¿Cómo debe ser la relación entre la estrategia de las organizaciones y la gestión de los proyectos de ciencia, tecnología e innovación?


A continuación, se describe cómo se percibe por el autor la relación entre la estrategia de las organizaciones y la gestión de proyectos de ciencia, tecnología e innovación – CTeI en adelante. Inicialmente se contextualiza sobre la época actual donde la constante es el cambio. Se definen los conceptos de estrategia, gestión de proyectos y la ciencia, tecnología e innovación. Finalmente, se propone cómo debería ser dicha relación, ventajas, desventajas y se deja un interrogante en la conclusión, abierta a la discusión.

Introducción

En estos tiempos de modernidad líquida en donde la constante es el cambio (Bauman, 2012), las organizaciones se enfrentan a un entorno con las variables VUCA – Volatilidad, incertidumbre (uncertainty en inglés), Complejidad y Ambigüedad. La adecuada articulación entre la estrategia organizacional y los proyectos de CTeI, es clave para la identificación oportuna de estos cambios; ya sean externos, como amenazas y oportunidades o al interior, como las fortalezas y debilidades, en otras palabras, desarrollar la ambidestreza organizacional. Posteriormente, estos cambios se pueden convertir en proyectos para crear productos y/o servicios con más alto valor agregado, lo que conlleva a que sean innovaciones incrementales, radicales o disruptivas en el mercado, que permitan mejorar la experiencia de los usuarios, consumidores y/o clientes, así como el desarrollo económico de los países en vía de desarrollo, como Colombia.

El concepto de la estrategia

El concepto de estrategia se usó desde el ámbito militar, desde hace aproximadamente 2500 años (Sun Tzu). En el contexto organizacional, se empezó a usar en 1960 como respuesta a los cambios del entorno para reducir riesgos y potencializar oportunidades del futuro (Sanabria, 2007). Existen múltiples definiciones de este concepto. Una de las más clásicas, es la de Chandler (1962), precursor del pensamiento estratégico, que lo define como: “la determinación de metas básicas de largo plazo y objetivos de una empresa, la adopción de cursos de acción y la asignación de recursos necesarios para alcanzar estas metas.” Por otro lado, una definición más contemporánea para un contexto más competitivo es la de Porter (1980), donde señala: “La estrategia empresarial define la elección de los sectores en los que va a competir la empresa y la forma en que va a entrar en ellos; la estrategia competitiva consiste en ‘ser diferente’. Ser diferente significa elegir deliberadamente un conjunto de actividades diferentes para prestar una combinación única de valor”.

El concepto de la gestión de proyectos

Para empezar, definamos lo que es un Proyecto. De acuerdo con el PMBOK (PMI, 2008) un proyecto es “un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único”. En cuanto a la gestión o dirección de proyectos, es un enfoque gerencial de aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades del ciclo de vida de proyecto. Este ciclo puede tener diferentes alternativas como el predictivo o clásico, incremental e iterativo, adaptativo o ágil y finalmente, los mixtos (ISOTOOLS, 2018). En términos generales, hace referencia a la etapa de la preinversión, ejecución y operación o en metodologías tradicionales como la del PMI, a las fases de la planificación, ejecución, el cierre, control y seguimiento del proyecto. En este ciclo de vida, dependiendo del enfoque metodológico: tradicional, ágil o híbrido, pueden cambiar las técnicas y herramientas. Por ejemplo, actualmente, las metodologías ágiles como SCRUM, KANBAN o su combinación -SCRUMBAN-, están ganando terreno en sectores de la Industria diferentes a Tecnología o Desarrollo de Software, debido principalmente a la entrega oportuna de valor y esto ha llevado a que sus principios, valores y/o prácticas, han sido incluido en las guías para directores de proyectos de metodologías tradicionales, como el PMBOK, versión 6. Finalmente, un estándar internacional que las organizaciones pueden adoptar para la gestión de proyectos es la ISO 21500, dado a las mejores prácticas que describe para los directores de proyectos, tanto principiantes como experimentados.

Gestión de los proyectos de ciencia, tecnología e innovación – CTeI.

