Marco de referencia para la transformación a Smart City

Fuente: Kumar et al. 2018

En el proceso de mi investigación doctoral encontré un paper muy interesante donde se describen las fases de transformación de una ciudad tradicional a Smart City (Kumar et al. 2018) el estudio realiza un análisis cualitativo de las características de una Smart City en India. Este marco de referencia se puede utilizar para la implementación de Smart Cities en Latinoamérica.

Los resultados del estudio concluyen que la transformación a una ciudad inteligente tiene las siguientes fases : (i) planeación, las ciudades más inteligentes como Barcelona, Londres, Tel Aviv, Hong Kong y Sidney diseñaron políticas públicas y estrategias a largo plazo independiente a la autoridad de turno, se definieron y ejecutaron diversos niveles de colaboración en todo el gobierno para la reducción de costos y tener una misma visión. Así mismo fue necesaria la participación activa de los ciudadanos para la retroalimentación del gobierno local o municipal; (ii) el desarrollo de infraestructura física, es la segunda fase que abarca la construcción de zonas urbanas y viviendas, servicios básicos como agua y desagüe, gestión de energía, telecomunicaciones, restructuración de la economía promoviendo la innovación y emprendimiento, asi como, la protección ambiental y control de la contaminación;   (iii) Infraestructura de tecnologías de la información y comunicaciones, la tercera fase incluye la implementación de Hardware y Software, sensores, centros de datos y ciberseguridad en diversas zonas de la ciudad; (iv) el despliegue de soluciones inteligentes, es la cuarta fase que consiste en la interconexión de sistemas de transporte, control del crimen, gestión de la salud, turismo, educación, sistema de limpieza y diversión en modo inteligente.

Existen ciudades en Latinoamérica que están realizando esfuerzos en convertirse en ciudades inteligentes como Medellín, Santiago, Buenos Aires, Rio de Janeiro y Montevideo. Sin embargo, otras ciudades de Latinoamérica están en fases iniciales e inclusive las políticas públicas no se mantienen a lo largo del tiempo y cambian de acuerdo a la autoridad y dificulta la implementación de la estrategia de Smart city.  En el Perú, la corrupción de los gobiernos regionales, locales y municipales o falta de ejecución efectiva del presupuesto dificulta esta transformación, por ello, es necesario que los ciudadanos exijamos autoridades conscientes que las ciudades, especialmente, las zonas urbanas puedan transformarse en Smart Cities para el bienestar y mejorar la calidad de vida del ciudadano.

Referencias

Kumar, Harish, Manoj Kumar Singh, M. P. Gupta, and Jitendra Madaan. 2018. “Moving towards Smart Cities: Solutions That Lead to the Smart City Transformation Framework.” Technological Forecasting and Social Change (April):1–16.

¿Como aplicar seguridad en el comercio electrónico?

Los sitios de comercio electrónico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.

• Definir una estrategia de seguridad informática o ciberseguridad
• Definir una política y objetivos de ciberseguridad
• Definir responsabilidades:
  • En toda la organización
  • En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
• Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
• Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
• Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
  • Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
  • Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
    • Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
  • Revisión de código seguridad en todo cambio del comercio electrónico.
  • Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
  • Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
  • Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
  • Adquirir un seguro en caso de fraude informático, si es necesario.

Finalmente, Si una organización ya tiene implementado su canal de comercio electrónico deberá de realizar un análisis de brechas más exhaustivo según las mejores practicas para asegurar una solución de comercio electrónico publicado por PCI SSC, reconocida como un estándar de seguridad para aplicaciones de comercio electrónico. Para evaluar la madurez de la seguridad de la aplicación podemos usar el estándar ISO 15504.

Reflexión del incidente de RENIEC y la continuidad de negocio en el sector público peruano

Esta semana muchos usuarios empezaron a reportar fallas en los servicios digitales de RENIEC (Registro Nacional de Identificación y Estado Civil) desde el lunes 9 de Abril 2018 y se han ido restableciendo progresivamente luego de dos días. Inclusive al momento de publicar este artículo no se han recuperado totalmente. Este incidente me hace reflexionar sobre la situación de la gestión de la continuidad de negocio en el sector público peruano.

