La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security"[i], un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet. 

Considera esencial que los gobiernos —en colaboración con todas las demás partes interesadas— adopten las medidas para restablecer la confianza en que la privacidad de todos se respeta en Internet y se proteja a personas físicas y jurídicas tanto de terroristas y cibercriminales cuanto del abuso por gobiernos y empresas en la recolección y utilización de datos privados.

El establecimiento de ese contrato social debe conducir a un compromiso global de seguridad colaborativa y privacidad, que ponga coto a las actuales largas y super-politizadas negociaciones.

Ese contrato social debería sustentarse en nueve dovelas:

1. Los gobiernos y otras partes interesadas, actuando tanto en sus propias jurisdicciones cuanto coordinadamente, deben proteger los derechos humanos fundamentales (incluyendo los de privacidad y protección de datos personales). 

2. La intercepción de comunicaciones en Internet y la recogida, análisis y uso de datos por las agencias policiales o de inteligencia debiera ser para fines claramente especificados a priori, autorizados por la ley (incluso la internacional de derechos humanos) y ajustados a los principios de necesidad y proporcionalidad.

3. Las leyes en concreto deberían ser públicamente accesibles, claras, precisas, completas y no discriminatorias, transparentes para individuos y empresas y tramitadas abiertamente. Debiera haber mecanismos robustos e independientes que aseguren la responsabilidad y el respeto de los derechos, cuyos abusos debieran ser corregibles y brindar remedio efectivo a los individuos cuyos a quienes hayan visto violados sus derechos por vigilancias ilegales o arbitrarias.

4. Las entidades que transmiten y almacenan datos usando Internet deben asumir más responsabilidad en la protección de datos ante ataques; y los usuarios (tanto los de pago cuanto los de los servicios llamados “gratuitos” debieran conocer y tener alguna opción sobre la totalidad de los usos comerciales de sus datos, sin por ello quedar excluidos del uso de software o servicios habituales para la participación en la era de la información. Tales entidades debieran también mostrar responsabilidad y ofrecer reparación en caso de una violación de seguridad.

5. Hay que revertir la erosión de la confianza en Internet causada por un mercado opaco que recoge, centraliza, integra y analiza ingentes cantidades de datos privados —una especie de vigilancia privada, al socaire de ofrecer un servicio gratuito.

6. Independientemente de la tecnología de comunicaciones, éstas deben considerarse privadas, entre las partes, de conformidad con la Declaración Universal de Derechos Humanos de Naciones Unidas. Debiera ser misión del gobierno reforzar la tecnología de la que dependen Internet y su uso; y no el debilitarla. 

7. Los gobiernos no debieran crear o pedir a terceros que creen “puertas traseras” para acceder a los datos, lo que supondría una debilitación de la seguridad de Internet. Debieran estimularse los esfuerzos de la comunidad técnica de Internet para incorporar a las normas y protocolos de Internet soluciones de mejora de la privacidad, incluso el cifrado —de cabo a rabo— de datos en reposo o en tránsito. 

8. Los gobiernos —en colaboración con los técnicos, las empresas y la sociedad civil— deben educar a sus públicos en buenas prácticas de ciberseguridad. Deben también colaborar en la mejora global de la formación y desarrollo de la fuerza de trabajo del software, para estimular la creación de redes más seguras y estables en derredor del mundo. 

9. La naturaleza transfronteriza de muchas formas significativas de ciber-intrusión limita la capacidad del estado que es blanco de la misma de prohibir, investigar y perseguir a los responsables de dicha intrusión. A fin de limitar las amenazas, y disuadir ataques futuros, los estados han de coordinar respuestas y prestarse asistencia mutua. 

* * *

[i]http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf  

Parte I

En iTTi prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración [i]. 

‘Gobierno corporativo de las TI’ (GCTI)…

 «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI". 

… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.

El consejo de administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…

…  conlleva dos ámbitos principales -a veces antagónicos-: el rendimiento [desempeño] y la conformidad…» [ii]

Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. 

Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD[iii]) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo[iv]. 

Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. 

Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).

Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo [v]: 

1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. 

No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).

La “supervisión del riesgo debiera ser una función de todo el Consejo” [subrayado, nuestro], sin delegarla al Comité de Auditoría u otros comités. El Consejo en pleno debería recibir, al menos semestralmente, información-formación (briefing) sobre estos temas” (NACD 2014, p. 8). 

2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. 

Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros.

El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. 

Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 

3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. 

Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”.

Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).

4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. 

Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)[vi],[vii], que puede resumirse en:

- Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.

- Crear un equipo con participación de todas las partes interesadas.

- Celebrar reuniones periódicas e informar al Consejo.

- Establecer una estrategia y un plan de gestión del ciber-riesgo de ámbito empresarial.

- Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.

Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas[viii] del NIST –que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones. 

5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques.

Propone que se debatan, al menos, las cuestiones siguientes:

- ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan?

- ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos?

- ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos?

- ¿Cómo debiéramos evaluar el impacto de los cibereventos?

Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital...” (NACD 2014, p.9). 

El documento de la NACD ofrece otras muchas cosas: más listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias. Su estudio más detallado es de todo punto aconsejable.

* *  

Parte II  

Llegados a este punto, tenemos unas preguntas para el estimado lector. No es necesario que nos las conteste, respóndaselas Usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta:

         ¿Le parecen esos 5 principios …

… razonables?

                                … muy incompletos y necesitados de otros muchos?

                                … abstractos y por tanto inaplicables?

        ¿En la empresa de Usted, se aplican …

                                … plenamente?

                                … en gran medida?

                                … muy poco?

                               … bastante, pero no es el Consejo/Junta quien lo hace, sino la

                               Dirección Ejecutiva/Gerencia?

* * * 

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/02/2015.  

--------------------------------

[i] Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.

[ii] De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. url: http://es.slideshare.net/iTTi_news/el-manifiesto-itti  [Consulta 20140825]

[iii] http://www.nacdonline.org/index.cfm.  [Consulta 20140825]. 

[iv] NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series. https://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687 [Consulta 20140825].

[v] Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.

[vi] http://www.isalliance.org [Consulta 20140825].

[vii] ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 

[viii] NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 

Líneas viudas y huérfanas son aquellas líneas de un párrafo que la composición presenta aisladas,  al principio o final de una página. Sobre cuál sea una u otra, no parece haber consenso. En todo caso, son líneas que no parecen pertenecer a un párrafo, al no verse las precedentes o siguientes.

El mundo de la empresa (y otras organizaciones)  tiene, a veces, políticas  viudas y procedimientos huérfanos. Políticas sin soporte (de normas o procedimientos), procedimientos sin una política a la que llamar ¡madre!

Cuando la frecuencia de viudas y huérfanos es alta, el panorama es desolador, ante tanto déficit de allegados. Parece como si un siniestro —una sequía, una peste, una guerra— hubiera asolado esa organización. Y probablemente es cierto, han tenido la hambruna del desgobierno y no han recibido la lluvia benéfica del buen gobierno.

Las políticas las  promulga la autoridad competente (determinada por la ley, los estatutos y delegaciones).

Si alguien de menor autoridad prepara una política, lo que prepara es un borrador, no una política: será una política cuando la promulgue la autoridad competente.

Normas (‘estándares’, incluidas ‘métricas’)  y procedimientos  soportan y desarrollan las políticas.

Debe haber una doble trazabilidad ascendente-descendente: una norma que no corresponde a una política es arbitraria; una política sin normas o procedimientos probablemente es solo la expresión de un ideal.

 * *

Recientemente, en un curso que he impartido en una empresa tecnológica, he tenido la oportunidad de proponer a los participantes (una docena de titulados superiores, con cargos de cierta responsabilidad en la empresa) el siguiente ejercicio:

----------------------------------------------

Por Grupos

1 Escojan una norma o (preferiblemente) procedimiento en vigor y trácenlo ascendentemente a su política.Documenten/Referencien.

2  Escojan una política en vigor y trácenla descendentemente a sus normas o (preferiblemente) procedimientos. Documenten/Referencien.

3 Si les queda tiempo, repitan 1 o 2.

Tiempo: 15 min.

Puesta en común 15 min.

----------------------------------------------

El resultado fue frustrante para mí; no tanto, aparentemente, para los participantes (estarían habituados, supongo). Nadie pudo realizar los ejercicios 1 ni 2. Nadie conocía una política (escrita, publicada) que amparase el procedimiento escogido. Bueno, sí, hubo una excepción, alguien invocó la “Política de copias de seguridad” que —al aclarar que determinaba que “a las 02:00 de cada día se lanzaría el proceso…”— se aceptó que sólo era un procedimiento, bautizado de política. 

* *

Las políticas (escritas, publicadas) comprometen. Comprometen porque pueden invocarse en casos de incumplimiento flagrante (tan relativamente frecuente). 

Por ello, muchos órganos de gobierno son renuentes a formalizar políticas (que así quedan limitadas a consignas conspiratorias). 

Hace años conocí el original de una carta que el Presidente Ejecutivo de una multinacional europea dirigió a todos sus empleados. Copio a continuación unos párrafos traducidos literalmente (el nombre de la empresa es ficticio):

«En PAYESA tenemos ideas firmes sobre cómo llevar a cabo nuestro negocio. 

Creemos que los principios esbozados en este folleto son la clave de nuestro éxito (el de PAYESA y el nuestro personal). 

Una política escrita no es el camino más fácil para hacer negocios: lo es para hacerlos bien. 

No es fácil cumplir una política, es difícil. 

Por eso estamos juntos. Para conseguirlo. Si todos lo intentamos, entre todos lo conseguiremos.»

* * *

El joven (2001) banco danés Saxo Bank [i] acaba de publicar sus diez “Predicciones Escandalosas” ('Outrageous’ en el original) para 2015 [ii], como continuación de una serie anual que viene atrayendo la atención de muchos analistas [iii].

Las predicciones tratan de consecuencias catastróficas en las finanzas internacionales de posibles eventos inusuales, de diversa naturaleza. 

En palabras del Economista Jefe del banco, Steen Jakobsen: “No hay nada predestinado y las Predicciones escandalosas siguen siendo un ejercicio para encontrar diez ideas discutibles y no relacionadas, que pudieran dar un tumbo al mundo de las inversiones de Ud. Al imaginar los escenarios y eventos más negativos, Ud. tendrá más oportunidades para capear el temporal, tanto si este es un default de Rusia, cuanto si es la devastación diseminada por volcanes, o un Armagedón en la Internet” [iv]. 

Las previsiones para 2015 son [v]:

1. Se desploma el sector de la vivienda del Reino Unido

2. La inflación en Japón alcanza el 5%

3. China devalúa el yuan un 20%

4. Draghi abandona el BCE

5. Rusia vuelve a situación de default

6. Los ciber ataques de hackers destrozan el e-commerce

7. Una erupción volcánica acaba con el verano en Europa

8. Los futuros del cacao marcan un récord en 5.000 dólares/tonelada

9. El Reino Unido se decanta por su salida hacia 2017 de la UE

10. Los diferenciales de los bonos corporativos de alta rentabilidad se duplican

Es curioso observar que 8 de las 10 previsiones son de carácter económico-financiero (o de política / política económica) y sólo 2 de otra naturaleza: una física (vulcanológica) y otra de ciber-inseguridad.

Por cierto que, de las diez previsiones para 2015, todo apunta a que una (la 5) está a punto de cumplirse [vi] ya en 2014, y otra (la 6) está también teniendo precedentes alarmantes [vii].

Dado que todas las catástrofes reseñadas por Saxo Bank son ‘sistémicas’ (en el sentido canónico de que producirían perjuicios serios a nivel de mercado, regional o global [viii]), algunos [Nota 5, p. ej.] las han denominado —con el término ampliamente usado— “cisnes negros”. 

Yo he preferido llamarlos “patitos feos” [ix], por si ninguno llegara a crecer, alcanzando la envergadura de los fenómenos tratados por el Prof. Taleb [x].

* *

Sería bueno conocer con qué métodos y criterios procede Saxo Bank a la selección y evaluación de sus predicciones. 

El estimulante, a veces rentable y muy frecuentemente fallido (aunque pronto olvidado) ejercicio prospectivo de imaginar futuras cosas insólitas o desconocidas tiene precedentes, quizá prehistóricos, y desde luego en la larga historia de oráculos y profetas.

Un ejercicio que es practicado con profusión por oráculos, profetas, “torres de marfil” y think tanks, con características y resultados, casi siempre, más de profecías [xi] que de previsiones educadas, usando —en lugar de alguna de las pocas (y débiles) heurísticas disponibles: escenarios, Delphi, etc.— ‘humo y espejos’, cortinas y bolas de cristal.

* * *

--------------------------------

[i] http://www.saxobank.com/why-saxo/  -    http://es.wikipedia.org/wiki/Saxo_Bank. Consultados: 20141213. 

[ii] Saxo Bank. (2014). OUTRAGEOUS predictions for 2015. OutrageousPredictions2015-eBook-TF.pdf. Consultado: 20141213. 

[iii] En 2010 acertaron en 3 de las 10 previsiones -“As FT Alphaville points out, Saxo's list got 3 out of 10 correct in 2010.” http://www.businessinsider.com/saxo-bank-10-outrageous-predictions-for-2011-2010-12?op=1. Consultado 20141213. En las predicciones de 2013 para 2014 acertaron en la caída del Brent - http://www.marketwatch.com/story/internet-armageddon-and-more-outrageous-predictions-from-saxo-bank-2014-12-10.

[iv] “Nothing is ever given and Outrageous Predictions remains an exercise in finding ten relatively controversial and unrelated ideas which could turn your investment world upside. By imagining the most negative scenarios and events you will have a better chance of navigating the turmoil, be it a Russian default, volcanoes spreading havoc, or an internet Armageddon.” Ibid, p. 2.

[v] CINCO DÍAS (20141212). Diez riesgos extremos para 2015 que darían un vuelco a los mercados.  Consultado: 20141212. Para el original en inglés, ver Nota 2. 

[vi] Rusia, "... en medio de las crecientes alertas de 'default' ". A.S.S. (20141216). "Los inversores huyen de Rusia y el rublo profundiza en su derrumbe". expansion.com. Consultado 20141221. 

[vii]  Sony Picture Entertainment, una de las principales productoras y distribuidoras de cine de EEUU ha recibido recientemente un ataque en que le han sido sustraídos (y parcialmente difundidos) —entre otros muchos terabytes— 5 películas completas sin estrenar, incluida la titulada “The Interview”, sátira del régimen de Corea del Norte y motivo o pretexto del ataque. Di Lenola, S. (20141220). “Sony Pictures de rodillas: La política del terror gana”.  Grupo 'Asociación de Técnicos de Informática’ en LinkedIn. Consultado 20141221. 