La Ciencia, la Tecnología y la Innovación son elementos cruciales para la transformación de los sistemas sociotécnicos (Schot & Steinmueller, 2018). Por consiguiente, teniendo como premisa que la empresa es la unidad básica del desarrollo económico, es imperativo que éstas formulen y gestionen proyectos de CTeI que contribuyan a tener externalidades positivas, tanto económicas, como sociales y ambientales. Lo anterior, no solo en el país de la casa matriz sino también en los territorios internacionales de sus filiales, en caso de ser una empresa transnacional o multinacional. En un contexto globalizado, como el actual, es clave usar una metodología para gestionar los Proyectos de CTeI. Una de las metodologías más usadas en los proyectos de CTeI de cooperación internacional, es el Marco Lógico o MML. Dicha metodología se originó en la década de 1970 por iniciativa de la Agencia para el Desarrollo Internacional de los Estados Unidos (AID). Según la OCDE, la MML es una herramienta que se utiliza para mejorar el diseño de las intervenciones, más frecuentemente a nivel del proyecto. Comprende la identificación de elementos estratégicos (insumos, productos, efectos e impacto) y sus relaciones causales, indicadores y supuestos o riesgos que pueden influir en el éxito o el fracaso. En Colombia, otro referente a tener en cuenta para la gestión de proyectos de CTeI, en términos de requisitos, es la Norma Técnica Colombiana – NTC 5802. Según esta norma, una de las características que diferencia de los proyectos de ciencia, tecnología e innovación – CTeI, o de investigación, desarrollo e innovación – I+D+I, con otro tipo de proyectos, es su alto nivel de incertidumbre y riesgo, ya que pueden diferenciarse de sus objetivos iniciales y al final puede ser igualmente valioso (NTC 5802).

Relación entre la estrategia de las organizaciones y la gestión de los proyectos de CTeI.

Actualmente, dado el nivel tan alto de incertidumbre y a los acelerados cambios del entorno, las organizaciones deben ser ambidiestras. La ambidestreza organizacional permite explotar capacidades actuales mientras simultáneamente explora nuevas oportunidades de mercado (Raisch et al., 2009). Un mecanismo para lograr esta ambidestreza son los proyectos. Estos proyectos no necesariamente “deben”, porque no es una obligación, pero si “deberían”, a modo de recomendación, estar alineados con la estrategia de la organización. Lo anterior, porque es factible que muchos de estos proyectos de CTeI, se creen con el objetivo de replantear la estrategia o buscar nuevos horizontes en donde la organización pueda llegar a nuevos nichos de mercado o incluso a sectores diferentes en los que actualmente comercializa sus productos o presta sus servicios. Por otro lado, para lograr la articulación entre la gestión de proyectos y la estrategia organizacional, es clave tener implementado un sistema de gestión de I+D+i y una oficina de proyectos – PMO, donde se gestione el portafolio, en cascada y de forma adecuada, con sus respectivos programas, proyectos e iniciativas innovadoras. En síntesis, el sistema I+D+I y la PMO, se convierten en el puente entre la estrategia y el mercado o las necesidades y problemas de los clientes, usuarios, consumidores actuales y de los prospectos o arquetipos de los nuevos negocios.

Entre las ventajas de la gestión de proyectos de CTeI y en concordancia con la NTC 5802, es que “contribuyen a situar a las empresas y organismos que realizan este tipo de proyectos en una posición adecuada para afrontar los nuevos desafíos que surgen en un mercado cada vez más competitivo y
globalizado.” Adicionalmente, en Colombia, se tienen beneficios o incentivos tributarios para la organización y los miembros de los equipos del proyecto. A nivel de las organizaciones permite recuperar un porcentaje en el retorno de la inversión – ROI – de las actividades del proyecto relacionadas con la Investigación y Desarrollo – I+D. A nivel del talento humano, permite descontar un porcentaje en la declaración de renta, así como el conocimiento y reconocimiento por su contribución con la ciencia y la tecnología.

