores y más difíciles de acceder. Los profesionales de la seguridad IT de las compañías deben entender no sólo los aspectos técnicos de la seguridad, sino también tener un conocimiento profundo de las interacciones en la empresa. Así mismo, es interesante exponer qué prácticas son seguras y qué prácticas no lo son cuando estamos en un entorno virtual y fuera de la oficina.

Algunas pueden ser el uso del VPN para establecer conexiones seguras y cifradas con la nube de nuestra empresa, o cosas tan simples como no conectarse desde redes públicas abiertas y gratuitas en una cafetería.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos integradores y consultores en múltiples ámbitos, y nuestra misión es contribuir a la transformación digital de los negocios como vector de crecimiento y desarrollo. Si quieres conocer más, no dudes en ponerte en contacto con nosotros.

Reingeniería de los procesos en la transformación digital de las empresas en 2019

El año 2018 fue el año de la transformación digital. Según el grupo análisis IDC Spain, en 2018 el 9% de las compañías consultadas por IDC aún no había empezado su proceso de transformación digital. En cambio, para la mitad de las que sí habían empezado el proceso de transformación digital, este se había convertido en fundamental. El gasto de las empresas en IT a lo largo de 2019 alcanzará casi los 50.000 millones de euros, un aumento cercano al 2%.

Las tendencias en transformación digital de las empresas en 2019

Los procesos de transformación digital que las empresas han emprendido y emprenderán los próximos años, tienen como objetivo redefinir tecnológicamente los procesos internos de la empresa. Pero las tendencias de este 2019 muestran que la impronta de la transformación digital llega también a la manera en que trabajamos.

En este sentido, la transformación digital afecta a todas las secciones de una organización, pero en especial al equipo dedicado a la infraestructura tecnológica. En especial la figura del CIO vive un cambio de rol hacia una implicación muy superior en la estrategia de negocio, ya que se espera que la participación del CIO en los trabajos de digitalización de tareas operativas, terminen por ser su tarea central.

El puesto de trabajo de la próxima década

En 2019 las tendencias en transformación digital impulsan un modelo de negocio digital que extraiga valor, con una movilidad que va en auge. El año 2018 fue el principio y fue llamado ‘la transformación del puesto de trabajo’, aplicando soluciones de movilidad y de virtualización.

¿Qué es lo que se persigue? Nada menos que poder trabajar desde cualquier ubicación, pero con la misma seguridad con la que trabajaríamos desde nuestra oficina. Es un hecho que los ordenadores portátiles cada día son más y más ligeros, fáciles de usar y de transportar, así mismo la generalización de la oficina virtual -en la que no hay papel- facilita ese trabajo. Las plataformas basadas en el Internet Of Things están siendo capaces de cambiar la experiencia del ante su puesto. Vivimos, por lo tanto, la madurez del puesto de trabajo virtual y un cambio profundo en el paradigma que favorece disponer de nuevas fórmulas para el rendimiento.

La eficiencia en el centro de todo

Si nos vamos a la operativa en sí misma, comprobaremos que 2019 es el año en que las empresas toman la vía directa hacia la planificación en las operaciones que se producen en los entornos digitales, con el objetivo de mejorar la productividad y generar unas operativas eficientes.

La llegada de la inteligencia artificial a las empresas

No es un futurible, 2019 es el año del aterrizaje en muchas empresas de la IA. Ya sea con herramientas como los asistentes virtuales en las páginas web, como con analíticas de fraudes o de comportamiento de nuestros clientes, muchas compañías han empezado a usar la IA de un modo u otro.

Pero el entusiasmo o nos debe hacer perder de vista que según evoluciona y aumenta la cantidad de proveedoras de herramientas basadas en el machine learning u otras, los costes repercutidos a nuestras empresas disminuyen y es más sencillo su generalización. En 2019 se espera que  dentro de las empresas los encargados de desplegar las tecnologías IA trabajen codo con codo con otros departamentos para llevar estas tecnologías al back-end y a los procesos internos. Si la transformación digital pone en el centro de las operaciones a nuestros clientes, el IA debe poder utilizarse para analizar, optimizar y predecir el comportamiento en plazos para que nuestra compañía pueda responder adecuadamente.

La infraestructura IT basada en el multicloud

El multi-cloud es una tendencia al alza en el sector tecnológico. Se trata del uso de diferentes plataformas en la nube para ofrecer la mejor experiencia de servicio posible tanto al usuario final, como en la operativa interna.

El multicloud propone el uso de una nube privada, la que ha creado nuestra propia empresa y que contiene los servicios básicos, con una nube pública, propiedad de una compañía proveedora de servicios como Microsoft o AWS entre otros, con una parte de los servicios externalizados. Con esta opción se permite ganar en agilidad, ya que ofrecemos aquellas demandas especiales de nuestros clientes de manera externa sin asumirlo desde la compañía, como sucedería con la nube privada. Además, ganamos en versatilidad ya que, en caso de fallo de nuestra nube privada, la nube pública permite tener el servicio descentralizado y siempre en funcionamiento.

La gestión de los servicios IT hacia el XaaS (Everything as a Service)

El Anything as a Service nos permite externalizar servicios TIC tradicionalmente asumidos por las compañías, reduciendo los costes. Algunos de los servicios conocidos como ‘as a service’ son:

  • Harware as a service
  • Storage as a service
  • Data Base as a service
  • Disaster Recovery as a service
  • Infraestructure as a service

Estos servicios se encuentran en la nube y las compañías pueden alquilar por un pago periódico los servicios que requieren, así la inversión inicial es baja, no hay gasto por compra ni por creación de la infraestructura. En todo caso, las compañías deben contratar al personal necesario para modelar estos servicios.

AMBIT

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos integradores y consultores en múltiples ámbitos, y nuestra misión es contribuir a la transformación digital de los negocios como vector de crecimiento y desarrollo. Si quieres conocer más, no dudes en ponerte en contacto con nosotros.

La estrategia de seguridad en las bases de datos

Las bases de datos se han convertido en uno de los principales objetivos de los ataques informáticos. Se trata de un botín muy preciado para los ciberdelincuentes ya que la información en la era de internet, es poder. Necesitamos dotar a nuestra empresa de una estrategia coherente y efectiva contra los posibles ataques, pero también para mantener el cumplimiento de la legislación en materia de seguridad y privacidad. Por eso, debemos tomar todas las medidas necesarias para mantener a salvo la información de nuestra compañía.

La importancia vital de la seguridad en las bases de datos

La información que todos consideramos sensible se encuentra almacenada en sistemas gestores de bases de datos como Microsoft SQL, MySQL o los servidores de Oracle, entre otros servicios similares. Esa información es la que mueve a los hackers a querer acceder a esos servidores y tomar la información contenida. Para ello, hacen uso de las vulnerabilidades que pueda tener nuestro sistema a causa de una mala contraseña, la falta de actualización o bien la manera en que hemos configurado el acceso. Todo ello puede provocar un ataque de tipo SQL Injection, el ataque más común cuando hablamos de bases de datos.

El esfuerzo en mejorar la seguridad de cualquier servicio informático se basaba en asegurar los perímetros que rodean al dispositivo así con firewalls, IDS/IPS y antivirus. El símil en la vida real sería el de tratar a nuestro servidor como una fortaleza rodeada de muros y defensas. Pero la realidad y el avance tecnológico han demostrado que todo eso ya no es suficiente y debemos protegernos de muchos otros tipos de ataques fruto de los diferentes tipos de vulnerabilidades.

Las vulnerabilidades más frecuentes en las bases de datos

Una contraseña débil

No es tan raro encontrar usuarios que aún usan usuarios y contraseñas como admin/12345 convirtiendo el acceso a los servidores en el eslabón más débil de la protección contra ataques. Por eso debemos centrarnos en la creación de contraseñas complejas y seguras que usen tanto letras, como números, como caracteres especiales.

Preferencia de privilegios de usuario por privilegios de grupo

En demasiadas ocasiones, hay usuarios que tienen más privilegios de los que requerirían, lo cual se puede convertir en un problema. Debemos cambiar esta estrategia de privilegios por una en que los usuarios que manejan información no puedan realizar cambios más allá de los debidamente necesarios. Un solo usuario que se limita a las consultas de los datos no debe poder cambiar ni insertar nada.

Características de bases de datos innecesariamente habilitadas

Cada vez que instalamos una base de datos, se instalan también paquetes adicionales de formas y tamaños que pocas veces son utilizados. Esos paquetes quedan sin actualizar, olvidados y pueden resultar puertas de acceso a un ataque. Para reducir riesgos, es recomendable que los usuarios detecten esos paquetes olvidados y sean desactivados para reducir ese riesgo.

Bases de datos desactualizadas y sin cifrar

ES vital tener las bases de datos actualizadas e instalar las actualizaciones de software siempre que sea necesario. En estas actualizaciones está todo lo relacionado con las vulnerabilidades detectadas, ofreciendo barreras a esos posibles puntos débiles.

Además, por raro que nos parezca, no todas las compañías cifran la información almacenada en una base de datos. El cifrado es una manera de evitar que, en caso de hackeo y robo, esa información pueda ser compartida.

Inyecciones SQL

Este es el ataque más frecuente resultado de las vulnerabilidades de las bases de datos. Un mal mantenimiento de los datos de entrada puede hacer que se pueda ejecutar código y tomar el control de la plataforma.

Recomendaciones para proteger una base de datos

Identificar todas las vulnerabilidades

Debemos evaluar la configuración de una base de datos y establecer la sensibilidad de nuestro sistema, la configuración de la base para descartar agujeros en la seguridad o establecer los privilegios de los diferentes usuarios que tienen acceso a ella. La mejor herramienta para llevar a cabo esta función es McAfee Vulnerability Manager for Databases que permite descubrir automáticamente todas las vulnerabilidades de las bases de datos.

Realizar una auditoría

Después de crear una configuración totalmente segura, debemos realizar la auditoría para estar seguros de que seguimos la hoja de ruta marcada para garantizar la seguridad de nuestras bases de datos.

Ten el software siempre actualizado

Una de las vulnerabilidades más fáciles de corregir es la de tener el sistema siempre a la última. Por eso, debemos instalar los parches de seguridad de nuestro sistema, parches que permiten tapar posibles agujeros de seguridad y garantizar que nunca suframos un ataque. Con McAfee Virtual Patching for Databases  tendremos nuestro sistema siempre a la última, ya que se encargará de instalar las actualizaciones distribuidas por el proveedor.

Poner bajo vigilancia todas las acciones sobre las bases de datos

Un sistema de monitoreo de la base de datos nos servirá para saber si en algún momento si la base está siendo usada sin autorización o alguien con autorización está realizando alguna operación no programada. Con McAfee Database Activity Monitoring podrás tener una visión en tiempo real de todos los accesos a la base de datos, incluidos los usuarios con privilegios.

Supervisar los accesos

Ni todos los datos son iguales, ni todos los usuarios están en el mismo lugar en la escala jerárquica de acceso a la base. Hay que garantizar que sólo algunos usuarios tienen acceso completo y que, incluso estos, tienen supervisados los accesos a las bases de datos, en especial aquellas que son realmente sensibles.

La mejor estrategia de seguridad en bases de datos para tu empresa con AMBIT BST

En Ambit BST nos dedicamos desde hace 15 años a la ciberseguridad de empresas como la tuya. Asesoramos e implementamos soluciones de protección en tiempo real para bases de datos. ¡Solicítanos hoy mismo información sin compromiso!

Importancia del Talent Acquisition Manager dentro del departamento de Recursos Humanos

La figura del Talent Acquisition Manager es fruto de la incorporación de las nuevas tecnologías en los procesos dentro de los recursos humanos. Las redes sociales han empezado a jugar un papel decisivo en la manera en que las empresas captan talento, además de cambiar la manera en la que los candidatos buscan activamente empleo. En paralelo, el big data ha generado unas figuras de alta especialización dentro de los departamentos dedicadas a la gestión del personal.

La búsqueda de nuevo talento: la selección de personal 2.0

 La red social dedicada a las empresas y los profesionales, LinkedIn, lanzó en 2018 un informe en el que destacaba la importancia de las herramientas de búsqueda basadas en Inteligencia Artificial y cómo esta está influyendo en la manera en que las empresas buscan talento y los profesionales encuentran puestos de trabajo. La contratación a través de redes sociales es ya una de las principales fuentes y ocupa el primer lugar en las contrataciones directas por parte de las empresas.

Pero para que las empresas puedan encontrar talento y atraerlo necesitamos que alguien planifique la estrategia para llevarlo a cabo. No basta únicamente con crear una oferta de trabajo, debemos hacerla atractiva. Aquí aparece el Talent Acquisition  Manager.

La figura del Talent Acquisition Manager

Esta figura se engloba dentro de la transformación digital y todos aquellos conceptos con los que hoy estamos familiarizados pero que hace tan sólo 10 años, nos hubieran sonado imposibles. Hoy, ha tomado una gran relevancia, ya que es la persona encargada no sólo de gestionar el proceso de selección, sino de crear todos los programas de estrategia de atracción de talento hacia las empresas.

El Talent Acquisition Manager se dedica a diseñar todo el proceso de búsqueda, contratación y aterrizaje de la nueva incorporación en la empresa, pero también es quien se encarga de crear el guion de las entrevistas, generar las preguntas y modelar el formato de estas. El reto está en adaptar los nuevos procedimientos a la cultura de la empresa.

Las funciones que el Talent Acquisition Manager debe desarrollar en el departamento de Recursos Humanos

Ya sabemos cuáles son, de manera resumida, las funciones de esta figura que está resultando clave en los departamentos de recursos humanos. Vemos ahora cuáles son sus funciones específicas.

  • Conocer la cultura de la empresa: el Talent Acquisition manager debe trabajar codo con codo con los directivos de la compañía. Sólo así, podrá conocer de primera mano las necesidades de cada sección e identificar las oportunidades.
  • Dinamizar el desarrollo laboral interno: uno de los cambios de filosofía que ha aparecido en los últimos años es la aparición de la fidelización del trabajador. Debemos crear un entorno laboral en el que poder hacer carrera, adaptando las tareas del trabajador a su formación específica, evitando así que pueda caer en la apatía o la frustración.
  • Crear una estrategia y plan ejecución de contrataciones: el desarrollo de planes de talento desde las universidades, asistir a eventos de empleo o trabajar en la búsqueda de perfiles en portales de empleo online son partes de esa estrategia.
  • Dar a conocer la cultura empresarial a los candidatos: las redes sociales deben poder mostrar lo mejor de nuestra empresa. Del mismo modo que el perfil en LinkedIn o Instagram da mucha información sobre un profesional, el candidato echará un vistazo a las redes sociales de nuestra empresa para saber dónde va. Por eso es importante ofrecer información clara sobre el puesto de trabajo, salario y cultura empresarial durante el proceso.
  • Implementar sistemas de seguimiento del proceso de selección: un CRM de candidatos es una de las mejores soluciones en lo que a seguimiento de procesos se deriva. Del mismo modo que usamos un CRM para clientes y proveedores, un CRM de candidatos nos puede ayudar a facilitar los seguimientos en los procesos.

Las diferencias entre employer branding y el talent acquisition manager

 El employer branding no es otra cosa que la marca de una empresa como empleador, es decir: la imagen que tiene una empresa hacia sus propios empleados y también hacia los futuros candidatos. Como empleadora, la empresa debe ser atractiva para poder atraer talento, cuidando mucho la manera como es percibida en las redes. Por eso, la empresa debe ser real, mostrando como auténticos los valores de la compañía para que nunca queden como una simple fachada, en este punto las redes sociales son tu mejor aliado.

Además, debes conocer qué hace atractiva a tu compañía, qué es lo que buscan los candidatos y cómo hacer que tus ofertas sean realmente atractivas. En muchas ocasiones son los mismos empleados los que se encargan de ser embajadores de la marca de tu empresa. Si un empleado encuentra en tu compañía lo que necesita para crecer profesionalmente, será el primero en enviar a sus contactos una oferta de trabajo. Por eso, toda la empresa debe formar parte de este proyecto, porque toda tu empresa debe ser consciente de la importancia del employer branding.

Por tanto, el talent acquisition manager utiliza las estrategias realizadas por el employer manager para diseñar el proceso de búsqueda y el proceso de contratación de la nueva incorporación en la empresa.

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos auditores y consultores en múltiples ámbitos, y la atracción de talento y desarrollo de planes profesionales para optimizar los servicios que ofrecemos a nivel tecnológico es una de nuestras especialidades. Si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.

Qué es el Deep Learning y cuál es su importancia en el desarrollo de la Inteligencia Artificial

Las películas de ciencia ficción han presentado siempre una visión apocalíptica de la inteligencia artificial (IA o AI en sus siglas en inglés). En esa visión, las máquinas aprendían a sentir y a tomar decisiones basadas en sus propios sentimientos. Fue Isaac Asimov con sus novelas futuristas como “Yo, Robot” quien cautivó millones de lectores de todo el mundo con unos robots con auténticos sentimientos. La realidad ha quedado en otro lugar muy distinto.

 El Deep learning es una de las variantes más de la llamada inteligencia artificial que está demostrando ser una herramienta muy útil en la identificación de nuevos segmentos de mercado. Descubramos cuáles son las características y en qué se diferencia el Deep Learning.

La inteligencia artificial, el Deep learning y el Machine Learning

Poco a poco, ha ido avanzando la técnica de análisis de los millones de gigas de datos que se generan en el tráfico de las páginas web en internet. Pero tendemos a confundir los conceptos creando una única categoría. Técnicamente, la inteligencia artificial nace en los 60 y trata de solucionar con la potencia de computación de nuestros ordenadores tareas que, para nosotros los humanos son sencillas, pero para una máquina son muy complejas. Por ejemplo: para un humano es muy simple salir a la calle y reconocer un color, el simbolismo de un semáforo o el sonido de un pájaro. La inteligencia artificial busca como hacer que una máquina sea capaz de identificar objetos, formas, sonidos… de una forma tan simple y eficaz como la puede hacer un humano.

Así, el machine learning es una de las formas que hemos encontrado los humanos de ayudar a las máquinas a entender esos procesos correctamente. Gracias a los procesos de machine learning las máquinas pueden aprender cosas para las que no han sido programadas. Por ejemplo, nosotros o incluso un perro podemos identificar a un gato sólo con ver uno. En cambio, una máquina necesita millones de imágenes de gatos para conseguir identificarlos.

Con los sistemas de machine learning en este caso, el programa analiza millones de imágenes de animales pidiendo que marque aquellas en las que detecta que hay un gato, a partir de un modelo generado con el análisis de miles de fotos con la etiqueta ‘gato’. El modelo se supervisa a modo de entrenamiento hasta que se da por bueno el nivel de precisión y se puede aplicar. Pero aún así, el modelo debe ser revisado por humanos para adaptarlo a la realidad. Un ejemplo muy claro son las traducciones basadas en machine learning. Pese a que pueden ser muy buenas en textos de nivel sencillo, requieren de adaptaciones con textos complejos o entre idiomas poco hablados. Así, entre español e inglés el grado de precisión es muy superior al que encontramos entre el español y el alemán.

¿Qué es el Deep Learning y por qué es revolucionario?

Este proceso es una evolución del Machine Learning con la particularidad de que las máquinas pueden auto-programarse para adaptarse mejor a un cambio. Se trata del sistema más parecido desarrollado hasta la fecha de emular la percepción humana de la realidad ya que el aprendizaje de la máquina no está supervisado.

Si en el primer ejemplo el programa debía ‘aprender’ primero qué es un gato’, el Deep learning en su primer estadio es capaz de identificar primero la forma básica del gato, luego el color y la forma básica de los atributos del gato, después empieza a combinar las formas para crear una forma compleja, hasta llegar a crear una imagen que es capaz de etiquetar por sí sólo como ‘gato’.

Salgamos del mundo de los felinos y vamos al mundo real. ¿En qué es útil esta tecnología? El Deep Learning se basa en la percepción de la realidad para que la máquina pueda identificarla y estará muy unida a la llamada Internet Of Things. Actualmente, el Deep learning se utiliza en campos como:

  • La identificación de logotipos en redes sociales
  • Orientación en tiempo real de anuncios en redes según lo que quieren los clientes
  • Identificación de nuevos segmentos
  • Detección de estafas
  • Clasificación de contenidos en video
  • Identificación de enfermedades
  • Análisis de radiografías y resonancias para mejorar el diagnóstico
  • Reconocimiento de voces
  • Identificación de textos según si son positivos, negativos o por sus temas

Es decir, el Deep Learning es capaz de identificar patrones nuevos y adaptarse a ellos para mejorar ‘según la marcha’. No necesita que supervisemos constantemente el resultado, porque la máquina es casi autosuficiente, aunque sí que debemos estar atentos a que el algoritmo funcione correctamente para evitar distorsiones o ruidos. De hecho, se persigue reproducir el nivel de percepción de la realidad que podemos tener los humanos a partir de nuestro sistema nervioso.

El Deep learning será la clave del futuro

El futuro de Asimov con máquinas inteligentes que sufren ha quedado en el terreno de la ficción. El Deep Learning ya tiene aplicaciones prácticas en campos concretos, pero según mejore con el aprendizaje y el análisis del big data, irá aumentando en precisión. Actualmente ya existen aplicaciones prácticas como la computación cognitiva, como Watson de IBM, o las tecnologías IA aplicadas a la nube, de las que ya podemos disponer en nuestras empresas.

Innovar en lugar de competir: La estrategia Ocean Blue

La estrategia Ocean Blue ha supuesto una revolución en la estrategia empresarial, ya que se trata de abandonar la competencia destructiva que encontramos en los ámbitos empresariales con mayor concurrencia.

Acompáñanos y descubre esta revolucionaria estrategia y cómo ha cambiado el modo en que se relacionan las empresas entre sí.

El océano rojo antes del océano azul

En 2015 se publicó el libro “Blue Ocean Strategy”, un estudio que describe cómo las empresas se mueven en el llamado ‘océano rojo’ (Red Ocean). Es decir: compiten entre ellas para destruirse y dominar una posición de mercado concreta de la que obtienen beneficios hasta que se agotan. El resultado es que la competitividad únicamente se traduce en bajadas de precios, lo que en un primer momento es beneficioso para el consumidor, pero a la larga repercute en otros aspectos.

Los negocios proliferan en torno a mercados y productos que ya existen y se asume el riesgo de la guerra destructiva. Pero la realidad es que el cambiante contexto del mercado ha generado unas nuevas oportunidades no sólo para hacer negocio, sino para destacar.

Aparece el Océano Azul.

¿Qué es el océano azul?

El nombre nos evoca a un mar en calma y de hecho es algo así. El Océano Azul descrito en 2015 por W. Chan Kim y Renée Mauborgne se basa en la innovación como vía para lograr encontrar nuevas oportunidades de negocio y generar valor. Si se logra, la competencia será totalmente irrelevante porque habremos generado un mercado único y particular, rompiendo las normas.

El Océano Azul indica que cuando se innova se logra encontrar un valor nuevo, un espacio distinto en donde la competencia no logrará tener acceso tan rápido. El ejemplo más conocido es el de Cirque Du Soleil, que logró convertir una idea en apariencia calcinada como es la del circo en algo nuevo, emocionante y diferente. Logró que los millones de circos del mundo no tuvieran nada que hacer a su lado.

Cirque Du Soleil siguió una serie de pasos para lograr esa transformación:

  • Eliminación de los animales, las múltiples pistas, las estrellas y la promoción tradicional
  • Creación de un entorno elegante y exquisito gracias a la conversión de la banda del circo en un grupo de música de alta calidad y añadiendo coreografías y escenografía rompedora
  • Reducción de algunos de los elementos clásicos como el humor o el peligro, sin hacerlos desaparecer del todo
  • Aumento del valor artístico a partir de una dirección centralizada en su sede de Montreal, donde se crean todos los espectáculos.

¿En qué se basa una estrategia de Ocáno Azul?

El ejemplo del Cirque du Soleil pone las bases de esta estrategia, que podemos resumir en estos puntos que, como verás, giran alrededor de la innovación:

Dibujar el marco estratégico propio

Responde a esta pregunta ¿cuál es el marco creativo potencial de nuestra organización? Se trata de determinar qué nos hace diferentes y únicos.

Delinear las nuevas fronteras de nuestro mercado

Debemos ser capaces de analizar las industrias alternativas y qué grupos de empresas hay dentro. Podemos llegar a conocer las cadenas de compradores o los productos complementarios, en lugar de fijarnos en la competencia directa

Explorar el terreno más allá de nuestra competencia

Se trata de levantar el foco y ver qué terreno hay más allá. Para entenderlo debemos pensar en qué debió pensar el público del Cirque Du Soleil cuando vio que era un circo sin animales.

Crear una secuencia estratégica

Debemos cambiar el punto de vista: ¿qué espera el consumidor? ¿qué le gustaría ver? ¿Qué precio está dispuesto a pagar?

Superar los posibles obstáculos

Ninguna estrategia está exenta de riesgos. Para poder superarlos debemos preverlos y preparar planes para que no se conviertan en un impedimento para el éxito.

Llevar a cabo la innovación siendo capaces de moverse con agilidad

De nada va a servir ejecutar nuestra estrategia si no somos capaces de adaptarnos a los cambios.

Vigila, no naufragues en el océano azul

Esta estrategia tiene un inconveniente: si generas un nuevo espacio de mercado en que tu empresa es dominante, puede suceder que otros lo ocupen. Tenemos algunos ejemplos para entenderlo. Cuando Polaroid lanzó la fotografía instantánea creó una categoría en sí misma, pero cuando llegó la fotografía digital no supo adaptarse a este cambio.

