16 minute read

el usuario

Tecnología

Último en defensa, primero en ataque: el usuario

Los ciberataques generan millones de dólares en pérdidas para las empresas.

Por: Ing. Jorge Osorio, Co fundador y Director de Servicios de Consultoría en CSI Consultores en Seguridad de la Información, Presidente del Capítulo (ISC)2 México. www.csinfo.com.mx info@csinfo.com.mx esde hace más de 20 años, los ciberataques

Dse han enfocado a encontrar los principales huecos en la infraestructura tecnológica y de comunicaciones de las organizaciones, aunque se realizan esfuerzos en capacitar y preparar a los usuarios para identificar un ataque, estos siguen sucediendo y generan millones de dólares en pérdidas para las empresas.

Para encontrar la raíz del problema, es necesario abordarlo desde diversos ámbitos:

1. El presupuesto no alcanza para programas de concientización robustos ni continuos. En la mayoría de las organizaciones se destina menos del 10% del presupuesto de seguridad de la información o ciberseguridad anual, para la ejecución de un programa de concientización.

2. Los responsables de seguridad de la información y ciberseguridad de las organizaciones, siguen apostando a mitigar los ataques, solo en la parte tecnológica y digital. La ciberseguridad y seguridad de

la información debe ser atendida de arriba abajo, es decir de la Alta Dirección hacia abajo.

Esto conlleva una responsabilidad y compromiso importante para el personal C-Level o tomadores de decisión, dado que son ellos quienes deben ser los primeros en estar interesados y comprometidos con todas las actividades que ayuden a disminuir los posibles incidentes, eso incluye por supuesto los programas de concientización.

Si solo el área de sistemas informáticos o infraestructura tecnológica se encargan de la concientización, el alcance que puede tener cualquier programa será muy reducido y probablemente falle en los objetivos.

3. La responsabilidad de la capacitación de los usuarios, recae en áreas de recursos humanos que carecen del conocimiento sobre los ataques actuales y cómo explicarlos claramente.

En el mejor de los casos, las empresas que destinan recursos para los programas de concientización, lo realizan a través de sus propias áreas de recursos humanos, sin embargo, los ciberataques se vuelven más sofisticados y complejos rápidamente, por lo que no es suficiente con los procesos de inducción y capacitación inicial con ejecuciones únicas.

Programas de concientización fallidos

Los programas de concientización en seguridad de la información y ciberseguridad, ayudan a las organizaciones a mantener a sus colaboradores capacitados y listos para prevenir y notificar cualquier posible incidente (o al menos eso deberían). Sin embargo, en la práctica, los programas de concientización terminan siendo una sesión de una hora de capacitación con un cuestionario (tipo examen) que se realiza al final de la misma. Claramente esto ayuda poco a la prevención de los ataques. El enfoque debería ser completamente práctico e integral, a través de diversas actividades que ayuden a que los colaboradores dentro de las organizaciones se involucren de forma activa, ante la detección y notificación de los posibles incidentes de ciberseguridad y seguridad de la información.

Tecnología

¿Qué es lo mínimo que debe incluir un programa de concientización?

1. Materiales didácticos: Cada persona puede aprender de distintas maneras, por ejemplo, habrá algunas que les sea más sencillo a través de una capacitación, otras que les ayude una infografía, e incluso habrá otras que les funcione algún video explicativo o incluso un meme (a través de la memética).

2. Definir capacitaciones específicas por áreas y

organigramas: Cada área tiene a su resguardo y uso, diferente tipo de información sensible, así como accesos a sistemas. Las capacitaciones deben ser diferenciadas para el personal operativo, táctico y estratégico de la organización.

3. Identificar la cultura de comunicación de la orga-

nización: Cada empresa e institución tiene un estándar de comunicación diferente, por ejemplo, en algunas se utiliza lenguaje poco formal y en otras se respetarán hasta los títulos universitarios de cada colaborador.

De la misma forma, alguna puede utilizar el correo electrónico como su principal herramienta y otra alguna plataforma como Slack, Teams o WhatsApp.

4. Medición del programa de concientización: En muchas organizaciones es común escuchar el lema “si no se mide, no sirve”, para los programas de concientización se debe medir si los usuarios son capaces de identificar, notificar y prevenir correctamente un posible incidente de ciberseguridad o seguridad de la información. Esto es posible realizarse a través de distintos simulacros, que ayuden al usuario a prepararlo para situaciones similares.

5. Constancia: Un programa de concientización debe ejecutarse todo el tiempo, es decir, los encargados del programa tienen la responsabilidad de ejecutar actividades recurrentes y periódicas que permitan la comunicación no solo un año, sino todo el tiempo, porque los ciberataques serán igual: todo el tiempo.

