miércoles, 25 de febrero de 2009

¿Es sólo una cuestión de recomendaciones?

De un tiempo a esta parte, es muy frecuente oír hablar del auge que han tomado las redes sociales en internet. Quién más y quién menos forma parte de una de ellas, quizá dos o más. Se empieza recibiendo una invitación de un amigo, luego viene otra y otra hasta que, o bien las aceptas todas, o bien decides que ya es suficiente con las que tienes.

Darse de alta nos parece un puro trámite. Se presupone que leemos atentamente y aceptamos las cláusulas de confidencialidad o de privacidad, pero me atrevería a decir que en un 95% de los casos (no nos olvidemos de que siempre hay excepciones), no lo hacemos. El texto acostumbra a ser largo, pesado y aburrido: "total para estar en contacto con amigos y colgar unas cuantas fotos..."-solemos auto convencernos-. Ni siquiera pensaríamos en la privacidad y tratamiento que se realiza de nuestros datos personales, que voluntariamente consentimos en ceder, si no fuera por las noticias que últimamente están apareciendo en los medios de comunicación sobre la seguridad de las redes sociales, conservación de los datos de forma perpetua, imposibilidad de causar baja de ellas, etc, etc.

A continuación, nos sobreviene la sorpresa, en cierto modo, seguida de alarma y finalmente, surgen las preguntas: ¿Qué significa que Facebook pretendiese reservarse el derecho de almacenar de forma perpetua nuestros datos? ¿Qué significa que la misma red se negara a dar tratamiento a una solicitud de baja por fallecimiento? ¿Realmente mi consentimiento es tan universal? ¿Y todos aquellos derechos que se supone observa nuestra Ley de Protección de Datos (LOPD)? ¿Es sólo una cuestión de recomendaciones?...

Como punto de partida tenemos dos realidades:

Por un lado, existe una normativa europea de protección de datos (Convención nº108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal), que
Comete a su jurisdicción a toda entidad instalada en la UE o que utilice medios establecidos en la UE para prestar sus servicios (A. Rallo, Director de la AEPD Entrevista digital 25 de noviembre 2008 El Pais.com)

Por tanto, en España se garantiza la aplicabilidad de la Ley de Protección de Datos (LOPD) sea cual sea el origen de la plataforma de internet que los contenga.

(...) cuando se producen infracciones en España que afectan a Google, Youtube u otros servicios de internet transnacionales, se les aplica la ley española (véase la misma cita)

Por otro lado, el usuario es responsable de su participación voluntaria en dichas redes, así como de publicar contenido de información personal en ellas. Otra cosa muy diferente es que realmente sea consciente de ello y del posible impacto que pueda tener para su privacidad.

Entonces, entiendo y estoy de acuerdo con las recomendaciones de la Agencia Española de Protección de Datos relativas a publicar únicamente la justa medida de información de carácter personal e informarse convenientemente de las condiciones de privacidad y cláusulas antes de pasar a formar parte de ellas. Así como de su desempeño en advertir a los usuarios confiados de los posibles riesgos que entraña.

Ahora bien, no entiendo y no comparto, que sólo trate como "recomendación" a las empresas que sustentan estas redes sociales y/o profesionales,
la mejora de sus técnicas de garantía de la privacidad (A. Rallo, Director de la AEPD Entrevista digital 25 de noviembre 2008 El pais.com)

Aunque formar parte de ellas sea un acto voluntario, la privacidad o mejor dicho, el respeto a la vida privada es un derecho fundamental amparado por la Constitución Española y Europea, que además se encuentra también protegido tanto por la Ley Orgánica 15/1999 de 13 de diciembre (Título 1, Artículo 1), como por la misma Convención nº108 del Consejo de Europa (Capítulo 1, Artículo 1).

Especialmente por este motivo, no puedo entender tampoco que las acciones que han contribuido a detener la puesta en marcha de decisiones tan abusivas como las comentadas anteriormente, que contravienen las actuales disposiciones legales y atentan contra los principios de la privacidad defendidos por ambos textos, procedan, tal y como se puede leer en la prensa, del "revuelo causado en toda la comunidad de usuarios" o de la "hermana del fallecido periodista William Bemister", por mencionar los últimos casos, y no, como a mi entender correspondería, de los organismos competentes.

viernes, 13 de febrero de 2009

¿Aberración o sublimación de la lógica?


Tengo que confesar que cada vez que veo estos ejemplos de exámenes de matemáticas que circulan por internet, me rio muchísimo.

Seguramente, los sufridos profesores que día a día luchan sin descanso para transformar tanto despropósito en algo de conocimiento, no estarán en nada de acuerdo y quizá hasta les parezca inmoral, pero no por ello, se puede negar que la conciencia de la realidad, es decir, la percepción de la misma, siempre depende del punto de vista de quien la observa, la evalúa y en última instancia, la interpreta.

Sin llegar a este extremo, he de reconocer que tuve una experiencia similar en mis años de colegio cuando un buen día, decidí aplicar una propiedad matemática a un problema de lógica de conjuntos y lo bueno es que me pareció entonces ¡brillante! A nadie se le había ocurrido. El resultado fue obvio: "¡suspendida, claro!". Mi hermano, que todavía se ríe, me otorgó el merecido calificativo de "alogos" y se preguntó qué mecanismo de mi mente pudo construir semejante tontería -pero si fue precisamente eso: ¡la lógica!-.

Viendo estos ejemplos, ¿Podemos considerarlos entonces carentes de lógica? ¿De sentido común? Pues depende. Como siempre y como en otros casos, depende del contexto. En un contexto enmarcado en el conocimiento y en la razon, estos ejemplos son desde luego aberrantes y atentan contra los fundamentos de lo que somos. Fuera de éste, constituyen llamémosle "respuestas simples a realidades obvias".

Nosotros, que en el mundo de las TIC no concebimos otro contexto que no sea el del conocimiento: observación, análisis, evaluación, estructuración de la información, definición de procesos y procedimientos, etc. etc., damos por sentado que todo el mundo comparte y entiende nuestro discurso, por otra parte lógico y de sentido común, pero ¿Cómo perciben la realidad nuestros clientes? ¿Entienden de siglas? ¿Saben de procesos? ¿Qué es obvio para ellos?...

En el ámbito de la Lengua, se considera hablante culto aquel que sabe cambiar de registro en función del contexto y la situación. Utilizando este símil, me pregunto entonces si a menudo sabemos mudar de uno a otro con la habilidad necesaria como para entender cuáles son las realidades (y lógicas) de todos ellos, sus necesidades y sus requerimientos.

Cuando empiezo un nuevo proyecto con un nuevo cliente, no puedo evitar pensar siempre: ¿Y tú de quién eres?.

miércoles, 11 de febrero de 2009

El huevo (procesos) o la gallina (herramienta)

No es trabajo trivial tomar una decisión sobre si se debe primero definir los procesos de gestión de TI, y después realizar una selección entre las herramientas del mercado para implementar dichos procesos. O, por otro lado, si se debe seleccionar una herramienta y después implantar los procesos según nos permita la herramienta.
He visto casos de todos los colores, desde implementaciones de herramientas, con la implementación “estándar” de procesos. Ese caso, tampoco era tan descabellado. Era una organización muy grande, e iniciar un proceso de colaboración con todos los implicados para definir los procesos supongo que se previó costoso y problemático, así que la decisión fue implantar (comprar) una herramienta y unos procesos estándares……. El problema es que ese departamento de TI no puede diferenciarse del resto de departamentos de TI de cualquier otra empresa que utilice la misma herramienta y los mismos procesos…… (Se instala igual en “Brother Soons inc.” que en “Jamones Lucas”).
Tengo que decir que durante las primeras etapas a NADIE de esa organización le pareció que la herramienta se adaptase a su forma de trabajo….

El caso contrario ha sido, a mi forma de ver, un gran acierto…. Partiendo de unos procesos definidos, pensados y trabajados internamente; y utilizando SW libre, se ha llegado a crear una herramienta de gestión muy adecuada, facilitando así que este departamento de TI sí pueda distinguirse del resto de departamentos de TI y por tanto poder actuar de forma libre para alinearse con los objetivos del negocio y colaborar en el éxito de la empresa.
I al contrario de caso anterior, la herramienta se adapta como un guante a las necesidades de la empresa….

Bien, entre uno y otro extremo, hay variedad de opciones…. , todas válidas, y todas con contrapartidas. Pero yo creo, sin duda, que la mejor opción es la de definir primero como quiero que salga el huevo (procesos) y después escoger la gallina que lo ha de poner (herramienta).

jueves, 5 de febrero de 2009

De cómo la valoración del riesgo no debería ser fruto de la percepción

Hace un par de días me llegó uno de esos correos divertidos que los amigos suelen enviar para compartir una sonrisa. Mientras lo leía (y sonreía) no pude evitar pensar en que se trataba de un ejemplo claro de "voluntad de continuidad sin gestión del riesgo". Decía así:

Los indios de una remota reserva preguntaron a su nuevo jefe si el próximo invierno iba a ser frío o apacible. Dado que el jefe había sido educado en una sociedad moderna, no conocía los viejos trucos indios. Así que, cuando miró el cielo, se vio incapaz de adivinar qué iba a suceder con el tiempo...De cualquier manera, para no parecer dubitativo, respondió que el invierno iba a ser verdaderamente frío, y que los miembros de la tribu debían recoger leña para estar preparados. No obstante, como también era un dirigente práctico, a los pocos días tuvo la idea de telefonear al Servicio Nacional de Meteorología.
-¿El próximo invierno será muy frío?- preguntó.
-Sí, parece que el próximo invierno será bastante frío- respondió el meteorólogo de guardia.
De modo que el jefe volvió con su gente y les dijo que se pusieran a juntar todavía más leña para estar aún más preparados.
Una semana después, el jefe llamó otra vez al
Servicio Nacional de Meteorología y preguntó:
-¿Será un invierno muy frío?
-Sí- respondió el
meteorólogo -va a ser un invierno muy frío.
Honestamente preocupado por su gente, el jefe volvió al campamento y ordenó a sus hermanos que recogiesen toda la leña posible, ya que parecía que el invierno iba a ser verdaderamente crudo.
Dos semanas más tarde, el jefe llamó nuevamente
al
Servicio Nacional de Meteorología:
-¿Están ustedes absolutamente seguros de que el próximo invierno será muy frío?
-Absolutamente, sin duda alguna- respondió el meteorólogo -va a ser uno de los inviernos más fríos que se hayan conocido.
-Y ¿Cómo pueden estar ustedes tan seguros?
-¡Vaya, porque los indios están recogiendo leña como locos!


Tomando como referencia la entrada publicada por mi compañero Miguel A. Segura en este mismo blog, realizaremos una segunda lectura de la historia enmarcándola en la gestión del riesgo:


Tenemos por un lado, una Dirección TIC -jefe indio- que está familiarizada con algunos estándares y metodologías -había sido educado en una sociedad moderna- pero no conoce o no cuenta con los beneficios que conllevan las "best practices" -no conocía los viejos trucos indios-, así que no puede atender la petición de aseguramiento de continuidad requerida a su departamento -supervivencia-. No establece el contexto, ni identifica los riesgos, pero no quiere parecer dubitativo y da una directriz que se fundamenta en una percepción totalmente subjetiva de las necesidades -el invierno iba a ser verdaderamente frío-. Por consiguiente, no se realiza ningún análisis de impacto en el negoció (BIA). No se efectúa ninguna valoracion ni de impacto ni de costes, ni de esfuerzo, ni de eficacia -los miembros de la tribu debían recoger leña para estar preparados-. No obstante, y ante la duda, decide contar con colaboración externa para su evaluación -Servicio Nacional de Meteorología-, pero nuestra Dirección TIC no conoce con exactitud sus requerimientos, no ha definido los objetivos y tampoco ha diseñado el modelo de relación deseado (prestación de servicio, grado de implicación, métricas, etc.), así que el resultado obtenido no resuelve adecuadamente el requerimiento inicial y sigue fundamentándose en la carencia de análisis -Sí, parece que el próximo invierno será bastante frío- respondió el meteorólogo de guardia- No hay tratamiento del riesgo, en consecuencia, se incrementa el coste y el esfuerzo del departamento TIC sin que exista una necesidad probada de ello -el jefe volvió al campamento y ordenó a sus hermanos que recogiesen toda la leña posible, ya que parecía que el invierno iba a ser verdaderamente crudo-.

Moraleja de la historia:

La inexistencia y/o ineficacia de una correcta gestión del riesgo incrementará siempre los costes del departamento TIC y en consecuencia, de la Compañía, sin garantizar que el resultado obtenido cubra el objetivo deseado: la continuidad.