Así que no puedes dormirte en los laureles. La innovación requiere una mente abierta y ser capaz de adaptarse a los retos y los cambios sin acabar por volver a la estrategia de nichos de mercado.

¡Buen viaje por el océano azul!

Qué es el Employer Branding y por qué debe empezar a tenerlo en cuenta en tu empresa

En el mundo de la comunicación y la preocupación que muchas empresas tienen por la percepción que tienen de ellas sus clientes, aparece la necesidad de crear una marca propia también hacia el interior. La estructura laboral de una compañía también debe tener su propia filosofía hacia sus trabajadores.

Cuando hablamos de employer branding nos referimos a la marca que tiene una empresa no sólo hacia sus clientes, sino también hacia sus trabajadores. Pese a que este concepto se remonta a los años 60, en España este término no empieza a popularizarse hasta finales de los 90 y sólo en empresas grandes.

¿Es importante el employer branding?

La ‘marca empleadora’ es la imagen que tienen los trabajadores de una empresa y no sólo hace referencia a la plantilla actual, sino también a los antiguos trabajadores y a los futuros candidatos.

Del mismo modo que nuestros clientes dejan su opinión en páginas especializadas dedicadas al consumo y estas sirven a otros usuarios para ayudarles en una compra, el employer branding sirve, por un lado, a los trabajadores aspirantes para saber cuál es el ambiente de trabajo. Así mismo, hay que destacar que muchas de las opiniones que encontramos en páginas como Glassdoor, son realizadas por antiguos trabajadores. Si estos han tenido malas experiencias, las dejarán por escrito, pero si la experiencia ha sido buena posiblemente también.

Así que la marca del empleador debe estar tan bien cuidada como el producto y hay que trabajar con el departamento de recursos humanos para conocer las inquietudes, problemas, amenazas y, especialmente, el ambiente de trabajo que se haya generado en la empresa. Para poder llegar a conocerlo, debemos auditar en el momento presente y, también, crear una estrategia a largo plazo que abarque diferentes aspectos laborales.

Conoce lo que piensan tus empleados

Hay muchos métodos para conocer qué opinan tus trabajadores y poder llegar a aprender de ellos. El grado de conocimiento del día a día te puede servir no sólo para incorporar mejoras en los puestos de trabajo, sino también en los flujos de producción.

Para poder recopilar informaciones reales debes garantizar que esta se pueda producir de manera totalmente anónima. Puedes usar métodos ‘a la antigua’ como el buzón de sugerencias u otras que te permitirán crear estadísticas a largo plazo basadas en entornos online y de big data. Entre los datos que deberías conocer debes destacar:

  • El grado de satisfacción de los empleados: ¿se sienten realizados o bien consideran su tarea una forma de ganar dinero?
  • ¿Valoran a tu compañía? ¿Valoran a su equipo?
  • ¿Qué esperan de la empresa para sentirse a gusto? ¿Quieren hacer carrera o tienen pensado marcharse en breve?

Plantea una estrategia

Del mismo modo que has diseñado una estrategia para vender tus productos, los datos que recopiles sobre el estado de ánimo, ambiente de trabajo o aspiraciones de tu plantilla te deben servir para crear una estrategia a largo plazo o planes para afrontar situaciones delicadas. En este proceso se debe implicar mucha gente, no sólo recursos humanos sino también los mandos superiores e intermedios para implicarlos en el desarrollo de esta estrategia.

Igual que persigues que tus clientes se enamoren de tus productos, debes perseguir que tus trabajadores se sientan suya la empresa y que los aspirantes sientan realmente querer trabajar en tu compañía. Pero cuidado: del mismo modo que tu producto no sólo debe parecer bueno, sino que debe serlo, el ambiente laboral de tu compañía no sólo debe parece bueno, sino que debe serlo. En caso contrario, los aspirantes que habían venido por lo que ‘esperaban encontrar’ acabaran marchándose decepcionados.

Mima a los recién llegados

Una estrategia muy buena es cuidar a los trabajadores nuevos convirtiendo el primer día en una experiencia realmente agradable. Todos hemos tenido un ‘primer día’ y todos hemos estado nerviosos e inseguros. El procedimiento de acogida debe estar pensado para romper el nerviosismo, conocer a los compañeros, mandos y la empresa en sí.

Abre tu equipo a la diversidad del talento

Los equipos multiculturales e internacionales enriquecen las empresas y a los equipos. Una empresa diversa es símbolo de nuevas ideas y muchos trabajadores agradecen a la larga entrar en contacto con compañeros que, por origen o formación, tienen otra cultura del trabajo y maneras de entender la vida.

Debes implicar a toda la plantilla

Para que la estrategia de employer branding llegue a ser un éxito, deberás implicar a todo el mundo en tu empresa. El trabajo principal lo debe realizar el equipo de recursos humanos y, especialmente, el de marketing que se encargará de crear el mensaje para que llegue en condiciones hasta tu plantilla.

Ten tu página de empleo siempre al día

Para poder llegar a captar talento debes hacer uso tanto de tu página web, creando un espacio dedicado a las ofertas de trabajo y de tu equipo que sirva como presentación de tu empresa como lugar para trabajar, así como de plataformas online como LinkedIN o Glassdoor, entre otras.

Desde el blog de Ambit te mantenemos al día de las últimas tendencias en este tipo de estrategias, soluciones y servicios vinculados a la Transformación Digital y a las Tecnologías de la Información. Síguenos y mantente al día en un panorama en el que los cambios se suceden a un ritmo vertiginoso. Construimos soluciones juntos.

¿Por qué es imprescindible encriptar los datos para proteger la información?

Desde el principio de la historia y la escritura, la humanidad ha hecho uso de los métodos de cifrado para evitar que ciertas informaciones puedan caer en manos no deseadas. En contexto de guerra o de informaciones ‘reservadas’ las sociedades han creado soluciones más o menos ingeniosas para poder cifrar informaciones y hacer imposible su comprensión si caen en manos del enemigo. El caso más famoso es el de la máquina Enigma que desarrollaron los alemanes durante la II Guerra Mundial y que era tan sofisticado que se necesitaron años de dedicación para encontrar el patrón de descifrado.

Pero en la actualidad el cifrado de nuestros datos y comunicaciones sigue siendo muy importante. No estamos en un contexto de guerra, pero, evidentemente, nuestras comunicaciones privadas y, por supuesto, los datos y comunicaciones empresariales, requieren de medidas de seguridad para protegerlas de miradas no autorizadas. Aquí es donde entra en juego la encriptación de datos.

Tipos de encriptado

El dinamismo de la red requiere de unos sistemas dinámicos y que cambien constantemente para que nunca puedan ser desencriptados. Eso sí, el encriptado debe ser conocido por el emisor y el receptor para que uno y otro puedan ver las comunicaciones. La legislación europea y, por derivación, la española permite los siguientes cifrados:

Encriptado convencional:

Basado en un cifrado profesional robusto.

Sistemas de encriptado alternativo

  • Esteganografía: el emisor oculta los mensajes a nivel de aplicación para su envío en forma de imágenes por medio de vías electrónicas.
  • Spread-Spectrum: sistema de transmisión de espectro ensanchando que permite enviar mensajes ocultos para el caso inalámbrico a nivel físico.

Además, el encriptado se puede aplicar en el almacenamiento -discos duros, tarjetas de memoria, dispositivos…- o sobre las capetas y archivos que se almacenan en la nube. A su vez, el cifrado puede ser simétrico, emisor y receptor usan la misma clave, o asimétrico, en que existen dos claves (pública y privada). Existe un tercer cifrado mixto que se utiliza cuando se quieren aligerar las comunicaciones cifrando únicamente una parte de los datos, como en el caso del certificado SSL.

En todo caso el método de cifrado, así como la aplicación, gestión y desarrollo, depende de la empresa, no del trabajador. Será la compañía la que debe tomar todas las medidas necesarias para garantizar la seguridad e integridad, así como la aplicación de todas las normativas al respecto vigentes.

La necesidad de encriptar nuestros datos

Por desgracia no hay una consciencia sobre la privacidad. La enorme popularidad de las redes sociales nos ha hecho perder de vista que cualquier persona puede ver lo que publicamos sin ser consciente de hasta donde puede llegar esa publicación.

En consecuencia, la falta de seguridad y privacidad en las comunicaciones no es contemplado como una amenaza para nuestra compañía. Actualmente, el paso de los servidores físicos en la propia empresa a la nube obliga a todas las compañías a pensar en cómo nuestras comunicaciones deben quedar a salvo de terceros no deseados.

El encriptado de los datos de nuestra empresa no sólo debe estar centrado en las comunicaciones, sino también los discos, datos, archivos… cualquier información contenida en nuestra empresa puede ser utilizada para fines poco lícitos. Al contrario de lo que creemos, el principal atractivo de nuestra empresa no son los datos bancarios para perpetrar un atraco. El principal atractivo para los delincuentes son los datos de nuestros clientes.

Los datos personales de nuestros clientes son tan valiosos que existe una potente legislación a nivel europeo que regula todos los aspectos referidos a la recopilación, gestión y conservación de los datos personales de nuestros clientes y visitantes. Se trata de la GDPR (General Data Protection Regulation) que entró en vigor en mayo de 2018 y que es de obligado cumplimiento para todas las empresas que operan de manera directa o indirecta en el territorio de la Unión Europea y el Espacio Económico Europeo.

La parte más importante que tu empresa debe tener en cuenta es la necesidad de que los datos estén correctamente cifrados y únicamente el propio usuario pueda acceder a su ficha. Dicho de otro modo, la empresa podrá utilizar los datos con fines estadísticos, pero sólo el cliente podrá acceder a sus datos personales que haya entregado por ejemplo en un formulario de solicitud de información (como su email, teléfono o dirección postal) y también será responsable de que estos datos no puedan ser sustraídos y, en caso de serlos, que no puedan ser desencriptados por terceros.

Protege los datos y comunicaciones de tu empresa con las soluciones de AMBIT

AMBIT es una empresa con más de 15 años de experiencia en el asesoramiento, protección y gestión con soluciones a medida para la protección y gestión de los datos más importantes de tu empresa. Solicita un presupuesto sin compromiso ahora.

Qué es la huella digital y cuál es su importancia

La huella digital es un concepto que incorpora todos los registros y rastros que dejamos cuando utilizamos internet. En la mayoría de los casos son beneficiosos para el usuario, pero en otras pueden ser realmente perjudiciales ya que nunca son irrelevantes. Estos registros representan información sobre nosotros que pueden servir a terceros para ganar dinero o bien conocer nuestras preferencias y poder vender mejor sus productos.

La huella digital es uno de los temas que más preocupan a los usuarios ya que afecta directamente a su seguridad y privacidad. Conoce porqué es tan importante la huella digital y en qué te afecta positiva y negativamente.

¿De qué manera dejamos huellas digitales?

Cuando navegamos y visitamos una web, estamos entregando una información concreta al dueño de la página web. Primero de todo nuestra IP, que revela la ubicación geográfica, además nuestra ubicación geográfica, navegador, sistema operativo del ordenador o dispositivo, idioma, sexo, edad… e incluso el último lugar que hemos visitado.

Estos datos habitualmente no suponen una intrusión en nuestra privacidad. No estamos revelando de manera involuntaria ningún dato personal o privado, sino estadístico que se utiliza para crear perfiles de comprador o de visitante a un site. Las webs, a su vez, dejan una cadena de dígitos en nuestro navegador que se conoce como cookie (literalmente ‘galleta’). Estas cadenas quedan en nuestro navegador hasta que optamos por borrarlas y tienen un uso práctico muy claro.

Cada vez que accedemos a nuestro servicio de correo o red social, la cookie nos permite no tener que estar escribiendo el usuario y contraseña cada vez que queramos entrar, a no ser que indiquemos lo contrario.

Pero las cookies pueden contener muchos tipos de datos y en ocasiones pueden generarse a partir de ellas, perfiles sorprendentemente completos que contengan información personal que va más allá de los datos estadísticos sobre el ordenador desde el que nos conectamos: puede incluir detalles sobre compras, sexo, salud, información financiera…

La huella digital y el big data

Esta generación de datos que se produce cada vez que nos movemos por la red ha acabado generado en lo que conocemos como Big Data. La gestión de esta huella lleva a muchas empresas a la contratación de personal especializado para poder realizar un análisis que permita generar perfiles.

Este análisis no se puede realizar a partir de las técnicas tradicionales, sino que ha sido necesario crear nuevas herramientas de gestión y proceso. Nunca pierdas de vista que si no analizas la huella digital de tus clientes, alguien lo hará por ti. Del mismo modo en que todas aquellas acciones de análisis que tomes sobre los datos de tus clientes deberán estar bajo las medidas de seguridad que marca la EU-GDPR.

La identidad digital

A partir de la definición que hemos dado sobre lo que es la huella digital, podemos afirmar que los usuarios poseen una identidad digital. Se trata de un ‘yo’ en la red que incluye no sólo los datos que vamos dejando en la red como consumidores de contenidos online y/o productos, sino también cómo queremos que nos vean los otros usuarios. Aquí entran en acción las redes sociales y nuestro perfil en ellas: ¿somos ‘nosotros’ o bien hablamos bajo un pseudónimo?

Se trata, en el fondo, de nuestra marca personal frente a las otras ‘marcas’ -los otros usuarios en la red-. Por otro lado, el concepto de reputación digital va muy ligado al de identidad digital, aunque en el caso de la reputación nos referimos a un concepto más específico del marketing y en el que no ahondaremos aquí.

Las amenazas a la identidad digital

La acumulación de las identidades digitales de millones de usuarios formadas a partir del rastro que dejan en cada compra o visita a una web, son una mercancía muy valorada por parte de hackers. Poder llegar hasta estos datos para usos ilícitos se ha convertido en un negocio oscuro muy lucrativo. Para poder protegernos, debemos conocer cuales son las amenazas a las que nos enfrentamos:

Suplantación de identidad

Hay usuarios que utilizan nuestras fotos para crear perfiles falsos y no autorizados de otros usuarios o empresas, especialmente en las redes sociales. Así pueden llegar a información a la que de otro modo no podrían acceder. Este tipo de amenaza es más frecuente entre usuarios personales que entre empresas.

Fuga de datos

La fuga de información tiene como objetivo dañar la imagen y prestigio de una empresa o personalidad, ya que la información que se fuga acostumbra a ser confidencial y/o sensible.

Ataques de denegación de servicio (DDoS)

Aunque entramos en el terreno de la ciberseguridad, si los servidores de nuestra empresa son utilizados en un ciber-ataque de este tipo, nuestra reputación puede verse muy afectada.

Protege tu información e identidad digital con AMBIT

Protege los datos de tu compañía con AMBIT BST, una compañía líder en la prestación de soluciones y servicios vinculados con las tecnologías de la información con más de 15 años de experiencia a sus espaldas.

Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios para el estricto cumplimiento de las normativas que rigen los entornos GxP.

Si estas interesado en un software cloud que obedezca a estos requisitos, te recomendamos que te descargues este ebook gratuito sobre las ventajas de GxPharma Cloud.

Cualificación de Infraestructuras IT en Entornos GxP

En estos últimos 15 años la infraestructura IT de las compañías se ha transformado radicalmente, no sólo por el paso del servidor físico a la nube, sino también por el aumento de procedimientos y también riesgos.

Los entornos de infraestructura GxP son entornos regulados y deben asegurar que las actividades que se realizan sobre ella no tengan impacto sobre el paciente. La seguridad es uno de los puntos mas importantes en los que la cualificación se debe basar.

¿Qué son los entornos GxP?

GxP es un acrónimo que se refiere a GLP (Good Laboratory Practices), GCP (Good Clinical Practices), GMP (Good Manufacturer Practices), GDP (Good Distribution Practices), y son las buenas prácticas que se deben aplicar en toda la cadena en las organizaciones en el ámbito cosmética, veterinaria, farmacéutica y medical device.

El objetivo de estas buenas prácticas es asegurar que los productos sean seguros para los consumidores. Parte principal de esa seguridad es asegurar la integridad de los datos (data integrity).

Podemos concretar por lo tanto que las infraestructuras IT en entornos GxP soportan los sistemas informáticos utilizados en toda la cadena y deben asegurar que su uso no transfiere riesgos al sistema, como por ejemplo un borrado accidental de datos, un acceso no controlado, etc.

¿Qué se entiende por cualificación de infraestructuras IT?

Las infraestructuras IT la conforman todos aquellos componentes electrónicos que gestionan la información digital de una empresa.

Aquí encontramos naturalmente los clientes (pc, laptop, dispositivos móviles...), la red interna, los servidores… pero también la nube e incluso el personal especializado en su gestión y optimización.

En estos últimos 15 años la infraestructura IT ha cambiado sustancialmente y ya no se parecen en casi nada. Si en 2005 lo habitual era que los datos se almacenaran en servidores instalados en la misma empresa, actualmente los datos se guardan en la nube. Sin olvidar que la potencia de cálculo y gestión ha aumentado de manera incesante.

La cualificación de la infraestructura IT tiene tres pilares en los que se soporta:

  • Sistemas IT (servidores, online storage, red, virtualización…): hemos de comprobar si cumplen con las especificaciones y si funcionan acorde a los requisitos.
  • Personal: se comprueba que los roles y las responsabilidades se han asignado y que están formados de acuerdo a ellos.
  • Procesos y flujos de trabajo: Son necesarios dado que los procesos deben integrar todos los requisitos regulatorios y de buenas prácticas y deben ser seguidos por todo el personal, es por ello que el personal debe formarse en esos procesos.

El estado de cualificación se obtiene antes del go-live, sin embargo, se puede perder fácilmente si no se aplican los procesos y la gestión correcta sobre los componentes de la infraestructura durante la operación. Es por ello que aplicar una buena gestión de cambios, gestión de la configuración y una buena gestión de incidencias aseguran que el estado de cualificación no se pierda durante esa etapa, sin olvidarse de la retirada.

Una vez hemos cualificado el sistema, debemos ser capaces de aplicar los cambios para mejorar aquellas partes que no son óptimas y realizar un seguimiento para que esos procesos no empeoren con el tiempo.

Y más aún cuando los entornos GxP requieren altos estándares de seguridad, ya que estamos en entornos médicos en los que la seguridad de todo el proceso es algo central y vital.

¿Qué significa que una infraestructura IT está cualificada?

Como hemos explicado en el punto anterior, la cualificación de la infraestructura requiere que se cumplan una serie de requisitos técnicos, regulatorios y de usuarios.

En general una infraestructura IT cualificada debe seguir los siguientes puntos:

  • Control: todos los elementos que forman parte de la infraestructura IT de nuestra empresa, deben ser identificados y su configuración actual o determinada como óptima, guardada como estándar de funcionamiento.
  • Integridad de datos y sistema: Comprobando los estándares de seguridad, backups, firewall, etc. logramos asegurar que trabajamos con un sistema robusto, sólido y controlado en todo momento. Así mismo, se debe asegurar que los datos están gestionados de acuerdo a las buenas prácticas de Data Integrity. Los datos que se guardan en nuestro sistema han de estar siempre perfectamente protegidos, accesibles e íntegros a través de la encriptación, contraseñas, auditorías o backups.
  • Compliance: este término inglés tan utilizado actualmente en los flujos de trabajo se refiere a que algunos requisitos recogidos en una guía o regulación deben estar integrados dentro los procesos de la infraestructura IT.
  • Mantenimiento: mantener el estado de cualificación es una tarea necesaria que implica tener los procesos correctamente definidos e integrados con la regulación. Estos procesos ayudaran a realizar cualquier tipo de cambio sobre la infraestructura IT de una forma controlada y segura de acuerdo a lo exigido por el sector.
  • Documentación: para poder cumplir con todos los puntos anteriores se requiere tener documentada la infraestructura IT incluyendo procedimientos, instrucciones de trabajo, manuales de la maquinaria IT, licencias, así como la documentación referida a todos los incidentes, problemas y cambios que vayan apareciendo.

¿Qué se logra con la cualificación de la infraestructura IT?

Con la cualificación IT lograremos verificar mediante un proceso documentado, que todos los componentes de la infraestructura -hardware o software– cumplan con los requerimientos necesarios para dar soporte a los sistemas GxP. La cualificación nos garantizará que la infraestructura ha sido implementada de acuerdo a las especificaciones definidas.

Así mismo, cuando la infraestructura IT está correctamente cualificada tendremos la seguridad que toda ella funciona bajo los estándares de calidad necesarios, que existen procedimiento y que el personal está formado en ellos para operar la infraestructura IT con garantías.

¿Tu compañía desarrolla su actividad en estos sectores y buscas asesoramiento? En AMBIT BST podemos ayudarte. Contáctanos y te asesoraremos en profundidad sobre la cualificación de tu infraestructura IT.

People Analytics: La magia del Big Data en la gestión del talento y RRHH

El big data está llegando a todos los rincones de las organizaciones.

Big Data es un término que describe el gran volumen de datos, tanto estructurados como no estructurados, que inundan los negocios cada día.

Pero no es la cantidad de datos lo más importante, sino lo que las organizaciones hacen con ellos:

Se puede analizar para obtener ideas que conduzcan a mejores decisiones y movimientos de negocios estratégicos.

Aplicado a la gestión del talento y los recursos humanos es una de las tendencias en alza en las compañías.

Conoce cómo puedes aplicar las técnicas del big data en la selección de personal de tu empresa.

People analytics: big data en la selección y gestión del talento

Empecemos por explicar este concepto.

People Analytics -literalmente análisis de la gente- es el arte de aplicar las técnicas ya conocidas del big data y ciencia de los datos, en la gestión de los recursos humanos.

Así, seremos capaces de conocer mejor a nuestra plantilla de trabajadores y aumentar su productividad y satisfacción con la empresa.

Pero ¿cómo se recogen los datos para poder llevar a cabo un People Analytics correcto?

Es posible captar los datos que generan nuestros empleados en el puesto de trabajo de diferentes maneras. Por ejemplo, usando sensores ambientales, los dispositivos inteligentes conectados al WiFi corporativo o las tarjetas de identificación, ofrecen datos sobre patrones de interacción entre los trabajadores o del uso de redes sociales.

En relación a estas últimas, las redes sociales, son la principal vía para encontrar información extra sobre los candidatos.

People Analytics se ha convertido en la principal tendencia para gestionar el talento interno, así como para captar talento para nuestra compañía.

No podemos olvidar que las empresas están buscando desesperadamente profesionales de los recursos humanos que sepan gestionar estos datos, siendo capaces de convertir toda la información que se desprenda del Big Data en acciones concretas enfocadas al personal.

Gestionar y captar talento a partir de los datos

El principal activo de las compañías es, sin duda, su plantilla de trabajadores y los clientes y proveedores involucrados en el día a día.

Hasta ahora las empresas se han enfocado especialmente en el big data de los clientes, pero ahora empiezan a ver la necesidad de centrarse en el big data de trabajadores.

Cada día, un empleado deja un rastro trazable sobre su grado de satisfacción con la empresa, compromiso y productividad. Estos datos los podemos encontrar en el número de emails enviados, el tiempo de duración de las reuniones, la reserva de salas…

También podemos conocer el grado de satisfacción del trabajador con su trabajo, si se siente o no valorado o si quiere hacer carrera en la compañía.

Herramientas como una encuesta de clima laboral realizada de manera periódica que evalúe el estrés y ansiedad, así como la satisfacción o un buzón de sugerencias, son maneras de obtener estos datos.

Motivos para utilizar People Analytics en nuestra organización

Este sistema no persigue añadir un nuevo proceso a los que ya tenemos en la empresa, sino que persigue mejorar los existentes en el departamento de Recursos Humanos.

Identificar el talento que ya tenemos en nuestra empresa

El principal objetivo es identificar cuáles son las variables que se implican en el rendimiento y motivación de nuestra plantilla. Estas variables en ocasiones generan un clima ideal para las sinergias positivas, pero en ocasiones pueden generar conflictos o estrés que acaban por desmotivar al personal.

Esta técnica permite identificar a los trabajadores clave de la organización, ya sea por su nivel de destreza o por ser capaces de generar un buen ambiente laboral. Este es el tipo de talento que debemos identificar y que el People Analytics nos puede ayudar a extraer.

Atraer talento externo hacia nuestra organización

People Analytics también nos ayuda a identificar el talento que podríamos captar. Durante un proceso de selección puede llegar a ser muy complicado decidirse por uno u otro candidato.

Hasta ahora sólo teníamos el CV y, en como mucho, solicitar referencias a empresas donde el candidato hubiese trabajado con anterioridad.

Por el contrario, actualmente disponemos de mucha más información a la hora de evaluar a un candidato.

La nueva tendencia en selección que viene de la mano de People Analytics es el Data- Driven Recruitment, el cual nos permite identificar todas aquellas características de los candidatos que pueden ser extrapolables al día a día de nuestra compañía

Esto nos da una visión mucho más realista del ajuste que pueda tener el candidato a nuestra organización

En paralelo, la aplicación correcta de los datos obtenidos nos debe servir para predecir con tiempo la posible fuga de talento, sus causas y -siempre que sea posible- poder evitarlo.

Dar cancha al talento existente en nuestra compañía

Pero ¿qué hacer para motivar nuestra plantilla?

People Analytics permite poner el foco sobre las posibles inquietudes de nuestra plantilla. Si somos capaces de determinar qué espera la plantilla de nosotros y qué podemos ofrecer, podremos afianzar ese talento que ya tenemos y no perderlo.

Aquí entran en juego los planes de desarrollo de carrera profesional dentro de la compañía. No sólo se trata de construir un entorno laboral sano y motivador para los trabajadores, también se trata de motivar a nuestra plantilla ofreciendo aquellos incentivos laborales que los mantengan motivados y satisfechos.

Así podemos lograr que los trabajadores potencien sus habilidades, evitando la fuga y mejorando el grado de implicación para con la compañía.

People Analytics en el día a día de la organización

Llevar a cabo un plan de implantación de esta técnica de Big Data aplicada al trabajo es una tarea que debe empezar, como en otras, con una evaluación de la situación actual para determinar los factores que vamos a analizar.

A partir de aquí el análisis de datos debe ser un proceso continuo y constante, tanto para ajustar la monitorización como para tomar decisiones estratégicas, especialmente cuando conlleven cambios en la organización y producción de la plantilla.

En AMBIT BST podemos orientarte para hacer la integración más adecuada a las necesidades de tu organización. Contáctanos y te orientaremos personalmente.

Cómo desarrollar un soporte IT eficiente en tu empresa

Las organizaciones han trabajado durante muchos años con una estructura acorde con su tiempo y sus propias necesidades, pero en la actualidad los procesos laborales y personales se han fragmentado.

Así mismo, se han visto abocadas a mejorar aspectos como la competitividad y, especialmente, el manejo de las Tecnologías de la Información y las Comunicaciones (TIC).

No sólo se trata de que se lleven a cabo estos procesos de manera eficiente, sino de ser capaces de implementar una estrategia en nuestra compañía que sea eficiente.

La respuesta a cómo desarrollar un soporte IT eficiente en la empresa se responde de muchas maneras, pero la más interesante es con el uso de ITIL, o Information Technology Infrastructure Library, el referente más extendido en estos momentos en lo que a gestión de servicios IT (ITSM – IT Service Management) se refiere.

Cuál es la metodología adecuada para desarrollar un soporte IT en una empresa

Como en muchos otros procesos semejantes, no existe una única metodología o una única manera de desarrollar el soporte IT.

Lo que aquí te explicamos es una guía con los pasos a seguir y la descripción de estos.

El diagnóstico de la situación

El punto inicial del desarrollo del soporte IT es el análisis de la situación actual:

  • Analizar el ciclo del servicio actual
  • Revisar los objetivos de negocio y del área IT. Para ello debemos recolectar y analizar la información acerca de la organización y los procesos que se llevan a cabo en el departamento IT.

Estos datos deben dar como resultado un diagnóstico de la situación que incluya todos los aspectos del departamento: puntos fuertes, débiles, amenazas y oportunidades (DAFO) y formular las preguntas clave que deben obtener una respuesta con el desarrollo del soporte IT.

Del mismo modo, debemos enumerar todos los procesos que se llevan a cabo en la compañía y que están relacionados con el departamento IT, así nos será más fácil identificarlos en el futuro y evaluar su nivel de madurez.

Algo que veremos en el siguiente punto.

Mapeo de los diferentes procesos

En este punto debemos evaluar el nivel de madurez de los procesos IT de nuestra organización.

Para ello realizaremos un mapeo según el estándar del procedimiento ITIL que es el siguiente:

Nivel Estado Cumplimiento
0 Incompleto: los procesos no se llevan a cabo 0%
1 Ejecutados: los procesos se ejecutan, lográndose objetivos 20%
2 Gestionado: Los procesos se ejecutan, planifican, revisan y evalúan para comprobar que se cumplen los requisitos 40%
3 Definido: Los procesos gestionados se ajustan al conjunto de procesos conforme a las directivas de la organización 60%
4 Gestionado cuantitativamente: los procesos definidos se controlan con técnicas estadísticas 80%
5 Optimizado – Los procesos ‘gestionados cuantitativamente’ son cambiados y adaptados para conseguir cumplir los objetivos de la organización 100%

Una vez realizado el mapeo, debemos llevar a cabo los siguientes pasos:

  • Establecer criterios para evaluar los elementos comunes
  • Identificar qué procesos deben ser adaptados
  • Revisar el flujo de actividades ITIL de los procesos que deben ser adaptados y mejorados.

Propuesta de mejora del modelo de gestión IT

En esta tercera parte iniciamos el desarrollo de la metodología en sí.

Una vez hemos identificado la madurez de los diferentes procesos, debemos dirigirnos a los elementos clave de estos: los flujos de trabajo, las personas y la tecnología que se utiliza.

El objetivo tiene como base promover una gestión IT que incluya un marco de trabajo de forma que sea posible una gestión efectiva y, sobretodo, realista.

Debemos definir los cambios en los procesos actuales. El modelo ITIL se caracteriza por no recomendar normas, ni procedimientos ni flujos concretos, sino que es un modelo para promover el cambio y optimización, pero dejando a cada compañía cómo llevar a cabo ese cambio.

Uno de los métodos que proponemos es la creación de una matriz RACI, que indica el nivel de autoridad y los roles y responsabilidades de cada actor implicado en un proceso:

  • Responsible: personas o persona responsables del proceso
  • Acountable: persona o personas responsables de que la tarea de lleve a cabo   y que, al final, son las responsables de su ejecución
  • Consulted: personas cuya opinión es necesaria para la ejecución de la tarea
  • Informed: personas que se mantienen informadas sobre la misma

A partir de aquí, debemos implementar estos cambios definiendo métricas.

Según el nivel de madurez de los procesos que hemos determinado en el punto numero dos de esta guía, marcaremos cuál es el nivel óptimo para considerar que un proceso es ‘maduro’.

Habitualmente el nivel 4 es el que marca el punto de inflexión entre óptimo y no óptimo y debemos trabajar para que los procesos no-óptimos vayan hasta esa calificación.

Resultados

Todas estas acciones se evaluarán en los resultados, que sobretodo se centraran en medir si el cambio de los procesos no-óptimos en óptimos se ha llevado a cabo con éxito y de qué forma.

Será necesario, por lo tanto, revisar el mapeo que hemos llevado a cabo en el inicio de esta implementación para saber cuál es el nuevo ‘estadio’ de estos procesos.

Pero el desarrollo de un soporte IT eficiente en nuestra empresa no termina aquí.

Del mismo modo que las políticas se seguridad de la empresa deben actualizarse con regularidad para saber si estamos preparados contra las posibles nuevas amenazas, esta metodología también debe repetirse con cierta frecuencia.

Con ello se cerciora que los procesos siguen en niveles óptimos y que los cambios implementados han mejorado la efectividad de los procesos IT de nuestra compañía.

En AMBIT BST somos especialistas en prestación de soluciones y servicios relacionados con las TI. Si necesitas asesoramiento sobre cómo desarrollar todo este plan de soporte IT, no dudes en contactarnos, estaremos encantados de ayudarte.

CASB: el blindaje para tus servicios en la nube

Cuando hablamos de ciberseguridad muchas veces nos quedamos con conceptos muy importantes sobre cómo proteger nuestros entornos IT.

Según las empresas se van moviendo hacia los entornos en la nube, los CASB se convierten en herramientas cada vez más necesarias para poder unificar toda la seguridad en la nube.

Pero ¿qué es el CASB?

¿Qué opciones existen?

¿Qué posibilidades tiene?

¿Qué es un CASB?

CASB son las iniciales de Cloud Acces Security Broker, y se trata de un componente de software que actúa como punto de control de las políticas de seguridad entre consumidores y los proveedores de los servicios en la nube (SaaS).

Este concepto es muy importante para las compañías, ya que permite extender las políticas de seguridad de las empresas hacia sus servicios en la nube.

Pero ¿en qué afecta esto al día a día en una compañía?

Según un estudio de Gartner sobre ciberseguridad un empleado durante su jornada llega a utilizar hasta 27 servicios alojados en la nube, contando redes sociales, contenidos o simplemente consultar el correo electrónico personal.

Si no existieran los CASB, cada uno de estos servicios tendría unos estándares de seguridad distintos entre ellos, comprometiendo la propia ciberseguridad de la compañía. Pero los CASB existen y gracias a ellos podemos acceder a las diferentes plataformas en la nube -Google Apps, Office 365, Hubspot o SalesForce, por citar algunos de los más populares- sin que esto suponga una amenaza en el cumplimiento de los estándares de ciberseguridad.

Según este mismo estudio de la consultora Gartner, en el año 2020 el 95% de las grandes corporaciones habrá implementado un CASB para dotar de seguridad a sus servicios en la nube. En 2017, año en que se publicó este informe, sólo el 5% lo había implementado.

Se puede decir que los Cloud Access Security Broker aparecieron como una necesidad para obtener una visibilidad mucho más profunda en el uso de la nube y del Software como servicio, lo que llamamos SaaS.

Con ellos se logra aplicar los criterios de ciberseguridad de las empresas más allá de sus infraestructuras, y mantienen los datos de los usuarios siempre encriptados y seguros, reduciendo los riesgos de pérdidas desarrollando herramientas para trazar ficheros y contenidos.

¿Por qué es importante el CASB?

A continuación, te explicamos porqué es importante el CASB para blindar tus servicios en la nube y llevar tus políticas de seguridad a este ámbito.

CASB, en el centro de la ciberseguridad enfocada al cliente

Esta tecnología está en auge en estos momentos, pero Gartner afirma que en un futuro el CASB será tan importante como lo ha sido y es el Firewall.

Cuando se empezaron a popularizar las herramientas en la nube, como Dropbox por citar un ejemplo, los CISO (Director de Seguridad de la Información) se dieron cuenta que querían tener control de los datos incluso cuando estos no estaban en sus máquinas.

El CASB permite seguir el tráfico hacia la nube sin poner el riesgo la integridad de los datos y garantizando la seguridad.

CASB mejora la protección de datos

Desde la entrada en vigor del GDPR (Reglamento General de Protección de datos) de la Unión Europea, el nivel de exigencia y de cumplimiento de esta normativa ha elevado mucho los estándares de seguridad en la gestión de datos en las compañías.

¿En qué nos puede ayudar un CASB?

Esta herramienta es capaz de salvar las brechas de seguridad que habitualmente se producen cuando las organizaciones utilizan servicios como Azure o Amazon Web Services.

Esto implica que los datos de los clientes no están en la misma empresa, sino en otro servicio en la nube. Los CASB son herramientas de seguridad esenciales, sin olvidar que permite gestionar de manera centralizada las diferentes herramientas de seguridad, así como la IGA (Identity Governance and Administration)

CASB unifica las políticas de seguridad

Y sin salir de la seguridad, los CASB son capaces de unificar en una única herramienta todo el conjunto de normas y reglas sobre Firewall y seguridad que se aplicada a todos y cada uno de los dispositivos.

Al principio, las primeras versiones de los CASB tenían limitadas sus opciones para cubrir los diferentes ámbitos de seguridad, pero las versiones actuales sí son capaces de aumentar el soporte a cualquier aplicación de cada organización.

CASB es una herramienta multi modo

¿Qué significa esto?

Los CASB son capaces de funcionar en multi modo, admitiendo trabajar tanto en modo proxy como en proxy inverso, donde no se requieren agentes y funciona mejor en dispositivos no administrados.

Otro de los modos de funcionamiento que admite es el modo de control de API, lo que nos proporciona una visión extra de los datos ya almacenados en la nube o los que se utilizan dentro de un servicio cloud, sin que estos lleguen a formar parte de nuestra red corporativa, garantizando la seguridad de los datos de nuestros clientes.

¿Qué CASB me conviene?

Lo principal es conocer cuáles son las diferentes opciones disponibles y ver cómo pueden adaptarse a la organización.

Una buena opción es probar los diferentes tipos o modalidades y solicitar llevar a cabo una prueba, lo que nos dará una idea de su funcionamiento y su capacidad de adaptación a las necesidades de nuestra compañía.

Si necesitas que te asesoremos para escoger la opción más adecuada, no tienes más que consultarnos.

Herramientas Lean Manufacturing MÁS Importantes que DEBES conocer antes de hacer una integración

La metodología Lean Manufacturing (producción ajustada) es un modelo de gestión enfocado en un flujo creado para poder entregar a los clientes de una compañía el máximo valor añadido sobre un producto.

Para lograrlo es necesario utilizar la menor cantidad de recursos. Dicho de otra manera: utilizar únicamente los necesarios para el crecimiento.

En este artículo te explicaremos cuáles son los principios clave del lean manufacturing y cuáles son las principales herramientas disponibles para poder implementar el lean manufacturing en tu empresa.

Las claves del lean manufacturing

Con la mejora de todo aquello que es superfluo se logra aumentar la calidad y reducir los tiempos de producción y el coste final de los productos.

Esta filosofía de producción tiene su origen en Japón, cuando la empresa Toyota opta por cambiar su filosofía de producción para aumentarla reduciendo los desperdicios, los pasos necesarios para controlas las actividades primarias y controlar a quien hace el trabajo.

Quitando todo aquello que no genera valor, queda el valor en sí del trabajo.

El objetivo es que todos los procesos y personal involucrado se implique en eliminar aquello que sobra, que no lleva valor. La ‘manufactura esbelta’ quiere ser útil a la sociedad y por eso implica que esta debe trabajar en su mejora constante.

Las claves del lean manufacturing son:

  • Calidad perfecta con cero defectos, así como detectar sus problemas en origen
  • Reducir al mínimo el despilfarro hasta eliminar todo lo que no aporta ningún valor
  • Mejorar constantemente para reducir costes, mejorar la calidad y aumentar la productividad
  • Centrarse en el cliente final y no en la producción o sus necesidades
  • Ser flexibles para producir más y con mayor variedad
  • Mantener una relación fluida a largo plazo con los proveedores para poder tomar acuerdos para compartir riesgos, costes e información.

Ahora repasaremos las principales herramientas de lean manufacturing y sus técnicas, empezando por la base de su filosofía: las 5S.

Las 5S del lean manufacturing

Para que la filosofía lean manufacturing llegue a buen puerto, se deben aplicar las 5 ‘s’:

  • Seiri – Eliminar: retirar del puesto de trabajo todos los elementos innecesarios y evitar los posibles despilfarros.
  • Seiton – Ordenar: ser capaces de ordenar los recursos del proceso productivo
  • Seiso – Limpiar e inspeccionar: limpiar e inspeccionar el entorno en busca de los errores, anticipando el defecto o los errores que puedan existir.
  • Seiketsu – Estandarizar: convertir los logros de las fases anteriores en un estándar utilizable en toda la cadena de producción.
  • Shisuke – Disciplina: Ser capaz de llevar a cabo todas las fases de esta cadena sin saltar ninguna, logrando una automatización sistémica.

Estas cinco ‘ese’ del lean manufacturing deben ser implementadas en la empresa de manera controlada, ya que no tiene sentido empezar con un proyecto a lo grande en toda la empresa, sino poco a poco y por secciones.

Así es más fácil lograr el éxito.

Herramientas lean manufacturing principales

Andon

Se trata de un sistema de control visual que hace posible que todos nuestros empleados conozcan el avance de las mejoras y su estado de aplicación.

Esto debe involucrar a todo nuestro personal, para que si aparece un problema grave en la producción esta pueda detenerse y analizar cómo resolverlo de manera colectiva.

SMED

Su objetivo es reducir el tiempo en los cambios en el utillaje de las máquinas.

Así se permite llevar a cabo la fabricación en lotes pequeños, reduciendo el inventario y permitiendo adaptarse a cualquier imprevisto.

Value Stream Mapping

Consiste en una herramienta para controlar de manera visual el flujo del trabajo.

Nos permite ver el estado actual del proceso de producción, definiendo el proceso esperado y mostrando las opciones posibles de mejora.

Así mismo, se exponen todas las operaciones y situaciones que no tienen valor.

Heijunka

Es la forma de planificar la producción, logrando trabajar en lotes pequeños y mezclando diferentes productos en el mismo proceso, adaptándose a la demanda de los clientes.

Así, se reducen los términos de entrega.

KPI

Esta terminología debería sonarte, ya que se trata de métricas creadas para poder realizar un seguimiento en los objetivos a conseguir.

Así, podemos saber si estamos cerca de nuestro objetivo o bien lejos del mismo, permitiendo rectificar a tiempo.

Kanban

El sistema kanban es una de las herramientas lean manufacturing que más se ha extendido.

Regula el flujo de producción entre procesos, proveedores y clientes.

Logramos así eliminar inventario y sobreproducción, reducir tiempos muertos y plazos de entrega.

Gemba

¿Cuánto tiempo pasas en la oficina y cuánto con tus trabajadores de la línea de producción?

Esta filosofía nos recuerda que debemos estar más tiempo en el día a día de la producción, para saber qué ocurre realmente y de manera directa.

Entendiendo los problemas a los que se enfrentan nuestros trabajadores, podemos aprender cómo resolverlos y, sobre todo, escucharlos y hacerlos sentir valorados por la compañía.

Ventajas e inconvenientes de cada herramienta de Lean Management

Aquí tienes una infografía que resume las ventajas e inconvenientes de cada sistema para que la compartas:

Herramientas de Lean Management

Si en tu compañía habéis planteado pivotar a este sistema, podemos ayudaros a incorporar las herramientas lean management para culminar con éxito esta metodología. Contáctanos y te orientaremos personalmente.

¿Qué es la destreza digital y cómo fomentarla en tu empresa?

La transformación digital está llevando a muchas empresas del mundo pre-internet, o donde la adopción de la red supone únicamente abrir una web, a un nuevo escenario plagado de retos.

Esto implica adaptarse a nuevas necesidades que plantea este cambio, lo que genera una serie de competencias en el campo de lo digital que los profesionales en la materia deben tener.

La destreza digital será uno de los grandes puntos fuertes a tener en cuenta por las empresas.


¿Qué es la destreza digital?

Empecemos por definir este nuevo concepto relacionado con la transición digital.

El término ‘destreza’ se refiere a la habilidad para actuar con eficacia y velocidad ante una situación determinada. También puede significar una característica de alguna cosa o de alguien en un oficio o arte.

En consecuencia, la destreza digital se define del siguiente modo:

“La destreza digital es un nuevo diseño de organización y una mezcla de talentos para un nuevo entorno de trabajo. En otras palabras, un lugar de trabajo digital de alto rendimiento que obliga a las empresas a cambiar internamente para cambiar externamente”.

Esta destreza digital implica que las empresas tengan una cultura digital activa en tres focos: la tecnología, el compromiso y la diversidad.

A lo largo de 2018 y 2019 se han definido cuales son las 8 competencias digitales que los profesionales diestros digitales deberían tener.

Las repasamos a continuación.

El conocimiento digital

Se trata de la capacidad de los profesionales para moverse con soltura en el entorno digital de manera que es capaz de usar los recursos y herramientas digitales en su manera de trabajar.

Estos conocimientos permiten encontrar soluciones a los problemas desde una perspectiva diferente y digital. Esta competencia aporta a la compañía un aumento que de la productividad y, colateralmente, el conocimiento colectivo de las herramientas a aquellos miembros de la organización que no están familiarizados con ellos.

Gestionar la información

En un entorno digital es crucial el poder buscar, evaluar, organizar y compartir la información sobre todos los procesos digitales que puedan aparecer en la compañía.

Aquí no se trata únicamente de usar correctamente internet para encontrar una solución a nuestro problema, sino ser capaz de adaptar otras soluciones a las nuestras.

Además, esta habilidad requiere el evaluar correctamente la calidad de la información, ya que en internet en ocasiones la información buena y mala se mezcla, creando falsas expectativas y bulos cuando no, soluciones que acaban por perjudicarnos.

El trabajo en equipo

La fragmentación de procesos en la empresa se conoce como la filosofía Agile.

Esta habilidad ha sido tomada como referencia por muchas empresas IT hasta convertirse en una de las destrezas digitales primordiales.

Ya no sólo se requiere trabajar en equipo, sino que debemos trabajar en red y en la red de manera colaborativa.

Herramientas como Office 365 o Google Suite o la mezcla de plataformas como Trello o ASana de colaboración online de equipos, aportan a la compañía la mejora en los flujos de trabajo, la eficiencia y de circulación del conocimiento entre los distintos miembros del equipo.

Sin olvidar que estas herramientas se renuevan constantemente y requieren el aprendizaje continuo.

La comunicación digital

En el mundo analógico o el mundo previo a la revolución y transformación digital, las comunicaciones eran sincrónicas.

Hoy las comunicaciones han de ser realizadas de manera asíncrona para aumentar la efectividad de las mismas a través de la red. La comunicación ahora debe generar valor y las opiniones que vertimos en nuestras comunicaciones deben generar debate dentro del sí de las compañías.

Esto trae un consigo el aumento de la transparencia interna, evitando los riesgos de crisis y favoreciendo la construcción de la marca de cara a los empleados.

No dejar de aprender nunca

Saberlo todo es aburrido e imposible.

En el mundo empresarial de la transformación y la destreza digital, ser capaces de aprender constantemente es algo tan deseable como necesario.

No hay una sola manera de hacer las cosas, sino que las distintas herramientas -y aquellas que surgen a lo largo de los años- requieren procesos de aprendizaje personal y colectivo.

El liderazgo en la red

Otra de las destrezas digitales que se espera de un profesional es el poder ser un líder del equipo en red tanto en entorno personal como digital.

El liderazgo debe fomentar el uso de las herramientas digitales y ser capaz de enviar y recibir las comunicaciones de manera eficiente en cualquier plataforma digital.

Esto genera confianza en los miembros del equipo porque hace desaparecer la jerarquía vertical tradicional y aporta a las empresas la construcción de equipos fuertes, así como mejor optimizar los recursos y talentos de los miembros de nuestro equipo.

Visión estratégica

El entorno digital debe estar en el centro de la visión estratégica de la empresa o de lo contrario, nada de lo que hagamos en pro de la transformación digital va a servir a largo plazo.

Se trata de estar al día de las nuevas tendencias digitales, comprender cómo influye esta estrategia sobre los miembros del equipo y al cliente, así como promover una visión general de la información para lograr que los objetivos de la organización estén correctamente integrados en la política digital de la compañía.

El cliente, en el centro

El profesional digital debe saber entender lo que quiere y espera el cliente, satisfaciendo las necesidades de los clientes actuales y comprendiendo a los nuevos.

La Inteligencia Artificial en este sentido brinda una oportunidad de oro para comprender a través del análisis de los datos, el perfil de los clientes y qué mecanismos se crean entre la compañía y sus usuarios.

Así, la empresa puede generar valor añadido para sus clientes, orientar todas las políticas de la empresa hacia ellos y mejorar la calidad a través de la excelencia con la innovación y la mejora continua.

Y en tu empresa, ¿ya hay una cultura entorno a la mejora de las destrezas digitales de tus equipos?

Si necesitas orientación sobre ello, no dudes en contactar con nosotros.

Tendencias Tecnológicas para 2019 que las empresas deben comenzar a valorar

El año 2018 ha sido muy interesante en cuanto a novedades en el sector de las tecnologías de la información y el soporte IT.

Ha sido el momento en que hemos empezado a oir hablar de los chat bots, los sistemas basados en la inteligencia artificial, el 5G o el blockchain.

Pero 2019 será el año en que esas novedades dejen de serlo, para convertirse en tendencias y en parte importante del día a día de las empresas dedicadas al sector tecnológico.

Las tendencias tecnológicas de 2019

Descubre cuáles serán las tendencias tecnológicas clave en el próximo 2019 que las empresas deben valorar.

Inteligencia Artificial

¿Nos aguarda un futuro a lo ‘Black Mirror’ o salido de una película de ciencia ficción en donde las máquinas gobiernan al hombre?

Parece ser que ese tipo de ‘inteligencia artificial’ no es el que tenemos con nosotros. La inteligencia artificial empezó a hacerse un hueco en el mundo tecnológico a partir de 2017 con la aparición de plataformas que aprenden de los humanos y del comportamiento para mejorar sus resultados.

En 2019 la inteligencia artificial podría despegar definitivamente y en una de sus facetas más interesantes para las compañías de software y del soporte IT: el machine learning.

Según un estudio de CIO Spain, en 2019 la inteligencia artificial empezará a impactar de una manera decisiva sobre nuestros clientes y empleados.

El aprendizaje automático (machine learning) experimentará un importante crecimiento a partir del aumento exponencial de datos que llegarán desde los sensores y programas que se han ido implementando en el mundo durante 2018.

Por otro lado, la irrupción del IoT (Internet of Things) va a aumentar todavía más a lo largo de este año, y especialmente en 2020, los datos que ayudarán a las tecnologías basadas en inteligencia artificial a mejorar sus respuestas.

Internet Customer Experience

Aunque este tema se sitúa habitualmente dentro del marketing, aquí lo vamos a enfocar desde la perspectiva del soporte IT.

Es decir: cómo las empresas han adaptado y adaptarán a lo largo de 2019 sus servicios de atención al cliente a partir de los datos recibidos de sus clientes en la red.

La principal tendencia para 2019 en este campo es que las interacciones entre los clientes y el servicio de atención al cliente empiece por un sistema basado en la inteligencia artificial.

Esto es: los clientes no interactuarán con un humano, sino con un programa que responderá a sus cuestiones aprendiendo a cada nueva interacción. Estos sistemas de machine learning ya existen y muchos sites lo han implementado en forma de chat-bots.

En 2019 se espera que se generalicen y sean la principal fuente de datos para que las compañías conozcan mejor las demandas de sus usuarios.