Sin duda alguna, el usuario es y seguirá siendo el principal objetivo (y puerta de entrada) para muchos de los ciberataques que sucederán en los próximos meses y años. Sin embargo, si logramos diseñar y ejecutar programas de concientización constantes, la cultura de seguridad de la información y ciberseguridad de la organización será más sólida y madurará con el paso de los años.

El costo beneficio

de los proyectos ferroviarios

Una mejora en las metodologías de análisis costo-beneficio de proyectos ferroviarios, representa una oportunidad para pensar realmente a futuro.

Enrique Guillermo Prieto

Flores, Director General de Key Capital, SAPI de C.V. https://www.linkedin.com/ in/enriqueprietoflores/ @EPrietoFlores http://www.keycapital.com.mx/ contacto@keycapital.com.mx Cualquier proyecto, en este caso particular los de infraestructura ferroviaria, nace con una idea. General o preferentemente, la idea estaría soportada en varias piezas de información que harían pensar de manera preliminar, que existe una necesidad de construir cierta infraestructura que potencialmente mejoraría las condiciones existentes o la problemática de una ciudad, región, habitantes o que de forma simple reduciría los tiempos de traslado de personas o mercancías, representando ahorros para las empresas y personas.

Para llevar a cabo dicho proyecto, se tendría que pasar por varias etapas, que van desde la validación de esas hipótesis de posibles beneficios para la sociedad, hasta la asignación de un presupuesto, su construcción y, eventualmente su puesta en marcha. Naturalmente, bajo el supuesto de que los beneficios son mayores a sus costos, y también que esa relación beneficio-costo es mejor que la de otros proyectos en un contexto de recursos limitados y de restricciones presupuestales.

Es así como debiéramos pensar que el génesis de un proyecto ocurre en el momento en que se valida que el proyecto de manera efectiva traerá más beneficios que los costos que representará desarrollarlo. Esta conclusión se logra con la elaboración de un ejercicio llamado Análisis Costo Beneficio o ACB, en el argot de la industria.

Historia

En el libro sobre historia del pensamiento económico de Agnar Sandmo, se remonta la historia del Análisis Costo Beneficio hacia 1848, cuando Jules Dupuit, un economista e ingeniero civil, hizo un cálculo para determinar la rentabilidad social de un proyecto, como la construcción de un camino o un puente. Para esto, Dupuit encontró que la mejor manera de evaluar la utilidad sería analizando la disposición que la gente tendría de pagar por ese proyecto, demostrando así que la utilidad podría ser medible.

Richard Hammond, publicó en 1966 un artículo donde decía que el uso formal de los ratios beneficio-costo se venían usando desde la Rivers and Harbor Act de 1902, y que se hicieron explícitamente obligatorios en la enmienda que tuvo esta Ley en 1920.

Wayne Parsons, en el libro Políticas Públicas, en su recuento histórico sobre el Análisis Costo Beneficio, dice que fue a partir de 1936 cuando surgió este tipo de análisis, gracias a la Ley de Control de Inundaciones de los Estados Unidos de América. Los autores coinciden en que este análisis fue introducido por el Cuerpo de Ingenieros del Ejército de los EUA, que buscaba identificar proyectos donde los beneficios fueran mayores a los costos. Los autores Farnham y Guess, indican que este análisis empezó a ser ampliamente utilizado en los 60’s, bajo la administración del presidente Lyndon Johnson y sus programas sociales conocidos como Gran Sociedad, que buscaban involucrar activamente al gobierno federal en la lucha contra la pobreza, creación de empleos, oferta de educación y entrenamiento.

Es así como el análisis costo-beneficio se adoptó en los 60’s para ser parte del sistema formal de planeación y programación de presupuestos en las agencias federales en EUA. Si bien este tipo de sistemas de planeación desapareció en los 70’s, pero el análisis costo-beneficio sobrevivió.

La teoría

Los costos y los beneficios son conceptos que derivan de la teoría económica y tienen que ver con la asignación eficiente de recursos, buscando hacer el mejor uso de los recursos limitados de una sociedad. Un proyecto es eficiente cuando sus beneficios o el monto total que la gente estaría dispuesta a pagar por él, son superiores a sus costos, estableciendo así un costo de oportunidad.

A su vez, estas teorías provienen de la economía del bienestar, una rama que pretende evaluar las políticas públicas y la asignación de recursos de cara al bienestar social. Es aquí donde se liga al análisis costo-beneficio con el italiano Pareto, a partir de quien se hace la definición de eficiencia de Pareto, que es aquella donde ya no es posible mejorar la situación de un individuo sin empeorar la situación de los demás. La crítica a Pareto es que esta optimización no necesariamente hace una distribución socialmente deseable de los recursos e ignora la igualdad o el bienestar del conjunto de una sociedad.

