Blog de Internet Security Auditors

Blog de Internet Security Auditors: Crónica GigaTIC 2017: "Más allá del futuro: Negocio, tecnología y robótica"

Escrito por Internet Security Auditors | May 4, 2017 4:00:00 AM


El pasado día 26 de Abril de 2017 tuvo lugar GigaTIC, uno de los eventos en materia de mejores prácticas en gobierno y gestión de servicios TIC de referencia, y consolidado en la capital catalana. El evento fue organizado por itSMF España en Catalunya e ISACA Barcelona.

La jornada contó con la apertura institucional, a cargo de Jordi Puigneró (secretari per a la Governança de les Tecnologies de la Informació i la Comunicació). A continuación, se inició la tanda de conferencias y talleres.

Adrià Morron con “ Revoluciones tecnológicas en el siglo XXI: impacto económico y retos sociales”, nos expuso una visión histórica de los sucesos más significativos con importante impacto económico (véase aparición de la máquina de vapor, el ferrocarril, la 2ª revolución industrial etc.). Actualmente, la situación es muy distinta. Se producen avances o revoluciones tecnológicas, pero el impacto de éstas no es el mismo a nivel económico.

Así pues, se intenta analizar el futuro, principalmente teniendo en mente la aparición, instauración y consolidación progresiva de los robots en los puestos de trabajo.  Si estás leyendo este artículo, probablemente te estés preguntando si tu trabajo podría ser reemplazado por un robot. Obviamente, es una pregunta muy compleja, en la que intervienen no uno sino múltiples factores, pero es cierto que algunas profesiones son más propensas a ser “robotizadas”.  A continuación, y a modo de ejemplo a muy alto nivel, se muestra el riesgo de automatización según empleo:

Si se analiza el gráfico anterior, se puede llegar a la conclusión de que los trabajos que son más susceptibles de ser ‘robotizados’ son aquellos con un grado de repetición más elevado.
Además, se debe tener en cuenta que los salarios elevados son los que tienen un menor riesgo de automatización. Los salarios medios son propensos a ser robotizados, de forma que los trabajadores que pierden el trabajo por dicha situación, se ven desplazados hacía lugares de trabajo con menor calificación, produciéndose un incremento de las desigualdades.

La segunda conferencia estuvo a cargo de Antonio Valle, con “ Un BOT en la vida del Service Manager”. Cómo un robot crea el nexo de unión entre ITSM y DevOps.

Se analizó una situación actual, que se puede dar en cualquier empresa. La diferencia está en si la situación se gestiona de una forma tradicional o en si se utiliza DEVOPS como herramienta de soporte.

Vamos por partes, la situación a analizar es la gestión de un incidente. La gestión de un incidente grave conlleva que múltiples trabajadores estén involucrados en su gestión y resolución. El contenido de las llamadas telefónicas no queda registrado, la información de configuración se tiene que localizar y consultar, del mismo modo que el estado de las máquinas. Una vez determinada la raíz del problema y resuelto el incidente, la gestión de este aún no finaliza, queda por documentar todo lo sucedido, manualmente.

Pero, ¿qué puede aportar DevOPS? Con la implementación de un ‘robot’, o en términos más correctos, un ‘bot’ que participe en la conversación, se puede obtener asistencia en:
  • Ejecución de tareas no cognitivas y repetitivas, como por ejemplo las siguientes:
    • Creación automática de un chat room.
    • Inserción de tema y descripción.
    • Invitación de empleados que se ven afectados por el incidente sucedido.
    • Dar información del estado y los detalles del ticket.
    • Modificar y cerrar el ticket.
    • Facilitar información sobre las personas de contacto.
    • Facilitar información sobre los problemas y cambios relacionados.
    • Facilitar información de la base de datos de conocimiento.
La lista de tareas puede ser muy extensa, simplemente se muestran unas cuantas a modo de ejemplo.
Los beneficios que se obtienen con la utilización de un bot en la gestión de incidentes anteriormente analizada son múltiples. La comunicación fluye con más facilidad, y todo lo que se sucede en el chat room queda registrado. Además, la velocidad o el tiempo de actuación es menor, dado que directamente se puede crear un chat con todo el personal afectado y responsable de su resolución, sin tener que dedicar tiempo en buscar las personas que pudieren tener responsabilidad, llamarlas y gestionarlas.

La estandarización en la resolución del incidente, así como la trazabilidad, son también dos factores muy importantes que se ven mejorados.