Entre las desventajas de la gestión de proyectos de CTeI, es que, debido a su nivel tan alto de incertidumbre o riesgo, muchos de estos no logran sus objetivos o pueden incluso, desviar la estrategia de la organización por horizontes no deseables, con impactos negativos en lo financiero, reputacional, entre otros. Para mitigar estos riesgos, es recomendable tener las 4Ps del marco de referencia ITIL, es decir, Procesos, Productos, Personas y Partners, idóneos y articulados, para hacer ejercicios de vigilancia, inteligencia competitiva y prospectiva tecnológica e investigación básica que permita identificar oportunidades y amenazas del entorno, de manera de que las organizaciones tomen como insumo esta información o conocimiento para realizar proyectos de investigación aplicada que permitan, posteriormente, crear desarrollo experimental de soluciones innovadores, en donde se satisfagan, de una forma más efectiva, las necesidades de los clientes o se mejore la experiencia del servicio. Finalmente, como lo que no se mide no se puede controlar, es indispensable tener indicadores que evidencien los resultados de estos productos innovadores y cómo contribuyen al crecimiento económico de la empresa, así como también a la generación de valor, desde lo social y ambiental, a todas las partes interesadas.

Conclusión

En definitiva, la relación entre la estrategia de las organizaciones y la gestión de los proyectos de CTeI, no “debe” pero si “debería” mantener una estrecha relación para lograr esa ambidestreza organizacional que permita explotar las capacidades al interior de la empresa así como explorar nuevas oportunidades en el mercado. Para lograr este alineamiento estratégico es clave tener un sistema de I+D+I y una PMO con una adecuada gestión de portafolio. Esta relación puede traer ventajas, como afrontar nuevos retos de una forma oportuna y a su vez desventajas como la posibilidad de desviar la estrategia o no generar externalidades positivas de la innovación desde lo económico, social y ambiental.

En última instancia y para generar discusión, se dejan los siguientes interrogantes:

  1. ¿La gestión de portafolio es el mecanismo más efectivo que permite la relación entre la estrategia organizacional y la gestión de programas y proyectos? Ver imagen:
Fuente: PMI Chile. Disponible en: https://www.pmi.cl/pmi/direccion-de-portafolios-carteras-de-proyectos-un-enfoque-ejecutivo/

2. ¿Auditoría Interna debería evaluar no solo procesos y proyectos, sino también la estrategia de la organización, el sistema I+D+I y la gestión de portafolio?

3. ¿Una organización sin una relación o articulación entre la estrategia, el portafolio/los programas/proyectos y el sistema I+D+I, podría ser sostenible en este entorno VUCA?

By JOGA

Machine Learning en Seguridad Digital


Inteligencia Artificial
Fuente: Hardzone

La automatización ha permeado, para bien o para mal, muchos aspectos de nuestra vida cotidiana. Para bien, porque le podemos dejar a los robots, físicos o de software, para que se encarguen de tareas rutinarias o repetitivas mientras que el ser humano aprovecha su potencial para hacer actividades que requieran más análisis o creatividad. Para mal, porque este tipo de tecnología puede dejar sin empleo a muchas personas (a la fecha de este post el promedio de los países miembros de la OCDE es de 6.2% – Colombia es tercero con 13.70% [1]) y aumentar los riesgos cibernéticos; por ejemplo, la posibilidad de que accedan ilegalmente a la información o a la privacidad.

En el contexto organizacional, existen diferentes aplicaciones o usos de tecnologías que ayudan a la automatización de los procesos inteligentes – IPA, por sus siglas en inglés. Van desde los conocidos Sistemas de Gestión de Procesos de Negocios – BPMS en inglés, que por medio de sus flujos estandarizan las actividades, pasando por la automatización de tareas con la ayuda de robots de software como RDA y RPA, Chatbots y asistentes virtuales, hasta llegar a la Inteligencia Artificial, en donde se encuentra el Machine Learning.

El Machine Learning – ML en adelante, traducido al español como “aprendizaje de maquina”, hace referencia a una rama de la inteligencia artificial en las ciencias de la computación o informática que mediante algoritmos permite que los equipos de cómputo puedan, entre muchas otras aplicaciones, procesar e identificar patrones en grandes volúmenes de datos, con el objetivo de realizar predicciones o detectar comportamientos anormales. En el siguiente diagrama de Venn, podemos evidenciar que Drew Conway define el Machine Learning como la intercepción entre habilidades de computación y los conocimientos en matemáticas y estadística.

Diagrama de Venn sobre Ciencia de Datos según Drew Conway.

Es en este último punto de comportamientos anormales es donde se ha evidenciado más aportes del ML en la seguridad digital (también mal llamada seguridad informática, seguridad de la información, ciberseguridad y/o ciberdefensa).

Entrando en materia, algunas de las aplicaciones o usos del ML en seguridad digital son en la detección y prevención de intrusos, detección de phishing, spam, programa malicioso (malware), entre otras. Ver la siguiente imagen.

Fuente: aplicaciones de Machine Learning en Seguridad Digital. [2]

Para poner en práctica estas aplicaciones de Machine Learning en Seguridad Digital existe una librería libre (open source con licencia BSD) en Python llamada scikit-learn [3], que nos permite “jugar” con estos algoritmos dependiendo del problema a resolver. El punto más crucial es saber cuál de todos usar, pues si bien es importante conocer la fórmula matemática del algoritmo o la técnica y su funcionamiento, en la industria se deben conocer también herramientas y TIPS o condiciones para resolver el problema o satisfacer una nueva necesidad.

Una forma de seleccionar el algoritmo de ML es categorizando el problema. Como prerrequisito se recomienda tener más de 50 datos de muestra. Si queremos predecir una categoría cuantitativa, entonces podemos usar algoritmos de regresión (por ejemplo, el nivel de riesgo de un activo de tecnología), pero si tenemos los datos etiquetados, se recomiendan algoritmos de clasificación (por ejemplo, si un archivo es o no malicioso). Por otro lado, si lo que queremos es predecir un conjunto de grupo de datos, por ejemplo, para recomendar al usuario final que tome una decisión, podríamos optar por algoritmos de clustering. Finalmente, si lo que se requiere es simplificar, reducir o comprimir datos, podemos usar algoritmos de reducción de la dimensionalidad. Ver la siguiente imagen:

Fuente: Scikit-learn algorithm cheat-sheet
Nota: los círculos azules son los criterios de evaluación y los rectángulos verdes los algoritmos de Machine Learning posibles a seleccionar.

En definitiva, existen múltiples aplicaciones de los algoritmos de Machine Learning a la Seguridad Digital, principalmente en la seguridad defensiva para detectar intrusiones, malware, spam, phishing, entre otras amenazas informáticas que tienen una tendencia alcista debido a que las conexiones de dispositivos a Internet también aumentan – véase IoT. Por otro lado, es de aclarar que el camino que proponen los autores de la librería scikit learn para seleccionar un algoritmo de Machine Learning no es una formula única, porque dependiendo de la complejidad del problema, del conjunto de datos (Datasets en ingles) o la automatización a realizar, es posible que se requiera explorar con más de un algoritmo o usar la técnica de “prueba-error” para ver cuál aproximación o modelo se adapta mejor a las necesidades o incluso usar otras ramas de la inteligencia artificial como el reconocimiento de imágenes o el procesamiento de lenguaje natural (PLN).

Finalmente, comparto un video del Instituto Nacional de Ciberseguridad de España – INCIBE para aprender un poco más de Machine Learning aplicado a la Seguridad Digital.

Fuente: INCIBE.

Referencias:

Obtención de credenciales de administrador en infraestructura Microsoft


Una de las oportunidades de mejora o hallazgos que se pueden identificar en una auditoría de tecnología y especialmente en el ámbito de seguridad informática o ciberseguridad, es la obtención de información sensible a nivel de recursos compartidos en la red. Por ejemplo:  credenciales de los usuarios, es decir, el usuario y contraseña para autenticar servicios digitales. Este tema se vuelve más crítico dependiendo de los privilegios o permisos que tengan las credenciales capturadas y si están en texto plano. Dentro de los privilegios altos, están las cuentas de administrador local de los equipos de un dominio o implementados en una infraestructura tecnológica de Microsoft.

El presente post, muestra un procedimiento para capturar por medio de una vulnerabilidad o funcionalidad de Microsoft en los servidores controladores de dominio, las credenciales en texto plano de un usuario administrador local. Cabe aclarar que es posible encontrar contraseñas de otro tipo de cuentas. Por ejemplo: cuentas técnicas que usen aplicaciones o servicios de la organización.

Escenario: Se debe tener acceso previo a un equipo conectado a un dominio de Microsoft y credenciales básicas de acceso a la red.

Posibilidad de ocurrencia: Alta. (Existen herramientas o código fuente libre que usa esta clave privada para descifrar las credenciales)

Impacto: Alto. (Ej. Se puede acceder a cualquier equipo de cómputo del dominio como administrador local)

Nivel de riesgo: Alto.

Herramientas usadas: Comandos de Windows y GP3Finder.

En la carpeta SYSVOL de los servidores controladores de dominio de Microsoft, existen contraseñas cifradas de diferentes cuentas de usuario (ej.  La cuenta del administrador local u otras de dominio). Sin embargo, debido a que Microsoft publicó la clave privada AES, es posible descifrar las contraseñas y obtenerlas en texto plano, sin importar su complejidad.

Procedimiento:

  1. Mapear la carpeta SYSVOL en el controlador de dominio usando el comando NET USE.

net use * "\\controladordominio\SYSVOL" /persistent:no

2. Ingresar a la letra en que se mapeó la ruta de la carpeta SYSVOL, para este ejemplo, la letra T. Luego, se puede digitar el comando «dir» para verificar el acceso y listar los archivos o carpetas del directorio mapeado en dicha unidad de red.

Contenido del directorio SYSVOL

3. Ejecutar el comando para buscar la palabra clave “cpassword” en los archivos XML y exportar el resultado a un archivo plano.

findstr /si cpassword *.xml > D:\resultadoCpasswd.txt

NOTA: El campo “cpassword” es el que contiene la clave de administrador local cifrada en AES.

4. Verificar la creación del archivo plano (para el ejemplo, en la partición de disco con la letra D) y proceder a abrirlo con un editor de texto plano (ej. Notepad ++).

Resultado comando búsqueda de «cpassword».

5. Copiar el valor cifrado de la contraseña, ejemplo: “rCc3lGRv402Rc99vL5cLO4UgbhOWn6EOnUfhHMoeSxY” y enviarlo como parámetro al programa GP3Finder, que tiene la clave privada en AES-256 de Microsoft, para descifrarla.

Contraseña en texto plano descifrada.

Finalmente, probar que la contraseña sea válida para el usuario que se encontró en el archivo Group Policy Preferences – GPP.

Cabe aclarar que existen otras formas de explotar esta vulnerabilidad de una forma más automatizada, como por ejemplo desde Metasploit usando «post/windows/gather/credentials/gpp» o con PowerSploit usando «Get-GPPPassword«, entre otras, sin embargo, publico esta forma porque fue como en el momento de la auditoría se hizo la prueba y funcionó.

Recomendaciones para mitigar este riesgo:

  • Actualizar y ajustar la línea base de seguridad para los servidores controladores de dominio, en lo que respecta a las directivas de seguridad de grupo (GPO) y otras mejores prácticas, como las que publica el Center for Internet Secuirty (CIS) para sistemas operativos Windows Server. 
  • Instalar los parches de seguridad del boletín MS14-025 liberado por Microsoft, en los controladores de dominio para prevenir que los administradores agreguen contraseñas en las GPP. 
  • Evaluar la posibilidad de eliminar las políticas GPP que cuentan con credenciales almacenadas, evitando que sean visibles. 
  • Considerar la necesidad de controlar el acceso al archivo Groups.xml, así como correlacionar este tipo de evento de acceso denegado y generar alertas para monitorizarlo. 

Como se puede ver, el procedimiento es simple pero el impacto es alto, por consiguiente, si bien esta vulnerabilidad o característica no es nueva, debido a que Microsoft publicó contra medidas y parches de seguridad desde el 2014, aún existen muchas organizaciones que desconocen o asumen el riesgo y es allí, en donde se puede materializar un incidente de seguridad de la información.

Referencias:
https://msrc-blog.microsoft.com/2014/05/13/ms14-025-an-update-for-group-policy-preferences

https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be?redirectedfrom=MSDN

https://github.com/mattifestation/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

http://www.rapid7.com/db/modules/post/windows/gather/credentials/gpp

ANEXO: Clave AES.