jueves, 28 de abril de 2011

Se busca Community Manager

Hace algunos días,  Turismo de la Comunidad de Madrid hizo público un anuncio para contratar un Community Manager, que viene a ser un moderador de la presencia de una organización en las redes sociales. 

Lo cierto es que el anuncio causó cierta polémica debido a las condiciones del proceso selectivo; Los candidatos debían demostrar su valía para el puesto consiguiendo para ello recomendaciones de usuarios en Facebook y en otras redes sociales.

Los cinco candidatos más votados pasarían a una última fase de selección más directa, basada en una entrevista.

Las protestas de los propios internautas, tachando el proceso selectivo de poco profesional, llevó a Turismo de Madrid a desconvocar el proceso y reconocer públicamente que se habían equivocado (lo cual sí que es un signo no muy común de profesionalidad).

Polémicas aparte, lo cierto es que las organizaciones del sector público necesitan establecer su estrategia de presencia en los medios y redes sociales.

Hay organizaciones que deciden que aún no es el momento de introducirse en las redes sociales, pero esa es la actitud del avestruz:  aunque no se quiera, ciudadanos van a hablar de sus experiencias y opiniones sobre sus relaciones  las AAPP en casa, en el trabajo, en el bar, en la calle.....y en las redes sociales.

Las redes sociales se han convertido en un medio más de intercambiar información. De hecho, es el medio preferido de las nuevas generaciones (ya contaba en un post anterior que mis hijos utilizan Tuenti en vez del teléfono para contactar con sus amigos). La difencia entre la charla en el bar y el comentario en facebook, Tuenti o Linkedin es que la información de las redes sociales es, por naturaleza, perdurable y ubicua.

En el caso comentado de Turismo de Madrid, han eliminado el anuncio del proceso selectivo en la web del organismo, pero han quedado los comentarios de los usuarios en facebook, lo que puede afectar negativamente la imagen de marca.

Por todo ello, es necesario definir una estrategia de comunicación de la organización en las redes sociales y establecer funciones especializadas similares a las de un Community Manager.

Me he tomado la libertad de reescribir ligeramente las funciones de un Community Manager según la  Asociación Española de Responsables de Comunidad (AERCO), para adaptarlas al lenguaje del sector público:

1. Escuchar. 
Monitorizar constantemente la red en busca de conversaciones sobre nuestra organización o nuestro ámbito de competencias.

2. Circular esta información internamente.
A raíz de esta escucha,  extraer lo relevante de la misma, crear un discurso entendible y hacérselo llegar a las personas correspondientes dentro de la organización.

3. Explicar la posición de la organización a la comunidad.
El CM es la voz de la organización hacia la comunidad, una voz positiva y abierta que transforma la “jerga interna” de la organización  en un lenguaje inteligible para el ciudadano.
Responde y conversa activamente en todos los medios sociales en los que la organización tenga presencia activa (perfil) o en los que se produzcan menciones relevantes.
Escribe artículos en el blog de la organización o en otros medios sociales, usando todas las posibilidades multimedia a su alcance. Y selecciona y comparte además contenidos de interés para la comunidad.

4. Buscar líderes, tanto interna como externamente. 
La relación entre la comunidad y la organización está sustentada en la labor de sus líderes y personas de alto potencial. El CM debe ser capaz de identificar y “reclutar” a estos líderes, no sólo entre la comunidad sino, y sobre todo, dentro de la propia organización.
 
5. Encontrar vías de colaboración entre la comunidad y la organización. 
La mayoría de directivos de las AAPP desconoce cómo la comunidad puede ayudar a mejorar el servicio ofrecido.No es algo que hayan utilizado nunca en su carrera, ni que hayan estudiado en las escuelas de negocios. El CM les debe mostrar “el camino” y ayudarles a diseñar una estrategia clara de colaboración.

El camino de las AAPP en los medios sociales acaba de empezar y debe planificarse adecuadamente estableciendo objetivos y etapas. Lógicamente se debe comenzar por Escuchar los medios y Difundir información internamente.

Una vez la organización madure y comprenda la necesidad, los beneficios y riesgos de las redes sociales, podrá aventurarse en una labor dinámica de difusión externa de información y participación activa en las redes sociales.

Sin embargo, el máximo potencial se alcanzará cuando se identifiquen a los productores de información internos y externos y se establezca una relación de confianza y colaboración entre estos.

Como decía, el camino es largo y debe estar ayudado por profesionales de la comunicación, del marketing y del cambio organizacional para posibilitar el éxito.

Cuando no se gestiona correctamente la comunicación en las organizaciones, los efectos suelen ser nefastos:
 Es mundialmente conocido el  incidente ocurrido en 2003 con la cantante estadounidense Barbara Streisand, que denunció al fotógrafo Kenneth Adelman y a la página de fotografías pictopia.com por 50 millones de dólares, exigiendo que se retirase una foto aérea de su casa de una publicidad, alegando su derecho a la intimidad.

El efecto conseguido por la cantante fue justamente el contrario:  Los usuarios de Internet amplificaron la noticia consiguiendo una gran repercusión mediática de las fotos. Desde entonces, esto es conocido como el efecto Streisand.

Leer más...

lunes, 18 de abril de 2011

La revolución de la tecnología NFC

Near Field Communication (NFC) son una serie de tecnologías inalámbricas de corto alcance que permiten la intercomunicación segura entre dos dispositivos.

En los últimos meses, los medios de comunicación se están haciendo eco de diferentes informaciones sobre esta tecnología. ¿Cual es el motivo?.

Si tuviera que elegir una única respuesta, seguramente sería el interés de las operadoras de telecomunicaciones por una tecnología que habilita nuevos servicios asociados a un dispositivo de uso generalizado, como es el móvil.

De hecho, uno de los proyectos NFC más mediáticos ha sido el de Telefónica, que utiliza NFC de manera generalizada para que sus empleados del Distrito C accedan a los servicios en su día a día ( pagos, acceso a los edificios, etc).

Lo cierto es que la tecnología NFC es:
  • Universal: Muchos de los móviles de nueva generación soportan (o lo harán en breve) esta tecnología, lo que la hace accesible a practicamente la totalidad de la población. 
  • Sencilla de utilizar: Basta con aproximar el dispositivo NFC a un lector a una distancia inferior a 20cm. Otras tecnologías como Bluetooth requieren configuraciones y autorizaciones complejas por parte del usuario para establecer la comunicación.
  • Segura: Debido a su forma de uso. Adicionalmente, toda la comunicación está cifrada.
  • Funcionamiento en modo pasivo y/o activo: Los dispositivos NFC pasivos no requieren estar alimentados por una fuente de alimentación (batería). Cuando se acercan a un lector NFC, este emite una señal que es suficiente para encender el circuito del dispositivo e intercambiar los datos. Los dispositivos NFC activos, como los móviles, si requieren de alimentación eléctrica.
¿Qué servicios pueden proporcionarse con esta tecnología?  En este caso, una imagen mejor que mil palabras:



Como habéis podido ver en el vídeo, los servicios pueden ser diversos como:

  • Realizar pagos electrónicos con el móvil, normalmente pequeñas cantidades. Visa y Mastercard ya están trabajando en proyectos y prototipos para el pago basado en esta tecnología.
  • Autorizar el acceso a servicios (Autorización de entrada a edificios o a recintos, sustitutivo del abono transportes en el transporte público, entradas en el móvil, acceso a peajes, etc).
  • Intercambio de datos entre dos dispositivos, por ejemplo cámaras fotográficas para descargar las fotografías al ordenador o a otro dispositivo).
  • Sustitución de llaves para el acceso al coche, casa, buzón, login al PC, etc.
Como en otras ocasiones, la imaginación es el único límite para los servicios que se pueden ofrecer y la resistencia de los usuarios puede ser el mayor inconveniente.

¿Y en la Administración?. ¿Es de esperar una demanda de nuevos servicios basados en esta tecnología?.

En principio, la adopción de NFC como tecnología habilitante de nuevos servicios va a ser un proceso rápido, pero medido en unidades de años. Seguramente en 2011 ya veamos algunos proyectos reales interesantes.

Veremos también a los grandes actores del mundo de las TIC posicionarse. Los fabricantes de móviles y las operadoras están lógicamente a favor, pero hay otras compañias con gran capacidad de influencia en el mercado como Apple que, aunque se han mostrado muy interesadas en esta tecnología y están trabajando para incluir NFC en sus dispositivos de consumo (ipod, ipad, iphone), aún no han terminado de adoptar una decisión final al respecto.