Cloud Computing

El cloud computing se ha popularizado enormemente durante 2018, y en 2019 se espera que se convierta en la referencia en el sector.

Actualmente las empresas deben elegir entre IaaS (Infraestructura como Servicio), PaaS (plataforma como servicio) y SaaS (Software como Servicio) en sus operativas.

En 2019 se espera que el sistema de nube híbrida se imponga como solución de transición para aquellas empresas que han emprendido el camino de la transformación digital, pero se encuentran a medio camino sea por falta de confianza en la fiabilidad de los sistema o por miedo a perder datos en la transición.

Ciberseguridad

Sin duda este es el gran tema de los últimos años y lo seguirá siendo en los años por venir, máxime cuando el IoT multiplicará las posibilidades de ataque y las ciber-amenazas.

De hecho, los ataques sobre los dispositivos IoT van a seguir creciendo a un ritmo imparable. Los llamados botnets (dispositivos hackeados con fines ilícitos) siguen aumentando.

Por otro lado, el malware para móvil -el que ya provoca la mayoría de robos de datos de los usuarios- y que entra en nuestros teléfonos a causa de las vulnerabilidades de los sistemas antiguos así como el spear-phishing, seguirán siendo los principales problemas en ciberseguridad de cara a los usuarios.

El spear-phishing no es otro que el robo masivo de datos atacando los servidores de las principales redes sociales.

El Gobierno del Dato

El big data ha sido la consecuencia de recolectar millones de datos estadísticos de los usuarios durante los últimos 5-10 años.

Ese big data es el que hoy nutre la inteligencia artificial o nos permite analizar los datos presentes para proyectar las tendencias futuras.

Pero ¿cómo se gobierna el dato?

Esa es una de las cuestiones centrales en 2019 y no es otra que establecer normas claras sobre el origen de los datos, finalidad y cómo proteger a los clientes.

En la Unión Europea la GDPR (Reglamento General de la Protección de Datos) ha marcado un antes y un después en este tema, y su impacto ha sido tan importante en la protección y gestión de los datos, que hasta Tim Cook -CEO de Apple- ha alabado la protección de la privacidad y de los clientes que rige hoy en la UE.

Y en tu empresa, ¿cuál es la tendencia tecnológica que tendrá mayor impacto?

Cuéntanoslo en los comentarios, y si necesitas asesoramiento, recuerda que estamos a tu plena disposición para organizar la transformación digital de tu compañía.

Por qué la formación de los empleados en ciberseguridad es vital para las empresas

La ciberseguridad es una de las grandes preocupaciones en las empresas.

En los últimos años el aumento de los ataques hacia los sistemas informáticos ha sido constante, como lo ha sido también su gravedad.

Según un informe del MIT de mediados de 2018, los peores ciberataques se han centrado no en los robos de dinero a las empresas, si no en algo que se ha convertido en mucho más valioso: los datos de los usuarios.

Uno de los robos más sonados fue el de los datos de 150 millones de cuentas de la conocida aplicación de fitness MyFitnessPal.

La previsión que lanzó el director ejecutivo de ENISA, Udo Helmbrecht, durante la celebración del Mes Europeo de la Ciberseguridad, fue que durante los próximos años los daños globales del ransomware (el malware dedicado a bloquear un terminal y exigir un rescate a cambio del desbloqueo) “superaran los 11,5 mil millones de dólares anuales en 2019”.

Así mismo, también aventuró que los puestos de trabajo de personal cualificado en ciberseguridad también aumentarán en los próximos meses.

La ciberseguridad es una responsabilidad compartida

Ese fue el lema del Mes Europeo de la Ciberseguridad, una campaña promovida por la Unión Europea cuyo objetivo es ahondar en la concienciación de la ciberseguridad tanto entre los particulares como en las empresas.

En este artículo veremos en detalle los motivos por los que la formación en ciberseguridad para los empleados es algo vital para las empresas.

Es innegable que, en este final de década, la segunda del siglo XXI, la revolución digital y de internet ya no es un concepto futuro, sino un presente que se traduce en un entorno tecnológico en constante cambio.

Debemos aplicar una serie de buenas prácticas para poder prevenir en el mayor grado posible las amenazas externas.

Las buenas prácticas de ciberseguridad en la empresa

Resulta primordial que exista un plan de ciberseguridad en nuestra empresa, un plan desarrollado para generar confianza tanto en los clientes y proveedores, como para que los propios trabajadores conozcan los riesgos a los que están expuestos.

Este plan, además de poder anticipar las situaciones que pueden degenerar en un ataque, debe implementar planes de contingencia. Pero para que las empresas puedan llevar a cabo este plan, requieren trabajadores cualificados.

Las buenas prácticas que debemos aplicar en la empresa para crear un espacio seguro son las siguientes:

  • Controlar las entradas y salidas en la red: la red Wifi tanto para trabajadores, como para invitados, requiere un control permanente para conocer las entradas y salidas en la red. Saber que no hay intrusos que puedan estar intentando derribar el sistema y establecer normas y procedimientos.
  • Realizar copias de seguridad: tanto en el ámbito doméstico como en el laboral, realizar copias de seguridad de los contenidos de nuestro ordenador es vital no sólo en caso de un ataque, sino en caso de averías.
  • No saltar ninguna actualización: tanto en dispositivos móviles como en ordenadores, las actualizaciones del sistema operativo son necesarias para mantenerlos al día y proteger nuestros equipos de amenazas por vulnerabilidades.
  • Instalar un antivirus: existe una gran cantidad de malware que pueden causarnos un susto o un problema. Tener un antivirus instalado puede servirnos para cortar un ataque cuando se empieza a producir en un ordenador.
  • Seguridad en la red: las amenazas en internet son casi inacabables y, enlazando con el primer punto, debemos mantener en constante observación la red. Así, podremos detectar posibles ataques a partir de un tráfico irregular o anormal.
  • Tener a punto un plan de contingencia: el riesgo cero no existe y si todo falla y el ataque se produce, lo mejor es tener preparado un plan que garantice la continuidad de la actividad en la empresa.

La formación de personal cualificado en ciberseguridad en el centro de la estrategia

Esta colección de medidas que promueve la UE a través del marco del Mes Europeo de la Ciberseguridad deben ser aplicadas para mantener los niveles de seguridad en la compañía en una situación óptima.

Pero para que esto pueda ser así no sólo habrá que implicar a la plantilla de trabajadores en el cumplimiento de esas normas, sino también tener personal formado en ciberseguridad que sean capaces de desarrollar un plan integral, implementar las herramientas técnicas necesarias y llevar a cabo un periodo de formación de la plantilla acorde con las nuevas normas, centrándose en los puntos débiles y las situaciones de riesgo que se generan en el día a día.

AMBIT BST es una empresa especializada en la prestación de servicios y soluciones vinculadas con la tecnología de la información. No esperes más y solicita toda la información sobre la formación de empleados en ciberseguridad ahora.

Tendencias DevOps en la Transformación Digital de las empresas

El DevOps es uno de los conceptos de los que más se escucha hablar en los entornos IT y está asociado a las estrategias y metodologías que se derivan de la transformación digital y la adopción del método Agile. Pero este año 2018 ha traído nuevas tendencias que debemos en cuenta de cara a la transformación digital de las empresas.

DevOps para la Inteligencia Artificial

Empezamos a ver herramientas que permiten a los desarrolladores de software implementar modelos basados en AI de una forma veloz. Estos productos todavía tienen camino por recorrer en la operativa de las empresas y por ahora son una ayuda al desarrollo, no una ayuda operativa.

Eso sí, asistimos al auge inicial de estas herramientas, comúnmente llamadas MLOps, y veremos en un corto espacio de tiempo la aparición de nuevos modelos de AI aplicados a los flujos DevOps en las empresas, que actualmente se están madurando y que aún no están listos para empezar a ser utilizados.

La transformación digital se ha acelerado

Hablar de transformación digital es algo que ya se da por asumido en un buen número de empresas. La adopción de herramientas online, el paso de los datos de los servidores de la empresa a la nube o la adopción de las metodologías Agile que hemos mencionado al inicio, ya no son un futurible, sino una realidad. La transformación digital abre un número muy grande de oportunidades, pero también ha redefinido los negocios.

Según el proveedor de software open source Red Hat, el 36 % de las compañías analizadas en el Red Hat Global Tech Outlook 2018 prevén introducir proyectos de transformación digital en los próximos 12 meses.

Pero ¿tu empresa ha llevado a cabo una transformación digital completa o simplemente se optimizan los servicios que previamente existían? En 2018 se ha puesto al descubierto que la verdadera transformación digital es la que está cambiando los negocios desde dentro para redefinir industrias enteras. Esta transformación ya afecta a cómo llega un producto hasta el cliente, pero también es patente por los clientes, socios o empleados de una compañía.

El DevOps y la seguridad

El término DevOps habitualmente no hace referencia a la seguridad ya que se tiende a usar esta metodología para el desarrollo de software y su verificación. Pero una de las tendencias en auge es la inclusión de los parámetros de la seguridad en la metodología del DevOps, concepto al que se le conoce como DevSecOps. Había un gran margen de mejora y la integración de la seguridad en la división DevOps de nuestra empresa logra cumplir dos objetivos:

  • Desarrollar aplicaciones y sistemas con la agilidad que espera el cliente
  • Supervisar que el software cumple los estándares de seguridad y solidez contra posibles ataques causados por una vulnerabilidad

No está siendo fácil integrar la seguridad en la estrategia DevOps de las empresas ya que es, en sí, un desafío. Los técnicos en seguridad saben que la estrategia de ciberseguridad es una carrera de obstáculos en donde cuando se superan algunos, aparecen otros nuevos que no se habían previsto o que alguien ha descubierto. Pero todo lo bueno que aporta a la empresa la cooperación de ambos departamentos permiten que tengamos presente como una tendencia de futuro esta integración.

El Multi-Cloud y la estandarización de procedimientos

En un entorno tan competitivo como en el que estamos, se tiende a hablar de el paso hacia la nube como si sólo hubiera ‘una única nube’. Nada más lejos de la realidad. Cada servicio online, cada nube de cloud computing, productividad o alojamiento de datos es distinta e interacciona con el usuario y las necesidades de la empresa de una manera concreta. Es cierto que, habitualmente, los diferentes servicios en la nube de cloud computing y Big Data -los directamente relacionados con DevOps- pueden adaptarse a lo que requiere la empresa.

La empresa por su lado, con el departamento de IT a la cabeza, debe ser capaz de crear maneras de estandarizar procedimientos ya que lo habitual no es que todos los servicios estén en un único lugar, sino repartidos en varios lugares a la vez. Encontrar cómo gestionar  y estandarizar los procesos relacionados con estos servicios desde la empresa es lo que se conoce como ITSM (IT Service Management o en castellano Servicios de Gestión IT).

La implantación del DevOps como prioridad para los CIO

Las noticias invitan a ser optimistas, la inversión en transformación digital por parte de las empresas, según un estudio de la consultora Gartner, ha aumentado en un 13,4%. Desde otra perspectiva, tal como se cita en el CIO Survey 2018para 2021, el 65% de los CIO extenderá las prácticas de agile/DevOps en la empresa para conseguir la velocidad necesaria de innovación, ejecución y cambio

Este cambio de tendencia se da en el momento en que la transformación digital es una realidad en una gran cantidad de empresas y cuando se ha podido comprobar cómo esta transformación, unida al desarrollo de metodologías como Agile o DevOps, aporta no sólo valor añadido a las compañías, sino también abre las puertas a una nueva manera de hacer empresa y de relacionarse con los clientes.

Políticas de seguridad informática que tu negocio debe implementar sí o sí

Si trabajas en la implementación de un plan de ciberseguridad para tu empresa, seguro que has escuchado acerca de todos los puntos que debes determinar para asegurar que tu empresa está lo más prevenida posible ante un hipotético ataque.

Pero ¿sabes que más del 80% de los incidentes en ciberseguridad son debidos a errores humanos?

Las políticas de seguridad a partir de un caso práctico

La estrategia de ciberseguridad no tiene un único punto o sólo hay una manera de llevarla a cabo. De hecho, hay muchas maneras de abordar la ciberseguridad dependiendo de las necesidades de cada empresa. Pero sí podemos determinar cómo debería ser, a grandes rasgos, esa estrategia a partir de un caso práctico

Posiblemente el más conocido de todos sea el ataque de Wanna Cry que en mayo de 2017 y a escala global, sufrieron muchísimas grandes corporaciones que se encontraron con sus ordenadores bloqueados y con peticiones de rescates millonarios para recuperar su control.

¿Fue evitable este ataque?

Según se sabe, el ataque se debió a un error no detectado en algunos sistemas operativos que no habían sido correctamente actualizados. Pero para que el ataque se pudiera propagar fue necesario activar el virus, y para ello sólo podía hacerse ejecutándose en un ordenador.

Haciendo uso de este ejemplo podemos analizar qué sucedió para que Wanna Cry llegase a ser el mayor ciberataque del que tenemos conocimiento.

El error de no actualizar los sistemas operativos

Por un lado los ciberdelincuentes se aprovecharon de un error de seguridad no detectado en ciertos sistemas operativos.

Se trató de EternalBlue (Error MS17-010), un error crítico en Windows que es, como mínimo, tan antiguo como Windows XP y que se aprovecha de una vulnerabilidad para ejecutar de manera remota líneas de código que permitieron secuestrar los ordenadores.

Microsoft lanzó un parche de seguridad que corregía este problema en marzo de 2017, dos meses antes del ataque. Pero una gran mayoría de compañías obviaron esta actualización que, a priori, parecía menor.

Aquí encontramos el primer problema: las empresas no instalaron la actualización de software. Y este es, sin duda, uno de los problemas más habituales en ciberseguridad.

Casi a diario, las compañías de software encuentran y corrigen problemas, bugs o agujeros de seguridad. Casos como este ponen de manifiesto la importancia de tener los programas y el firmware al día.

Por suerte, los update de sistema operativo se realizan actualmente en segundo plano, sin que el usuario deba interrumpir el trabajo en ningún momento.

La ingeniería social y su papel en la ciberseguridad

Lo sabemos: los humanos no somos perfectos ni lo vamos a ser jamás y nuestro papel en la ciberseguridad de las empresas es muy relevante.

Según un estudio de la desarrolladora de software Kaspersky del año 2015, más del 80% de los incidentes relacionados con la ciberseguridad fueron provocados por errores humanos.

En el caso de ejemplo que estamos utilizando, la ejecución del malware que contagió a más de 230 mil ordenadores en 150 países de todo el mundo, se inició por un error humano tan sencillo como abrir un archivo adjunto.

Aquí entra en juego la ingeniería social.

Muchos delincuentes han desarrollado técnicas de ingeniería social para engañar a los usuarios y hacerles creer que un correo electrónico ha sido enviado por uno de sus contactos, cuando realmente contiene software malicioso.

¿Es posible combatir estas prácticas?

Realmente es complicado, pero hay maneras de lograrlo.

Una de las políticas en ciberseguridad que debemos incorporar a nuestra empresa es, sin duda, la formación a los trabajadores para que sean conscientes de los peligros de abrir un archivo adjunto, de quien sea incluso de un conocido, sin haber comprobado antes de qué se trata o si ese envío es legítimo.

En el caso de WannaCry, el virus se propagó a partir de la ejecución del programa que, a su vez enviaba más y más correos electrónicos antes de bloquear y cifrar los ordenadores.

En tal caso, haber desconfiado podría haber sido suficiente para evitar el ataque y bloqueo de los ordenadores.

La formación de los empleados como política de seguridad informática en la empresa

La transformación digital que hemos vivido y seguimos viviendo en la actualidad nos lleva a una dependencia cada vez mayor ya no de los ordenadores, sino del acceso a los datos que han pasado del PC a los servidores de la empresa y, de aquí, a la nube.

En este proceso aparecen puntos débiles que pueden ser aprovechados por los ciberdelincuentes y el más importante de ellos es, sin duda, el propio usuario del ordenador.

Una de las políticas que deberíamos tener en cuenta para implementar en las empresas es la formación y aprendizaje de los empleados como medida preventiva ante posibles ciberataques.

Esta formación debería incluir conocimientos sobre el software malicioso o la respuesta ante un posible incidente relacionado con el phishing o el ransomware, así como ser capaces de reconocer cuándo estamos ante un email malicioso.

Por otro lado, el técnico en ciberseguridad deberá ser capaz de reconocer los diferentes escenarios posibles, recopilar los datos tras un ataque o detectar los síntomas que delatan que podemos estar frente a un ataque.

Los usuarios son uno de los puntos débiles en la política de ciberseguridad de nuestra empresa, pero con formación y el paquete de software adecuado para prevenir y protegernos de estos ataques, podemos lograr reducir al mínimo o hasta hacer desaparecer las posibles amenazas y ataques informáticos.

En este enlace puedes descargar el programa de formación online elaborado por Kaspersky Security Awareness para diseñar una cultura cibersegura en tu organización.

Spam & Phishing: Qué es, casos más recientes y cómo protegerse

En ocasiones se tiende a no entender correctamente a qué nos referimos cuando hablamos de Phishing o Spam y, en consecuencia, es complicado prevenirlos o saber cómo actuar.

En este artículo queremos arrojar algo más de luz en estas dos amenazas.

Qué es el Spam y qué es el Phishing

Empecemos por el principio.

¿Qué es el Spam?

Sorprendentemente, en un inicio el término Spam era y es el acrónimo de ‘Spiced Ham’ un tipo de embutido enlatado fabricado en Estados Unidos y que durante la II Guerra Mundial era uno de los pocos productos cárnicos no sujetos a racionamiento.

En 1970, Monty Python creó un gag en donde la camarera no dejaba de repetir los platos con Spam a una clienta que no quería comer Spam, convirtiendo el término en sinónimo de ‘información no deseada’. Aunque la carne enlatada Spam se sigue vendiendo en casi todo el mundo, hablar de SPAM es hablar de correo electrónico no deseado.

Actualmente según la definición del Kaspersky Lab, el término Spam se refiere a todo aquel correo electrónico masivo, anónimo y no solicitado:

Spam como correo masivo

Una de las características más importantes del spam es que se envía de forma masiva, en cantidades inmensas.

El objetivo de los spammers (las personas que envían el spam) es obtener un margen de beneficio con los destinatarios del spam que sí abren el correo y adquieran aquel producto o servicio.

Eso explica que los envíos deban ser inmensos.

El Spam es anónimo

Los remitentes de los correos ‘spam’ son falsos.

En ocasiones pueden ser nombres ficticios inventados por los spammers; en otros pueden aprovecharse de una violación previa de nuestra lista de contactos y usar el nombre de uno de ellos para hacernos creer que nos lo envía un amigo.

El Spam es correo no solicitado

Darnos de alta en una lista de correo, newsletter u otro servicio requiere que la empresa que nos enviará la información nos facilite acceso a nuestros datos, así como la posibilidad de darnos de baja en cualquier momento.

Por el contrario, el spam no se corresponde a ninguna de esas opciones y no incorpora la opción para darse de baja.

Aunque se asocia Spam a publicidad, esto tiene porqué ser así. Mucho spam no es únicamente publicitario, sino simplemente no deseado. Podemos definir que, además de la categoría publicitaria, existen las siguientes categorías:

  • Mensajes Políticos
  • Mensajes caritativos
  • Cadenas de emails
  • Spam para distribuir malware
  • Estafas financieras

Entonces ¿qué es el phishing?

En castellano debemos hablar de Timo, que quizás queda mucho más claro.

El phishing es según Kaspersky Lab:

Un tipo de fraude en internet que busca adquirir credenciales de un usuario mediante el engaño. Este tipo de fraudes incluye el robo de contraseñas, números de tarjetas de crédito, datos bancarios y otras informaciones confidenciales.

La operativa del phishing acostumbra a ser algo así: recibimos un email que parece ser de nuestro banco en el que nos pide ir a nuestra cuenta y entrar con nuestro usuario y contraseña.

Al hacer clik en el enlace, vamos a una web que es idéntica a la de nuestro banco, pero que realmente ha sido creada para robar nuestros datos de acceso a la cuenta indicando que hay algún tipo de problema.

Sin ser conscientes, nos habrán robado nuestros datos bancarios.

Un caso concreto y reciente que nos puede servir de ejemplo son los falsos emails de Endesa con motivo de un reembolso de 37 €. El usuario, cliente de Endesa o no, recibió un email en que se le informaba del cobro de una cantidad errónea y un enlace a una web falsa para poder ingresar el número de tarjeta de crédito y proceder al reembolso.

 

Cómo protegernos del Spam y el Phishing

Protegernos del Spam es en ocasiones complicado, ya que los emisores de este tipo de correos se sirven de directorios públicos en donde pueda estar nuestra dirección, generar direcciones ‘adivinadas’, robando bases de datos de otras empresas o particulares que no están debidamente protegidas o comerciando directamente con ellas, ya que hay empresas que se dedican a la comercialización de datos con fines comerciales.

Aun así, puedes tomar algunas precauciones:

  • No respondas nunca a un email de spam, ya que es la manera de que sepan que tu dirección existe
  • Utiliza el correo sólo con aquellas personas con las que quieras comunicarte
  • No utilices tu email de manera pública y sólo entrégalo a empresas y webs de confianza que te permiten darte de baja fácilmente.

Para protegernos del Phishing quizás debemos ser algo más avispados, ya que en ocasiones si no estamos lo suficientemente concentrados, podemos caer en la trampa del phishing.

  • Ten sentido común: tu banco jamás se pondrá en contacto contigo para pedir tus datos de acceso a tu cuenta bancaria.
  • Nunca hagas clic en un enlace del que tengas sospechas. Por el contrario, copia el enlace en una sesión de incógnito de tu navegador y comprueba el enlace es verdadero o no.
  • ¿El correo tiene faltas de ortografía? ¿La página web es ‘cutre’? ¿La URL no es la de la empresa a la que has accedido? Muchos delincuentes crean los emails de una manera muy torticera, imitan como pueden el aspecto de la original o utilizando traducciones literales hechas con herramientas de traducción online. Sería muy extraño que un banco o institución envíe un email con faltas, ¿no crees?

La mejor defensa: concienciación y formación

Conocer las amenazas principales son el primer paso para garantizar la protección más adecuada para nuestra empresa o nuestra red doméstica.

A medida que las empresas son conscientes de los ciberataques y, especialmente, cómo se desencadenan, las defensas contra estos ataques son más y más sofisticadas.

Para las compañías no es efectivo invertir en tecnología digital, si luego el personal no tiene en cuenta las buenas prácticas que deben seguirse en lo que a prevención de riesgos informáticos de refiere.

En cambio, una compañía que cuente con un personal correctamente formado y consciente de los riesgos y medidas a seguir para prevenir un ciberataque, será mucho más eficiente de cara a evitar esos ataques o poder reaccionar adecuadamente.

AMBIT BSTcuenta en su portfolio con un servicio B2B de concienciación a usuarios para evitar precisamente todas estas situaciones de riesgo para tu infraestructura tecnológica, así como servicios de consultoría de procesos IT

Contacta con nosotros y estaremos encantados de orientarte sobre la mejor solución para tu empresa.

ITSM: ¿Controlas la Clave Estratégica de la Transformación Digital?

La transformación digital es un proceso que persigue recomponer las dinámicas empresariales para adaptarlas no sólo a las tendencias de un futuro cercano, en las que las tecnologías de la información serán más y más importantes, sino para adaptarlas a un presente en que las herramientas digitales y la nube juegan un papel predominante.

La transformación digital ya no es sólo una opción, es una realidad que no podemos ni ignorar.

Pero vamos a ir un paso más allá tratando la clave estratégica de esta transformación: ITSM.

ITSM, el enfoque estratégico en la gestión de servicios TI

El IT Service Management es un concepto derivado de esta transformación digital.

Se refiere a la gestión de los servicios TI. Este concepto tiene un enfoque estratégico en sí mismo en todo aquello referido a la entrega, gestión y mejora en que la tecnología de la información (lo que habitualmente llamamos TI).

El objetivo de los marcos de Gestión de Servicios TI es garantizar que los procesos, así como las personas implicadas en su desarrollo y la tecnología, se encuentran en el lugar adecuado para que la empresa u organización pueda cumplir con los objetivos marcados.

Las compañías y organizaciones se enfrentan a un reto considerable.

La transformación digital ofrece grandes oportunidades de crecimiento o beneficiarse de las nuevas ventajas competitivas que estas nuevas tecnologías ofrecen.

En un mercado que cada vez es más complejo, especializado y reñido, hacerse un hueco o ser capaz de destacar se convierte en un reto. La solución en muchos casos no pasa únicamente por crear un producto llamativo, que ocupe el nicho correcto y que esté dirigido al público objetivo adecuado, sino ofrecer un servicio post-venta a la altura.

Entra en escena la mejora del Customer Experience, la fidelización del cliente siendo capaz de deslumbrar una vez la compra ya se ha producido.

El ITSM tiene un papel muy importante en todo el proceso, pero cobra especial relevancia en ese punto concreto, ya que el cliente cada vez busca más y mejores estándares de calidad.

El entorno multicanal, big data y la estandarización de los procesos

¿Por qué decimos que es el servicio post-venta en donde la Gestión de los Servicios IT (ITSM en inglés) se convierte en tan importante?

Esto se debe a la evolución que ha sufrido internet desde la irrupción del Internet 3.0, el basado en las redes sociales y en los mensajes en múltiples direcciones y en red.

