lunes, octubre 08, 2007

¿Seguridad Informática? ¿Se debe vender el sofá?

Seguridad, informática, física, de personal, cualquier modalidad de la que estemos hablando, no sirve de mucho sin la colaboración de todos. Si bien las organizaciones deben tener una persona, o un equipo, que esté pendiente de la seguridad, realmente se requiere una labor de concientización para que esta tarea sea realmente responsabilidad de todos.

La pérdida de un equipo de cómputo es cada día más factible. Cada día son más los empleados que tienen equipos portátiles. Estos abren nuevas vulnerabilidades a las organizaciones. Asalto en la calle, descuido en un restaurante o simplemente dejar el equipo en un medio de transporte, son tan sólo algunas de las múltiples maneras de perder el equipo.

Los empleados normalmente piensan automáticamente en el costo del equipo perdido. Generalmente este es realmente un costo ínfimo del valor total de la pérdida. Por más que se tengan al día los sistemas de respaldo, mi experiencia cuando se han perdido equipos, bien sea por pérdida física o por daños en los discos duros, es que nadie tiene backups de menos de 8 días. Los cálculos por esta vía son sencillos. Un empleado cuyo trabajo se realiza con el computador, que gane alrededor de $2’000,000 de pesos mensuales, le cuesta a una organización en promedio $6’000,000 de pesos. O sea, la semana que trabajó y de la que perdió los datos, le costó a la organización $1’500,000. Recuperar los datos que sean relevantes, le puede costar otro $1,500,000, mas el tiempo en que la persona no puede trabajar adecuadamente mientras que la empresa puede conseguir el equipo de reemplazo. A esto se le deben adicionar los costos del tiempo que el personal de la unidad de seguridad debe emplear para volver a definir y cancelar las claves de acceso, controles de red, y verificación interna a la que haya lugar. Existen programas cuya licencia está atada a la máquina, ¿cuánto valen las licencias de software que se perdieron? El equipo es asegurable, pero realmente esa no es la pérdida grande.

Por otro lado, están los costos realmente altos, que son los costos contingentes. ¿Cuánto valen los daños y perjuicios propios, en caso que la información contenida en el computador llegue a conocimiento de la competencia? ¿Cuánto vale la pérdida reputacional por pérdida de la información de los clientes que por cualquier situación se encontrara en esa máquina en ese momento? ¿Cuánto valen los daños que se les generaron a los clientes por la pérdida de la misma información? Si es robo de un servidor interno, la situación sólo se vuelve peor.

El personal a cargo de los equipos necesita tener una clara consciencia de las verdaderas implicaciones de la pérdida de los equipos, y más que de los equipos, de los datos en ellos. La pérdida de los datos se puede dar de múltiples maneras. La pérdida del equipo físico es tan solo una de ellas.

¿Qué tal la pérdida de los datos generada por eventos no relacionados con la pérdida del equipo? La entrega de las claves de acceso, el uso de redes sin los controles de seguridad, el acceso a datos corporativos desde lugares de acceso públicos son claras fuentes de posibles pérdidas, sacar copias de información interna importante para trabajarla en la casa, la pérdida de las memorias USB con cantidad de información interna, son claros ejemplos de casos en los que la seguridad interna es violada, o por lo menos, puesta en riesgo. En este último caso la solución tampoco es quitar los puertos USB, como tampoco creo en la eliminación de los programas de mensajería instantánea.

El análisis permanente de los registros de datos sobre el seguimiento de las políticas de respaldo de la entidad es una demanda clara. No se trata de pretender estar “poniéndole el ojo” a los empleados. Simplemente se trata de garantizar un menor nivel de pérdida. Eliminar el riesgo es generalmente imposible, pero sin lugar a dudas con mecanismos y políticas adecuadas se puede minimizar el impacto en caso de la vulneración del sistema de seguridad en una organización.

Es claro, en el caso de la violación de seguridad, lo de menos, son los costos por las pérdidas de los equipos. El control real se puede dar mediante la adquisición de la consciencia propia y personal y no con restricciones físicas a o de los equipos. Como decían los abuelos, “Mijo, ese problema no se resuelve vendiendo el sofá.”

martes, agosto 07, 2007

¿Perdón Señor, es usted mi cliente?

¿Qué opinará mi esposa si tras 10 o 15 años de matrimonio le llamo, y luego de una amable conversación inicial para “romper el hielo” le pregunto, perdón, tenemos algo entre los dos? ¿Le suena familiar?

Hoy precisamente, luego de alrededor de 15 años, recibo una llamada, si, quizás en el peor momento pues estaba tarde, preparándome para salir a firmar un documento importante, tras un día en el que había tenido que comprimir una semana de actividades, en el que de hecho ni siquiera había tenido tiempo de escribir esta columna. Si, una llamada del banco de quien he sido cliente por estos 15 años, y la pobre señorita del call center tenía dentro de su guión como frase de saludo algo así como: Sr. Gutiérrez, le estoy llamando del banco NN, y quisiera saber si usted es cliente nuestro. Pobre niña quizás sufrió por un momento de explosión por el estrés, y le dije que si de verdad me llamaba de mi banco, por qué estaba perdiendo el tiempo, y a la vez me estaba haciendo perder el mío. Cierto es que no era responsable de seleccionarme ni seleccionó el guión que le tocaba seguir, pero lo cierto, era un mal momento, pero es igualmente cierto que era el guión inadecuado para un cliente.

¿Qué puede haber de nuevo en el mundo de CRM (Customer Relationship Management – o Gestión de las Relaciones con los Clientes)? A medida que pasa el tiempo, las implementaciones exitosas de procesos de CRM comienzan a multiplicarse. Igualmente, la cantidad de sitios web, de Blogs y de Podcasts que tratan temas de CRM se han multiplicado. La cantidad de programas de software y servicios disponibles tanto para grandes multinacionales como para PyMes disponibles han crecido quizás tanto como los programas contables. Hoy todo el mundo tiene un software CRM a la venta, alquiler o como servicio ASP.

Sin embargo, es interesante ver cómo a pesar del paso de los años, y de las adopciones de nuevas tecnologías, su utilidad depende del interés y el deseo de las personas por utilizarlas. ¿Será que mi banco no tenía base de datos? ¿O, será que el manejo de la privacidad de la información los llevó a realizar preguntas absurdas? ¿Qué opinaría su cónyuge, pareja o si quiere, sus padres, si los desconoce en aras de no utilizar la información que de ellos usted tiene? Creo que la información que tenemos de nuestros clientes debe ser utilizada para evitar hacerles perder el tiempo, quizás el recurso no renovable más preciado que ellos tienen. Los clientes nos molestamos cuando las entidades a quienes les confiamos información privada hacen uso de ella para el beneficio de otros, no cuando esta es utilizada para generarle a uno como cliente mayor valor.

CRM no se trata de algo para mejorar la rentabilidad de uno como proveedor. El objetivo es que aprovechando el conocimiento que podamos tener de nuestros clientes podamos ofrecerle los productos y servicios que hagan más rentable el negocio de ellos en el largo plazo. En “Portafolio” del fin de semana del 4 de Agosto, Jack Welch, habla de cómo la nueva lealtad del cliente se logra en la medida en que los proveedores logremos ofrecer productos y servicios que aumenten la rentabilidad de nuestros clientes en el largo plazo. Claramente esto no se logra desconociendo a nuestros clientes, sino todo lo contrario conociéndolos.

El desarrollo de procesos para aprovechar los datos que las organizaciones hemos recolectado sobre nuestros clientes, si a través de la implementación de sistemas de CRM, tanto operativos como analíticos realmente requiere primordialmente de la participación e interés de sus usuarios. El CRM Operativo le facilita el trabajo a la niña del call center facilitándole el acceso al guión apropiado, apalancándose en la selección de ofrecimientos y guiones seleccionados mediante el uso de las herramientas del CRM Analítico. Sin embargo, nada de esto sustituye a un personal adecuadamente entrenado, con experiencia y libertad para salirse del guión ofrecido, entendiendo que los sistemas generan recomendaciones, pero estas no pueden ser camisas de fuerza para las personas que de una u otra manera entramos en contacto con nuestros clientes.

Es claro que no deseamos que nuestros datos se dispersen libremente sin nuestra autorización. Pero también es claro que lo último que esperamos de las empresas con quienes tenemos alguna relación, es que nos traten como desconocidos. ¿Perdón Sr. es Ud, mi cliente?

Algunos sitios a tener en cuenta:
www.destinationcrm.com www.crmguru.com http://www.peppersandrogers.com/

Espero sus comentarios en mi blog: http://sergiogutierrezb.blogspot.com/