[viii] http://es.wikipedia.org/wiki/Riesgo_sistémico. Consultado: 20141214. 

[ix] Sí, recuerdo que ‘el patito feo’ —que era un cisne!—, en  el cuento de Hans Christian Andersen, era sólo uno y no diez. http://es.wikipedia.org/wiki/El_patito_feo Consultado: 20141214. 

[x] Taleb, N. N. (2007). The Black Swan. Random House.

[xi] http://es.wikipedia.org/wiki/Profec%C3%ADa Consultado 20141221.  

Dan Muse en Tech Musings, del prestigioso portal CIO  glosa, en un breve artículo, un estudio publicado en el libro “Confesiones de un CIO de éxito”, de Roberts y Watson [i]. El estudio analiza CIOs de algunas grandes compañías [ii].

Dichos rasgos comunes son:

i) Asumen grandes riesgos

ii) Innovan

iii) Responden a las solicitaciones de su organización

iv) Lideran la transformación 

v) Valoran a su personal

vi) Usan su experiencia para encontrar la mejor opción

vii) Son decisorios

viii) Confían en la premonición

ix) Se centran en mejoras al negocio medibles

x) Cultivan extensamente redes profesionales

En iTTi queremos destacar que –sin que nos sorprenda- ninguno de esos rasgos parece altamente correlado con las habilidades tecnológicas o digitales. 

* * *

[i] Dan Roberts, D. y Watson, B. 2014. Confessions of a Successful CIO: How the Best CIOs Tackle Their Toughest Business Challenges. Wiley. 

[ii] Centene, HP, ITT, Proctor & Gamble, Raytheon Company, Sysco, Union Pacific, US Can y USAA. 

Unas mafias medran principal o totalmente en la oscuridad, por ejemplo los traficantes de armas o personas, o los hackers. 

Otras, las que explotan a numerosos ‘usuarios finales’ –drogodependientes, pequeños comerciantes o proxenetas extorsionados-, requieren, para su negocio, de una cierta imagen pública más difundida.

Esa imagen pública se conseguía tradicionalmente –los gánsteres americanos– por la ostentación (predominantemente ‘local’): los haigas, las compañeras despampanantes, la crueldad ejemplarizante; ciertas ayudas a desprotegidos (Medellín).

Ahora, los mafiosos en busca de publicidad –sobre todo los más jóvenes, los de las generaciones ‘digitalizadas’– recurren ampliamente a las redes sociales.

No pueden discutirse los beneficios de las redes sociales (sobre todo para aquéllos de sus promotores que han sabido materializarlos), pero también para quien desea comunicaciones más ‘globales’ rápidas y baratas.

Las redes sociales atraen a las nuevas generaciones –también a las de mafiosos– con un potente magnetismo: así, están llenas de basura y virutas como las que nos mostraban de niños, atraídas por el imán. No cabe duda también de que hay numerosas y valiosas menas, aunque cada vez cueste más separarlas de la ganga.

Los mafiosos digitalizados, por una parte, sucumben a ese magnetismo y por otra tienen la necesidad de recurrir a las redes, quizá el actual medio más eficaz para comunicar con sus usuarios, también digitalizados.

Pero en ocasiones, caen en la estupidez. Es el caso, por ejemplo de José Rodrigo Aréchiga, “el jefe de sicarios [… del] brazo armado del cártel de Sinaloa”, detenido, con identidad falsa, por la policía holandesa en el aeropuerto de Ámsterdam hace unos meses, y extraditado a los EEUU. Aréchiga, que estaba en busca y captura, iba anunciando a bombo y platillo, en las redes sociales, su viaje desde México y su escala previa en Madrid.

Más información, en el excelente reportaje de  Lucia Magi y el recuadro en el mismo de Juan Diego Quesada, de donde procede la información anterior.

* * *

Aprobado por el Consejo de Ministros -el día 23 de Mayo de 2014- el proyecto de Ley de sociedades de capital y mejora de gobierno corporativo. 

“Algunas de las modificaciones introducidas son que los administradores de empresas que cotizan en Bolsa deberán aprobar las operaciones tributarias relevantes de sus empresas. El artículo 41 del proyecto de Ley enumera cuáles son las "facultades indelegables" del consejo de administración. Entre ellas incluye la siguiente: "La aprobación de las inversiones u operaciones de todo tipo que por su elevada cuantía o especiales características, tengan carácter estratégico o especial riesgo fiscal, salvo que su aprobación corresponda a la junta general". Además, en otro apartado del mismo artículo añade: "La determinación de la política de control y gestión de riesgos, incluidos los fiscales...".” según aparece en el diario “El País” el día 26 de Mayo de 2014 pasado. 

Examinando otros países, se puede apreciar que el aumento de la responsabilidad de los Consejos de Administración es una tendencia que se extiende por los países de nuestro entorno. El proyecto de Ley de sociedades de capital para mejora del gobierno corporativo está inspirado en la normativa que han seguido dichos países, como por ejemplo: 

- En Reino Unido los directores financieros de las compañías cotizadas deben emitir un certificado con carácter anual asegurando la idoneidad de los sistemas de aplicación de impuestos y control de riesgos fiscales. 

- En Estados Unidos la Ley Sarbanes-Oxley y la norma contable FIN 48 garantizan que se controlen los riesgos fiscales. El control tributario de EE UU es tan exigente que existe una comisión en el congreso que investiga supuestas prácticas fiscales. Hace unos meses llamó a declarar a los primeros ejecutivos de las primeras compañías tecnológicas del país para que explicaran sus estrategias fiscales, cuestionadas en algunas jurisdicciones. 

- La autoridad fiscal de Canadá está analizando el riesgo tributario de las multinacionales. Las compañías que tengan un control fiscal elevado y sean cooperativas tendrán un control blando. 

- La normativa de Australia establece que para que las empresas sean consideradas socialmente responsables deben tener un plan detallado de riesgos fiscales. 

- Holanda, por su parte, ha establecido un sistema de relación cooperativa entre la autoridad fiscal y las compañías. De esta forma, las empresas que remitan a su Hacienda el plan detallado de riesgos fiscales recibirán un control menos exhaustivo. 

Pero, en estas modificaciones se hecha de menos la responsabilidad del Consejo de Administración acerca del Gobierno Corporativo de las TI, que como tal “Gobierno” debe ser un tema “indelegable”. Por ejemplo, el tema de riesgos tecnológicos debería estar explícitamente, al igual que “... control y gestión de riesgos, incluidos los fiscales”. 

Según “COBIT 5”, el marco de Gobierno Corporativo de TI, de ISACA,: 

"El consejo de administración, asistido por el comité de riesgos y auditoria, se asegurará de que el rendimiento del grupo de GEIT  es evaluado, supervisado, informado y conocido en un comunicado GEIT como parte del informe integrado. Tal afirmación se basará en los informes obtenidos de los equipos de riesgos, cumplimiento y auditoría interna y de la gestión de cada compañía filial significativa, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del desempeño del grupo de GEIT". 

"El consejo de administración hará que se informe sobre GEIT como parte del informe integrado, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del GEIT". 

Pero de esto se tienen que enterar los miembros de los consejos de administración, o los órganos legislativos, si aquellos no se dieran por enterados.  

* * *

The MIT Center for Information Systems Research (CISR) has recently published another Research Briefing [i] with partial disclosures of results of the ambitious research project on next-generation businesses, directed by Prof. Weill [ii],[iii]. 

The project is “trying to understand what the next generation enterprise will be like in five to seven years.” Its “key insight” is that “businesses have the opportunity to move from value chains to ecosystems”, thus replacing the old seminal Porter’s paradigm [iv]. A business ecosystems being “a coordinated network of enterprises, devices, and consumers that creates value”. 

This concept of ‘business ecosystem’ is an update or generalization, from a digital perspective, of the ‘extended enterprise’ concept [v]. Ecosystems are companies that are “e.g., more networked, with more shared information and feedback loops”. “Ecosystems typically have two kinds of players: drivers, who set the rules; and participants…” .

The project maps in a 2x2 grid (Fig. 1) the variety of business models of the 30 (large) companies studied. Its horizontal axis is the continuum of business designs ranging from ‘value chain’ to ‘ecosystem’. Its vertical axis is the depth of knowledge the company has of its end consumer, continually growing from none, little and partial to complete.

  (The quotations [“ “] above are from Weill 2013, those following are from Weill    2014 ).

Digitization offers important opportunities to enterprises and entails risks. The most significant opportunity is probably that “it can leverage a strong customer relationship and increase cross-selling opportunities”. “… the threats are often real and immediate … in this newly digital multichannel world … enterprises in other industries that had relationships with their customers and were able to offer competing products and services.” More about this, below. 

The project has identified the critical issues that characterize the impact of digitization in a company. They are presented as a 7 questions questionnaire, all questions weighing the same. They refer initially to the company’s “bestselling product or service” but should be further applied to the remaining products / services. 

Five of the questions are about the current or future ‘digital nature’ of the product / service: can it be digitally specified, searched, ordered, delivered, improved, or made more valuable? A sixth one is whether it can be replaced with an alternative digital offering. And the seventh is about the risk of other industries -having access to your own customers- deciding to offer it.

Fifty-five percent (55%) within a group of over one hundred executives scored over 70%: “… significant [“red-zone”] impact from digitization. … 67% of respondents said they were experiencing a red-zone level of threat from enterprises in other industries that had relationships with their customers and were able to offer competing products or services…” (e.g.: financial services provided by other sector’s vast networks). 

The project has identified “two very interesting trends”. The first one is a “movement [first] up and [then] to the right” (Fig. 1). It is expected that there will be one Ecosystem Driver per sector (retail, financial services, healthcare, etc.) [vi]. The second trend is “around Modular Producers … “[Where] we expect to see the top one to three players dominate in each niche…”.

Each of the four next-generation enterprise models shows different relative performances (as measured along 3 indicators: time to market, profitability and revenue growth). 

Ecosystem Drivers are the best performers on time to market and revenue growth. Omnichannels are the leaders on profitability. 

* * * 

--------------------------------------------------

[i] (Weill 2014). Weill, P. and Woerner, S. L.  Digitization: Threat or Opportunity? MIT Sloan CISR Research Briefing, Vol. XIII, No. 4, April 2013. Retrieved 20140815. May require registration. 

[ii] How Digitization is Driving the Next-Generation Enterprise. Retrieved 20140815.

[iii] (Weill 2013). Weill, P. and Woerner, S. L. The Next-Generation Enterprise: Thriving in an Increasingly Digital Ecosystem, MIT Sloan CISR Research Briefing, Vol. XIII, No. 4, April 2013. Retrieved 20140815. May require registration.

[iv] Porter, M. E. (1985). Competitive Advantage: Creating and Sustaining Superior Performance. New York.: Simon and Schuster. Retrieved 20140815.

[v] Extended enterprise. Retrieved 20140815. 

[vi] The Weill 2014 briefing comments on the Spanish-based bank BBVA (a CISR Sponsor) efforts to become an Ecosystem Driver.

Nick Leiber publicó el 22 de noviembre de 2014 un interesante artículo sobre políticas nacionales comparadas de atracción de talento; artículo que –desde su título– se centra en España: “Ante la puerta de España hay un felpudo de bienvenida a emprendedores” [i]. 

Cuenta, entre otros casos el de la Sra. Stacia Carr, californiana, que al considerar que “El Área de la Bahía [de San Francisco]  está sobresaturada, es muy cara e hipercompetitiva” decidió el año pasado vender la startup que allí tenía y emigrar a Madrid, acogiéndose a un “visado para actividad emprendedora” [ii]. 

La apodada ‘Ley de Emprendedores’ [iii] define varias categorías de visados y permisos de residencia para estimular la inmigración en España de inversores, emprendedores y otros extranjeros no comunitarios. 

La Sra. Carr y un socio español han lanzado recientemente una empresa digital para ayudar a entrenadores a impartir remotamente clases de gimnasia (fitness). La nueva empresa está alojada en una incubadora del Instituto Empresa. 

Arrancar el negocio en España le pareció a la Sra. Carr “un reto, que requería más documentación de la esperada”. También la obtención del permiso de residencia supuso retos; incluso, para su primera estancia, se hubo de acoger a un visado de turista, dado que en los consulados que consultó en su país no sabían aún cómo aplicar la reciente Ley. Ya en España, encontró a “los funcionarios sin preparación para contestar a sus preguntas”. (Hay que señalar también que sólo hablaba inglés).

Aun así, su socio español, opina que “las ciudades españolas, como Madrid o Barcelona, tienen costes inferiores y menos competidores, pero conservan al talento suficiente para arrancar, si se las compara con imanes europeos de las startups, como Londres o Berlín”. 

* *

La actual y tristemente muy desequilibrada ‘balanza de talentos’ está dando, como resultado, una ebullición, en los cuatro puntos cardinales, de iniciativas creativas (que destacan, entre numerosos fracasos). Pero además, va a dar como resultado colateral positivo una polinización a gran escala, no sólo en lo tecnológico, sino también en lo cultural –y como subconjunto de lo cultural– en la cultura cívica y de administrado. 

Ojalá que aquéllos emigrantes españoles, a quienes –con el tiempo– se les ocurra volver, aporten no solo un historial de éxitos tecnológicos y económicos, sino también de buenas experiencias culturales, cívicas, de gobierno, gestión y administración.

*  *  *

[i] Leiber, N. (22 Noviembre 2014). “At Spain’s Door, a Welcome Mat for Entrepreneurs”. The New York Times.

[ii] Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización. Artículo 68.  

[iii] Ver nota [ii].

Transparencia, Código Abierto y Cámara de Representantes de EEUU

Molly Bernhart Walker ha publicado recientemente una noticia comentada [i], que yo a mi vez ayudo a difundir y comento. Creo que –por diversas razones– puede interesar por estas latitudes (‘longitudes’  sería un término algo más ajustado): grupos que abogan por la transparencia proponen que la Cámara de Representantes de EEUU [ii] utilice y fomente el software de código abierto. 

La propuesta –ya presentada, sin éxito, en anteriores legislaturas– forma parte de un interesante paquete mucho más amplio de recomendaciones [iii] en pro de la transparencia. 

Dicho paquete solicita de la Cámara (en lo que respecta a las TI): i) una política de código abierto; ii) la creación de estándares de datos abiertos para la publicación de información legible mecánicamente; y  iii) que–sobre el software de código abierto– promueva comunicaciones con el público, y utilice y publique código. 

Todo lo cual supuestamente favorecería y abarataría el trabajo del personal de la Cámara que, por ejemplo, publica y mantiene páginas web (al parecer, con herramientas con propietario, a menudo obsoletas o inadecuadas);  y también el de los ciudadanos y entidades que deseen procesar más ágilmente la información ahí custodiada y producida.  

Se propone a la Cámara que siga, al respecto, los pasos en este sentido iniciados por el Ejecutivo hace unos años [iv].

Pero, hasta el momento, la utilización por la Cámara de código abierto se ha visto obstaculizada por dos razones principales [v]: 

a) ni los Representantes ni su personal están autorizados  (bajo condiciones muy estrictas, que comentaré más abajo) a recibir regalos de los ciudadanos; y 

b) el sambenito de la menor seguridad del código abierto.  

Las entidades [vi] que presentan esas recomendaciones están intentando abordar la primera cuestión proponiendo que el Capítulo 2 del Manual Deontológico de la Cámara (MDC) [vii] establezca como nulo el valor de mercado de las contribuciones voluntariamente realizadas al código abierto (por ejemplo, la respuesta aportada por alguien a una solicitud cursada por cuenta de un Representante, a través del portal GitHub [viii]. 

Código Abierto en los Organismos Públicos de la UE y España

La Comisión Europea considera su Agenda Digital para Europa (ADE) como “uno de los siete buques insignia” de la Estrategia 2020 para Europa [ix] (aprobada en marzo del 2010). 

La ADE trata ampliamente el objetivo de ‘interoperabilidad’, pero no parece tratar explícitamente el ‘código abierto’, que pudiera considerarse como un elemento o componente de la interoperabilidad. 

Sin embargo, el Programa ISA  (Interoperability Solutions for European Public Administrations) [x] que parece independiente de lo citado en los dos párrafo anteriores, aunque sin una postura explícita sobre la cuestión, aloja [xi] "el Observatorio de Código Abierto y Reutilización Tecnológica de la Unión Europea… pero no de una forma teórica, sino de una manera práctica, ya que en ella podemos encontrar cientos de programas open source de todo tipo de temáticas” [xii].

“En Reino Unido…  ya han decidido que todos sus documentos oficiales tengan como formato estándar el ODF para compartir o elaborar documentos, mientras que el PDF y el HTML serán los que se elaboren para leer y publicar. … [S]egún los cálculos del ejecutivo británico calcula que el ahorro será de unos 1.200 millones de libras” [xiii]. 

En España, el código abierto en las Administraciones Públicas (AAPP) tiene una tradición de más de 10 años, en creciente expansión, sobre todo en las Comunidades Autónomas, desde el precedente en 2002 de LinEx [xiv] –extendido luego en ‘mancha de aceite’. Tradición irregularmente distribuida regionalmente y que ha sido controvertida, por diversas razones, entre ellas un exceso de localismo [xv]. 

“En España, parece que la Autonomía más avanzada es el País Vasco, pero hay otras que le van a la zaga. Por ejemplo, Valencia: lleva desde 2009 migrando más de 120.000 ordenadores a un sistema de LibreOffice, lo que le permite un ahorro anual de cerca de millón y medio de euros” [xvi].

Los grandes (por afiliados y votantes) partidos políticos se han pronunciado escasamente sobre el código abierto. En la actual circunstancia, bastantes de sus dirigentes parecen más preocupados por el código penal. 

“EQUO, PARTIDO X, PODEMOS, CONFEDERACION PIRATA, PARTIDO DA TERRA Y BNG son los partidos españoles que han firmado el Pacto por el Software Libre” [xvii]. 

Transparencia, Cámara de Representantes de EEUU y sus Reglas sobre Regalos

El Capítulo 2 del MDC, prohíbe aceptar todo tipo de regalo (bienes o servicios) procedente de ciertas personas o empresas –lobbyistas–.  En los casos permitidos, establece un importe máximo de 50 USD (40 EUR), con un máximo de 100 USD por año, de un mismo donante.  Esta regla se aplica no solo a los Representantes, sino a todo el personal, empleados y otros, incluso consultores, y –con ciertas condiciones– a sus familiares.

Y son aún más estrictas porque rigen incluso si el regalo no le ha supuesto al donante incurrir en un coste directo. Es muy ilustrativo el Ejemplo 3, que creo que merece la pena glosar parcial y brevemente, por si se pudiera decidir emular su espíritu por estos parajes.

Un Representante es invitado a jugar al golf por un conocido, socio de un club de campo. El reglamento del club establece que el invitado de un socio juega sin abonar un green fee [xviii]. Sin embargo, el uso del campo por el Representante se considerará un regalo por importe de la tarifa usual del club por el recorrido [xix] [xx].

En general, asistir gratuitamente a un acto –como una reunión o conferencia- no se considera un regalo, aunque el organizador haya fijado una tarifa de asistencia. Pero, si en el evento se sirviesen refrescos o alimentos, éstos se considerarían regalos con el valor monetario de mercado y estarían sujetos a las Reglas.