Lógicamente, empezaremos a ver estos servicios de pago en comercios  pioneros impulsados por la banca. Si la adopción es buena, seguramente se podrán poner en marcha servicios de pago o de acceso a los servicios básicos como el transporte.
 

De ahí, seguramente andaremos un camino hasta que el móvil se convierta en una nueva cartera del ciudadano que contendrá sus derechos de pago (tarjetas), permisos de acceso (Entradas, fichajes, llaves electrónicas, acceso al PC), identificación (Dni en el móvil, certificados digitales), etc.

Debemos estar atentos en un futuro cercano a la evolución de esta tecnología.

Leer más...

jueves, 14 de abril de 2011

Homenaje a Rosa y su escaparate



 Aunque no llevo mucho tiempo en el mundo del blog, no puedo dejar de sentir un profundo pesar por la pérdida de Rosa María, conocida por su blog "El Escaparate de Rosa".

 Lo cierto es que no conocía a Rosa. O sí. Porque Rosa encarnaba perfectamente los valores que tanto apreciamos desde las redes sociales. Dedicaba su poco tiempo, como ella decía, a ayudar a los que teniamos alguna duda, problema o curiosidad en el diseño de nuestros blogs, de una manera totalmente desinteresada.

Podéis ver en su ahora marchito blog las conversaciones que mantenía con los que le pedían consejo y los cientos y miles de agradecimientos sinceros que recibía a cambio.

Por eso digo que, aunque no la conocía personalmente, sí conocía su trabajo, su obra, su desinterés, que seguramente serían un reflejode la luz de lo que era como persona. 


Por todo eso Rosa, Gracias

Leer más...

miércoles, 13 de abril de 2011

¿DNI en el Móvil?

Hace ya algunas semanas que tuvimos la oportunidad de ver en distintos medios (ej. el País, El Mundo, ABC) una noticia acerca de la propuesta de Telefónica de utilizar el móvil para alojar la información del DNI electrónico y así facilitar el acceso de los ciudadanos a servicios electrónicos, tanto públicos como privados. De esta iniciativa tambien se hizo eco Montaña Merchán en su blog.


La propuesta parece, en principio, interesante, como todas las que van en el sentido de que el ciudadano pueda  ampliar el espectro de posibilidades de relación electrónica.


Llevo casi un mes dandole vueltas a este tema. He solicitado más detalles a Telefónica, pero el proyecto está  en desarrollo y la información no es aún completa.  Sin embargo, sí que quería compartir mis reflexiones acerca del tema.

Por un lado, el mensaje que nos ha llegado es que Telefónica y Secuware han ideado y desarollado un procedimiento para traspasar los datos del DNI electrónico al móvil.

¿Es ésto así?


Como es bien sabido, el DNI electrónico incorpora un chip criptográfico que contiene la siguiente información:

  • Un certificado electrónico para autenticar la personalidad del ciudadano
  • Un certificado electrónico para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita
  • Certificado de la Autoridad de Certificación emisora
  • Claves asociadas a los certificados
  • La plantilla biométrica de la impresión dactilar
  • La fotografía digitalizada del ciudadano
  • La imagen digitalizada de la firma manuscrita
  • Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta (Nombre, apellidos, NIF,  etc).

En lo que se refiere al móvil (incluyendo PDAs, Smartphones, etc), incorpora una tarjeta inteligente o SIM que inicialmente sirve para almacenar de forma segura la clave de servicio del suscriptor usada para identificarse ante la red, aunque tambien almacena información del operador y datos personales (contactos, configuración, etc).

Las versiones más avanzadas de las SIMs tienen capacidades criptográficas, lo que permite almacenary/o generar  en ellas certificados digitales con sus correspondientes claves, habilitando al móvil como dispositivo de firma o, por medio del uso de la tecnología NFC, convertirlo en un dispositivo de pago.


Llegamos por lo tanto a la conclusión de que, tanto el DNI electrónico como los móviles, son capaces de almacenar de forma segura certificados y claves digitales y utilizarlos para la autenticación, cifrado y firma del usuario.

El aspecto clave es precisamente ese, que se almacenan de manera segura. Esto quiere decir que no es posible (no debe serlo, al menos) extraer los certificados y claves digitales de estos dispositivos.

Esto nos lleva a la conclusión de que realmente no se extrae toda la información del DNI electrónico, aunque seguramente sí los datos personales (nombre, apellidos, NIF, fecha de validez del DNI, etc) y se trasladan a la SIM de un teléfono.

Tendremos, por lo tanto, que tener en cuenta lo siguiente:
  • Existe un proceso de extracción de cierta información del DNI y almacenamiento en otra tarjeta criptográfica (SIM). El usuario debe de tener garantías de que este proceso se hace de manera segura.
  • Para que la información sea utilizable electrónicamente, deberán establecerse mecanismos de autenticación y cifrado asociados a los datos del DNI. Esto seguramente implique la generación por parte de Telefónica de unos nuevos certificados digitales que serán asociados a la información personal extraida del DNI.
  • Telefónica deberá llegar a acuerdos con los proveedores de servicios electrónicos para aceptar este sistema en sus transacciones.
  • En particular, la Administración como proveedor de servicios electrónicos deberá considerar si aceptar este sistema.
Es indudable que el comercio electrónico es y va a ser un objetivo clave para todos los actores de los diferentes mercados (proveedores, intermediarios, distribuidores, operadores, etc). La explosión en el uso de los dispositivos móviles con acceso a Internet provoca la focalización de todos estos actores en facilitar el acceso de los posibles clientes desde cualquier dispositivo, en cualquier lugar, en cualquier momento.

Sin embargo, es necesario utilizar este impulso no solo desde la búsqueda del servicio sino tambien desde una perspectiva de seguridad y garantía a los ciudadanos.

Queda pendiente realizar un análisis más exhaustivo de esta iniciativa cuando se conozcan los detalles de la implementación y de la arquitectura.

Leer más...

lunes, 4 de abril de 2011

Aprendiendo del desastre de Japón: ¿Cómo actuar? (II)

Análisis de impacto (BIA) (Ir a parte I)

El proceso de preparar a la organización ante un desastre requiere el apoyo decidido de la alta dirección de la organización, ya que se va a requerir tiempo, esfuerzo y dinero.

Lo primero que se va a preguntar la alta dirección es por qué realizar todo este esfuerzo o, si por el contrario, puede evitarlo.

Afortunadamente, la regulación que afecta a la mayor parte de los sectores, particularmente al  financiero, ha sensibilizado a los consejos de administración de estas empresas sobre la necesidad de disponer de un plan de respuesta a incidentes, aunque  sea por necesidad de cumplir con el marco normativo.


La alta dirección suele tambien estar acostumbrada a utilizar el análisis de riesgos como herramienta de gestión, por ejemplo para cuantificar  las consecuencias económicas derivadas de no estar preparado ante un eventual desatre.

Es por esto por que el primer paso debe ser el  realizar un Análisis de Impacto (BIA, por sus siglas en Inglés) que permita estimar el impacto operacional y económico del desastre, determinar los tiempos de recuperación permitidos para no afectar al negocio, identificar las estrategias más apropiadas para el plan de recuperación e incluir el BCP como una práctica común en los procesos de decisión del negocio.

El BIA espor lo tanto,  una herramienta de concienciación del riesgo y justificación de las actuaciones. Asimismo, sirve para determinar el alcance de las medidas de protección en relación a los riesgos a los que estemos sometidos.

¿Cuáles son los pasos para desarrollar y mantener el BCP de manera integrada con el BIA?.


  • Realizar primero el Análisis de impacto al negocio (BIA) para conocer el efecto que tendría la pérdida de procesos de negocio críticos
  • Inventario: Identificar y priorizar sistemas y recursos que soportan los procesos de negocio críticos
  • Determinar las estrategias apropiadas para recuperar los procesos de negocio críticos
  • Desarrollar el plan detallado y específico para recuperar los equipos de sistemas de información (DRP)
  • Desarrollar un plan detallado de funciones de negocio críticas para continuar operando a un nivel aceptable (BCP)
  • Capacitar al personal sobre cómo seguir los planes
  • Probar los planes
  • Mantener los planes a medida que cambian las condiciones del negocio y evolucionan los sistemas
  • Almacenar los planes para que sean accesibles incluso en caso de desastre y no estén disponibles los sistemas de información (ej. Ordenadores).
  • Auditar periódicamente los planes

Recuperación ante desastres (DRP)


Como hemos visto, el DRP o Plan de recuperación ante desastres es uno de los planes de acción que una organización debe tener preparados para responder adecuadamente ante incidentes mayores o desastres.

Es el punto donde normalmente nos vemos involucrados los profesionales de las TIC. Sin embargo, las acciones para establecer un Plan de recuperación ante desastres no deben separarse del resto de iniciativas de la organización para afrontar un desastre.

En numerosas ocasiones, hemos visto que las unidades TIC desarrollan proyectos de respaldo de su infraestructura TIC de manera independiente a las unidades de negocio a las que dan soporte.

Esto se debe normalmente a varios factores:

  • Falta de concienciación en las unidades de negocio sobre la necesidad de contar con planes de respuesta a los desastres.
  • Mayor conocimiento por parte de los responsables TIC de lo que puede fallar….
  • Necesidad de los responsables TIC de cubrirse las espaldas, por si ocurre un desastre.
  • Moda. ¿Todo el mundo tiene un centro de respaldo!.
  • Responsabilidad real

Sea cual fuese la motivación, es conveniente que todas nuestras acciones respondan a una estrategia de recuperación.

Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en caso de desastre y proporciona una orientación basada en los procedimientos de recuperación detallados. La estrategia apropiada es aquella que tiene un costo por un tiempo aceptable de recuperación que también es razonable comparado con el impacto y la probabilidad de ocurrencia según se haya determinado en el análisis de impacto al negocio (BIA).

La elección de la estrategia de recuperación debe hacerse por los tanto en base a la Criticidad de procesos, costo, seguridad, fiabilidad, etc.

RTO y RPO

La estrategia definida también depende de dos conceptos relacionados, a saber el RTO o tiempo objetivo de recuperación y el RPO o Punto objetivo de recuperación.

Para entendernos, el RTO es el tiempo máximo que puede permanecer la organización antes de regresar completamente a las operaciones normales sin que eso suponga un daño definitivo para las actividades del negocio. Esto viene a darnos un límite temporal en el que tenemos que recuperar nuestros sistemas TIC. Cuanto menor sea este tiempo, más efectivas y costosas han de ser las medidas de respuesta al desastre.

RPO tiene que ver con el momento en el que se produce el desastre y la antigüedad de los datos que necesita poder restablecer en caso de un desastre. De alguna manera, el RPO viene a definir la pérdida aceptable de datos de una organización ante un desatre. Cuanto más pequeño sea el RPO más sólido debe ser el menanismo de protección de datos (backup, rteplicación online, etc).

El RPO y el RPO determinan la estrategia de respaldo que se deberá seguir.

Normalmente, para infraestructuras TIC críticas para el negocio, del análisis realizado se desprenderá la necesidad de establecer un sitio alternativo que actúe como centro de respaldo de nuestra infraestructura TIC

Sitios alternativos

¿Cuáles son las alternativas más comunes para sitios de respaldo? Por resumir mucho


  • Hot Sites: Son instalaciones físicas completamente configurados y equipadas para operar en un periodo corto, típicamente unas pocas horas. Su costo se justifica por la existencia de aplicaciones críticas para el negocio. Pueden ser de titularidad propia o proporcionados por un tercero. En este último caso el contrato debe incluir el tiempo necesario, la frecuencia y el tiempo especificado para la realización de pruebas.
  • Warm Sites: Son infraestructuras completas pero que están parcialmente configuradas en TI (NAS, cinta,...) pero sin unidad principal. Son más económicos al no disponer de equipos de proceso, pero requieren de mayor tiempo hasta que estén completamente operativos. Es necesario disponer de contratos con las compañías suministradoras de los equipos de proceso que garanticen su disponibilidad en el tiempo necesario.
  • Cold Sites: Tienen sólo el ambiente básico (cableado, luz, piso…). Son los más baratos, pero también los menos efectivos.
  • Equipos móviles de respaldo: Hot site de emergencia ubicado en un vehículo móvil.
  • Acuerdos recíprocos con otras compañías para prestarse mutuamente los servicios de respaldo.

Leer más...