Después de una pequeña pausa, los conferenciantes se dividían en tres salas distintas.  En la sala 1 – Auditorio, se encontraba Carlos Ortiz de Zevallos, miembro de itSMF, moderando el debate “Debatiendo con… Ramón Lopez de Mántaras, Miquel Barceló y Josep Puyol – Inteligencia Artificial y Robótica: De la ficción a la realidad”. A la misma hora, Vicente Aguilera presentó, en la sala 2, “ Strength level before hacking – técnicas de evaluación de Seguridad en el software”.

Se hizo hincapié en la complejidad que tiene el SW, y en el gran entendimiento técnico que se tiene que tener para poder explotarlo.  La creación del SW seguro es un elemento muy importante, que se tiene que tener en cuenta desde un primer momento, y que debe comprender:
  • Diseño, construcción y realización de pruebas para la seguridad
  • Ejecución correcta bajo un ataque malicioso (que el comportamiento esté ‘controlado’)
  • Diseño teniendo en mente las fallas.
Además, es posible añadir una capa adicional de seguridad, mediante la implantación de buenas prácticas: OWASP, CLASP, BSMM etc.

El resto de la presentación giró alrededor de las distintas técnicas de evaluación que pueden ser utilizadas, valorando sus ventajas y desventajas. Algunas de las técnicas tratadas se listan a continuación:
  • Revisiones manuales
  • Modelado de amenazas
  • Revisión de código
  • Pentest (Prueba de Penetración)
  • Machine Learning
El Machine Learning es un campo de la inteligencia artificial que está dedicado al diseño, el análisis y el desarrollo de algoritmos y técnicas que permiten que las máquinas evolucionen. Se trata pues, de crear programas que sean capaces de generalizar comportamientos a partir del reconocimiento de patrones o la clasificación.

Se analizaron las distintas soluciones de Machine Learning presentes en el mercado, desde soluciones que analizan el código fuente, identificando la forma de código vulnerable hasta la aplicación automática de parches para solucionar vulnerabilidades (corrección automática e independiente del código).
Se constató, después de analizar las distintas soluciones de Machine Learning presentes en el mercado, que esta ‘tecnología’ ha llegado para quedarse, ya que aún tiene mucho por ofrecer.
A continuación, en la misma sala, fue el turno de Ivan Lalaguna, con “ Experiencias innovadoras en la transformación digital”.

Ivan nos mostró la evolución de diferentes proyectos en la transformación digital, haciendo especial hincapié en el factor humano, y es que la solución técnica a un problema, por muy buena que sea, no será útil si no se ha tenido en cuenta el factor humano de todos los afectados.

A modo de ejemplo, voy a exponer uno de los escenarios tratados en la presentación. El escenario evaluado trataba de la instalación de un parque eólico. Se tenía que localizar una zona que permitiera la generación suficiente de electricidad, pero, además, como se quería estar generando siempre a máxima potencia, se tuvo que idear un sistema para tener X aerogeneradores, y, en función del viento, activar o desactivar aerogeneradores para poder generar siempre a potencia máxima (y no sobrepasarla).

La implementación del SW, tenía que realizarse teniendo en cuenta la localización remota de la instalación. Se empezó con la realización del software y las posteriores pruebas, y se determinó que ya estaba listo para poder ejecutarse. Pero, un día cualquiera, el SW se desactivó, y dejó de funcionar. Se analizó lo que estaba ocurriendo, y efectivamente se había desactivado, pero activándolo de nuevo, volvía a funcionar con total normalidad, sin apreciarse ningún error o fallo.

Finalmente, los responsables del SW, cansados ya de dedicar personas y personas a revisar el código y posibles fallos que pudiera tener, decidieron monitorear manualmente el funcionamiento, para poder actuar de forma inmediata delante una desconexión de éste. Un día dado, se desconectó, y los responsables intentaron conectarse de forma remota, pero ésta también se desconectaba. ¿Cuál era el problema? El factor humano, ya que era una tercera persona quién utilizaba el ordenador bajo el cual corría el SW, y quién lo cerraba (sin saber lo que realmente estaba haciendo).

¿Qué se puede aprender de la situación anterior? Pues que no solamente se deben tener en cuenta los factores técnicos de la solución, sino toda la interacción (directa e indirecta) con humanos, también debe ser analizada y tratada debidamente.

Antes de la comida, en la sala 3, Luis Benítez realizó la presentación “ IoT: In-Security of Things”. En ella, se analizó la situación actual de este tipo de dispositivos, dejando clara una tendencia en aumento del número de dispositivos por persona.

A continuación, Luís, nos expuso tres escenarios distintos, con ‘deficiencias’ en seguridad, mostrando los problemas que pueden suceder (y que ya se están empezando a suceder).
  1. Smart TVs
    Nos mostró cómo, algunas de las TV analizadas, tenían distintas vulnerabilidades conocidas clasificadas como graves sin corregir. Se abarcó también el tema de la privacidad y la seguridad de la función ‘botón rojo’.
  2. Barra de sonido empresa X
    Es un claro ejemplo de lo que podría pasar, a medio o largo plazo, con los distintos dispositivos IoT en uso.  La barra de sonido tenía múltiples vulnerabilidades críticas, altas, medias etc. así que lo primero que le viene a uno en la cabeza es actualizarla. Hasta aquí todo bien y muy coherente. ¿Entonces, cuál es el problema? La empresa X se encuentra bajo concurso de acreedores, y ya no da soporte de sus productos.

    ¿Resultado? Tenemos un HW funcional, completamente operativo, pero que por su naturaleza (IoT) se encuentra conectado permanentemente a Internet sin tener unas medidas de seguridad mínimas, facilitando que un hacker pudiera acceder a ella.
  3. Dispositivo de control eléctrico
    El tercer escenario evaluado, hace referencia a un conjunto de dispositivos que permiten tener un control del consumo energético de una casa. Mediante el análisis de tráfico se determinó un problema muy importante, y que tiene una relación directa con lo tratado en la presentación de Vicente Aguilera, el uso de buenas prácticas.

    El SW transmite la latitud y la longitud de cada uno de los sensores, y además, envía un número identificador de dashboard (pantalla principal de la aplicación para controlar y administrar todos los sensores). Pues bien, en la información transmitida con la aplicación, se sabía no solamente el lugar exacto de los sensores (y por lo tanto de la posible víctima) sino que además se podía acceder a los dashboard de cualquier cliente mediante la modificación manual del código…
Después de la comida, en el auditorio, fue el turno de Conxi Pérez y Enric Arola con “ ¿Cómo me muevo hacia el futuro?”. Se analizó la situación actual, y la influencia que tiene la tecnología en el siglo XXI, poniendo como ejemplo la figura de embajador tecnológico creada por el gobierno de Dinamarca para actuar de interlocutor con las empresas tecnológicas. También se trató la importancia de llegar a un equilibrio entre la “ cultura1 y las “ estructuras2 de una organización, y lo importante que es involucrar a todo el equipo.  Finalmente, se analizaron los distintos tipos de organización y los estilos de liderazgo, abarcando la importancia de todo el equipo en la empresa y en los distintos roles que poseen.

A continuación, fue el turno de Robert Falkowitz, con la ponencia “ Managing the robots that manage services”. Se analizó el futuro de los robots y los cambios que podrían conllevar en las disciplinas actuales de gestión del servicio, debatiendo, por ejemplo, el impacto que podría tener si los robots fueran capaces (por sí solos) de conocer cómo han sido configurados y los cambios que se han ido produciendo en el tiempo.

Para la gestión de peticiones de servicio, se constató que los robots podrán evaluar los riesgos de una forma mucho más precisa, sin tener en cuenta todos los temas emocionales humanos, así como realizar cambios de forma rápida y efectiva, sin tener que esperar a la disponibilidad de una persona. Además, se pueden actualizar de forma automática y pueden realizar distintas pruebas de testing mucho más complejas de forma más rápida. Por si fuera poco, la transferencia de conocimiento de un robo a otro, también se produce de forma mucho más efectiva, dado que no hay un ‘tiempo de aprendizaje’.

Para finalizar la jornada, y antes de la clausura institucional, tuvo lugar un debate titulado “CDO-CEO-CIO: ¿Cómo liderar la transformación digital?” entre Sergio Martínez (Pronovias), Jordi Priu (MMM) y Benito Cerrillo (Vichy). En él, se debatió la forma en la que se debe introducir y gestionar la innovación en la organización, y en la forma de llevar a cabo la transformación digital, maximizando la involucración de todos los empleados, analizando los puntos fuertes y los puntos débiles, y haciendo frente a la aversión al cambio.

1. Cultura de una organización: Se trata de ver con el factor humano (uso de poder, dinámicas de influencia, liderazgo etc.)
2. Estructura de una organización: Conjunto de estrategias, políticas y procedimientos de una organización.

Autor: Marc de Tébar 
Dpto. Consultoría