En cuanto a España…

Estamos siendo testigos indignados, en los últimos tiempos, de un alud de informaciones judiciales, policiales y periodísticas desvelando una pandemia de comportamientos delictivos, corruptos, irregulares o inapropiados de políticos, empresarios, sindicalistas, funcionarios y empleados. Y –por si eso fuera poco– la indignación se acrecienta al ver el dontancredismo, descaro y desfachatez con que se manifiestan públicamente cuando se les recriminan o imputan tales comportamientos. 

Ley y reglamentos han de cumplirse, y parece evidente que deben reforzarse; la justicia debe aplicarse con rigor, rapidez y ejemplaridad; y la transparencia debe relucir [xxi]. Las reglas de la Cámara Baja de los EEUU que hemos comentado, o el manual de ética anticorrupción de la ONU pueden ser unas buenas referencias [xxii].

* * *

[i] Molly Bernhart Walker, M. B. (2014, Nov. 10). “Let Congress use open source, say transparency groups”. Today's Top News. Fierce Government IT.   

[ii] Recuperado de http://www.usa.gov/gobiernousa/directorios/federal/camara-representantes-congreso.shtml 

[iii] Citizens for Responsibility and Ethics in Washington et al. (2414, Oct. 8). Recommendations for Updating House Rules for the 114th Congress. 

[iv] Directiva Presidencial de 23 de mayo de 2012: Building a 21st Century Digital Government.

[v] “To this point, the use of open source has been discouraged due to two issues: Members of Congress and their staff cannot receive gifts from the public, and the general interpretation that "open" software is less secure than closed-source software that follows a traditional security process”.“Congressional staffers looking to build websites or manage constituent relations are currently limited to only a handful of "really cruddy, really expensive" products that have made it through the acquisition process.” Fuente: Nota [iii].

[vi] Ver nota [iii]

[vii] Que regula los regalos. Esta referencia es un resumen publicado por la propia Cámara:  Committee on Ethics, US House of Representatives. (n. d.). The House Gift Rule.

[viii] Recuperado de https://github.com 

[ix] COMISIÓN EUROPEA. (26.8.2010). A Digital Agenda for Europe. COM(2010) 245 final/2.  52010DC0245(01) 

[x] “Navigation path: European Commission > ISA”. Por cierto, ya  está anunciado ahí el más amplio (en sus destinatarios)  ‘ISA2’ (Interoperability Solutions for European Public Administrations Businesses and Citizens).

[xi] “Navigation path: European Commission > ISA>joinup”. 

[xii] Noel. (13 ABR 2014).  “El Observatorio Open Source de la Unión Europea es una fuente de recursos”. Lignux. 

[xiii] García, J. (3 AGO 2014). “Las Administraciones abren de par en par sus puertas al código abierto”. El Blog de espublico. 

[xiv] “GnuLinEx es una distribución Linux libre basada en Debian GNU/Linux y GNOME, contando con OpenOffice.org como suite ofimática, entre otras aplicaciones”. Wikipedia. (2 DIC 3013). gnuLinEx.

[xv] Ver http://es.wikipedia.org/wiki/Historia_de_Extremadura, http://es.wikipedia.org/wiki/GnuLinEx, http://www.eldiario.es/canariasahora/sociedad/Canarias-situa-vanguardia-Europa-software_0_241476040.html 

[xvi] Ver nota [xi].

[xvii] HispaLinux. (2014).  “CODIGO LIBRE PARA EUROPA”. s blog.

[xviii] Green fee (GF) [mantengo aquí el término en inglés, usual en España]: importe a pagar por jugador y recorrido (normalmente de 18 hoyos). Los importes de los GF varían enormemente (entre campos y en un mismo campo) según que el campo de golf sea de propiedad pública o privada, su categoría y localización geográfica, la temporada, el día de la semana, la hora de salida (amanecer, día, crepúsculo). Si alguien considera complejas las tarifas de las telcos, que analice las del golf. 

[xix] “More than 25 million Americans play 465 million rounds annually at the nation’s 15,500 facilities. The median green fee for 18 holes is $28, and roughly nine of 10 golfers play on public courses” [negrita nuestra]. Musselwhite, R.  (September 2014). “Vantage Point”. Golf Business. p. 12. Pero –pese a ese ‘bajo’ precio medio (para  España, EMO)- los precios en muchos casos, y por ejemplo en los mejores campos públicos pueden ascender a $188, $292 o $495.  Rose, M.L. (2014). “The Average Cost for a Round of Golf”.  GolfSmith.

[xx] En España, con menos campos, mucha menor proporción de campos públicos y menor información, en un catálogo de 331 campos, hemos encontrado tarifas para 2014 entre 13 y 298 EUR. “Green Fees en España”. Golf in Spain.

[xxi] “Los ciudadanos tienen completo derecho a disponer de los datos relacionados con viajes —y con regalos de cierta importancia…”.El País. (15 NOV 2014). “Transparencia, ya”. Editorial. 

[xxii] OECD – UNODC – World Bank. (2013). Anti-Corruption Ethics and Compliance Handbook for Business.