Hasta el año 2005, aproximadamente, Internet funcionaba de un modo parecido a la televisión: el espectador busca lo que quiere ver y lo ve, sin más interacciones que un correo o una opinión.

Cuando se popularizan las redes sociales, el espectador pasa de ser completamente pasivo a ser parte necesaria no sólo del proceso de compra, sino del proceso de venta en sí.

Una opinión negativa de un cliente puede ser demoledora y la empresas pasaron de ver al cliente como objetivo y referencia, a escuchar al cliente y acompañarlo tras la venta con un buen servicio postventa. De este modo, al focalizar sobre el cliente, se le convirtió en el principal embajador de la marca.

Así que la multicanalidad, la presencia de una compañía en muchos canales sociales y reales a la vez, requiere no sólo hablar con una única voz reconocible en todos los canales, sino hacerlo de manera estándar.

Cómo se traduce esto?

Las empresas han tenido que asumir el gran volumen de datos que se generan en las redes sociales y en los procesos de venta. Muchas han apostado por los servicios cloud para la mejora de los procesos a través de la estandarización de los mismos.

El big data y el cloud computing, además de ser fundamental, requiere un desarrollo específico focalizado en la estrategia de gestión de todos estos datos.

La Gestión de Servicios IT y cómo favorecer la transformación digital

El desarrollo de toda la gestión de los servicios IT que haya adoptado la empresa nos va a llevar al siguiente paso en la transformación digital.

Será necesario administrar los servicios digitales (Digital Service Management en inglés), que no es otra cosa que la necesidad de estandarizar para mejorar las prácticas en el uso de las diferentes nubes o servicios de gestión de big data.

Es raro que las empresas apuesten por un único servicio de Big Data o Cloud Computing; si apuestas por diversos a la vez, esto nos lleva a utilizar a la vez y entre ellos plataformas con usos y aplicaciones distintas. El DSM persigue la estandarización de los diferentes procedimientos.

Tras el DSM, el siguiente nivel será la gestión de servicios cognitivos (Cognitive Service Management) y ser refiere a la estandarización de procesos referidos a las tecnologías basadas en inteligencia artificial y predictiva.

Mediante estas tecnologías y los procesos de estandarización y automatización, se pueden mejorar las experiencias de los usuarios hacia la empresa, pero también permite que las compañías puedan anticiparse a los cambios.

De este modo se reducen costes y tiempo.

Por lo tanto, la gestión de servicios IT nos permite dar un enfoque que favorece el desarrollo de la transformación digital y permite aprovechar al máximo las ventajas que acompañan a esta transformación.

Sin duda, controlar la clave estratégica de este nuevo enfoque será vital para desarrollar con éxito la implantación y uso de las tecnologías de la transformación digital.

Y para ti, ¿el ITSM forma parte del núcleo de tu transformación digital?

Nuestro equipo está preparado para acompañarte y establecer alianzas estratégicas que te ayuden a conseguirlo.

¡Contacta con nosotros y te asesoraremos!

DevOps: Qué es y su poder en la gestión de servicios IT

Es posible que hayas escuchado alguna vez el término DevOp o DevOps pero, o bien no acabes de situarlo o bien no sepas a qué se refiere en concreto.

Si ese es tu caso, en este artículo intentaremos explicar los curiosos orígenes de este término y su poder en la gestión de servicios IT.

El origen del término y el movimiento DevOps

Si te pica la curiosidad respecto al término DevOps debes saber que este movimiento nació de manera accidental. Seguro que has leído acerca del movimiento Agile, basado en dividir los procesos complejos para optimizarlos, además de poner toda la atención en el cliente.

Este movimiento está muy ligado a esta filosofía. De hecho, fue en Toronto en 2008 cuando se marca el inicio de esta filosofía de trabajo.

Andrew Clay está considerado el creador de la filosofía DevOps junto con el belga Patrick Debois. Ambos empezaron a trabajar en 2008 para llevar la filosofía Agile al mundo de la administración de sistemas. El resultado de su trabajo se haría público en San José (California) en 2009 y un año más tarde en Europa. El Hashtag en twitter #DevOps fue top mundial.

Eso sí, en ocasiones el DevOps y el Agile se confunden, cuando tienen puntos en común -ambos vienen de la misma filosofía-, pero tienen diferencias que veremos a continuación.

Pero, ¿qué es y qué no es el DevOps?

¿Cómo definir este modelo de gestión o trabajo?

Una de las ayudas nos la presta la Wikipedia, que define el DevOps así:

DevOps (acrónimo inglés de development -desarrollo- y operations -operaciones-) es una práctica de ingeniería de software que tiene como objetivo unificar el desarrollo de software (Dev) y la operación del software (Ops). La principal característica del movimiento DevOps es defender enérgicamente la automatización y el monitoreo en todos los pasos de la construcción del software, desde la integración, las pruebas, la liberación hasta la implementación y la administración de la infraestructura. DevOps apunta a ciclos de desarrollo más cortos, mayor frecuencia de implementación, lanzamientos más confiables, en estrecha alineación con los objetivos comerciales.

Así, podemos definir el DevOps a partir de algunas ideas clave que, seguro, resultan familiares a los practicantes de la filosofía Agile.

  • DevOps está centrado en la administración de sistemas.
  • DevOps es un método de creación de software.
  • DevOps está basado en la integración entre administradores de sistemas y desarrolladores del software en equipos.
  • DevOps permite crear software de manera rápida y de alta calidad, garantizando una alta frecuencia de actualizaciones.

Pero resolvamos algunas preguntas.

¿A qué nos referimos con la integración entre administradores de sistemas y desarrolladores del software?

El objetivo último de esta filosofía es la creación del software, y eso requiere integrar personal de ambas disciplinas sin que eso suponga crear una nueva forma de desarrollar software en sí misma. La creación de software sigue siendo la misma dependiendo de cómo deba hacerse, cambia la forma en abordar la creación.

Por otro lado, no podemos confundir esta metodología con la metodología que aplican algunas start-up en el momento de iniciarse.

Seamos sinceros: en los primeros momentos de una start-up todo el mundo debe saber hacer un poco de todo. Aunque esta ‘dinámica inicial’ de trabajo se aplica al desarrollo de software, a la larga adoptar el DevOps no debe significar que los desarrolladores pasen a ser jefes o tener más responsabilidades, sino a adoptar dinámicas que optimicen los tiempos de trabajo.

Las herramientas DevOps

El DevOps cuenta con diferentes herramientas que integra en una estructura de trabajo funcional.

No existe una única herramienta o sistema, sino que son muchas que se aplican de una u otra manera dependiendo del trabajo a realizar. Estas herramientas deben encajar en diferentes categorías que reflejen los aspectos del proceso de desarrollo:

  • El código: es la base del software y DevOps implementa diferentes herramientas en la administración del código fuente y la fusión del código
  • Construcción: la integración continua consiste en hacer integraciones automáticas de un proyecto con alta frecuencia para detectar fallos. Esto se aplica a la compilación y la ejecución de pruebas en un proyecto completo.
  • Pruebas: pruebas continuas para poder detectar los fallos y debilidades del proyecto
  • Paquete: creación de un repositorio de artefactos que desempeñan tareas concretas, como previa a la distribución final del software.
  • Lanzamientos: gestión del lanzamiento, diferentes versiones y actualizaciones constantes.
  • Configuración de la infraestructura para la distribución
  • Monitoreo de la experiencia de los usuarios finales para detectar posibles márgenes de mejora.

Una de suites pensadas para DevOps es Puppet Labs, creada por Andrew Clay en 2006, y funciona en todos los sistemas operativos. Además, es utilizada por empresas como Disney, NYC Stock Exchange o Google, entre otras.

¿El DevOps es una cultura como lo es Agile?

Pues no, DevOps no es en sí una cultura como Agile, aunque es necesaria que su implementación vaya precedida por un cambio importante en cuanto a la colaboración, comunicación e integración entre las diferentes áreas de la empresa que se verán afectadas.

Sí es cierto, que una vez se ha implementado el DevOps en los work-flows de la empresa, el cambio cultural es muy grande y difícilmente hay vuelta atrás.

Cloud Computing: Cómo dar un salto seguro a las ventajas de los servicios en la nube

El cloud computing está siendo uno de los saltos tecnológicos más interesantes e importantes de los últimos años.

Posiblemente has escuchado hablar del término y con toda seguridad, si eres un usuario mínimamente experimentado de internet, utilizas directa o indirectamente algún servicio de cloud computing.

as ventajas del cloud computing y los servicios ‘en la nube’ son muchos, pero para poder hacer una correcta migración, no sólo debes conocer las ventajas que traerá a tu compañía, sino también cómo debes realizar la migración y qué pasos debes seguir.

¿Por qué migrar a la nube?

La migración hacia la nube no se realiza porque sea una tendencia o porque todo el mundo lo haga. La migración hacia la nube se realiza porque con este salto se logra reducir costes, además de aumentar la productividad y seguridad.

Este paso implica abandonar los sistemas físicos de la propia empresa, depositarios de los documentos y programas, para elevarlos a la red como punto de acceso al entorno virtual de la corporación.

infografia cloud computing

Un servicio siempre disponible

Nunca somos completamente conscientes de lo dependientes que somos de nuestros equipos hasta que un día, por el motivo que sea, deja de funcionar.

El fallo puede ser pequeño o catastrófico y, si es de esta última categoría, las consecuencias pueden ser terribles e implicar una pérdida de datos difícilmente recuperable.

Así pues, el salto al a nube implica que la empresa descentraliza el acceso a sus sistemas de información privados en Internet, haciéndolos accesibles desde cualquier punto independientemente del dispositivo que se use.

Seguridad

¿Es seguro el cloud computing?

Podría parecer que un servicio en la nube es un objetivo fácil para un hacker. Nada más lejos de la realidad.

Uno de los servicios de Cloud Computing más avanzados y utilizados en el mundo es Amazon Web Services y en su web explica que su índice errores es inferior al 0,1%.

La fiabilidad de estos servicios se basa en la existencia de muchos servidores distribuidos por el mundo, lo que hace que si unos fallan, los otros siguen en marcha, garantizando el acceso.

Pago por uso

Esta gigantesca infraestructura ha traído una consecuencia positiva: hay tanta oferta de servicios de cloud computing y es tan fácilmente escalable, que los costes son muy bajos.

Una solución muy interesante es, sin duda, el pago por uso: tantos gigas de capacidad o entornos virtuales se necesitan, tanto se paga.

Dar el salto a la nube ¿cómo y cuándo es el momento?

La respuesta a cuándo dar el salto a la nube es fácil de resolver: el momento es ahora.

El cómo puede resultar algo más complejo de explicar, aunque lo intentaremos.

Las organizaciones e individuos se mueven cómodamente en zonas de confort. Salir de ellas es más complicado de lo que creemos y hay que crear un plan de formación y explicar claramente lo que va a suceder tras el cambio.

Formar un equipo que pilote la transición del entorno actual al entorno virtual puede ser una gran idea.

Este entorno lo deberían formar no sólo miembros de la propia compañía, sino también personas que funcionen a modo de asesores experimentados, especialmente en el aspecto humano: creer que el paso a la nube puede hacer peligrar puestos de trabajo, puede ser un factor determinante para el fracaso de esta migración.

Antes de dar el salto debemos saber qué necesitamos y tener un buen asesoramiento.

¿Qué servicio es el más adecuado?

¿Necesitamos sólo una suite de ofimática o más bien un entorno virtual potente basado en la inteligencia artificial?

Debemos estar seguros de que el paso va a ser progresivo y que va a funcionar de manera estable, por eso debemos intentar realizar el máximo de pruebas posibles y ver el impacto en la operativa que tiene el trabajar en un entorno virtual.

Con el cloud de destino elegido, pasamos al cómo se debe centrar una lista de tareas que debería parecerse a esta:

¿Cómo haremos la migración?

Si la migración es únicamente de documentos y emails hacia una plataforma SaaS, el paso será inmediato y sin demasiadas complicaciones.

Pero si vamos a un entorno IaaS (Infrastructure as a Service), debemos conocer cómo se comportan y funcionan los servidores.

¿Qué va a cambiar?

El paso de una plataforma a otra va a traer cambios, de eso no tengas dudas.

Determinar con antelación los cambios que traerá la nube es algo importante. Un ejemplo es el paso de las carpetas de sistema a un almacenamiento de Blob, que puede requerir código y gestión de bases de datos.

¿Y si hay demasiados cambios?

Podría ser que haya tantos cambios y nuevos procesos en el paso de una plataforma a otra que sea más interesante construir el entorno desde cero en la nueva plataforma.

Es posible también que queramos aprovechar de forma óptima las capacidades de la nueva plataforma.

¿Y si no lo migramos todo?

Es una opción, sin duda.

Dejar alguna parte de la operativa en el sistema anterior no es tan mala idea a medio plazo.

Un ejemplo sería ese programa hecho a medida que controla el tráfico concreto desde el año 2003 y funciona bien tal cual está. Puedes pensar en dejarlo y punto o programar su migración más adelante.

Conclusiones

En lo que se refiere al paso a la nube hay pocas dudas: las ventajas son muchas y los beneficios son detectables incluso en el corto plazo.

Mover la operativa, sea parcial o totalmente, hacia la nube es casi obligatorio teniendo en cuenta el grueso de los cambios que tecnológicos que vivimos.

No hay que olvidar que un sistema construido a medida en el cloud, sea del tipo que sea, es algo muy habitual en las start-ups, y se ha convertido no sólo en el modo de trabajar desde la interconexión, sino también en el modo de adaptarse a los cambios con mayor celeridad.

Si en tu empresa estáis sopesando pasar a los servicios de almacenamiento en la nube, contáctanos sin compromiso y te orientaremos sobre la solución más adecuada para la administración de sistemas.

La Ciberseguridad en las grandes empresas

Según el estudio de Kaspersky Lab y B2B International sobre ciberseguridad en las grandes empresas presentado en 2017, en el año 2016 el presupuesto medio que las grandes empresas destinaban a la ciberseguridad era del 22% del total del presupuesto en IT.

La ciberseguridad se ha convertido en la gran obsesión de las corporaciones en los últimos años y el motivo es de sobras conocido por todos.

Los incidentes relacionados con violaciones de la ciberseguridad en las compañías ha aumentado considerablemente, y se prevé que aumente hasta en un 36% respecto a los datos de 2014.

¿A qué se enfrentan las grandes empresas cuando hablamos de ciberseguridad?

Cuando hablamos de ciberseguridad sucede que cuesta concretar las amenazas a las que nos referimos.

Aparecen términos como el ransomware, las criptodivisas o incluso las malas interpretaciones del blockchain o el P2P que llevan a confusiones.

Así que empecemos por el principio ¿cuáles son las principales amenazas en ciberseguridad a las que se enfrentan hoy las empresas?

El Ransomware

Seguro que has escuchado hablar del virus Wanna Cry ¿verdad?

Fue el mayor ataque registrado hasta la fecha de estas características. El Ransomware es un tipo de virus que se aprovecha de algún agujero en el sistema operativo, logrando cifrar todo el contenido del ordenador y obligando al usuario o a la empresa a realizar un pago, habitualmente en alguna criptomoneda, para conseguir el desbloqueo.

El Malware

El malware es lo que hace unos años se conocía como Virus, pero la aparición de la red y, sobretodo, la capacidad de crear nuevos programas de objetivos poco lícitos, modales o directamente criminales, ha llevado a la aparición de término malware.

En muchos casos el malware se aprovecha de fallos del sistema o del uso de ordenadores cuya firmware o sistema operativo no está al día, para lograr información privada o espiar a los usuarios.

Las criptomonedas

El Bitcoin es posiblemente la criptodivisa más popular, pero no la única.

Si bien hay medios lícitos de conseguir criptomonedas (el cambio de una suma en una moneda ‘nacional’ a una criptodivisa es la más habitual), algunos usuarios utilizan malware para infiltrarse en los ordenadores de terceros y utilizar su potencia de computación para crear criptodivisas.

Esto va enlazado al ransomware, ya que los pagos de ransomware se realizan en criptomonedas, lo que los hace casi imposibles de rastrear.

El cibercrimen como una realidad palpable

El cibercrimen ya no es una utopía futurista, es una realidad y una amenaza para el presente y, sobretodo, para el futuro de las grandes empresas.

En un mundo cada vez más conectado y más dependiente de la red, garantizar la ciberseguridad es algo totalmente necesario.

¿Por qué tu empresa debería tomar medidas preventivas?

La seguridad total no existe ni se puede garantizar, pero sí se pueden tomar toda clase de medidas para asegurarnos que reducimos al máximo la exposición de nuestra empresa a las amenazas.

Pero ¿a qué medidas nos referimos cuando hablamos de prevención?

El factor humano y la ingeniería social

Hemos citado el ejemplo de Wanna Cry, pero olvidamos que el incidente se desencadenó a causa de un error humano.

Un trabajador abrió y ejecutó un archivo adjunto que contenía el virus en un ordenador con una versión antigua de Windows. Muchos hackers se aprovechan de la ingenuidad creando mails que simulan ser enviados por grandes empresas o compañeros de trabajo.

La principal instrucción que hay que dar a los trabajadores es que jamás abran un archivo que no estén seguros de haber sido enviados por una fuente fidedigna.

Ordenadores al día

Los virus se aprovechan de fallos de seguridad en los sistemas operativos que, en ocasiones, ni tan sólo desarrolladores de software tienen controlados.

Por suerte, con mucha regularidad se publican parches y actualizaciones de los sistemas operativos para resolver los posibles agujeros. Es altamente recomendable tener los sistemas al día y nunca aplazar las actualizaciones.

Los ordenadores tienen la capacidad de programar las actualizaciones para que se hagan de forma automática en segundo plano o bien de noche, cuando se apaga o inicia el ordenador.

Monitoreo de las redes

El monitoreo de la red interna de nuestra empresa nos permite ver el volumen de datos que entran y salen de nuestros ordenadores o cuántos dispositivos hay conectados, controlando posibles intrusos o ‘gorrones’ de red.

Pero también pueden servir para detectar un posible pico de datos irregulares que pueden esconder un ataque de tipo DDoS o bien el acceso desde fuera a los ordenadores de la compañía.

Configurando correctamente los puntos de inflexión (threshold) en los medidores, podemos detectar a tiempo un posible ciberataque.

Cuando todo falla: un antivirus

El antivirus es la primera y última línea de defensa para cuando todo falla.

Y ¿por qué es la primera y última? Porque el antivirus está directamente en el ordenador o dispositivo final, el lugar en el que se puede iniciar o terminar el ataque.

Invertir en una solución profesional en antivirus, puede bloquear un ataque e incluso prevenirlo. Las empresas que desarrollan los antivirus, trabajan para ofrecer siempre el antídoto a todos de todos los posibles virus, incluso los de reciente creación.

La ciberseguridad en el centro de la innovación en la empresa

El futuro es un mundo cada vez más interconectado, basado ya no en el ordenador o la tablet, sino en un sinfín de pequeños dispositivos que conocemos como IoT.

La prevención y la anticipación de los posibles ataques debe ser el epicentro de nuestra estrategia de innovación tecnológica durantes los próximos años.

Dispositivos de almacenamiento seguros para la información sensible de las empresas

De todo aquello que podemos encontrar en una empresa, la información es sin duda la parte más valiosa.

Los ciberataques han dejado de centrarse en la parte económica, para centrarse en el robo de datos importantes, como los listados de clientes y proveedores o bien los datos de transacciones.

Es importantísimo tener a buen recaudo todos estos datos, no sólo aplicando debidamente la nueva normativa europea de protección de datos (GDPR), que entró en vigor en mayo de 2018, sino también a través de sistemas seguros de almacenamiento.

¿Cuáles son los dispositivos de almacenamiento seguros para la información sensible de nuestra empresa?

La seguridad de la información

Los avances tecnológicos de los últimos años han abierto un nuevo horizonte de posibilidades para las empresas. Es posible incluso afirmar que las compañías basan su actividad no sólo en la compra-venta de productos, sino en los sistemas de información y los soportes tecnológicos.

Los sistemas que contienen la información de las empresas, están formados por diferentes niveles de elementos en el que la base es el hardware y el software que contiene y la responsabilidad de su gestión y mantenimiento es de las personas.

Por lo tanto, no existe un único nivel de seguridad, sino varios que se superponen. En función del mantenimiento de la seguridad que realicemos, podremos garantizar la seguridad en mayor o menor grado.

En este artículo recomendaremos los mejores sistemas y dispositivos de almacenamiento seguros para guardar con seguridad los datos de nuestra empresa, así como proteger aquellos que son realmente valiosos de los que son parte del día a día burocrático de la compañía.

Pero también haremos hincapié en cómo se debe proteger la integridad de los datos y prevenir los posibles ataques.

¿Almacenar sobre disco duro o en la nube?

Esta pregunta no tiene fácil solución, porque depende de cómo sea la empresa y de sus necesidades concretas, podremos apostar por un sistema u otro.

Incluso en el entorno doméstico, una u otra opción será válida dependiendo de su uso y un sistema y el otro tienen sus ventajas e inconvenientes.

Almacenamiento seguro sobre disco duro

La opción tradicional puede ser también la más efectiva. El almacenamiento en disco duro tiene ciertas ventajas que debes valorar:

  • El precio por giga de capacidad es realmente bajo, sobre todo si apuestas por discos duros mecánicos
  • Su instalación puede ser algo complicada, pero una vez lo hagas el sistema es estable y duradero.
  • Lo puedes convertir en tu propia nube y acceder desde dónde y cuándo quieras

Un sistema de disco duro NAS (Network Attached Storage) te permitirá colocar tantas unidades como necesites. Según se termina la capacidad, simplemente debes añadir un disco duro más y listo.

Los sistemas NAS son en sí mismos pequeños ordenadores conectados a tu red que permiten una gestión de datos muy eficiente y garantizan la seguridad.

Ten muy en cuenta este factor para garantizar un nivel muy alto de seguridad en caso de ataque, ya que una inversión en un sistema NAS más elevada puede marcar la diferencia de seguridad a la larga.

Recuerda que debes tener siempre previstas las copias de seguridad de todo para prevenir posibles problemas. Es decir, que si tienes un sistema de discos duros NAS para la información, deberías tener un segundo sistema para realizar copias de seguridad.

Por ejemplo, en caso de que la oficina se inunde e inutilice los discos duros, una copia de seguridad puede ser un salvavidas o, de lo contrario, habrás perdido toda la información.

Almacenamiento seguro en la nube

Según ha aumentado la tasa de transmisión de datos a través de internet, ha aumentado también la facilidad con la que podemos conectarnos a los servicios de almacenamiento en la nube.

Ahora mismo es posible contratar suscripciones a servicios en la nube que ofrecen grandes capacidades de almacenamiento de datos a costes muy reducidos.

Es una ventaja para muchas empresas no sólo tener suites completas de ofimática que incluyan la gestión del correo electrónico, el proceso de textos, datos o presentaciones, sino también el almacenamiento de datos y copias de seguridad.

Aquí entran en juego soluciones como Amazon Web Services o las conocidas Google Suite, Microsoft Office 365, Box o Dropbox.

Su principal ventaja competitiva es que se trata de sistemas casi infalibles que tienen un porcentaje de error inferior al 1%. Estas soluciones se han extendido a gran velocidad en las empresas gracias a su versatilidad -es accesible desde todas partes donde haya conexión a la red- y costes relativamente económico.

El inconveniente de estos sistemas está en que sirven en algunos casos, no en todos. Por ejemplo, un estudio de audiovisuales no puede editar video en tiempo real de calidad 4K que esté alojado en la nube, ya que la tasa de transmisión de datos aún no es lo bastante potente.

Lo mismo sucede cuando hay que transmitir grandes cantidades de datos: su acceso puede quedar limitado precisamente por la velocidad de conexión.

La gestión de los datos

Sea con uno o con otro, los datos de la empresa deben estar a buen recaudo no sólo en términos de seguridad absoluta, sino en términos de violabilidad de la seguridad.

La aplicación de la normativa de la Unión Europea de protección de datos (GDPR) marca claramente cómo debe gestionarse la integridad y acceso a los datos privados de nuestros clientes. Se hace necesario el uso de plataformas CRM, que no solo serán útiles como sistemas de gestión y segmentación de listas para crear campañas de marketing, sino que son en sí mismas utilidades para gestionar los datos de los clientes.

Por último, sea cual sea el sistema que utilices en la empresa para proteger los datos, debes tener siempre a punto un plan de ciberseguridad ante cualquier contingencia.

Este plan no sólo debe detallar qué hacer en caso de un ataque o emergencia, sino también qué prevenciones se deben tomar antes del posible ataque y qué medidas tomar durante y después del ataque en sí.

Plan de contingencia, ¿Tu empresa pasa el checklist clave?

La seguridad total y la ausencia de riesgos absoluta no existe y no es bueno creer que podemos tenerlo todo previsto.

Precisamente, creernos inmunes a los riesgos nos puede llevar a cometer errores de gran magnitud. Uno de ellos es no tener diseñado un plan de contingencia en caso de que una amenaza inesperada desemboque en un ataque.

El plan de ciberseguridad de tu compañía debe tener un plan de contingencia que dé continuidad a tu empresa, que mantenga viva la actividad y, sobretodo, sea capaz de minimizar los daños causados por ese ataque.

El riesgo-cero no existe

Un día cualquiera, uno de tus empleados recibe un email de una dirección desconocida, pero no se da cuenta de ello y, confiado, abre el archivo. Este resulta ser un virus ransomware que se propaga por la red, bloqueando los ordenadores y exigiendo un rescate para liberarlos.