Por lo anterior, se tuvo que incorporar el concepto de bienestar en el análisis, a la manera de Kador y Hicks, donde una política mejoraría el bienestar si los beneficiarios de esa política pueden compensar a los perjudicados por la política, y aún así estar mejor que o por lo menos no peor que, lo que estarían sin la implementación. Es aquí de donde se desprenden las metodologías que se emplean en México para elaborar el Análisis Costo Beneficio de un proyecto, ya que para realizarlo, se debe analizar la situación actual y posteriormente hacer una comparación de la situación sin el proyecto y con el proyecto, para identificar si realmente se está mejor en esta última situación.

Marco regulatorio

El análisis costo-beneficio está prescrito en diversas partes de nuestra legislación. Surge desde nuestra Constitución Política, ya que establece en su artículo 74 que la Cámara de Diputados será la que aprobará anualmente el Presupuesto de Egresos de la Federación y dicho presupuesto sería presentado por el Ejecutivo Federal a más tardar el 8 de septiembre de cada año y se aprobaría a más tardar el 15 de noviembre del mismo año.

La Constitución dice también en su artículo 126, que no podrá hacerse pago alguno que no esté comprendido en el presupuesto. Es relevante citar que el artículo 134 de la Constitución dicta que los recursos económicos que dispongan los gobiernos de todos los niveles se administrarán con eficiencia, eficacia, economía, transparencia y honradez para satisfacer los objetivos a los que estén destinados.

Surge así la Ley Federal del Presupuesto y Responsabilidad Hacendaria, para regular los artículos anteriormente citados, en materia de programación, presupuestación, aprobación, ejercicio, control y evaluación de los ingresos y egresos públicos federales. Es en esta Ley donde encontramos en su artículo 34 que, para destinar recursos a programas y proyectos de inversión, se debe seguir cierto procedimiento que se sintetiza a continuación:

I. Contar con un mecanismo de planeación de las inversiones, que establezca necesidades de inversión e identifique programas y proyectos susceptibles a realizarse en el futuro.

II. Presentar a la SHCP la evaluación costo y beneficio de los programas y proyectos de inversión. La Secretaría establecerá la manera de hacerlo.

III. Registrar cada programa y proyecto de inversión en la cartera que integra la Secretaría.

IV. Los programas y proyectos registrados serán analizados por la Comisión Intersecretarial de Gasto Financiamiento, la cual determinará la prelación para su inclusión en el proyecto de Presupuesto de Egresos, así como el orden de su ejecución. Se observarán los siguientes criterios:

a) Rentabilidad socioeconómica b) Reducción de la pobreza extrema c) Desarrollo Regional d) Concurrencia con otros programas y proyectos de inversión.

Este proceso tiene varios detalles muy importantes. Por ejemplo, aquí identificamos claramente la necesidad de elaborar un análisis costo-beneficio para demostrar que los proyectos generarán beneficios sociales y sean así, susceptibles de ser registrados en los Programas y Proyectos de Inversión en Cartera de la Unidad de Inversiones de la Secretaría de Hacienda y Crédito Público1 . Este registro en la Unidad de Inversiones es la conditio sine qua non para que el proyecto sea evaluado y se le puedan asignar recursos del Presupuesto de Egresos. Se identifica que la SHCP dispondrá en el Reglamento de la Ley los términos de la evaluación, y que podría ser dictaminada por un experto independiente. Ya que en el Reglamento de la Ley se identifican varias disposiciones relacionadas con esto. En el artículo 43, se dice que la SHCP emitirá unos lineamientos2. En el artículo 45 se establece que se deberá demostrar que los proyectos son susceptibles de generar por sí mismos beneficios netos para la sociedad, bajo supuestos y parámetros razonables.

Es decir, que los beneficios son mayores que los costos, independientemente de cuál sea la fuente de recursos con los que se financien. Encontramos también en el Reglamento, en el artículo 52, que los registros en la Cartera de Inversión tendrán una vigencia de tres años y se tendrán que actualizar con un nuevo análisis costo-beneficio. Finalmente, algo muy importante en el artículo 53 del Reglamento, es que los proyectos deberán contar también con un análisis de factibilidad legal, técnica, económica y ambiental, antes de que se inicie el procedimiento de contratación de la obra.

La oportunidad

El Centro de Estudios para la Preparación y Evaluación Socioeconómico de Proyectos “CEPEP”, es un organismo de apoyo de la Secretaría de Hacienda y Crédito Público para la elaboración de metodologías y guías para la evaluación

socioeconómica de proyectos. Este Centro ha publicado varias metodologías que se siguen para evaluar todo tipo de proyectos.

