El gobierno de Costa Rica busca regular el uso de la Inteligencia artificial por medio de la creación de una política pública de su uso y desarrollo.
La iniciativa nombrada Estrategia Nacional de Inteligencia Artificial (ENIA) que fue presenta hoy fue creada por el Ministerio de investigación, Ciencia, Tecnología y Telecomunicaciones (MICITT).
Costa Rica se convierte así en el primer país de Centroamérica que trabaja en un marco regulatorio para esta innovación tecnológica, la política estará vigente por 3 an̈os.
La ENIA es un instrumento de política pública diseñado para promover la adopción y el desarrollo ético, seguro y responsable de la inteligencia artificial en Costa Rica. El gobierno espera que este marco regulatorio permita que el país siga el camino emprendido por Chile, México, Brasil y Uruguaya que son las naciones latinoamericanos que más avances tienen en esta área.
Al evaluar los números del índice Latinoamericano de Inteligencia Artificial 2024, Costa Rica está estancada en la creación de empresas dedicadas a las áreas de la inteligenci artificial, apenas obtuvo 3.63 de puntaje.
Trend Micro informó que los cibercriminales generaron 7 billones de pérdidas en ciber estafas en Estados Unidos para el año 2023, y los más afectados fueron California, Florida y Texas.
Las principales formas de estafar durante este año por los ciberdelincuentes son por medio de citas online, encuestas de Walmart y envío de USPS.
Trend Micro reportó que el número de URL de phishing se incrementarón en un 50 por ciento este año solo en el periodo de octubre, noviembre y diciembre de 2002 y durante agosto, septiembre y julio de 20023 se alcanzaron más de 29 mil 784 direcciones web fraudulentas.
Y las marcas que los delincuentes informáticos usan para robar son: Microsoft, Netflix y Amazon. Los registros de la compañía especializada en antivirus y seguridad de la nube tienen una ranking de estafas para este año de acuerdo a lo registrado por sus herramientas de ciber seguridad.
Para los especialistas en implementación de normativas o estándares la decisión de elegir una en particular va depender del perfil de las empresas o las instituciones, así como de sus necesidades.
El director de servicios de riesgos empresariales de Deloitte, Andrés Casas, menciona que en ciertas ocasiones las empresas entran en confusiones pensando qué estándares pueden implementar. Debido a la diversidad que existe. Por ejemplo los hay para seguridad, desarrollo de software, entrega de servicios, marco de control, entre otros.
Asevera que las preguntas de rigor deben ser ¿Por cuál me decido? Y ¿Cuál de estos factores me genera mayor valor?
“Si es una empresa proveedora de servicios como un data center que vende espacios en servidores y los administra. Una normativa que les ayudaría mucho sería una de gestión de seguridad; pero si la compañía está orientada a una transformación tecnológica donde esté llevando un proyecto de cambio Core que tomará de 2 a 3 años lo ideal sería adoptar una que asegure que eso va funcionar”, enfatiza.
Según Casas, una vez que se tengan identificados los objetivos, el segundo paso es llevar a cabo una evaluación de lo que la organización tiene “al día de hoy”. Porque el estándar proporcionará una serie de criterios, a partir de allí se debe analizar los que se tiene implementado, y qué nivel la entidad tiene en cada uno de ellos.
Producto de esa evaluación se debe desarrollar un plan de acción con el cual se cerrará la brecha entre la situación actual que existe, la que se identificó y todos los criterios que está pidiendo la norma o le exige la nueva ley.
El producto de ese plan de proyectos en algunas normativas es tan grande que se convierte en un programa compuesto de varios proyectos, por lo cual se requerirá ejecutar una estrategia o solicitud de presupuesto, esperar la aprobación para después comenzar con la construcción del mismo. En este último punto se debe considerar tener un control sobre los objetivos de los beneficios planteados.
Para Inti Grimaldi, gerente de soporte a ventas de PBS, obtener una certificación por sí misma no garantiza tomar ventaja de una normativa y aprovecharla al máximo, porque el reto no consiste en ganar la certificación como se aprueba un examen final y el estudiante ya no sigue estudiando porque allí terminó todo.
Él es de la opinión que el desafío y el verdadero éxito se logra durante el mismo proceso y su correcta implementación, de esta forma en la medida que las personas miembros de la organización sientan el orgullo y la satisfacción que logran a nivel laboral sus objetivos individuales, y sobrepasan sus metas como organización y tienen una cultura ordenada, la certificación de un estándar no será un logo más dentro de la marca de la compañía o un eslogan nuevo para un valla publicitaria o anuncio en el periódico.
Marco Ulate, gerente de procesos de negocios de GBM, aconseja que las organizaciones tengan claro que las normativas que van implementar tengan sentido de negocio, no es raro encontrar firmas que adoptan alguna en particular porque es lo que está de moda, también advierte que deben considerar que poner alguna en uso requiere de un esfuerzo e inversión, así como evaluar cuál es el valor que va a agregar a su negocio.
Ulate detalla que hay dos razones principales por los cuales las empresas o instituciones adoptan un estándar. Una de ellas, es porque es un requisito por los clientes para que puedan aceptar la prestación de sus servicios, de manera que les exigen que implemente una en particular. Y la otra, es porque desean obtener un mayor nivel de excelencia, productividad y competitividad en el negocio.
Para Ulate se debe considerar qué normativa será útil y traerá beneficios. Menciona que hay dos razones por las cuales debería ser adoptado un estándar, una porque es un requisito exigido por el cliente para ofrecerle un servicio o por una ley específica, y la otra es para buscar un mayor nivel de excelencia, productividad o competitividad del negocio sin que eso implique una exigencia del mercado.
El experto de GBM detalla que implementar una norma exigida es una forma para que la empresa se posicione mejor versus que otra que no la tiene. Por ejemplo, algunos bancos por cuestiones legales necesitan asegurar que sus proveedores de servicios de tecnología operen con ciertas normas que garanticen el adecuado cumplimiento del servicio que se les otorga.
“Porque si no se logra demostrar que los procesos del proveedor operan de conformidad con lo exigido por esas normas, las instituciones bancarias no podrían contratar dichos servicios. Es en estos casos donde la adopción se convierte en un factor crítico de éxito cuando son requisitos de los clientes”, comenta Ulate.
En el caso de normativas que están relacionadas con alcanzar niveles de excelencia, productividad o competitividad no es un factor crítico inmediato de éxito, pero si lo podría ser a largo plazo. Si realmente esa norma va posicionar a la compañía de una mejor forma en el mercado.
Sobre el dilema de hasta qué punto es válido o necesario implementar normativas en una empresa o institución, Padilla menciona que hay algunas que tienen estrategias de trabajo en temas como procesos de gestión y medición de calidad pero que no tienen adoptada una normativa ISO 9000, y su funcionamiento no por eso deja de ser bueno.
Frank Rosich, director IT de Grupo Marta, añade que el primer aspecto a considerar es el tamaño de la organización. Porque algunas normativas como COBIT, ITIL y PMI fueron desarrolladas para las necesidades de las empresas grandes de los países del primer del mundo.
La razón del señalamiento de Rosich es que el esfuerzo y la cantidad de personal que se necesita para implementar estas metodologías son considerables y definitivamente no están al alcance de una gran mayoría de las empresas del área centroamericana.
“Si bien es cierto las empresas consultoras abogan por que estas metodologías pueden ser implementadas en cualquier tamaño de organización (incluyendo Pymes), lo cierto es que las empresas pueden perder el foco de que estas metodologías son el medio para facilitar gobernabilidad de TI y podrían caer en la trampa de convertir la documentación y los procesos sugeridos por las metodologías en el fin último de IT, de manera que descuidarían el enfoque y los recursos importantes para desarrollar su verdadero objetivo: contribuir a dar más valor a los procesos del negocio”, menciona Rosich.
Pero esto no quiere decir que las Pymes de Centroamérica no adopten algunas de las mejores prácticas de estas metodologías para mejorar muchos de sus procesos, según Rosich, y aconseja que el Chief Information Office (CIO) tiene que decidir cuáles de las mejores prácticas aplica a su negocio y cuáles no, al considerar qué procesos aportan más valor a la empresa, así como la cantidad de recursos con que cuenta.
Los estudios detallan que los sistemas de IT, en especial los datacenter, son los responsables del 2% del consumo energético. Según investigaciones de entre los inquilinos de los centros de datos se tiene puesta la mira en los servidores, como lo mayores comilones de megavatios aunque impresoras, ups, computadoras, plantas eléctricas, aires acondicionado y otros dispositivos ponen su cuota.
En 1996, el consumo de energía de los servidores representaba un gasto de alrededor de 100.000 millones de dólares, estas cifras conforme han pasado los años se han incrementado, y para 2011 la factura eléctrica alcanza los 250.000 millones de dólares.
Las cifras detallan que en 1996 la cantidad de servidores era inferior a los 5 millones. En 2011 se aproximó a los 40 millones, una situación que puso a pensar a las grandes compañías sobre el suministro de energía para mantenerlos en funcionamiento, y las nuevas instalaciones que los deberán de albergar
Las empresas que se adelantan a las predicciones futuras buscan implementar estrategias y mecanismos que les permitan optimizar el consumo de energía eléctrica. Ejemplos los hay en el primer mundo, algunas han acaparado titulares de prensa como los gigantes Google y Facebook con los proyectos desarrollados en Green IT.
En el caso de la empresa dueña del buscador más famoso del planeta, desde hace 10 años implementa políticas de reducción de consumo energético en su centro de datos, en particular con sus servidores, presume de ser uno de los mejores en sustentabilidad porque la ingesta de energía es cinco veces menor en comparación de los data center tradicionales. Google incluso tiene sus sedes cerca de centrales hidráulicas para aprovechar mejor los recursos.
Facebook la red social más importante del planeta también se ufana ante sus usuarios y el mundo entero que sus centros de datos tienen un ahorro de electricidad no menor a un 80% por ciento, gracias a que tienen un software que monitoriza el consumo de sus servidores y administra su encendido y apagado de forma automática, según lo requieran las circunstancias.
En esa búsqueda de ahorro en el consumo de energía, Facebook construyó su centro de información en Lulea, Suecia, por su clima frío que ayudará a mantener la temperatura de sus servidores y porque tiene acceso a centrales hidroeléctricas. Esta nueva sede de la red social consiste de tres edificios en un espacio que mide los 28,000 metros cuadrados fue inaugurada en el año 2014.
Los proveedores de productos y servicios del mundo IT, ni lentos ni perezosos han venido trabajando en productos y servicios tecnológicos para suplir y orientar a las organizaciones en su necesidad y afán de reducir consumo de energía y, por ende, ahorrar costos.
Frank Rosich, Director TI de Grupo Marta de Costa Rica, afirma que en el aspecto económico debe ayudar a identificar, planear e implementar proyectos estratégicos tecnológicos que diferencien y den ventajas competitivas a las empresas sobre sus competidores.
“Si el CIO se enfoca en disminuir los costos de proyectos de infraestructura (los que no dan ventaja competitiva) para destinar más recursos a los proyectos estratégicos, se notará un impacto directo en el “bottom line” de las empresas”, asevera Rosich.
Este ejecutivo considera que debe tener claro que los proyectos de tecnología tienen sentido mientras estén alineados con los objetivos y la estrategia de las empresas. Por eso uno de las estrategias es proveer las herramientas para estar un paso adelante de sus competidores, de tal forma que desarrolle un liderazgo natural dentro de la empresa.
Su función debe pasar de ser el “técnico” que soluciona los problemas que los administradores no comprenden, a convertirse en un participante proactivo, en el diseño de los planes estratégicos de las organizaciones que ayude a identificar e implementar los puntos donde la tecnología puede ser la diferencia con respecto a la competencia para obtener las ventajas competitivas que se requieren para que sea exitosa.
Para Mario Reynoso, gerente IT del Grupo Karims de Guatemala, es necesario considerar que debido a los cambios poco favorables de la economía mundial, y particular en los países de Centroamérica y El Caribe, son muchas las organizaciones en las cuales el presupuesto relacionado con TI permanece congelado o se ha reducido, y en algunos casos drásticamente. Por eso es importante, que la reducción de recursos afecte en lo mínimo el rendimiento del área dentro de la organización.
Las empresas de Centroamérica optan por implementar normativas por las tendencias y exigencias a nivel mundial, y en particular para entrar a jugar en el mercado internacional ya que si cuentan con una de ellas en su organización hay más posibilidades de hacer negocios o atraer nuevos clientes.
Los expertos en TI consideran que las normativas más utilizadas en Centroamérica son ISO 9000, BSI 25999, ITIL y aquellas relacionadas con PMI.
Inti Grimaldi, gerente de soporte a ventas de PBS, destaca que muchas compañías implementan normativas para que ayuden a mejorar sus procesos internos y generen un marco de trabajo apropiado, que a nivel corporativo provea el respaldo suficiente para que se ofrezca el mismo nivel de servicio en las diferentes sedes que tienen en otros países, donde buscan se conserven la forma estándar de los mismos procedimientos.
Ricardo M. Herrera, gerente del centro de operaciones de seguridad de Ximark Technologies, afirma que las empresas se involucran con los estándares de gestión o planificación por tres motivos principales: exigencia del cliente, ventaja competitiva y mejorar la operación interna.
Marco Ulate, gerente de procesos de negocios de GBM, asevera que lo más importante es que las organizaciones tengan claro que las normativas que van implementar tengan sentido de negocio, no es raro encontrar firmas que adoptan alguna en particular porque es lo que está de moda, también advierte que deben considerar que poner alguna en uso requiere de un esfuerzo e inversión, así como evaluar cuál es el valor que va a agregar a su negocio.
Juan Francisco Martínez, director presidente de Grupo Consisa, señala que es importante que las organizaciones centroamericanas adopten normativas, porque les permite entrar en el juego mundial.
Él no visualiza a un país de la región sin mejores prácticas porque no le permitiría estar al nivel de otras naciones donde ellas han hecho que suban a niveles más transparentes, sean más objetivos, hagan una mejor utilización de la información y de forma más segura. Por eso considera prioritario adoptar los estándares para ser competitivos.
Manuel Arrieta, director miembro de la junta Directiva de Grupo Consisa, aclara que esto no significa que todos los éxitos se obtengan con implementar un estándar, porque para él lo importantes es ocupar las mejores prácticas, y las normativas son un compendio de estas.
Pero aclara que la decisión de elegir cuál implementar va depender del perfil de empresas o de las instituciones, así como de sus necesidades.
Mario Padilla, director ejecutivo de la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones (CASATIC), menciona la importancia que las organizaciones centroamericanas cuenten con normativas porque estas herramientas son de renombre internacional y son válidas a nivel mundial.
“De manera que el hecho que las empresas o instituciones de Centroamérica las apliquen le dan un estatus y una imagen de que tienen capacidad y están al mismo nivel de las de cualquier otro país que las tenga, además que a nivel de la región les da cierta posición de ventaja con sus competidoras vecinas centroamericanas que nos las implementan”, asevera Padilla.
El director ejecutivo de la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones (CASATIC) destaca que las normativas pueden ayudar a motivar la inversión extranjera, porque las organizaciones se rigen por estándares que tienen valides en todo el mundo.
Estándares y guías para Gobierno IT
ITIL : (Biblioteca de Infraestructura de Tecnologías de la Información) El marco de mejores prácticas en la Gestión de Servicios TI representa un conjunto completo de organizaciones, herramientas, servicios de educación y consultoría, marcos de trabajo relacionados, y publicaciones.
ANSI TIA 942: Creado por miembros de la industria, consultores y usuarios, que intenta estandarizar el proceso de diseño de los centros de datos. Unifica criterios en el diseño de áreas de tecnología y comunicaciones. Se basa en una serie de especificaciones para comunicaciones y cableado estructurado, así como subsistemas de infraestructura.
EIA942: La norma describe, resumidamente, los distintos tiers. Algunos de los aspectos que determina es la infraestructura de soporte de un datacenter, entre otros.
IEEE 1471-2000: determina la organización fundamental de un sistema, representada por sus componentes, sus relaciones entre ellos y con su entorno, y los principios que gobiernan su diseño y evolución.
ISO 27001: establece principios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming. Proporciona una metodología para la implementación de la seguridad de la información en una organización
ISO27005: determina el conjunto de guías y lineamientos para el manejo y control de los riesgos en la seguridad de la información.
ISO 38500: proporciona un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información.
VAIIT: marco de trabajo para las inversiones en IT, trae principios y procesos para la administración del portafolio de TI.
RISKIT: brinda lineamientos que permiten visualizar los riesgos de IT en un negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la TI dentro de la empresa. Este riesgo consiste en los eventos relacionados con la TI que pueden potencialmente impactar al negocio. Cada evento puede ser visto como riesgo y oportunidad.
ISO/IEC 20000: define los requisitos que tiene que cumplir una organización para proporcionar servicios gestionados de una calidad aceptable a los clientes, es considerado código de procedimiento para procesos de gestión de servicios y proporciona orientación sobre la definición del alcance, la aplicabilidad y la demostración de la conformidad de los proveedores de servicios.
eTOM: (enhanced Telecom Operations Map) Modelo de administración de redes, creados por la organización Telemanagement Forum (TMF) que pertenece a la ITU, para remplazar el modelo Telecommunications Management Network (TMN) y traer un marco de procesos para la industria de las telecomunicaciones.
PMI (Project Management Institute) con su PMBok: La guía del PMBOK es un estándar en la administración de proyectos desarrollado por el Project Management Institute (PMI).Permite controlar requerimientos, incidencias técnicas y riesgos en los negocios.
COBIT 5:(Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. Utilizado para implementar el gobierno de IT y mejorar los controles de IT.
PRINCE2: (Projects IN Controlled Environment) es un método estructurado de gestión de proyectos. Considera la administración, control y organización de un proyecto.
CMMI for services: Provee una guía para ayudar a las empresas prestadoras de servicios a reducir costos, y mejorar la calidad de los servicios que prestan.
CMMI for Acquisition: Suministrar prácticas efectivas que soporten el mejoramiento del proceso de adquisición. También, permite entender las expectativas del cliente. Este modelo abarca la adquisición de soluciones técnicas.
PCI DSS elemental: El estándar tiene 6 dominios, en los que se definen 12 requisitos para construir una infraestructura confiable para el procesado de transacciones mediante tarjetas de pago.
BSI 25999: permite la gestión de continuidad de negocio. Orientación sobre los aspectos humanos de la continuidad del negocio. Esta guía apoya la continuidad del negocio como se explica en la norma BS 25999 y proporciona información adicional que los clientes han estado pidiendo.
COMTIA A+: es una certificación A+ como técnico de computadoras. Se requiere superar una prueba de hardware y una con sistemas operativos, el último se enfoca en sistemas Microsoft Windows, aunque existen certificaciones para Linux.