El hecho más trivial, acaba de desencadenar una crisis de las que, en estos primeros momentos, no podemos saber su magnitud.

Debemos reaccionar rápido porque cuánto más tiempo pase, mayor será el alcance de la crisis. En este momento hay que activar el plan de contingencia, que debe arrancar una serie de mecanismos para poder hacer frente a esta situación y que debe contar con medidas tanto técnicas como humanas y de reputación.

El plan de contingencia durante un ataque informático

Vamos a dividir este plan en dos partes.

Una sobre lo que deberías hacer antes de un hipotético ataque, con el acento puesto en la prevención, y otra sobre lo que debería hacerse ‘durante’ el ataque, con el foco puesto en mantener la normalidad y la reputación de la compañía.

Las medidas de prevención

Existe todo un trabajo previo que debes realizar para ser capaz de detectar cómo podría reaccionar tu empresa ante un eventual ataque de ciberseguridad.

Repasamos los puntos críticos de este trabajo previo.

Identificar los puntos débiles de tu empresa

¿Será capaz tu empresa de resistir un ataque?

Para saber si será así o, si bien, la empresa tendrá muchos problemas para resistirlo.

  • ¿En qué grado son conscientes los trabajadores de la seguridad?
  • ¿Los ordenadores están actualizados con la última versión del firmware y sistema operativo?
  • ¿Todos los ordenadores tienen antivirus con licencia?
  • ¿La conexión a internet está monitorizada permanentemente? 

Realiza simulacros de ataques

Simular posibles ataques es una buena manera de evaluar la situación de la empresa ante los ataques.

Estos simulacros deben hacer sobre diferentes partes de la infraestructura técnica de la empresa y así poder detectar los posibles problemas, debilidades y fortalezas.

Estos simulacros no pueden hacerse una única vez, sino que deben repetirse regularmente para garantizar que la estrategia de ciberseguridad se cumple correctamente.

Analiza el impacto del simulacro y corrige los puntos débiles

A partir de los resultados obtenidos, debes proceder a crear el plan de ciberseguridad y el de contingencia que lo acompaña en caso de que se produzca un ataque de verdad y no un simulacro.

Te puede interesar: Congresos de Ciberseguridad a los que no puedes faltar

El plan de contingencia

Pasamos al ‘durante’ el ataque.

Volvamos al punto inicial en que se produce un ataque iniciado por un error humano, en este caso: un trabajador abre un correo con un archivo infectado.

¿Funciona el cortafuegos?

En el momento en que se inicia el ataque el antivirus puede detectar a tiempo el comportamiento irregular y cortar la infección.

Si no es así y el ordenador se infecta, entra en acción el monitoreo de la red interna. El análisis del flujo entrante y saliente de datos puede servir para saber si se está propagando el virus por la red interna o no.

¿Hay copias de seguridad suficientes?

Los datos son lo más importante de tu empresa y algo que debes supervisar siempre es la existencia de copias de seguridad lo más recientes posibles. Tienes diferentes sistemas para realizar copias de seguridad en tiempo real sin tener que detener los flujos de trabajo.

Una opción es tener configurado un servidor NAS en la red. Estos servidores insertan diferentes discos duros y realizan las copias de seguridad en tiempo real.

Sólo debemos configurarlo adecuadamente y, en caso de problemas recuperar los posibles datos perdidos. Eso sí, ten en cuenta que en caso de que la red se vea afectada, los discos duros NAS pueden quedar también afectados. Por eso es importante la seguridad de estos dispositivos.

Otra opción es utilizar un sistema de almacenamiento en la nube. Existen soluciones muy cómodas como Google Suite o Office 365, que permiten tener todos los datos en la nube y no físicamente en los ordenadores o sistemas que se pueden crear y adaptar a cada empresa.

En caso de un ataque, los datos seguirán intactos.

La comunicación interna también es importante

No hay nada peor que cortar la comunicación interna en caso de una crisis.

El plan de contingencia debe tener previsto también la comunicación: ¿qué mensajes van a recibir los trabajadores en caso de que haya un ataque?

Los trabajadores deben conocer qué deben hacer en caso de un ataque o un problema y deben conocerlo de forma clara y rápida.

Por eso hay que tener previstos los mensajes que enviarás en caso de un ataque. Eso sí, los mensajes externos -en caso de que el ataque pueda afectar a la imagen de la empresa- deben ser cosa del gabinete de comunicación.

Análisis de los daños

Una vez terminado el ataque, llega el momento de hacer recuento de daños.

El análisis debe ser realista y tener en cuenta qué puede haber sucedido:

  • ¿El ataque se podría haber evitado?
  • ¿Ha sido culpa de un error no detectado en el sistema operativo?
  • Y por otro lado ¿el plan de contingencia ha funcionado?
  • ¿Se han recuperado satisfactoriamente los ordenadores y sistemas afectos?

El plan de contingencia ideal

No hay un plan de ciberseguridad infalible ni único, del mismo modo que el plan de contingencia tampoco lo será.

Cada empresa debe tener su propio plan de ciberseguridad y cada empresa se enfrentará a los problemas de manera diferente a como lo hacen otras.

Lo que es seguro es que el encargado de ciberseguridad debe tenerlo todo presente para evitar males mayores.

Qué es la transformación digital y por qué tu empresa la necesita

Seguro que lo has leído o escuchado más de una vez y más de dos veces: si no estás en internet, no existes.

Eso es así y hay que estar en la red, pero ¿cómo?

Vivimos una revolución digital permanente y la llamada transformación digital, ha venido para cambiarlo absolutamente todo. Desde la manera en que nos relacionamos, hasta la manera como vendemos, pasando por cómo el consumidor toma las decisiones de compra.

Del mismo modo en que la televisión cambió cómo las empresas vendían sus productos, internet ha cambiado la interacción entre vendedor y consumidor.

Ser capaces de incorporar los cambios que ha generado esta revolución digital en el sí de nuestra empresa, nos puede ayudar a adaptarnos al cambio de hábitos de los consumidores.

Si hoy no se compran discos, sino que se escucha la música en streaming; si no se compran diarios, sino que se lee desde el teléfono, y si no se paga con dinero en metálico, sino que se puede pagar incluso desde el smartwatch...

¿Por qué tu empresa sigue haciendo las cosas como antes?

¿Qué es la transformación digital?

La transformación digital se refiere a todas esas oportunidades surgidas de la irrupción de las nuevas tecnologías, en especial de las redes sociales.

Esta transformación no se refiere sólo al cambio de tecnología (portátiles más pequeños, smartphones, tablets, Internet Of Things…) sino a como toda la industria de aplicaciones y servicios que ha nacido a su alrededor.

Así, la transformación digital está referida, o al menos así lo haremos en este artículo, a tu negocio y cómo este debe adaptarse, si no lo ha hecho ya, a los cambios que se están sucediendo a diario.

Las TIC como generadoras de valor

Todas las empresas tienen clara su estrategia empresarial, la hoja de ruta que les debe llevar al éxito a través de la senda del trabajo.

Pero muchas adolecen de una falta de estrategia TIC (Tecnologías de la Información y la Comunicación) que les permita aplicar esas herramientas en la generación de valor para la empresa. Existe una desalineación entre la estrategia empresarial y la estrategia TIC a causa de varios factores.

Uno de los mayores cambios que nos depara la web 4.0 y la transformación digital, será la gestión e interpretación del Big Data.

Según el Europe’s Digital Progress Report de 2017, el 10% de las PyME y el 25% de las grandes empresas ya gestiona y analiza el Big Data para interpretar y anticiparse a los cambios que vienen.

La estrategia de transformación digital

Implementar la estrategia de transformación digital no es siempre tarea sencilla.

Los directivos de las empresas se quejan, a veces con razón, de no entender las TIC lo suficiente como para poder hacer un uso correcto de las mismas. Otras veces, se decide hacer una gran inversión en TIC y luego nadie hace un correcto seguimiento de cómo se invierte.

Actualmente, menos de una quinta parte de las grandes empresas y PyME de la UE se encuentran en un estadio muy avanzado de digitalización.

Medir la digitalización de nuestra empresa será clave para saber en qué punto nos encontramos.

La digitalización se mide según la cantidad de servicios de esta lista:

  • ¿La conexión a internet está disponible para, al menos, un 50% de nuestros empleados?
  • ¿Qué velocidad real tenemos al navegar por internet?
  • En nuestra empresa ¿hay especialistas en TIC?
  • ¿Tenemos presencia en internet en forma de web y redes sociales?
  • ¿Nuestra web es avanzada y adaptativa?
  • ¿Tenemos servicios integrados en la nube como alojamiento, suite de ofimática…?
  • El porcentaje de negocio online ¿es superior al 1% de la facturación?
  • El volumen de ventas online ¿es superior al 10% del total?

La evolución de las TIC es tan veloz que a menudo nos hacemos una pregunta clave:

¿Cómo nos aseguramos que las TIC otorgan la relevancia necesaria a nuestra empresa?

Según el Europe’s Digital Progress Report de 2017, sólo en Finlandia, Dinamarca y Suecia el 5% de las empresas ya cumple con esas condiciones. En algunos estados, a duras penas hay empresas que hayan iniciado la transformación digital

Cómo crear un modelo propio

Como en tantos otros cambios, cada empresa debe llevar a cabo su propia estrategia incorporando aquellos servicios que considere más necesarios y relevantes para el día a día.

Entre los servicios que encontramos en la próxima web 4.0 tenemos el Internet of Things, el Cloud Computing, las plataformas colaborativas o la impresión en 3D.

También debemos ser capaces de ajustar esta digitalización según el sector económico al que pertenezca nuestra empresa. No será igual, por lo tanto, la transformación digital en una empresa dedicada al mundo editorial o a la televisión, que al sector del retail.

Aunque habrá puntos en común que cualquier compañía podrá adoptar, como el trabajo en una plataforma colaborativa o la incorporación del Cloud Computing en el cálculo de las previsiones de ventas (mira todo lo que Amazon Web Services puede hacer por tu empresa), algunas deberán basarse en el tamaño de la compañía.

En este respecto, mientras las PyMEs tendrán una posibilidad de crecer más rápidamente y de adaptarse a los cambios, las grandes empresas deberán llevar a cabo este cambio de una manera más progresiva dado el volumen de inversión a realizar.

Por último, las pequeñas empresas son las que llevan a cabo estos cambios de forma más veloz y las que ganan un mayor potencial de crecimiento una vez concluyen con éxito la incorporación de las TIC.

La transformación digital: la clave del éxito empresarial

Mientras, nos encaminamos a la nueva revolución tecnológica, la del Internet of Things, que llevará la conexión a la red a niveles ahora mismo inimaginables.

Si nuestras empresas no preparan la transformación digital del futuro satisfactoriamente, el futuro les pasará por delante desaprovechando una oportunidad única para crecer e impulsar el negocio hacia delante.

¿Cuál es la estrategia de ciberseguridad más eficiente?

La tecnología avanza imparable según se acerca el fin de esta segunda década del siglo XXI.

Cada día, más y más empresas se suman a la revolución y transformación digital, un nuevo marco de funcionamiento y relación de las compañías con el entorno digital, destinado a facilitar el trabajo y ampliar los márgenes de expansión y adaptación a los cambios.

Pero los ciberataques han aumentado a la vez que las empresas avanzan hacia este cambio de modelo. En muchas ocasiones, la transformación digital y la ciberseguridad no van de la mano y los motivos pueden ser muchos.

Si en ocasiones es complicado dar el paso e integrar las metodologías que implican la transformación digital, no es menor comprender la complejidad y necesidad de tener una buena estrategia de ciberseguridad.

Ciberdelincuentes y sus víctimas

Cuando pensamos en ciberdelincuencia, acostumbramos a pensar en un virus en nuestro ordenador que roban los números de las tarjetas de crédito o secuestran los datos que hemos guardado, exigiendo un rescate imposible para recuperarlo.

Es cierto que una parte de los ataques es esa, pero ni mucho menos es la gran mayoría.

Hoy los ciberdelincuentes se centran en atacar a las grandes y pequeñas empresas, así como instituciones públicas (gobierno, hacienda…) como privadas (fundaciones, museos…). De hecho, la ciberdelincuencia se debe entender como un negocio. Por poco dinero, se puede comprar un ataque, entendido como servicio, de estas ”empresas” de la ciberdelincuencia.

¿A qué se debe este aumento?

Es una de las consecuencias negativas de la transformación digital. Nos estamos acercando a un mundo hiperconectado en donde el “next big thing” se llama Internet de las Cosas –o Internet of Things (IoT) –.

Este cambio nos lleva a una realidad en que todos los objetos pueden estar eventualmente conectados, convirtiéndolos en dispositivos smart.

Imaginemos una casa en donde la calefacción o el aire acondicionado están conectados a la red, permitiendo controlar su funcionamiento remotamente desde el teléfono o el ordenador. Se trata tan sólo de un ejemplo, pero sirve para visualizar hacia dónde vamos.

Es necesario, pues, aumentar los esfuerzos para lograr tener una estrategia eficiente en ciberseguridad a la vez que implementamos los cambios necesarios para llevar a cabo, con éxito, la transformación digital.

Un dato para entender la magnitud de la amenaza: Las empresas españolas tardan una media de 250 días en detectar que se está produciendo un ciberataque. Otro dato interesante: según ‘The Black Report 2018’, los hakers sólo necesitan 10 horas de media, para violar la seguridad de una empresa y extraer todos sus datos.

Esto implica muchas repercusiones, y no todas son siempre económicas: en un plazo de tiempo tan largo los ciberdelincuentes pueden hacer mucho daño a nuestra compañía.

Evitar los ciberataques

La prevención siempre es algo básico y sea tanto en el entorno del hogar, como en el empresarial, las acciones de ciberseguridad a tomar son muy semejantes y están dentro de lo que se conoce como sentido común.

Los equipos, siempre actualizados y  protegidos

Tanto el ordenador como los dispositivos móviles, o las cámaras IP u otros, deben estar siempre a la última. Las actualizaciones del firmware y del sistema operativo, incluso las menores, deben instalarse lo antes posible.

Así mismo, debemos habilitar firewalls, protección pasiva con antivirus y que ninguno de los usuarios (trabajadores) tenga derechos de administración.

La formación continua para evitar el factor humano

Poca gente sabe que la mayoría de ciberataques se producen porque un empleado demasiado confiado, ha abierto un archivo infectado. La formación será básica para que los empleados sean siempre cautos y no confíen todo lo que llega a su email.

Copias de seguridad y recuperación

¿En cuántas ocasiones haber realizado una copia de seguridad de los datos de nuestra empresa nos hubiera ahorrado más de un disgusto? ¿cuántas horas (o días) de trabajo nos hubiera ahorrado haber dedicado tiempo a definir y aplicar una buena política de copias de seguridad?

Para garantizar la continuidad del negocio, es imprescindible poder garantizar la disponibilidad, integridad y confidencialidad de la información de la empresa.

Entre las medidas básicas para atender la salvaguarda de la información resaltamos disponer de políticas de copias de seguridad, cifrado de información, control de accesos y destrucción de la información. Esta guía es un buen punto de partida.

La estrategia de ciberseguridad

Ya tenemos la prevención apunto, ahora ¿qué?

La estrategia de ciberseguridad puede ser diseñada desde dentro de la propia empresa, con profesionales que forman parte del departamento de IT, o bien de un departamento autónomo de ciberseguridad, o bien a través de una consultora externa que nos ayude con todo el proceso.

Sea en un caso u otro, la estrategia debe definirse siguiendo las pautas que hemos marcado en la auditoría de ciberseguridad. Esa auditoría es el primer paso para detectar los puntos débiles de la empresa a través de una serie de pruebas y mediciones que determinan el grado de resistencia de la infraestructura de la empresa ante posibles ataques.

Cabe destacar, que la estrategia de ciberseguridad de nuestra empresa no será igual que la de otras, porque cada empresa implementa o implementará las herramientas digitales de diferente forma. Así mismo, no todas las empresas son iguales ni tienen los mismos objetivos. Por ese motivo, la estrategia será única, aunque tenga algunos puntos en común con otras:

Protección en todas partes

La movilidad en ningún caso debe ser un obstáculo para garantizar nuestra ciberseguridad. Todos los dispositivos deben estar dentro de esta estrategia y todos deben quedar protegidos por igual.

Así mismo, la nube (ya sea gestionada por un proveedor o por la propia empresa) es uno de los puntos más importantes a proteger.

Prevenir el robo de datos

¿Tu empresa cumple el nuevo reglamento general de protección de datos? ¿Cuál es su nivel de seguridad frente a amenazas de robo de información?

Una de las grandes amenazas es el robo de datos, ya que algunos delincuentes trafican con los datos personales para obtener beneficios. Estar al día en el RGPD europeo es desde el pasado 25 de Mayo una obligación.

Establecer protocolos claros ante un ataque

Si el ataque se produce, hay que tener protocolos definidos que nos permitan no sólo detenerlo, sino también garantizar el normal funcionamiento de la empresa.

Mantener la normalidad es, en ocasiones, la mejor manera de afrontar estos ataques. Un ejemplo de protocolo se basaría en cómo aislar el ordenador que ha sufrido el ataque, para evitar que pueda contagiar a otros, limpiar el sistema y dejarlo a punto para continuar.

Ciberseguridad: prevención y acción

En definitiva, la estrategia de ciberseguridad debe combinar un plan de acción en caso de ataque y un buen plan de prevención, para evitar al máximo que ese ataque llegue a producirse.

Estos dos ingredientes, y todos los derivados que hemos descrito aquí, nos asegurarán un buen grado de protección ante cualquier amenaza a nuestra empresa.

Si te preocupa la seguridad e integridad de la información de tu empresa, en AMBIT BST contamos con un equipo experto que puede orientarte en el diseño de tu estrategia de ciberseguridad.

¿Hablamos?

Gestión de riesgos: qué es y cómo debes planificarla

Identificar los riesgos que rodean el día a día de la gestión de proyectos, es tarea del Project manager.

Una de sus misiones será la realización de un análisis exhaustivo cualitativo y cuantitativo, así como planificar todos los protocolos de crisis ante una posible situación de riesgo y llevar a cabo el seguimiento de todo lo planificado.

¿Es posible planificar riesgos sin conocerlos?

La experiencia nos dice que sí, pero para ello debemos tener en mente todas las situaciones de incertidumbre, por inverosímiles que puedan parecer.

El Project manager, al enfrentarse con estos riegos debe pensar tanto en el presente inmediato, como en un futuro hipotético.

En este artículo te explicaremos cuáles son los pasos a seguir y cómo mejorar.

El riesgo digital

Estamos a las puertas de una revolución tecnológica sin precedentes, llamada a cambiar nuestro entorno personal y profesional.

El internet of things (IoT) es el siguiente paso en la revolución tecnológica que se inició por allá los años 90, que ha puesto un dispositivo inteligente en nuestros bolsillos y que, pronto, permitirá tener conectados a la red de manera masiva y simultanea dispositivos como nuestra nevera, televisión, coche o la parada de metro.

Pero pensemos por un momento en los riesgos a los que nos vamos a enfrentar en el futuro cercano.

Si el riesgo de ataque informático actualmente, con 2 o 3 dispositivos por persona conectados a la red doméstica o profesional es moderado, en el futuro cuando no sólo conectemos el Smartphone y el PC, sino también los electrodomésticos, éste aumentará exponencialmente.

Y peor escenario se presenta con los coches conectados a internet (llamadas de emergencia, localización, anti-threft-mechanism) o con los sistemas de seguridad de acceso y smart home para viviendas, equipos hospitalarios, ascensores…

La ciberdelincuencia es la principal amenaza a esta revolución tecnológica. Los ciberataques pueden ser de muchos tipos y mucho se ha escrito y se escribirá acerca de cómo neutralizarlos.

El sector tecnológico está haciendo un esfuerzo inmenso para desarrollar nuevas herramientas para luchas contra los ataques, como el de WannaCry que, en 2017, secuestró los ordenadores de algunas de las principales compañías e instituciones del mundo.

Articular protocolos de seguridad que permitan la detección y eliminación de las amenazas es, por lo tanto, una necesidad para todas las empresas que estén inmersas o hayan completado ya la transformación digital.

El riesgo digital está ligado a la automatización de los procesos y la toma de decisiones, los flujos automatizados  y el machine learning.

Por eso es tan importante tener un plan de gestión de riesgos.

El plan de gestión de riesgos

Como en cualquier otro proyecto de la empresa, hay que seguir diferentes pasos para que este pueda llegar a ser un éxito.

El plan de gestión de riesgos tiene diferentes fases que te explicamos a continuación.

La estrategia ante el riesgo digital

El riesgo cero no existe. Es algo que se repite a diario, pero a veces lo olvidamos.

La estrategia que debemos diseñar será una u otra, dependiendo del tipo de empresa en el que estemos.

No hay dos empresas iguales, por lo tanto, la estrategia ante el riesgo deberá ser personalizada. Debes hacer estas preguntas:

  • ¿Qué equipos debemos proteger?
  • ¿Qué es lo primero que debemos hacer ante un riesgo?
  • ¿Qué puntos incluiremos en el checklist de acciones?
  • ¿Qué protocolos de seguridad existen en la actualidad?
  • ¿Cómo vamos a analizar esos riesgos?

Los riesgos digitales no sólo van a afectar a la infraestructura TIC de nuestra empresa, sino que se pueden presentar en cualquier ámbito y perjudicar a cualquier departamento.

Sistemas de gestión de riesgos

Los riesgos no van solos, sino que afectan a diferentes secciones a la vez. No será posible realizar un buen plan de gestión de riesgos, si los abordamos de forma aislada. Así, debemos contar con un sistema de gestión de riesgos.

Estos sistemas se han diseñado para poder cuantificar el riesgo y predecir su impacto en un proceso, determinando si el riesgo es o no aceptable y asumible o, si bien, debemos cambiar para evitarlo.

Si esta gestión de riesgos se ha configurado por parte del Project manager como un proceso continuado, en ese caso el sistema funcionará fácilmente con otros sistemas dentro de la misma empresa.

Eso se refiere a la coordinación con la organización y la capacidad de encajar en el presupuesto.

Afrontar los riesgos correctamente

Como Project Manager debes saber analizar los riesgos en la justa medida. No debes darles ni demasiada ni poca importancia, sino que debes priorizarlos por importancia.

Así, en el momento en que se abran diferentes flancos, serás capaz de determinar cuál o cuáles son los riesgos que debes abordar primero. ¿Estará en el mismo rango de importancia un problema de comunicación con el cliente, que un problema presupuestario?

En demasiadas ocasiones, nos centramos únicamente en los aspectos cuantitativos de los riesgos y no en los cualitativos. Si nos centramos en ambos por igual, será más sencillo afrontar las incertidumbres

El plan A, el plan B y, por si acaso, el plan C

¿Y si, pese a la previsión, todo falla?

En ese caso entra en acción el plan de contención de riesgos. Este protocolo debe ser lo que te permita seguir una pauta para afrontar esos riesgos de la forma en que hemos descrito anteriormente.

Pero cuidado, el plan A puede fallar y no dar el resultado esperado.

¿Entonces?

Debes tener preparado un plan B y, sí, también un plan C por si todo falla.

Medir la efectividad de los planes contra los riesgos

Hay que ser capaces de medir si el plan está funcionando o no y para ello debes ser capaz de medir su efectividad.

Cada situación de riesgo, debe tener un plan de acción y cada plan de acción debe tener su medido. Estos planes y protocolos irán mejorando día tras día, ya que aprenderás de los errores y aparecerán situaciones que, anteriormente, no existían.

La gestión de riesgos debe actualizarse día a día para adaptarse a los cambios que, gracias o a causa de la revolución de digital que estamos viviendo, cada vez serán más veloces.

¿La Metodología Agile es válida para cualquier empresa?

Seguro que has escuchado hablar de la metodología Agile y posiblemente en algún momento has estado inmerso en su concepción o desarrollo. Pero para muchos trabajadores o directivos, la metodología Agile es algo que suena distante o, incluso, desconocido, como el Lean Management.

Para saber si la metodología Agile es válida para la empresa, debemos conocer los pormenores de la misma, su base y, por qué no, su sorprendente origen.

Qué es y de dónde viene la metodología Agile

Lo primero de todo es saber qué es esto de la metodología Agile. Se trata de un conjunto de métodos para el desarrollo de proyectos de cualquier tipo que precisan una rápida adaptación a los posibles cambios del sector y mucha flexibilidad. Esta metodología tiene la particularidad que el proyecto deja de estar considerado como un único paquete y se fragmenta en trozos más pequeños y manejables por menos personas.

De esta manera se optimiza el tiempo de trabajo de todo el equipo y permite a sus miembros especializarse en lo que mejor saben realizar. Además, si hay que hacer un cambio, éste sólo se lleva a cabo en la parte afectada y no en todo el proyecto. El manifiesto Agile surge en 2001 a partir de la reunión de directivos de diversas empresas y start-ups dedicadas, entre otros, al software, la banca, los videojuegos o internet.

Este manifiesto recoge los doce principios que los que se basa el desarrollo ágil:

  • La principal prioridad es satisfacer al cliente a través de la entrega temprana y continua de software que aporte valor
  • Aceptamos, de buen grado, cambios en los requisitos, incluso si llegan tarde al desarrollo. Los procesos ágiles aprovechan el cambio para la ventaja competitiva del cliente
  • Entregar con frecuencia software que funcione, desde un par de semanas hasta un par de meses, con preferencia a la escala de tiempo más corta.
    La gente de negocio y los desarrolladores deben trabajar juntos de forma cotidiana durante todo el proyecto.
  • Construir proyectos en torno a individuos motivados. Darles el entorno y el apoyo que necesitan y confiar en que ellos conseguirán hacer el trabajo.
  • El método más eficiente y efectivo de comunicar información y, a dentro de un equipo de desarrollo, es la conversación cara a cara.
  • El software que funciona es la principal medida de progreso.
  • Los procesos ágiles promueven el desarrollo sostenido. Los promotores, desarrolladores y usuarios deben ser capaces de mantener un ritmo constante de forma indefinida.
  • La atención continua a la excelencia técnica y al buen diseño mejora la agilidad.
  • La simplicidad, el arte de maximizar la cantidad de trabajo que no se hace, es esencial.
  • Las mejores arquitecturas, requisitos y diseños emergen de equipos autoorganizados.
  • En intervalos regulares, el equipo reflexiona en cómo ser más efectivo, se afina y ajusta su comportamiento de acuerdo con esto.

Los grupos ‘scrum’

La metodología se basa no sólo en la fragmentación de los proyectos para optimizar su realización, sino también la creación de grupos de trabajo multidisciplinares que seguían patrones de ejecución de los proyectos muy similares.

De esta manera, los equipos no sólo trabajan una parte del proyecto sino de que lo hacen aportando sus propias visiones y puntos de vista, aumentando la productividad.

Antes de la existencia y popularización de la metodología Agile, una empresa que desarrollaba un sistema operativo -por ejemplo-, no podía ponerlo en distribución hasta que este no estaba totalmente acabado. Si, tras el lanzamiento, este sistema operativo presentaba problemas, había que o bien lanzar parches concretos para esos problemas, o bien volver a lanzar una versión completa.

Con la metodología Agile, el proyecto está fragmentado y, si es necesario, se puede llevar a cabo una prueba en una parte concreta del sistema operativo. De esa manera, en caso de detectar un problema en una parte concreta, simplemente hay que reparar esa parte y no el todo.

Esta metodología, aplicada al ejemplo del software, permite un menor índice de problemas, mayor velocidad de reacción ante su posible aparición y la consecuente reducción de gastos.

Entonces, la metodología Agile ¿es válida para mi empresa?

Si, tras lo que has leído hasta ahora, crees que la metodología Agile sólo es válida para grandes empresas de software o bancos, estás muy equivocado. Esta metodología es aplicable en cualquier proyecto en una gran empresa, en una pequeña start-up de menos de 5 trabajadores o incluso por un autónomo.

Cualquier proyecto empresarial que se mueva dentro de internet, necesita encontrar el MVP (Minimum Viable Product), o lo que es lo mismo descomponer la idea en piezas hasta llegar a un producto que pueda llegar al mercado y, a partir de ahí, enriquecerlo con lo que proponen los clientes y las ideas de los empleados.

Debes tener en cuenta que no existe una única metodología, sino diferentes. Una que puede adaptarse a una startup sería la que combine un equipo scrum y sistemas Kanban de gestión del trabajo, como las herramientas Trello o Jira, que fácilmente podemos encontrar en internet.

Se trata, en definitiva, de ser capaces de crear unos nuevos flujos de trabajo que permitan optimizar el trabajo en bloques para mejorar su rendimiento y tiempos de creación. Implementar en nuestra empresa herramientas como Trello, gratuita, o Jira, más especializada, así como no tener miedo a los cambios e innovaciones que acompañan al método Agile.

Congresos de Ciberseguridad en 2018-2019 a los que NO puedes faltar

Todas las empresas se enfrentan un número cada vez mayor de amenazas para su seguridad e integridad.

Según han ido avanzando las posibilidades que ofrece la web, así como los dispositivos que podemos conectar y utilizar a través de Internet, se han ido multiplicando las amenazas y posibles ataques.

Hoy Internet es un campo para las innovaciones, los avances y las oportunidades de negocio de nuestra compañía, pero también lo es para los que buscan lucrarse con el robo de datos u otras acciones poco nobles.

Si quieres estar al tanto de las novedades del sector, a continuación puedes consultar todos los congresos de Ciberseguridad y Transformación Digital que se celebrarán en los próximos meses.

Save the date!

Congresos de Ciberseguridad

A continuación repasamos cada uno de los congresos de ciberseguridad más relevantes y próximas convocatorias:

World Ethical Data Forum 2018

A finales de septiembre se celebra en Barcelona el congreso sobre datos éticos que gira alrededor del blockchain, el mass data y la libertad de prensa en internet, entre otros temas.

IDC CIO Summit 2018

Salvar la brecha digital entre los directivos de cara a la transformación de las empresas, es el objetivo del IDC CIO Summit, que se celebrará también a finales de septiembre en Madrid.

PaellaCon 2018

Un evento con charlas, ponencias y una sesión de Hack & Beers sobre ciberseguridad, que se celebra en Valencia en los últimos días de septiembre.

XI Congreso de Ciberseguridad Industrial en Europa

Este es uno de los eventos más importantes en ciberseguridad para las industrias de toda la Unión Europea. Está enfocado a profesionales. Se celebra a principios de octubre en Madrid.

Encuentro Internacional de Seguridad de la Información

Este evento organizado por INCIBE se celebrará el próximo 23 y 24 de octubre en León y está focalizado en la ciberseguridad como uno de los pilares de la transformación digital de las empresas.

Visión18

Uno de los congresos más consolidados de España y que llega a su decimoctava edición los próximos días 25 y 26 de octubre en La Nave del Ayuntamiento de Madrid.

Aunque no se trata estrictamente de un congreso de ciberseguridad, lo incluimos por su enfoque en el Gobierno, la gestión y la seguridad de las Tecnologías de la Información.

Sec/Admin Conference 2018

Uno de los eventos sobre hacking más importantes de Europa se celebrará el 26 y 27 de octubre en Sevilla. Cuenta con un formato de conferencias y networking para profesionales en ciberseguridad.

Ciberseguridad, geopolítica y economía

La revista SIC organiza en Madrid los días 6 y 7 de noviembre un congreso focalizado en la ciberseguridad.

Hack2Progress 2018

Un hackaton dirigido a estudiantes y que se celebrará en Santander los próximos 17 y 18 de noviembre. Su idea básica es desarrollar por equipos la mejor herramienta de transformación digital en el sector de la energía.

CyberCamp 2018

Un evento que se celebrará del 29 de noviembre al 2 de diciembre en Málaga y que tiene forma de olimpiadas dirigidas a estudiantes de secundaria y universitarios. Aquí se premiará el talento en el desarrollo de herramientas relacionadas con la ciberseguridad y el hacking.

XIII Tour Tecnológico 2018

Esta edición del XIII Tour Tecnológico se celebra en varias ciudades de España (Barcelona, Bilbao, Las Palmas, A Coruña y Sevilla) desde el 26 de septiembre hasta el 22 de noviembre. Esta edición girará alrededor de cómo las herramientas digitales impulsan la transformación digital.

McAfee M-Power EMEA 2018

La edición europea del McAfee M-Power Summit se celebrará el próximo 28 y 29 de noviembre en Roma. Esta edición está centrada en la ciberseguridad en la nube y los avances del sector.

Congreso ISACA Valencia 2018

Este congreso que se celebrará en Valencia del 14 al 16 de noviembre de 2018, girará alrededor de la nueva ley de protección de datos vigente desde mayo en toda la Unión Europea.

Foro de la Ciberseguridad

Un evento anual que se celebra en septiembre en el Círculo de Bellas Artes de Madrid y que acoge a profesionales del Data Science y el gobierno de la ciberseguridad. 

Jornadas de Seguridad e Inteligencia

Este evento anual se celebra en febrero y cuenta con la presencia de miembros de las unidades dedicadas a la persecución de los delitos en internet de las diferentes policías y cuerpos de seguridad del Estado.

Congresos en transformación digital

Vamos ahora con la lista de congresos relacionados con la transformación digital, que en muchos casos también abarcan temas de ciberseguridad

Gartner Digital Workplace Summit

Uno de los eventos más importantes a nivel mundial sobre transformación digital en el trabajo, se celebra en Londres a finales de septiembre.

The e-Show

Marketing digital, e-commerce y como la transformación digital está cambiando la manera en que las empresas comercializan sus productos en la red. La cita es también a finales de septiembre en Madrid.

IoT Solutions World Congress

Barcelona acoge a mediados de octubre el salón más importante del mundo dedicado al Internet Of Things y todas las tecnologías que acompañan a la próxima gran revolución industrial.

Big Data Spain

El principal evento dedicado al Big data y la transformación se celebra en Madrid el próximo 13, 14 y 15 de noviembre. Entre sus actividades cuenta con talleres y conferencias con expertos de todo el mundo.

WMWorld Europe

El evento Europeo WMworld patrocinado por WMware y dedicado a las nuevas tecnologías y sus aplicaciones empresariales, se celebrará en Barcelona los días 5 al 8 de noviembre. Este contará con conferencias sobre cloud computing, seguridad en la red y espacios de trabajo virtuales.

Smart City Expo

Barcelona es la ciudad referente europeo en Smart City interconectada y el próximo 5 y 6 de noviembre de celebra el principal congreso mundial dedicado a las ciudades inteligentes.

Salón Internacional de Soluciones para la Industria y Smart Factory

La transformación digital en la industria es una realidad y los profesionales de esta rama tienen una cita en Madrid los días 13, 14, 15 y 16 de noviembre.

Madrid Retail Congress 2018

Este congreso aborda la transformación digital en el sector del comercio retail y está dedicado a los profesionales, empresarios y emprendedores. Palacio Pastrana de Madrid los próximos 27 y 28 de noviembre.

Mobile World Congress

El evento del año en transformación digital, nuevas tecnologías y la revolución tecnológica que se celebra en Barcelona del 25 al 28 de febrero.

Digital Challenge 2019

En marzo de 2019 se celebrará el Digital Challenge Spain en Madrid. Este congreso está dedicado a la transformación digital en el entorno de las empresas familiares.

Como ves, la agenda de congresos de ciberseguridad es muy completa, ¿nos veremos en alguno?

Lean Management: qué es y cómo puede ayudar al crecimiento empresarial

Posiblemente hayas oído hablar del término Lean (en inglés: esbelto, delgado)

Se empezó a utilizar en los años 80 en Estados Unidos para describir el sistema de producción de automóviles de la japonesa Toyota, creado en los 50 y conocido como ‘Toyota Production System’, basado en los principios del Jidoka y el Just-In-Time, con un énfasis absoluto en el compromiso de los trabajadores, la mejora continua, el trabajo en equipo y la filosofía del largo plazo.

Fue tras la publicación en 1992 del libro de Woomack, Jones y Roos, “La máquina que cambió el mundo”, cuando la metodología creada por Toyota empezó a conocerse como “Lean Manufacturing” o producción ajustada.

En el libro editado posteriormente, en 1996, Woomack y Jones rebautizaron la metodología como Lean Management, por la mejor adecuación del término y por la aplicación exitosa de la metodología a sectores de actividad diferentes a la industrial.

Esta filosofía lleva décadas revolucionando el mundo de los procesos y las operaciones.  Es actualmente la clave de la eficiencia que conduce al éxito a muchas empresas.

Pero ¿cómo puede ayudar este método a mejorar el crecimiento de tu empresa?

Acompáñanos y descubre Lean Management.

Qué es el Lean Management

Hemos hablado del método de producción de Toyota, pero el Lean Management, o gestión Lean, no es único del sector del automóvil y es aplicable a todos los sectores de actividad  y a todos los tamaños de empresa.

Lean management se encarga de analizar la estructura productiva de la empresa, eliminando todo aquello que es superfluo o que suponga un coste adicional, que implique un obstáculo al desarrollo del producto o que retrase o ralentice la operativa.

Se trata de producir más con menos encajando todos los engranajes de una empresa para que toda ella funcione de forma mucho más eficiente.

Los objetivos del lean management abarcan todo el ciclo productivo, de inicio a fin, asegurándose de ajustar la producción a la demanda y asegurar unos costes más reducidos.

La cultura del Lean Management

Para que la cultura del lean management se pueda aplicar en nuestra empresa y ayudarnos a crecer, debemos cambiar la cultura empresarial.

  • No hay que esconder los problemas, sino afrontarlos para permitir una mejora constante
  • Los problemas deben solucionarse allí donde se generan, para agilizar su solución
  • Cambiar el ‘ordeno y mando’ y las indeseables tendencias despóticas, por la delegación de responsabilidades en la jerarquía empresarial
  • Trabajar en equipo, coordinadamente
  • Poner el foco en el proceso de producción y no sólo en el resultado

Estos principios deben llevarnos a un cambio importante que se fundamentan en cinco pilares de la cultura lean:

  • Definir el valor del producto desde el punto de vista del cliente.
  • Identificar la cadena de valor sólo con el valor añadido, eliminando todo aquello que no añada valor.
  • Crear un flujo de trabajo para que todo el proceso sea suave, desde el inicio hasta el final.
  • La demanda (pull) del cliente: producir en base a pedidos del cliente y no en pronósticos
  • Lograr la perfección en el producto para que el cliente esté totalmente satisfecho

El valor del cliente

Hay que identificar lo que el cliente está buscando.

Muchas veces erramos creyendo que el cliente busca un producto, cuando realmente está buscando una solución a un problema.

Ser capaces de identificar el problema no es nuestra única misión, debemos ser capaces también de hacerlo correctamente a la primera.

La cadena de valor

No hay que confundir este punto con el siguiente, el flujo.

Aquí estamos en el punto en que debemos planificar las acciones necesarias para que el producto o solución se lleve a cabo correctamente, identificando todo aquello que aporta realmente valor y descartando todo lo que sólo añada ruido.

El flujo

El diseño del flujo de trabajo dentro del lean management nos debe llevar al objetivo de reducir el ‘lead-time’, es decir el tiempo total de proceso de un solo producto o solución. De este modo, localizaremos los problemas de calidad, obstáculos y todo aquello que no sólo no añade valor, sino que entorpece la producción.

En el lean management, el flujo ideal de una única pieza es el que es capaz de procesar sin interrupciones, transporte, cola ni espera y al ritmo que marca la demanda (el pull).

La demanda del cliente

Hay que ser capaces de producir únicamente cuando el cliente lo solicita, eliminando o reduciendo todo lo posible los inventarios o excesos de producción.

Como hemos visto, hay que adaptar el flujo de producción a la demanda y hay que ser capaces de detectar cuando el cliente inicia la demanda.

La herramienta que debemos implementar es en ‘kanban’ o señal de control de stock.

La perfección

El último pilar del lean management es la mejora continua para lograr la perfección.

Hay que generar equipos que piensen en cómo mejorar los procesos, conocidos como Kaizen events.

Su tarea es observar el proceso, crear un mapa de flujo de valor y pensar cómo puede mejorar.

Las propuestas se implementarán, testeando los cambios y se presentarán los resultados al consejo de administración de la empresa

Las ventajas del Lean Management

Este método tiene varias ventajas que nos ayudaran a crecer empresarialmente:

  • Nos permite hacer mejoras en la operativa sin inversión, ya que son los mismos trabajadores los encargados de analizar qué puede estar fallando y proponer cambios
  • Permite ver en qué punto los cambios son correctos, ya que podemos comprarlos con los resultados del periodo anterior
  • Se fomenta el trabajo en equipo y todos los profesionales están implicados en estos procesos
  • Cuando la estrategia está bien implementada y aplicada, permite acercar a la empresa a la calidad, lo que nos lleva a reducir costes y aumentar el margen de beneficios

Lean Management nos permite producir más con menos, gracias a reducir los desperdicios generados por las organizaciones, prescindir de procesos innecesarios y optimizar tiempos de producción al estar siempre ajustados a la demanda del cliente.

¿Crees que esta metodología puede encajar en tu empresa?

¿Ya la has implementado en tu estrategia de producción?

Cuéntanos tu experiencia en los comentarios o contacta con nosotros si quieres que te acompañemos en la transformación de tu compañía.

Ciberseguridad en empresas: donde todas fallan

La ciberseguridad es uno de los principales pilares sobre el que se debe cimentar nuestra empresa. Ser capaces no sólo de afrontar un ataque, sino también de prevenir que se produzca empleando las herramientas adecuadas, preparando al personal para semejante eventualidad y creando las líneas de defensa. Pero también hay que tener en cuenta otros aspectos que, llegado el momento, pueden ser vitales.

Tu empresa debe estar preparada en materia de ciberseguridad aprendiendo, no sólo de las nuevas tendencias sino de aquellos errores cometidos por otras empresas. Saber dónde han fallado nos va a servir para detectar mejor las amenazas antes de que se produzcan y afrontar mejor el riesgo.

Un hardware y software anticuados

La reciente crisis económica trajo diferentes efectos sobre las empresas. Uno de los menos conocidos fue el envejecimiento de los ordenadores y las licencias de software.

Tener actualizado y optimizado tu parque tecnológico es una inversión en eficiencia, no sólo en ciberseguridad, lo que impactará positivamente en el negocio.

Pero volviendo a lo que concierne a la ciberseguridad, tener los ordenadores y su software al día es una cuestión vital. Obviamente, la compra de los equipos informáticos en nuestra empresa debe hacerse no sólo con la vista puesta en el día a día –para tener unos equipos adecuados a lo que vamos a hacer, ya que no es lo mismo procesar textos u hojas de cálculo, que editar video o fotografía -, sino también con la vista puesta en el futuro. Eso implica que un ordenador debe durar el máximo de años y estar siempre bien provisto de actualizaciones de seguridad de su firmware y sistema operativo.

Los fabricantes de ordenadores y de sistemas operativos, especialmente importante en el caso de utilizar un sistema Windows, deben desarrollar los parches de seguridad que eviten eventualmente, agujeros de seguridad en donde los hackers puedan acceder para robar datos, secuestrar el ordenador o acceder a la red. Lo mismo sucede con los dispositivos conectados a la red. La proliferación de cámaras de video vigilancia por IP, por poner un ejemplo, ha abierto sin querer una puerta de acceso a las redes a los delincuentes. Una cámara que no esté actualizada de manera regular, es un punto débil en la defensa de nuestra empresa o red doméstica a los ciber-delincuentes.

El indiscutible antivirus

Relacionado con el punto anterior, está la necesidad de tener un antivirus instalado en los ordenadores que, llegado el momento, pueda bloquear cualquier intento de infección o ataque.

Los desarrolladores de antivirus trabajan muy duro para generar un software que sea capaz de proteger nuestros equipos ante las malas intenciones. Si todas las defensas fallan, el antivirus es la última línea antes de la caída del sistema. Si el antivirus no tiene la licencia actualizada o, peor todavía, no tenemos antivirus alguno, el ataque será un éxito y lamentaremos las consecuencias.

El monitoreo de las redes

Una estrategia de ciberseguridad debe contar, sin duda alguna, con un apartado especial dedicado al monitoreo de las redes, tanto internamente como externamente. Existen programas de gestión del tráfico saliente y entrante desde la red de nuestra empresa (o doméstica) hacia internet. Este control nos va a servir para ver qué sucede en tiempo real, siendo capaces de adelantarnos a un hipotético ataque.

Por ejemplo, podremos determinar cuál es el volumen de datos de entrada y salida promedio en nuestra red. Si un día hay un pico de tráfico, podremos analizar de qué se trata: un aumento de archivos hacia nuestra red, subir una nueva versión de nuestra página web o una videoconferencia que ha durado muchas horas… pero también para saber si esa distorsión se debe a un ataque.

El factor humano

¿Sabías que el famoso ataque del virus WannaCry lo inició un trabajador poco cauto que abrió un archivo adjunto en un falso email, que contenía ese ransomware? Por muchos esfuerzos que pongamos en el monitoreo de redes o tener los antivirus al día, si los trabajadores no conocen los riesgos y lo que los ciber-delincuentes son capaces de hacer para tener éxito, podemos encontrarnos con un eventual problema.

La formación constante de los trabajadores y un toque de ‘sentido común’ para ser capaces de detectar cuando un email proviene de un remitente falso o que se hace pasar por nuestro colega de trabajo, nos puede llegar a ahorrar un gran disgusto.

Las copias de seguridad constantes

Pero hay ataques que son inevitables porque, simplemente, no los habíamos considerado. Son la más absoluta de las minorías, pero el riesgo cero en ciberseguridad no existe, como demostró el ataque de WannaCry de junio de 2017 que afecto a algunas de las principales compañías del mundo, aprovechando un agujero de seguridad en el sistema operativo.

Aquí entra en acción las copias de seguridad y el hospedaje en la nube. Cabe destacar que hoy es más fácil que nunca trabajar en la nube. En el caso de la ofimática – todo lo referente a los textos, hojas de cálculo o presentaciones -, soluciones como Google Drive u Office 365 (por citar dos de las más conocidas y extendidas), permiten poder trabajar totalmente en la nube, sin que haya nada alojado en el ordenador. Las copias de seguridad se generan permanentemente.

Si no podemos trabajar con estos sistemas, podemos crear nuestra propia nube o nuestro sistema de copias de seguridad en la nube.

La protección de datos

Relacionado con el tema de los backup, avanzamos con la nueva ley de protección de datos de la Unión Europea que entró en vigor el pasado 25 de mayo de 2018. Esta ley contempla cómo se debe proceder al almacenamiento de datos personales y de todas las medidas de seguridad que debe proteger estos datos. Estar al día también en este tema, será crucial para que, en caso de sufrir un ataque, el robo de datos sea el menor posible o bien, que sea totalmente imposible.

Estar al día para no fallar en donde todas fallan

Donde las empresas fallan, nosotros debemos estar atentos para aprender de los errores. La ciberseguridad es un punto vital para la supervivencia de nuestra empresa, más aún ante el reto de futuro que será el Internet Of Things y el mundo hiper conectado.

Gestión TIC: Guía Operativa para empresas de futuro

Las Tecnologías de la Información y la Comunicación (TIC) son todas aquellas herramientas que nos ayudan a interconectar de una forma mucho más eficiente, la sociedad con el entorno digital que ha florecido en la red.

Todos los canales que forman parte de lo que llamamos TIC, son capaces de procesar y gestionar la información de una manera cada vez más y más sofisticada, generando a su vez nueva información que debe ser procesada.

No hay duda que las TIC están en un cambio constante y que se extienden cada vez de manera más y más rápida. Las empresas, por lo tanto, deben adaptarse lo antes posible a estos cambios y ser capaces de desarrollar una estrategia completa para poder implementar las herramientas TIC y todas sus posibilidades, sino también operar el día a día.

Las herramientas TIC, correctamente gestionadas, abren las puertas a un gran abanico de posibilidades de desarrollo, crecimiento orgánico y de mejora de resultados.

La estrategia TIC de nuestra empresa

Para que nuestra empresa pueda moverse hacia adelante y no se encuentre que el futuro ha llegado sin avisar, es necesario diseñar una estrategia de desarrollo TIC.

Esta estrategia, como la empresarial, debe tener un objetivo realizable, en cuánto es realista, una dotación económica, en cuanto requiere de adaptación, y un personal calificado que pueda realizar el seguimiento y orientar a la empresa en la consecución de los objetivos marcados.

La operatividad del día a día debe ser conducida por un personal especializado en estas tecnologías. Muchas empresas tienden a no diferenciar entre los responsables de sistemas y los responsables TIC.

Los responsables de sistemas son responsables de desarrollar, operar  y  mantener  los sistemas de información  durante  todo  su  ciclo  de  vida, así como de sus especificaciones, instalación y verificación de su correcto funcionamiento. Los responsables TIC actúan como puente entre el gobierno TIC y la gestión de las TIC.

La gestión TIC y el modelo único para nuestra empresa

No existe un único modelo de adaptación de las herramientas TIC para nuestra empresa. Nadie ha creado una fórmula mágica que pueda ser adaptada por cualquier empresa y funciones. El modelo que debemos adaptar debe ser diseñado casi desde cero por los responsables TIC. Convertirse en una empresa digital depende del éxito que tengamos en la superación de ciertos obstáculos:

Superar la falta de agilidad y adaptación ante los cambios

En la era digital, las compañías deben ser capaces de adaptarse a los cambios con facilidad. Los cambios que vivimos hoy se suceden a mayor velocidad y las empresas deben ser capaces de asumir como propio y no como una amenaza, el dinamismo. El desarrollo de las tecnologías TIC debe dotar a las empresas del futuro de un nivel de agilidad mucho más elevado que el que habíamos conocido en los tiempos anteriores.

Capacidad de trabajar en diferentes frentes a la vez

Los negocios de hoy en día requieren tener claras las diferencias entre las responsabilidades de cada equipo y cómo se enfrentan a los retos y campos de trabajo. Cada sección de nuestra empresa debe ser responsable de llevar al éxito sus iniciativas y, en lo que corresponde al campo TIC, deben ser capaces de desarrollar sus responsabilidades. Sabemos que puede llegar a ser muy complicado hacer que cada departamento mire el objetivo de igual forma, evitando que puedan aparecer competencias no deseadas entre equipos. Por eso, hay que marcar el objetivo de la estrategia a partir de unas métricas claras que alimenten el éxito de la compañía en este campo.

El vértigo del riesgo

Cuando una empresa inicia la transformación digital, es normal sentir cierto vértigo ante el riesgo de perder el dinero invertido. Sobre todo, al principio, muchas empresas ven que el ROI en la implantación TIC no se ajusta a lo esperado o dista mucho de otros valores de la misma empresa. Por eso hay que saber analizar los datos antes y después, tener un contexto y un marco de trabajo claro

 La falta de personal formado

Según un estudio de la consultora IDC entre empresas estadounidenses que habían iniciado en proceso de implantación de las tecnologías TIC, el 69% de ellas reconocían tener problemas para contratar personal especializado. La transformación digital es algo tan reciente que es hasta cierto punto comprensible tener problemas para encontrar personal capacitado. También es cierto que podemos optar por formar personal internamente en todas las capacidades necesarias para afrontar con éxito la transformación digital y la implementación de todas las herramientas TIC.

La ciberseguridad como oportunidad

Por ciberseguridad algunas empresas siguen pensando que es, tan sólo, la defensa contra virus. Hace unos años, esto era así. Actualmente la ciberseguridad pasa por una defensa integral de todos los sistemas conectados a la red, que cada vez son más y más complejos.

Las empresas del futuro

Las empresas del futuro serán TIC o no serán. La implementación de la estrategia de desarrollo TIC nos lleva a tener personal especializado en nuevos aspectos que serán fundamentales para el éxito empresarial

  • Análisis de datos: cada interacción entre empresa y cliente genera datos. La correcta gestión de los mismos y su análisis al detalle nos permitirá adelantarnos a los cambios de tendencias. El Big Data ya está aquí.
  • Automatizaciones: nos deben permitir tener menos errores en la ejecución de presupuestos y en las interacciones dentro de nuestra propia empresa.
  • Departamento de calidad: el conocido en inglés como ‘Compliance’ nos permitirá adaptar nuestros estándares a lo que requiere la industria, además de atender las reclamaciones de nuestros clientes satisfactoriamente
  • Nuevas arquitecturas de trabajo: el desarrollo TIC no se debe entender como un gran proyecto para ‘llevar el hombre a la Luna’, sino como un conjunto de pequeños proyectos que, unidos, darán como resultado un gran cambio dentro de la empresa
  • La seguridad en el centro: que nuestra empresa sea visualizada como segura, tanto en el tratamiento de datos (es vital una comprensión de la nueva Ley de Protección de Datos de la UE), como en la protección interna frente a ataques, será otro de los éxitos del desarrollo TIC.

Las empresas del futuro serán aquellas que hayan desarrollado una estrategia de gestion TIC operativa en el día a día, adaptable y escalable, realista y asumible pero que sea lo bastante ambiciosa como para situar nuestra compañía en el mundo ultra-conectado que está llegando.

En Ambit BST somos expertos en esta tarea. Si necesitas ayuda en el proceso, cuenta con nosotros para guiarte en el camino.

Los ataques de ciberseguridad más frecuentes

Diariamente, empresas y particulares sufren ataques de ciberseguridad que cada vez son más sofisticados y se basan en estrategias cada vez más complejas y difíciles de combatir.

Pero, los desarrolladores de software y distribuidores de antivirus, cada día destinan más recursos para desarrollar herramientas que ayuden a neutralizar las amenazas que llegan por la red.

Además, la toma de conciencia por parte de muchas empresas de los riesgos reales que entraña la red, ha llevado a muchas a iniciar campañas de formación continua sobre ciberseguridad a sus empleados, con el objetivo de reducir al máximo los riesgos derivados del exceso de confianza.

¿Conoces cuáles son los ataques de ciberseguridad más frecuentes?

Primero un poco de prevención

La prevención es algo increíblemente efectivo cuando hablamos de evitar ataques. Del mismo modo que cuando llega el invierno nos recomiendan consumir vitamina C y fortalecer las defensas del organismo, empresas y particulares deben tomar ciertas medidas para prevenir los ataques o, al menos, minimizarlos en caso de que se produzcan.

Estar al día de la GDPR

Como sabrás, la nueva ley europea de protección de datos (la GDPR) entró en vigor el pasado mes de mayo de 2018 y legisla sobre cómo deben tratarse los datos de los usuarios de una forma segura. Esta ley permite garantizar que, pese a haber un ataque, los usuarios puedan estar algo más tranquilos ya que tu obligación será informarles de cualquier robo de datos.

Hardware y Software a la última

Tener el software siempre actualizado y el firmware de tus dispositivos al día será vital para prevenir posibles ataques por parte de hackers que se aprovechan de los agujeros presentes en los sistemas.

Monitoreo de redes

Para saber en tiempo real si estamos sufriendo un ataque, las herramientas de Monitoreo de redes pueden avisarnos de lo que sucede en el menor tiempo posible, dando margen de maniobra para activar el plan de contingencia que hayamos previsto.

Para cuando todo falla: el antivirus

Un antivirus que sea capaz de detener una posible infección en un ordenador, será nuestra última línea de defensa posible. El esfuerzo de comprar una licencia de antivirus y tener el sistema siempre protegido, nos puede ahorrar un disgusto si, llegado el momento, todas las medidas de seguridad previstas fallan.

Los ataques de ciberseguridad más habituales

Vamos a repasar los ataques más habituales que pueden sufrir las empresas, pero también los particulares, y qué maneras tenemos de evitarlos.

El ‘malware’

Este término genérico se refiere a todo aquel software con malas intenciones, pero no todos los los ‘malware’ son igual de malos.

  • Virus: Se trata de un código maligno que infecta archivos del sistema. Para que el ataque de inicio, es el usuario quien debe ejecutar el virus.
  • Gusanos: es un software capaz de replicarse a sí mismo y difundirse por las redes y es muy difícil de detectar porque no afectan al funcionamiento del sistema.
  • Troyanos: el troyano es un software que es capaz de abrir una ‘puerta trasera’ a cualquier sistema para que terceros, con malas intenciones, puedan entrar a robar. Se integran dentro de programas que, de por sí, resultan inofensivos.
  • Spyware: se trata de un programa que hace de espía para obtener información
  • Adware: el menos malo de todos y que sólo sirve para mostrarnos publicidad.
  • Ransomware: el peor y más temido de todos, ya que su misión es bloquear el ordenador y solicitar un rescate económico (ransom) para devolvernos el control. Jamás hay que pagar.

Spoofing o Phishing

A diferencia del malware, su objetivo no es el de provocar un problema en el ordenador, sino el de perpetrar un robo de datos bancarios. Se trata de recopilar datos bancarios importantes (como por ejemplo el número de la tarjeta de crédito, la cuenta corriente, las contraseñas…) a través de la suplantación de identidad.

Si el usuario no es lo bastante precavido, es fácil que en recibir un email cuya apariencia es la misma que la de su banco y que le pide que vaya a cierta web a insertar su contraseña o número de tarjeta de crédito, este lo haga y sufra un ataque. La prevención aquí es total: los bancos jamás se ponen en contacto con nosotros solicitándonos datos personales y jamás los hemos de dar a nadie.

Denegación de Servicio Distribuido (DoS / DDoS)

Es uno de los ataques más extendidos por su facilidad de llevar a cabo. Este ataque consta en realizar un número muy elevado de peticiones a un servidor desde diversos ordenadores a la vez con el único objetivo que se sature y caiga. La versión más sencilla de este ataque utiliza botnets, que no son otra cosa que equipos infectados con troyanos que no saben que forman parte del ataque.

Los ciberataques en el futuro

En el futuro se prevé que aumenten los dispositivos conectados a la red de manera exponencial. El llamado Internet Of Things puede hacer que los ataques de tipo DoS sean aún más destructivos. Pensemos que infectar con un troyano un electrodoméstico conectado a la red, como puede ser una nevera, un equipo de música o una SmartTV, puede convertirlo en un equipo capaz de formar parte de un ataque a gran escala contra un gran servidor.

Por otro lado, los cambios que los bancos de todo el mundo llevaron a cabo en sus páginas a partir de la oleada de phishing de finales de la primera década de 2010, así como la generalización de los protocolos HTTPS, ha permitido reducir el número de robos por el método del phishing.

Por último, en el caso de los virus el aumento de los ataques de Ransomware ha puesto de manifiesto la necesidad imperiosa de formar a los trabajadores en todo lo referente a la ciberseguridad. Sin ir más lejos, el famoso ataque de WannaCry se inició porque un trabajador optó por abrir el fichero infectado que recibió por correo electrónico.

GDPR en España: el checklist fundamental

El 25 de mayo entró en vigor el cambio legislativo más importante de los últimos años en lo que a protección de datos se refiere.

Se trata de la nueva Ley General de Protección de Datos (LGPR) o en inglés General Data Protection Regulation (GDPR).

Esta ley marca que los ciudadanos de la Unión Europea, deben mostrar su consentimiento expreso a cualquier cesión de datos a cualquier empresa, sea o no europea. Este ha sido uno de los puntos más controvertidos, ya que las empresas que no cumplan con la normativa europea se enfrentan a multas de hasta el 4% de su facturación anual.

Algunas empresas americanas, por ejemplo, decidieron dejar de prestar servicios en territorio de la Unión Europea, pero pronto volvieron a la acción ya que adaptarse a la nueva normativa es relativamente sencillo si se siguen ciertos pasos.

¿Qué es la GDPR?

Esta nueva ley de protección de datos se aprobó en el Parlamento Europeo en 2016, pero no pasó a ser de obligado cumplimiento hasta el pasado 25 de mayo. Esta nueva ley de protección de datos es la referencia para todos los estados de la Unión Europea y en ningún caso se pueden aprobar leyes estatales o regionales que contradigan lo especificado en la GDPR.

Anteriormente existían 28 leyes distintas, una por cada estado miembro. A partir de ahora sólo existe una y es el Parlamento Europeo quien debate y promulga las leyes específicas que se puedan derivar.

Esta ley unifica la manera en que las empresas e instituciones deben tratar los datos obtenidos por procesos comerciales o de servicios, residan estas o no en territorio de la Unión. En esta ley se establecen algunas líneas rojas que protegen a los usuarios ante el robo de datos o sus usos fraudulentos.

Se trata, por lo tanto, de un marco claro, sólido y estable para que los usuarios sepan quién tiene sus datos y con qué objetivo. Eso sí, las empresas deben poseer un protocolo claro.

¿A quién afecta la GDPR?

Esta ley afecta a todas las empresas e instituciones que recopilen, conserven, analicen o gestionen algún tipo de dato, indistintamente del estado en el que sean residente o su actividad económica.

Esta ley afecta también a los usuarios, ya que garantiza una serie de derechos que, anteriormente y a causa de la fragmentación legislativa no se podían cumplir completamente.

Algunos de estos contemplan el que el usuario deba dar el consentimiento expreso, conocer quién y con qué objetivo recopila esos datos, garantiza el ‘derecho al olvido’, poder solicitar que nuestros datos se borren completamente, denunciar un uso no autorizado de los datos o denunciar que los datos se han recogido de forma ilícita.

¿Qué debo hacer para cumplir con la nueva ley?

Si tu empresa recopila algún tipo de dato, el que sea, de sus usuarios – y estamos convencidos que así es – debes adoptar una hoja de ruta para adaptarte a la ley, si es que no lo has hecho todavía.

Evaluación de riesgos en el tratamiento de los datos

Uno de los primeros puntos que debes llevar a cabo es la evaluación de los riesgos de incumplir la GDPR en el tratamiento y gestión de los datos que has recopilado. El consejo básico aquí es crear un registro interno de la gestión de los datos, con objetivo de saber qué datos se están tratando y con qué objetivo.

En el fondo, se trata de llevar a cabo una auditoría interna y una revisión de todos los contratos que se hayan firmado con los usuarios. Recuerda que en el momento en que entró en vigor la ley de forma obligatoria, los usuarios deben dar de nuevo su consentimiento para seguir recibiendo información de tu empresa. Si no lo dan, no podrás enviar nada y, si lo haces, te arriesgas a una multa de hasta 20 millones de Euros o el 4% de la facturación anual.

El Delegado de Protección de Datos (DPD)

El artículo 37 de la GDPR determina tres supuestos en los que las empresas deberán contar con la figura del Delegado de Protección de Datos:

  1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público
  2. Cuando las actividades principales del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático a gran escala
  3. Cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales

Hay que destacar, por lo tanto, que, si el objetivo de tu empresa no es la recopilación de datos, esta figura no es necesaria. Por ejemplo: una aplicación que maneja perfiles, deberá contar con esta figura, pero no será necesaria para manejar el pago de las nóminas, que también cuentan con datos personales.

Esta figura puede ser tanto un trabajador de la misma empresa, como un consultor externo y su tarea será la de registrar que todo se hace de acuerdo con la nueva ley. El objetivo será coordinarse con las autoridades competentes en protección de datos.

Debes asegurarte que si la recopilación de datos la realizas a través de una empresa externa, esta cumple con todo lo establecido en la nueva ley.

GDPR: el momento es ahora

Con la ley en marcha, tu empresa debe adaptarse o aceptar los riesgos de no hacerlo – que son muchos y, en algunos casos, absolutamente inasumibles -.

En un mundo cada vez más conectado y en donde constantemente cedemos los datos personales, es necesario legislar para proteger los derechos de los consumidores.

Nuestro deber como empresas es garantizar el tratamiento de los datos personales acorde con la nueva ley, sin olvidar que la GDRP es un nuevo reto al que enfrentarse.

Consejos de Ciberseguridad [IMPRESCINDIBLES]

En los últimos años los ataques a particulares y empresas a través de la red se han convertido en uno de los principales focos de atención económicos y sociales.

A veces olvidamos que, con unos simples consejos de ciberseguridad, podemos evitar grandes males o, al menos, prevenir que sucedan.

Cosas tan sencillas como disponer de copias de seguridad, ser cautos ante un email sospechoso, no publicar datos particulares o de terceros en las redes… y muchas otras que repasamos en este artículo.

Consejos básicos de ciberseguridad

A continuación vamos a detallar cada uno de los consejos de ciberseguridad que debes seguir para asegurar la integridad de la información.

Hacer copias de seguridad regularmente

Prevenir es siempre un plus y nos ahorrará situaciones en donde tengamos que lamentar males mayores.

En el mercado hay discos duros que pueden realizar automáticamente una copia de seguridad constante de cualquier dato que tengamos en nuestro ordenador. Se trata de unidades que pueden estar conectadas directamente al ordenador, o conectadas al router, de manera que aprovechen la conexión WiFI para realizar estas copias en segundo plano.

También hay la posibilidad de configurarlos desde el mismo sistema operativo del ordenador para que realicen las copias de seguridad. Pero en este sentido, existen muchas posibilidades para salvar los datos guardados en nuestro ordenador.

La opción de pago de ciertos servicios de almacenaje en la nube, permiten realizar copias de seguridad de ciertas carpetas o del disco duro entero.

No publicar datos propios o de terceros

Puede parecer una obviedad, pero no lo es.

Muchas veces publicamos en la red nuestro destino vacacional, imágenes de terceros en situaciones, digamos, comprometidas.

En algunas ocasiones, los delincuentes aprovechan esos datos para planear robos.

Así mismo, no está de más recordar que en las redes sociales está muy bien compartir cosas ¡y es divertido compartir fotos! Pero siempre hay que hacerlo cuidando qué se publica y a quién puede afectar.

Ser desconfiados ante los correos electrónicos

Cada día nos entran decenas, cuando no centenares, de correos electrónicos basura.

Algunos de ellos llegan a superar el filtro de seguridad y aparecen en el buzón principal; otros logran aparecer haciéndose pasar por un amigo nuestro o un miembro de nuestra lista de contactos.

Siempre hay que estar atento a la dirección de email del remitente e, incluso si creemos que el email es de un amigo confirmarlo con él si no tenemos la total seguridad de que sea un envío real.

En consecuencia, si no estamos seguros no debemos abrir bajo ningún concepto el fichero adjunto. El gran ataque del virus WannaCry, en junio de 2017, se originó con un simple archivo adjunto que contenía el virus y, al ser abierto, inició el ataque.

Establece contraseñas seguras

¿Sabes cuál es la contraseña más utilizada?

Exacto: 1234.

El motivo es que es fácil de recordar, pero la vulnerabilidad es total.

Otras contraseñas como nuestro nombre y uno o dos números, no son demasiado mejores. Lo ideal es siempre establecer una contraseña lo más compleja posible, que combine minúsculas y mayúsculas, números y símbolos de puntuación.

Así mismo, establecer el sistema de doble autenticación puede evitarnos que un tercero que haya robado nuestra contraseña, acceda desde un ordenador que no es el nuestro.

Instalar un anti-virus

Cuando todas las defensas fallan, un buen antivirus puede servir como última línea de defensa ante un ataque.

La mayoría de antivirus son capaces de detener estos ataques cuando se están produciendo, neutralizándolos y enviando a los desarrolladores una copia del virus para que creen “el remedio”, en caso de no existir.

Tener los dispositivos al día en cuanto a actualizaciones

Las actualizaciones de sistema son necesarias y prescindir de ellas es un riesgo que no debemos asumir.

Los desarrolladores de software, tanto los que han creado los sistemas operativos como las mismas aplicaciones, trabajan a diario para detectar no sólo qué está fallando en nuestro sistema o cómo mejorar el rendimiento, sino también a qué amenazas podemos estar expuestos.

Consejos de ciberseguridad en la empresa

Estos consejos se centran en el entorno empresarial, donde las consecuencias de un acceso no permitido pueden ser desastrosas.

Realiza una auditoría de seguridad

Es el principal consejo que podemos dar a las empresas.

Las auditorías de ciberseguridad permiten determinar el grado de exposición a ataques y promover acciones destinadas a prevenir estos ataques.

Además, la auditoría de ciberseguridad permite crear las herramientas necesarias para enfrentarse con velocidad a un ataque (plan de contingencia), del tipo que sea, y poder responder en el menor tiempo posible.

Utilizar una nube descentralizada

Si algo se ha aprendido los últimos años es que un sistema descentralizado, en donde la información está en varios sitios a la vez y no en uno único y central, funciona mejor ante un posible ataque.

En caso de sufrir un ataque, si un sistema centralizado cae, con él cae todo. Si el sistema está descentralizado y repartido en diversos ordenadores que crean una nube a la que acceder remotamente, si una parte cae el resto sigue funcionando.

Esto también sirve en caso de un accidente o un corte de suministro: si falla el único ordenador central, fallará todo el conjunto de la red.

Apuesta por la formación a los trabajadores

La formación constante a trabajadores en materia de ciberseguridad será un punto muy importante a tener en cuenta.

La mayoría de ataques o robos de material susceptible se producen cuando un trabajador incauto abre un correo electrónico infectado.

Hay que asegurar otros aspectos tales como que los trabajadores no utilizan las contraseñas corporativas en aplicaciones de tipo personal, o que no anoten las contraseñas en papel o en gestores de tareas en el ordenador, lo que evitará que puedan ser robadas.

Estar al día en cuestiones de ciberseguridad

La manera en como no dejan de aparecer nuevas amenazas, a la vez que aumenta la cantidad de dispositivos conectados a la red, nos obligan a estar muy atentos a las nuevas amenazas que puedan surgir y ser capaces de adaptarnos a los cambios.

Suscríbete a nuestro blog y te mantendremos al tanto de las novedades de la industria y cómo proteger tu empresa lo máximo posible.

El experto en ciberseguridad: Por qué tu empresa no puede sobrevivir sin él

Pensemos por un momento cómo era una empresa hace 25 años, cómo era hace 10, cómo es ahora y como creemos que será en un futuro no muy lejano. 

Hace 25 años había algunos ordenadores sobre las mesas, el experto en ciberseguridad era una profesión que sonaba a película futurista, la conexión a internet era pesada y lenta y servía para enviar los primeros correos electrónicos y ver alguna que otra rudimentaria web, y todos los ordenadores se conectaban entre sí, compartiendo alguna información y archivos. 

Hace 10 años había ordenadores y conexiones a internet mucho más veloces, los datos estaban en un servidor instalado en la propia empresa y e irrumpían en el mercado los primeros smartphones modernos (el iPhone 3G y los primeros Android, como el T1, o las Blackberry Bold).

Hoy el panorama ha cambiado enormemente y sigue cambiando a grandísima velocidad: la nube permite un acceso a todos los datos, documentos, email, calendario… hasta llamadas de teléfono o video-conferencias desde cualquier lugar en cualquier momento. A esto hay que sumar smartphones, tabletas, sistemas de video-vigilancia online, automatización de procesos tecnológicos dentro de la incipiente revolución del ‘Internet Of Things’, sin olvidar otros dispositivos menores conectados a la red. Y si miramos lo que los expertos prevén que pasará en 5 o 10 años, nos podemos encontrar con un panorama en donde absolutamente todo esté conectado a la red en el ámbito doméstico y en el ámbito profesional.

Pero cada nuevo dispositivo que conectamos a la red, supone un punto débil a través del cual dejamos al descubierto nuestra red. En los últimos años se ha vivido un aumento espectacular en las denuncias de ciberataques en empresas de todo el mundo. El caso más famoso se dio en junio de 2017, cuando millones de ordenadores de todo el mundo, la mayoría en grandes empresas, quedaron secuestrados durante días a causa de un ataque del ransom-virus WannaCry. Este virus encriptó los datos contenidos en los ordenadores y sólo se podía recuperar el control previo pago de un rescate.

¿Qué es la ciberseguridad?

La ciberseguridad o seguridad informática, es la práctica de defender todos los datos y usuarios de sistemas, redes y dispositivos informáticos y eléctricos de ataques con objetivos maliciosos.

¿Cuáles son esos objetivos maliciosos? Principalmente las amenazas contra las que deben luchar los expertos en ciberseguridad son tres:

  • El cibercrimen: habitualmente centrado en atacar entidades financieras para obtener dinero
  • El ciberterrorismo: su objetivo es comprometer los sistemas electrónicos dependientes de la red para causar la inseguridad o el pánico entre la población
  • La ciberguerra: se refiere a la recopilación de información con motivaciones políticas

En nuestra empresa no tendremos (o no deberíamos) que luchar en una ciberguerra o un ataque ciberterrorista, pero sí que podemos enfrentarnos al ataque de un virus o al robo de información sensible.

Las tareas del experto en ciberseguridad

Esta profesión está al alza dado el aumento en los últimos años de los ataques que han sufrido principalmente las empresas. Se hace necesario desarrollar un plan de medidas específicas que permitan, eventualmente, garantizar el grado de protección más elevado posible contra hipotéticos ataques.

Un profesional de la seguridad informática llevará a cabo este plan centrándose en las necesidades de la empresa.

  • Realizar una auditoría interna o externa sobre el nivel de ciberseguridad de nuestra empresa
  • Planificación e implementación de las medidas de seguridad
  • Gestión de los recursos humanos necesarios para poder llevar a cabo estas medidas
  • Prevención y detención de los posibles ataques
  • Formación activa de empleados en cuestiones de ciberseguridad
  • Cumplimiento de la normativa europea en la protección y almacenamiento de datos

Realización de una auditoría en ciberseguridad

La auditoría en ciberseguridad tiene como objetivo dar a conocer los riesgos a los que se expone nuestra empresa y su infraestructura informática (TIC), así como recoger todas las medidas recomendadas, según la prioridad, que deberían ponerse en marcha.

Puede parecer obvio, pero según una encuesta realizada por la consultora norte-americana Proviti, todavía hoy el 35% de las empresas españolas no ha realizado ninguna auditoría en ciberseguridad. ¿Por qué? En muchos casos es por la falta de recursos propios y por la inversión que debe realizarse. Pero cambiemos el punto de vista: si mañana nuestra empresa fuese objetivo de un ciberataque como el de WannaCry, en que todos los ordenadores quedaran encriptados ¿qué inversión sería necesaria para recuperar el control? Posiblemente el impacto sobre la cuenta de resultados sería demoledor, además de que se necesitarían muchos días, cuando no semanas, para recuperar la total normalidad.

La auditoría en ciberseguridad debe contemplar la realización de pruebas, tales como:

  • Auditoría WiFi: hasta qué punto nuestra red segura y no será una puerta de entrada cómoda para un ataque
  • Ingeniería social: ¿nuestros trabajadores son conscientes de los riesgos de la ‘buena fe’? Por increíble que parezca, todas las medidas de seguridad pueden quedar en nada si un trabajador abre un archivo adjunto infectado. Algo importante: el ataque de WannaCry se inició así.
  • Auditoría legal: ¿nuestra empresa cumple con la normativa vigente en protección de datos? Proteger correctamente los datos y tenerlos encriptados, puede dificultar su obtención de manera ilícita.
  • Test de intrusión: este test permite calibrar el grado de exposición de nuestra empresa a una intrusión no deseada
  • Test de páginas web: ¿los ordenadores de la empresa serán capaces de detener un intento de ataque proveniente de una página web infectada?

Estos son algunos de los test que llevará a cabo el experto en ciberseguridad de nuestra empresa.

El experto en ciberseguridad: un profesional imprescindible

Cada empresa es única y sus necesidades también lo son. Del mismo modo en que se debe encontrar la solución de almacenamiento de datos óptimo, telefonía u hospedaje web más adecuado, debemos confiar en el experto en seguridad informática para proyectar y desarrollar el plan de medidas de seguridad más eficaz posible.

Lo único que no podemos permitirnos es no hacer nada, porque en un mundo cada vez más conectado, la ciberseguridad es uno de los pilares más importantes de las empresas que quieren afrontar el próximo cambio tecnológico, el Internet Of Things, con plenas garantías.

Suscríbete a nuestro Blog