Cuando se analizan las metodologías relacionadas con proyectos carreteros, podemos sintetizar que entre los costos que habría que considerar en el análisis estarían: la inversión, costos de mantenimiento, costos de operación, costos por molestias y las reinversiones. Por el lado de los beneficios podemos enumerar: el beneficio de la reducción de los tiempos de traslado y costos de operación vehicular, la disminución de tiempos de traslado para los pasajeros del transporte público, ahorro de costos de operación y mantenimiento, disminución de emisiones contaminantes al medio ambiente, valor de rescate de las unidades a reemplazar o cuya vida útil ya se cumplió y el valor de rescate.

En el caso de los proyectos ferroviarios, las metodologías son muy similares, pero el problema es que omiten detalles muy importantes, especialmente del lado de los beneficios a considerar, que se hacen evidentes cuando se comparan con otras metodologías internacionales3. Por ejemplo, otros países incluyen todas las oportunidades de monetización en el lado de los beneficios, como lo son todos los cargos que se pueden cobrar por el servicio. Incluyen también los beneficios de una menor congestión de las carreteras por el incremento del servicio ferroviario, además de los beneficios de un menor costo de mantenimiento de los sistemas carreteros por el menor uso de tracto camiones y vehículos en general.

Se incluyen también temas como la confianza en el servicio, entendida como la predictibilidad y dependencia que se puede tener en la puntualidad ferroviaria; temas como la seguridad del servicio ferroviario, menos accidentes, muertes y que es más seguro para transportar materiales peligrosos; reducción de emisiones de CO2, partículas PM, Sox, NOx o VOCs; economías de aglomeración y productividad, que tienen que ver con los beneficios de la concentración espacial de la actividad económica; la resiliencia o capacidad del sistema ferroviario de enfrentar mejor los impactos adversos del clima, temblores y otras amenazas.

El beneficio de menores niveles de ruido; el beneficio que concede el transporte ferroviario para incrementar la conectividad del empleo, la educación, los servicios, el desarrollo de la fuerza laboral, la revitalización de comunidades de bajos ingresos, con discapacidades, mayores o de minorías, etc.

Es aquí donde encontramos una oportunidad para actualizar las metodologías de evaluación para que incluyan otros

tipos de beneficios, que lleven a posicionar a los proyectos ferroviarios en un lugar privilegiado sobre otros proyectos de transporte.

Si bien la COFECE reclama una necesidad de mayor competencia en el sector, la realidad es que para lograrlo se requieren mayores inversiones en infraestructura, y para que esto pueda suceder, los proyectos ferroviarios deberían tener una mejor prelación respecto de otros proyectos de transporte como los carreteros.

Si bien, hablando en kilómetros, los proyectos ferroviarios son proporcionalmente más caros que los carreteros, ofrecen muchas otras ventajas que no están siendo capturadas en el análisis costo-beneficio, de tal manera que se les considere prioritarios respecto a otros proyectos y se les reconozca su superioridad en beneficios sociales.

La priorización del autotransporte es lo que llevó a desmontar y abandonar tantos kilómetros de vías en nuestro país, que hoy serían tan útiles para ofrecer opciones de transporte masivo de personas o de mercancías, en muchas ciudades de nuestro país y entre ellas también. Tan solo en la Ciudad de México, piense en las vías que recorrían Avenida Revolución, Avenida Chapultepec, Calzada de Guadalupe hasta La Villa, Avenida Insurgentes, y la irónica avenida llamada Ferrocarril de Cuernavaca, entre muchas otras. Una mejora de las metodologías de análisis costo-beneficio de proyectos ferroviarios, representa una oportunidad para pensar realmente a futuro y para que hagamos las inversiones que más beneficios dejarían a nuestro país.

“Dime cómo mides y te diré cómo me

comporto”, es una frase atribuida a Eliyahu Goldrat, el creador de la Teoría de Restricciones, y que viene muy bien para esta ocasión. Si no cambiamos la manera de evaluar a los ferrocarriles seguiremos privilegiando tráfico, contaminación, accidentes, bloqueos, tráileres de doble remolque, altos costos, subsidios y muertes.

Referencia:

1 Los Programas y Proyectos registrados se pueden consultar en: https://www.secciones.hacienda.gob. mx/work/models/sci/cartera_publica/#/busqueda 2 Los Lineamientos para la elaboración de los análisis beneficio se pueden encontrar en: https://www.gob.mx/shcp/documentos/ lineamientos-para-elaboracion-y-presentacion-de-los-analisiscosto-y-beneficio-de-los-programas-y-proyectos-de-inversion 3 Por ejemplo la del estado de Nueva York para proyectos ferroviarios, que se puede consultar en: https://www. dot.ny.gov/divisions/operating/opdm/passenger-rail/ passenger-rail-repository/FRA%20Benefit-Cost%20 Analysis%20Guidance%20for%20Rail%20Projects.pdf

This article is from: