Sunday, August 25, 2013

La inteligencia de fuente abierta

La palabra tiene varias definiciones. Según Merriam-Webster, hay cinco (5) maneras para definir la palabra “inteligencia.” Pero en este artículo de Jose Susumo Azano Matsura, la definición importante de la palabra “inteligencia” es la que dice que inteligencia es la recopilación y distribución de información, especialmente la información secreta.

Crédito de imagen: wilderness.org

La inteligencia de fuente abierta, también conocida por OSINT (inglés: Open-Source Intelligence) es la inteligencia recogida a través de las fuentes públicas. A diferencia de la obtención de información de fuentes cerradas, obtener información de estas fuentes abiertas es gratis y fácilmente disponible para cualquier persona que quiera aprender sobre un determinado tema.

Según Wikipedia, hay varias fuentes abiertas para la inteligencia:

Crédito de imagen: ictsd.org
  • Los medios de comunicación: periódicos, revistas, radio, televisión e información por computadora.
  • Comunidades basadas en la Web y el contenido generado por el usuario: los sitios de redes sociales, sitios para compartir videos, wikis, blogs y folcsonomías.
  • Datos públicos: los informes del gobierno, los datos oficiales, como los presupuestos, la demografía, audiencias, debates legislativos, conferencias de prensa, discursos, advertencias de seguridad marítima y aeronáutica, las declaraciones de impacto ambiental y adjudicación de contratos.
  • Mucho más: para saber las otras fuentes, visita el enlace de Wikipedia aquí.
Crédito de imagen: howstuffworks.com

La información es conocimiento. El conocimiento es poder. Pero hay que recordar que cada información tiene el poder de hacer o deshacer a alguien.

Jose Susumo Azano Matsura es el empresario tras de la compañía Security Tracking Devices SA de CV. Para saber más de él, siga esta cuenta de Twitter.

Wednesday, August 21, 2013

ALGUNOS MITOS ACERCA DE LA SEGURIDAD EN LA RED


Fuente de imagen: ignitedtechnologies.ca


Se define la seguridad informática como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. e los mitos acerca de cómo permanecer seguro en internet. Uno de los empresarios que se encargan de la seguridad informática es Jose Susumo Azano Matsura, un visionario en la industria de la tecnología, director general de Security Tracking Devices, SA de CV (STDi), y también ocupó otros cargos como Director de la Junta de la misma compañía desde 1988. Jose Sususmo Azano Matsura asegura de que las empresas que maneja tengan éxito.


Aquí son algunos mitos acerca de la seguridad informática que muchas personas pueden utilizar al acceder a varios sitios en la red.


Es posibe infectar su equipo si descarga activamente software. El más común de estos mitos es que la computadora no puede estar infectada sólo por visitar un sitio web que contenga un código malicioso. Es posible que usted no reconozca al instante que está dando su permiso, y con frecuencia los hackers se basan en el hecho de que su equipo está configurado para dar el permiso de forma predeterminada para ciertos tipos de descarga.



Fuente de imagen: ittechnewsdaily.com


Es posible que tenga que hacer clic en algún sitio, pero ese clic podría tener una intención diferente a la que usted piensa. Un truco habitual puede venir de un sitio comprometido en el que aparece un cuadro de –por lo general un anuncio– en el que sólo tiene que cerrar si no le interesa. El acto de cierre del anuncio puede ser el clic que inicia una descarga.


Las cosas no son siempre lo que parecen en internet.


Sólo los sitios de mala reputación contienen malware. Algunos sitios menos saludables se ven afectados de esta manera, muchas webs conocidas se también están comprometidas.


Insignificantes para ser hackeados. Sí algunos hackers invierten una gran cantidad de tiempo tratando de entrar en algún objetivo que tenga un alto valor. Sin embargo, la mayoría de los delincuentes se han dado cuenta desde hace tiempo que es más rentable apuntar a varios objetivos de menor valor, como usted y yo.



Fuente de imagen: globaldms.com


Si quiere conocer más sobre el gerente de la empresa Security Tracking Devices, puede hacer clic aquí.


Juan Susumo Matsura Azano es un visionario en la industria de la tecnología, director general de Security Tracking Devices, SA de CV (STDi), y también ocupó otros cargos como Director de la Junta de la misma compañía desde 1988. Jose Susumo Azano Matsura asegura de que las empresas que maneja tengan éxito.

Tuesday, July 23, 2013

La inteligencia financiera

Crédito de imagen: financialpost.com
 
La palabra tiene varias definiciones. Según Merriam-Webster, hay cinco (5) maneras para definir la palabra “inteligencia.” Pero en este artículo de Jose Susumo Azano Matsura, la definición importante de la palabra “inteligencia” es la que dice que inteligencia es la recopilación y distribución de información, especialmente la información secreta.

La inteligencia financiera es “la recopilación de información sobre los asuntos financieros de las entidades de interés, para comprender su naturaleza y funciones, y predecir sus intenciones. En general, el término se aplica en el contexto de la aplicación de la ley y las actividades conexas,” según la definición de Wikipedia. También conocido por la abreviatura FININT (inglés: Financial Intelligence), este tipo de inteligencia se utiliza para detectar el lavado de dinero – que es, en general, conectado a otros tipos de delitos o crímenes.

Crédito de imagen: bbc.co.uk

La colección de informaciones para la inteligencia financiera implica el análisis de los gastos de personas o de entidades. A veces, esta inteligencia cruza a la inteligencia humana, de manera que las partes interesadas podrían recopilar información de entrevistar a los organismos financieros, o la obtención de información de su base de datos. Esta información se utiliza para proporcionar a los clientes con la inteligencia sobre lo que está investigando.

Crédito de imagen: chuckgallagher.wordpress.com

La información es conocimiento. El conocimiento es poder. Pero hay que recordar que cada información tiene el poder de hacer o deshacer a alguien.

Jose Susumo Azano Matsura es el empresario tras de la compañía Security Tracking Devices SA de CV. Para saber más de él, siga esta cuenta de Twitter.

Thursday, July 11, 2013

José Susumo Azano y una corporación de primer nivel

Para decir que una empresa brinda un servicio de buen nivel, primero es necesario analizar cuidadosamente como es que los beneficios que ofrece ayudan a sus clientes. Security Tracking Devices; una corporación fundada, presidida y dirigida por el ingeniero José Susumo Azano; es reconocida por ser una de las pocas compañías internacionales que no solamente dan servicio a otros negocios, sino también a los gobiernos de ciudades e inclusive países.

Por otra parte, Security Tracking Devices, también es conocida en su sector por ser una de las empresas de mayor crecimiento en materia de seguridad pública, y soluciones de seguridad para organizaciones mundiales. Conocida también como STDi, Security Tracking Devices, ofrece soluciones innovadoras en áreas de importancia como la protección de fronteras, la gestión urbana, la seguridad cibernética, la transportación, la aplicación de la ley, y la preparación contra desastres naturales.

Antes de fundar Security Tracking Devices en 1988, José Susumo Azano Matsura hizo una licenciatura en ingeniería y una maestría en arquitectura en la Universidad de Massachussets. Es difícil saber si la idea de crear una empresa como STDi ya estaba entre los planes de José Susumo Azano Matsura desde entonces, sin embargo, él siempre ha dicho que desde la adolescencia tenía intenciones de crear una corporación que contribuyera a hacer del mundo un mejor lugar.

José Susumo Azano es un hombre que a lo largo de años de experiencia, disciplina y perseverancia ha alcanzado cada una de las metas que se propone. Parece ser que para José Susumo Azano Matsura no hay imposibles, ya que la empresa que alguna vez soñó, hoy es una de las que más ha ayudado a impulsar el potencial del mundo al facilitar el tránsito libre de bienes, personas, servicios e ideas.

Wednesday, July 3, 2013

REPUBLICACIÓN: ¿Por qué son mejores las semanas laborales de solo 4 días?

text

Crédito de imagen: CNN México
Gina, la propietaria de una activa empresa de diseño gráfico empezó a otorgarse a ella y a sus empleados semanas de trabajo de cuatro días después de someterse a una cirugía de rodilla y tener dificultad para caminar. La intención es que fuera temporal y Gina solo hizo el cambio porque se sentía culpable de quedarse en casa, mientras otros trabajaban. Sin embargo, pronto se dio cuenta que la semana más corta era menos problema y un beneficio sorpresa.

De lunes a jueves, sus empleados llegaban a tiempo a hacer su trabajo y parecían estar verdaderamente emocionados de estar ahí. La productividad aumentó de manera dramática. La gente seguía divirtiéndose e incluso las pláticas de oficina parecían más eficientes. Y cuando estaban en su trabajo, trabajaban.

"Usaban el día libre extra para pasar tiempo con sus familias, realizar tareas pendientes y hacer viajes de fines de semana largos, pero también para hacer citas que de otra manera hubieran tomado una tarde para atender", dijo Gina. La gente acabó tomando menos días de vacaciones y y los días de incapacidad desaparecieron casi por completo.

La noción de una semana laboral de cuatro días fue introducida en la década de 1950 por el líder sindical estadounidense Walter Reuther, pero los trabajadores, o más específicamente los jefes, no la han adoptado plenamente.

En la mayoría de los casos, la semana laboral estadounidense está en su nivel de mayor saturación: casi 86% de los hombres estadounidenses y 67% de las mujeres trabajan más de 40 horas en una semana, determinada en función de la productividad, la necesidad financiera y, de acuerdo con al menos un estudio, la felicidad.

En su libro White Coller Sweatshop, la autora Jill Andresky Fraser escribe sobre la cultura de los trabajadores estadounidenses que están de turno 24 horas al día, siete días a la semana, aún cuando los salarios y las prestaciones han disminuido. Eso se debe a que, a pesar de la evidencia, estamos programados para creer que trabajar más tiempo y más intensamente conlleva un mayor logro. Pero ¿qué pasa si trabajar menos es la clave real del éxito?

A principios de este año, cuando la ejecutiva Nicola Mendelsohn de Facebook fue contratada como vicepresidente de la compañía, presuntamente negoció una semana laboral de cuatro días para que pudiera pasar más tiempo con su familia. Se habló mucho del rumor, que Facebook ni confirmó, ni negó, a pesar del hecho de que muchas madres trabajadoras a lo largo del país negocian semanas laborales de cuatro días de manera rutinaria y cada vez más frecuentemente. De hecho, 44% de las mujeres doctoras ahora trabajan cuatro o menos días a la semana, lo que representa un aumento en comparación con el 29% en 2005.

Aún así, el imperativo de cuatro días de Mendelsohn generó un gran debate: los críticos consideraron que esto era privilegiado e injusto, mientras que las madres trabajadoras lo consideraron una victoria nombrándola el ejemplo a seguir en el tema de balance entre trabajo y vida.

Muchos han argumentado a favor de la semana laboral de cuatro días u horas flexibles, en general, como una manera de retener a mujeres trabajadoras con talento que de otra manera podrían renunciar por completo para poder tener hijos.

Pero una semana laboral de cuatro días no solo es benéfica para las madres (y sí que es beneficiosa).  Cuando el estado de Utah introdujo semanas laborales de cuatro días para muchos de sus empleados estatales en 2008, impulsó la productividad y la satisfacción de los empleados. Regresaron a semanas de cinco días solo tres años después debido a que los residentes se quejaron por no tener acceso a los servicios los viernes.

En una página editorial del 2012 de The New York Times Jason Fried, CEO, de una empresa de software, reportó que la semana laboral de cuatro días de 32 horas que su compañía estableció de mayo a octubre había derivado en un incremento de la productividad. "Se hace un mejor trabajo en cuatro días que en cinco", escribió. Esto tiene sentido: cuando hay menos tiempo para trabajar, hay menos tiempo para perder. Y cuando se comprime la semana laboral, uno tiende a enfocarse en lo que es más importante (al igual que el sueño, el trabajo de calidad sucede cuando no hay interrupciones).

Fried también reportó que la semana laboral de cuatro días facilitaba reclutar a nuevos talentos y a retener miembros valiosos del personal, tanto hombres como mujeres.
Hay una salvedad. Aunque no es probable que afecte a los jefes como Mendelsohn, la semana laboral de cuatro días tiende a funcionar mejor cuando está involucrada toda la oficina. Una razón por la que los empleados pueden sentirse renuentes a adoptar una semana laboral de cuatro días es por el miedo de perderse el acceso al jefe o al flujo de ideas e información.

Diez semanas después de que su nació primera hija, Mary, una abogada ambientalista de Denver regresó a trabajar aceptando la oferta de su empresa de que trabajara cuatro días a la semana, mientras que todos los demás trabajaban cinco. Un mes después, Mary se encontraba exhausta, constantemente molesta y con un una tos persistente.

"Estaba feliz cuando querían retenerme siendo flexibles", dijo. "Pero siempre sentí que las decisiones más importantes se tomaban cuando estaba en casa relevando a la niñera".
En lugar de proporcionarle algún alivio, las horas flexibles que eran de Mary y solo de ella, hacían que estuviera mucho más ansiosa.

"Me convencí de que una vez fuera de la vista de los jefes, estaba fuera de su mente". El hecho de que todos tengan el mismo horario ayuda a reducir ese miedo.

También existe un simple tema económico en la semana de cuatro días, como se vio en Utah. Cuando las luces están prendidas cuatro días en lugar de cinco y los empleados necesitan transportarse dos veces menos, los costos bajan.

Por todas estas razones, muchos patrones que adoptan la semana laboral de cuatro días nunca regresan. Tres años más tarde, la rodilla de Gina está curada pero la semana laboral de cuatro días permanece. Su empresa ha crecido en un 20%.

¿Fue el cambio de horario? "Estoy segura de que no podemos atribuirle el crecimiento exclusivamente a eso", dijo Gina. "Pero sí jugó un papel muy importante. Ahora bromeo sobre el hecho de que lastimarme la rodilla fue la mejor decisión laboral que tomado".
Las opiniones recogidas en este texto pertenecen exclusivamente a Peggy Drexler.


Jose Susumo Azano Matsura es el empresario visionario tras de la compañía exitosa Security Tracking Devices SA de CV. Él es un experto en la tecnología informática. Para saber más de él, siga esta página de Twitter.

Sunday, May 26, 2013

Los lentes tecnológicos

Hoy en día, el número de los desarrollos tecnológicos ya es incontable. Ya hay las computadoras, los teléfonos celulares, las tabletas, y mucho más. Y ahora, ya hay un nuevo desarrollo gracias a la compañía Google. 

Crédito de imagen: The Independent

Google presenta al mundo el prototipo de los nuevos lentes, el Google Glass. Muchas compañías ya han desarrollado sus propias apps para que funcionen con el uso de los lentes de Google. Esos lentes de Google funcionan con el uso del internet. Pero la diferencia de los lentes contra los teléfonos celulares, o contra las computadoras, es que se puede utilizar los lentes sin tocarlo. Uno solo tiene que ponerlos como gafas, y hablarlo en la misma manera que uno se habla con Siri o esas otras aplicaciones con uso de la voz. 

Crédito de imagen: NBC News

El Google Glass es capaz de hacer muchas cosas: se puede tomar fotos, grabar videos, compartir videos en vivo mientras hablando con alguien, se puede también buscar la red por informaciones incluyendo direcciones mientras conduciendo o caminando. Ahora, según la noticia de CNN México, Facebook y Twitter ya han desarrollado sus aplicaciones móviles para que se funcionen también con el uso de las gafas. 

Crédito de imagen: Phandroid

Todo sin las manos. Todo con la voz. Esta es la nueva innovación de Google: el Google Glass.

Jose Susumo Azano Matsura es el empresario visionario tras de la compañía exitosa Security Tracking Devices SA de CV. Él es un experto en la tecnología informática. Para saber más de él, siga esta página de Twitter.

Friday, May 17, 2013

REPUBLICACIÓN: Gestión de Riesgo en Procesos de Negocios

Este artículo es de Seguridad IT. Lea más abajo:

La presencia de amenazas que comprometen el sistema deben ser analizadas y a su vez evaluadas las probabilidades de que una amenaza aproveche esas vulnerabilidades. Como supo definir Gene Spafford, el único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja ignifuga. Seguramente al leer esta introducción surgen algunas dudas que aclaramos a continuación:

Activo: Como en los aspectos contables existe el activo y el pasivo, la información ahora posee un valor importante y por eso se lo considera un activo. Si un alumno posee el trabajo fi nal de grado y no posee un backup o resguardo en otro dispositivo, ese activo corre un serio riesgo de sufrir algún daño irrecuperable.
Amenaza: todo aquello que pueda provocar un daño a nuestro activo. Por ejemplo, si un virus corrompe el ordenador en donde el alumno tiene su trabajo final, no podrá acceder al momento de presentarlo y tal vez lo pierda.
Vulnerabilidad: Son las inseguridades que posee el activo tanto por problemas tecnológicos, como problemas de procedimientos. Está demostrado que la gran mayoría de pérdidas de activos son por falta de procedimientos o desconocimiento. El alumno no ha realizado copias de su trabajo en otros medios.
Riesgo: es la probabilidad que una amenaza aproveche una vulnerabilidad. Siguiendo el caso del ejemplo, supongamos que el equipo no posee una descarga a tierra y en una noche tormentosa el equipo sufra una descarga y se queme el disco.

La problemática actual Los análisis de riesgo, test de vulnerabilidad o test de penetración son prácticas muy frecuentes como herramientas de evaluación para analizar el estado de seguridad de una infraestructura. Los consultores que utilizan COBIT evalúan las redes con un listado conteniendo ítems que deben ser verificados entendiendo que un escenario tiene o no tiene políticas, normas, procedimientos e implementaciones de seguridad, cumplen o no cumplen y de esa manera surge el informe final. En la NORMA ISO/IEC 27001:2005 los especialistas que encaran el proceso de análisis, revelan todos los recursos y servicios de la compañía haciendo un análisis de las vulnerabilidades de seguridad de la compañía y en base a esto verifican cual es la brecha para lograr la normalización.

Debido a esto, podemos observar dos tipos de sondeos:

Técnica pura: instalar herramientas de intrusión en la red y atacar cuanto dispositivo se encuentra conectado a la misma. No hay una metodología clara, no se analiza el riesgo que puede llevar un ataque desmedido y por último se obtiene un informe con gran cantidad de información que no se sabe como ordenar y por dónde empezar.
Política pura: se analiza si la compañía posee implementada políticas, normas, procedimientos y a que estándar se alinea (ISO, BS, ITIL, COBIT, etc). Si cumple o no con las leyes locales y en base a eso, se genera un informe cuyo resultado final es la implementación de una cantidad de políticas y normas sin los pasos adecuados en donde se termina acosando al usuario de la red para que las cumpla.

Análisis versus gestión La seguridad aun no ha sido un factor de maduración en muchas compañías y menos aún en los usuarios hogareños. Para evaluar que tan seguro es un escenario, se llevan a la práctica pruebas similares a las que realiza un intruso (más conocidos como hackers, pero recuerde que debe denominárselos según el tipo de intrusión o ataque que realiza). En muchas compañías cuando sufren un problema de seguridad o ante una auditoría externa, la misma encara el análisis de seguridad de la infraestructura. Luego de este análisis se genera el informe correspondiente y un plan de implementación de medidas para subsanar las vulnerabilidades encontradas. ¿Cómo sabrá el gerente de sistemas si las implementaciones fueron acordes a lo estipulado?Cómo sabrá el jefe de tecnología si fueron adecuadas las medidas para mitigar los riesgos? Es allí en donde surgen una gran cantidad de dudas. La NORMA ISO/IEC 27001:2005 y ciertos niveles de maduración como ITIL, PMI, CMMI, hacen referencia a la gestión de un proceso de madurez.¿Por qué no se implementan estos niveles de gestión en las compañías? Muchas veces por una cuestión de que la seguridad no es un asunto importante en la compañía y por ello,no se desea perder el tiempo en la burocratización de los procesos de negocios. La gestión permite en todos los procesos, evaluar si las decisiones fueron las acertadas y a su vez indica donde hay que realizar ajustes para lograr los objetivos deseados.

Un proceso de Gestión de Riesgo va a permitir a la compañía entender cuál es su situación a nivel de seguridad actual, le va a permitir una toma de decisiones adecuada para mitigar los riesgos, podrá evaluar qué medidas se implementan a largo y corto plazo y luego podrá evaluar si las decisiones fueron las correctas.

En base a este último punto, se vuelve a empezar con el análisis y pasar por las etapas nuevamente permitiendo a la compañía madurar en cuanto a seguridad de la información se refiere.

Proceso de Gestión de Riesgo clásico Podemos definir entonces, que Gestión de Riesgo es un proceso que involucra 4 estadios:

Situación actual: Un análisis de la situación de seguridad de la compañía para entender cómo se están tratando los activos,que niveles de seguridad existen, que leyes se están cumpliendo y cuáles no. Es lo que denominamos La FOTO. En esta etapa, suele llevarse a la práctica los clásicos test de vulnerabilidad o test de penetración. Los mismos deben ser rigurosos y muy bien planificados, ya que muchas veces, hay profesionales con el afán de demostrar todos sus conocimientos de intrusión provocan caídas de servicios que ponen en riesgo a la compañía a nivel funcional.
Definir pasos a seguir: En base a un informe detallado de la situación actual, un comité formado por los responsables de sistemas,RRHH, legales y la gerencia, deberán definir cuáles son los pasos a seguir para atacar el riesgo.
Implementación: en base a las decisiones tomadas, se implementan las normas, procedimientos,actualizaciones y ajustes que sean requeridos y que fueron aprobados por el comité. La misma debe ser rigurosamente planificada, ya que hay puntos que deben ser tenidos en cuenta para no impactar en los procesos de negocios.
Monitorear: Analizar el éxito de la implementaciones llevadas a cabo, verificar qué desvíos surgieron y planificar un nuevo análisis en un periodo acorde en la compañía.

Este proceso puede alinearse al año calendario o fiscal y realizarse una vez al año. Obviamente que los responsables de seguridad de la compañía deberán recomendar qué implementaciones deben llevarse a cabo de manera urgente, ya que no pueden esperar un año fiscal para implementarlos. Esto dependerá del negocio y del nivel de madurez alcanzado por el mismo.

Defensa en profundidad 
El concepto de Defensa en profundidad permite un diseño, análisis e implementación de la seguridad atacando diferentes capas de la infraestructura. Así como tenemos las 7 capas del modelo OSI (Open System Interconnection – Sistema de interconexión abierto) sugerido por ISO en el año 1977 y que hoy es el estándar de comunicación, el modelo de Defensa en Profundidad provee capas para enfocar el análisis y la prevención. Este modelo fue pensado originalmente por National Security Agency cerca de 1977.

Podemos organizar la Infraestructura de la compañía en las siguientes capas:
• CAPA FISICA
• CAPA DE RED
• CAPA DE EQUIPOS
• CAPA DE APLICACIÓN
• CAPA DE DATOS

En base a la distribución de las capas, se organizan los activos de las compañías en cada una de las capas y se analizan los problemas de seguridad.

Proceso de Gestión de Riesgo en Procesos de Negocio Basados en el clásico Proceso de Gestión de Riesgo y en el modelo de DoD (Defense of Depth - Defensa en Profundidad), tomamos lo mejor de ambos y armamos un nuevo modelo, denominado Proceso de Gestión de Riesgo en Procesos de Negocio.

Este proceso consta de un análisis pormenorizado de los procesos críticos de negocio de la compañía. Para ello se recomienda realizar las siguientes tareas:
• Reunirse con la gerencia de la compañía o un referente con el fin de obtener cuales son los procesos críticos de negocio. Se recuerda que son aquellos procesos que si son interrumpidos,pueden provocar pérdidas en todos los aspectos (confianza ante terceros, productividad, negocios, dinero, etc.).
• Reunirse con personas responsables de los procesos críticos de negocio y obtener toda la mayor información posible del proceso. Algunos de los datos relevantes son: hora reloj en el que el proceso puede estar fuera de línea, cantidad de minutos u horas de interrupción permitidas por el negocio, responsables del monitoreo del proceso, relación del proceso con otros dentro de la misma compañía y externos, recursos tecnológicos que participan en el proceso, como para mencionar los más relevantes.
• Armar un esquema de análisis de riesgo para los procesos, ordenando los recursos tecnológicos según el modelo de DoD.
• Confeccionar las planillas de análisis de riesgo, ordenándolas por proceso.
• Encarar la Gestión de Riesgo como se refi ere en el punto 4, pero sólo haciendo foco en los activosque participan en el proceso de negocio de la compañía.
• Ordenar los resultados según las capas del DoD.
• Realizar un tablero de control,ordenado por proceso y por capa del modelo de DoD.

En cada conexión del tablero pondremos el nivel de riesgo observado en cada proceso de negocio. Se puede identificar los riesgos, como lo hace el semáforo: ROJO(riesgo alto), AMARILLO (riesgo medio) y VERDE (riesgo bajo).

En base a estos resultados, tendremos los estados de riesgo de los procesos críticos de negocio y en qué capa del modelo de DoD se encuentra el riesgo. Es más simple para corregir, prever o asumir los riesgos, a diferencia del modelo de gestión de riesgo convencional.

A su vez, la gestión le permitirá observar en las diferentes etapas, cómo fueron cambiando los estados de riesgo en cada una de ellas y de esa manera se tiene el estado real de riesgo y no una percepción.

A diferencia del modelo clásico de gestión de riesgo, este enfoque permite obtener un estado real de los activos que forman parte de los procesos de negocio, llevar a cabo tareas correctivas y planificar a futuro las mejoras. Si se tienen en cuenta estándares como ITIL, estos resultados permiten mejorar la entrega de soporte (Service Support)y la entrega de servicios (Service Delivery).

Factores críticos de éxito 
El modelo es simple, pero para lograr el éxito en su implementación, requiere:
• Apoyo explicito de la gerencia.
• Conocer los procesos críticos de negocio de la compañía y qué activos intervienen en los mismos.
• Conocer el modelo de Gestión de Riesgo.
• Entender el modelo de DoD, para colocar adecuadamente los activos en cada capa.
• Realizar el proceso completo de gestión y no la iniciativa de la Foto.
• Implementar los cambios sugeridos que permitan mitigar los riesgos.

Conclusiones
 Este modelo que hemos llevado a la práctica hace más de 4 años, ha permitido reducir los tiempos de mitigación de riesgo, enfocando las actividades en los procesos críticos de los negocios. No quiere decir que el resto de los activos deban ser ignorados, simplemente permite definir prioridades y atacarlas con el fin de mitigar los riesgos de la compañía. Como las buenas prácticas en su mayoría sugieren, los resultados de este modelo serán entornos más seguros,disponibilidad de los activos, y reducción de costos.

Siga este perfil de Facebook para conocerle al exitoso visionario Jose Susumo Azano Matsura.