Primero, muchos funcionarios públicos en nuestro país aún carecen de un enfoque de riesgos, por consiguiente, consideran cualquier inversión de recuperación o contingencia como un gasto y no se asigna presupuesto a la implementación de continuidad de negocio.

Segundo, las estrategias de continuidad no son lo suficientemente adecuadas a los tiempos objetivos de recuperación (RTO) definidos para la organización de acuerdo al daño de imagen de la institución pública.

Tercero, no se hacen revisiones y pruebas razonables sobre la efectividad de los controles y estrategias de continuidad de negocio ante escenarios de interrupción de energía, interrupción de comunicaciones, falla de hardware, ciberataques (denegación de servicio, propagación de ransomware o intrusión de un ciberdelincuente), pandemias entre otros.

Cuarto, control interno no realiza procedimientos de control sobre el sistema de gestión de continuidad de negocio de la institución pública.

Finalmente, considero que debemos fortalecer la cultura de riesgos en nuestras instituciones públicas desde los gerentes públicos hasta los colaboradores más operativos aumentando sus competencias ante una realidad cada vez más digital. Por ello, las instituciones educativas deben forman funcionarios públicos deben incorporar temas como gestión de riesgos, seguridad de la información, ciberseguridad y continuidad de negocio.

La gestión de riesgos en la toma de decisiones

A lo largo de la historia los resultados de toma de decisiones políticas y empresariales afrontan consecuencias positivas o negativas. Algunos ejemplos son: 

• La decisión de PPK de indultar a Alberto Fujimori a solo días de salvarse de la vacancia presidencial en el Perú. Esta decisión política que ha generado hasta ahora consecuencias negativas en su gobierno como la perdida de apoyo de un sector de electores, imagen de un presidente secuestrado y no conseguir el apoyo del fujimorismo para continuar con sus reformas.
• La decisión de Kodak de no apostar oportunamente en la fotografía digital por tener más del 50% de su estructura de ingresos en la fotografía analógica a pesar de tener la tecnología y el material humano necesario.
•  La decisión de SouthWest Airlines de asumir mayor riesgo para aprovechar una oportunidad de negocio sobre un servicio de bajo costo y diferenciado sobre sus competidores. Las variables de valor en las que se enfoco SouthWest fueron: un bajo precio, mayor cantidad de salidas, mejor servicio, vuelos más rápidos, eliminación de tipos de pasajero y disminución de alimentos.

Los procesos de gestión de riesgo basado en la ISO/IEC 31000:2009 abarcan:

• Establecer el contexto: Se necesita comprender el ambiente externo e interno en los que se establece la organización para determinar el alcance, responsabilidades, los criterios de riesgo y factores relevantes. En el contexto externo tenemos aspectos como el político, legal, económico y social que afectan a la organización de manera positiva o negativa. El contexto interno abarca la cultura, procesos, estructura organizacional, sistemas de información y personas. 
• Identificar el riesgo: De acuerdo al contexto establecido, podemos identificar las fuentes de riesgos como amenazas y oportunidades que afrontará la organización en el contexto externo o interno.
• Análisis de riesgo: Implica valorizar el riesgo mediante un método cualitativo o cuantitativo. 
• Evaluación de riesgo: Permite priorizar los riesgos de acuerdo a los criterios de riesgo seleccionado.
• Tratamiento del riesgo: Se selecciona las opciones de tratamiento como: evitar, aumentar, eliminar, modificar, transferir o mantener el riesgo. Cada opción de tratamiento conllevara realizar una serie de actividades que se generarán el plan de tratamiento de riesgo. Cabe resaltar que la opción de aumentar el riesgo se genera cuando se requiere asumir mayor riesgo al apetito de riesgo por una oportunidad de negocio en océanos rojos o azules.
• Comunicación del riesgo: A lo largo de todos los procesos de riesgo se deberá comunicar y consultar a los interesados pertinentes.
• Monitoreo y revisión del riesgo: A lo largo de todos los procesos de riesgo se deberá de revisar el estado del riesgo.

El proceso de toma de decisiones según el modelo racional abarca: 

• Entender el problema
• Identificar al decisor
• Identificar los objetivos de decisión
• Determinar las alternativas de solución
• Selección de alternativas tomando en consideración: los riesgos y beneficios

A continuación desarrollaremos un caso como ejemplo: