¿SEGURIDAD U OBSOLESCENCIA TECNOLÓGICA?

El pasado agosto, Microsoft publicó una actualización de seguridad de sus sistemas operativos, una más, como regularmente hace.

Podía haber pasado desapercibida, como tantas, pero esta era distinta a la mayoría. Se rompía la compatibilidad con ciertos componentes del sistema operativo ampliamente utilizados. Era la materialización de un hecho anunciado, el fin de las aplicaciones desarrolladas en Visual Basic 6.0 (VB6.0)

Muchas organizaciones no se plantean una política de actualización de sus sistemas operativos, ni analizan la conveniencia o no de aplicar un nuevo parche o corrector de programas. La mayoría tiene activada la opción de actualizaciones automáticas, de forma que en algún momento las actualizaciones se descargan solas y se instalan de forma desatendida, sin prestar la debida atención a lo que realmente esta sucediendo y el impacto que estas actualizaciones pueden tener sobre la operativa y el correcto funcionamiento de nuestros sistemas.

¿Por qué Microsoft rompió esta compatibilidad? Microsoft lleva muchos años anunciando el cambio de su tecnología. De hecho, Visual Basic .NET se lanzó en 2002 como sucesor de Visual Basic 6.0. Han pasado 17 años, y tras este largo periodo de tiempo, una inmensa cantidad de bien conocidas aplicaciones empresariales siguen en el mercado sin haber realizado el imperativo cambio tecnológico. Además, debido a su facilidad de desarrollo, la mayoría de aplicaciones propias o desarrolladas a medida por una organización, siguen a día de hoy desarrolladas con la tecnología de Visual Basic 6.0.

Microsoft rompió la compatibilidad por un problema de seguridad. Constantemente se descubren vulnerabilidades en los sistemas operativos, agujeros de seguridad que pueden ser aprovechados por parte de un tercero para atacar nuestros sistemas dejándolos sin disponibilidad o comprometer la integridad del mismo, o la confidencialidad de sus datos.

La decisión fue, no la de reparar una tecnología obsoleta que seguramente hubiera supuesto igualmente un problema de compatibilidad, sino simplemente eliminar la parte que tenía el problema.

De este modo, no todas las aplicaciones desarrolladas con Visual Basic 6.0 dejaron de funcionar de golpe, pero sí que muchas quedaron afectadas y alguna determinada operativa no funcionaba. Microsoft publicó a los pocos días una nueva actualización para resolver algunos de los problemas causados, y también algunos desarrolladores buscaron alternativas para no utilizar los componentes afectados por la actualización, pero ambas son una solución temporal.

Y es una solución temporal por qué Microsoft dejará de publicar actualizaciones para Windows 2008 Server el 14 de enero de 2020. Es decir, los problemas de seguridad que se encuentren a partir de ese momento ya no serán corregidos en esta plataforma. También, y por si a alguien se le ha pasado, SQL Server 2008 ya no tiene actualmente soporte de Microsoft.

¿Alguien se ha peleado alguna vez con los objetos ActiveX en Internet Explorer? Seguro que la mayoría de nosotros, cuando intentamos cargar alguna página web, o cuando intentamos instalar un certificado digital, etc. Los objetos ActiveX forman parte de estos objetos de sistema operativo en los que constantemente se descubren agujeros de seguridad, y ante la posibilidad de una vulneración a través de Internet cuando estamos navegando “tranquilamente”, es el motivo de ir abandonando esta tecnología y sustituirla por otras que a día de hoy ofrecen unas garantías superiores. Y por ello, las aplicaciones Visual Basic 6.0 dejan de funcionar, ya que en muchas de sus operativas se basan en esta misma tecnología obsoleta por insegura.

Por cierto, que pronto dejaremos de pelearnos con los ActiveX de Internet Explorer. El fin de Internet Explorer y los componentes ActiveX es 31 de marzo de 2020.

Ante esta realidad la pregunta que debe hacerse una organización cuyos sistemas estén basados en Windows Server 2008, aplicaciones desarrolladas en Visual Basic 6.0, o Intranets que sólo funcionan con Internet Explorer, es, a partir de ahora no hacemos nada y convivimos con los riesgos de seguridad sin actualizarnos, o bien, empezamos un proyecto de modernización de nuestros sistemas.

Si optamos por la primera, debemos pedirle ya a nuestro departamento de TI o al informático que nos mantiene el sistema, que desactive las actualizaciones automáticas de nuestros equipos, decidiendo en cada caso si una actualización debe ponerse o no, y asumir que vamos a convivir con el riesgo de un potencial ataque informático, puesto que la vulnerabilidad de nuestros sistemas va a quedar más expuesta.

Algunas aplicaciones de gestión no son críticas, o no precisan de actualizaciones. Llevan años funcionando sin problemas, y si las necesidades de negocio no cambian, podemos pensar que no se requiere actualizarlas. Sin embargo, en otros casos no podemos plantearlo. Por ejemplo, un ERP o una simple aplicación de contabilidad, o una aplicación de nóminas, requieren un mantenimiento regular para adecuarse a nuevos requisitos fiscales o legales, y no actualizarlas es una opción complicada, puesto que significaría que para resolver nuevos requisitos tendríamos que optar por procesos manuales (cada vez más complicado en una administración tributaria que cada día más nos empuja a trabajar en línea con ellos) o bien subcontratar estos servicios.

Sin duda, la mejor decisión es actualizarse, y ponerse al día. Sin prisas, pero sin pausas.

Debemos evaluar nuestros proveedores de software e infraestructuras. Estar seguros de que si nuestro proveedor de ERP sigue ofreciendo una aplicación desarrollada en Visual Basic 6.0, nos a proveer una alternativa moderna en un tiempo razonable. Estar seguros que nuestro departamento de TI o nuestra informática externa, entiende y mantiene correctamente nuestros sistemas operativos, y si es precisa una actualización de nuestros servidores. Para ello, si la organización no dispone de los medios para realizar esta auditoría interna de sus aplicaciones e infraestructuras, puede contar con los profesionales externos que nos dedicamos a estas tareas de asesoramiento en TI.

En organizaciones que no hayan realizado una adecuación tecnológica en los últimos años, el cambio de tecnología puede ser un proyecto de envergadura, con un impacto considerable. No se cambia de servidores en unos días, y, sobre todo, no se cambia de ERP en unos días. Si nuestro fabricante de ERP, aplicación de nóminas, o cualquier otra aplicación empresarial no se ha puesto al día y no tenemos certeza de que vaya a hacerlo, tendremos que afrontar un proyecto que va a impactar significativamente en nuestra organización.

Una vez más, ponerse en manos de profesionales expertos va a ayudar a la organización a acometer estos cambios, de forma planificada y estableciendo una hoja de ruta de cómo conseguirlo, priorizando objetivos.

Así pues, hay que tomar una decisión. Seguridad u obsolescencia. No hacer nada no es una opción, de modo que hay que ir planteando ya cual va a ser la estrategia de nuestra organización y empezar a dar pasos para qué, de forma preventiva, nos pongamos paulatinamente al día en la tecnología que utilizamos y de la que nuestra organización cada día es más dependiente y que puede comprometer la continuidad del negocio.

F. Xavier Sala i Leseduarte, Socio Auren

CONSULTORÍA INCLUSIVA: MODELO CENTRADO EN VAE (Valor Añadido por Experiencia)

En un mundo de datos e inteligencia artificial, tiene más valor la experiencia del consultor. Esta manifestación fue el final de un debate entre expertos que se mantuvo en E-CAP (Escuela Aplicada de Consultoría) donde se dialogaba sobre el futuro de la consultoría.

La consultoría no se debe quedar en el diagnóstico o análisis de datos sino introducir inteligencia en el proceso. Y esta inteligencia procede de los marcos de interpretación que aporta la experiencia como una realidad. De que nos vale tener datos (DATOMANIA) si al final no poseemos la capacidad de general hipótesis que nos interprete la realidad. Más que estar en una consultoría centrada en el dato (lo llamaremos consultoría exclusiva) estuvimos hablando que el futuro está en la consultoría centrada en la experiencia (consultoría inclusiva).

El concepto de consultoría inclusiva debe abordar a los datos de una manera diferente. Es enorme el valor que el Big Data y la inteligencia artificial nos aporta, pero no podemos encerrarnos en nuestro propio juguete. Fundamentalmente, el dato lucha contra los estereotipos y esto es de enorme valor. Decía WITTGENSTEIN “El estereotipo es la forma primitiva de razonar” y es verdad que antes el boom de los datos vivíamos en una consultoría difusa, fruto de estereotipos de las personas y sin un verdadero hilazón con lo empírico. Debemos estar satisfechos por la enorme evolución que significa la visión más digitalizada de la consultoría con datos ciertos.

No obstante, el valor del dato puede hacer caer en la redundancia por la profundización en el análisis. Estamos observando una excesiva prolongación en el área de análisis que es muy interesante pero olvidando que el valor no está en el dato sino en la inteligencia que se desprende del dato. Este tipo de consultoría donde los Comités de Dirección están llenos de curiosos datos sobre su estrategia, sobre su cultura, sobre su personal, sobre sus clientes, etc., nos da una visión amplia de la realidad, es lo que llamamos una consultoría extensiva. Tenemos a golpe de click multitud de datos, pero a veces sin contestar a las preguntas más interesantes el ¿por qué? Y el ¿para qué? de dichos datos.

Precisamente, teniendo el enorme valor de tantos datos es más importante la capacidad de creación de hipótesis. La experiencia razonada es la verdadera fuente para sacar ideas que puedan expresarse en una hipótesis, y, por tanto, podemos aplicar la lógica científica para comprobar su validez. La experiencia es la madre de la ciencia, decía mi profesor de Psicología Experimental en la Facultad, y a renglón seguido decía, pero la experiencia es el padre de los estereotipos, es decir, la experiencia genera ideas para interpretar la realidad, pero si no utilizamos los datos para comprobarlo no deja de ser meros estereotipos que no sabemos si son verdad o no.

En este sentido, debemos conjugar la experiencia con la ciencia para obtener una consultoría que permita reconocer inteligencia en los datos. El reconocer esquemas mentales de tu sector, introducir maneras sociales que históricamente han influido en los datos, reconocer la psicología de los actores que intervienen en la dirección y multitud de otras características, hacen importante a la experiencia para plantear hipótesis con sentido ante la multitud de datos que nos aporta el Big Data.

Sin duda, que la experiencia es condición previa de una buena consultoría, que se enriquece, y de qué manera, con la aportación del big data y la inteligencia artificial. No tenemos que enfrentar a la experiencia con los datos, sino experiencia + datos es una consultoría más potente.

Este es el concepto de consultoría inclusiva donde introducimos las ideas dentro de la configuración de los datos para aportar soluciones más pragmáticas y reales.

La consultoría inclusiva implica valorizar la experiencia como ecosistema ideacional para saber interpretar mejor la multitud de datos que hoy día tenemos. Por ejemplo, hoy día hay multitud de influencias de los empleados sobre su felicidad, pero cuando analizamos los porqué son felices que dicen ellos nos falta saber interpretarlo, y es la experiencia razonada en este tipo de intervención que al observar a qué horas han contestados las encuestas, cuando nos permite lanzar hipótesis de problemas de conciliación, y al conocer el sector y el tipo de trabajo tratas de verificar que la correlación de horas diarias de trabajo con los tipos de turnos asignados generan mesetas de infelicidad. Y con big data verificamos esta hipótesis y nos facilita proponer a la empresa que el problema no es incrementar los carteles de sonrisas en las oficinas, sin más bien cubrir el sistema de asignación de turnos. Con este ejemplo pretendo evidenciar la importancia de la experiencia y su inclusión como elemento clave de la consultoría.

Al final, la consultoría debe tener en cuenta los datos y la experiencia, pero si es verdad que frente a la facilidad de ser consultor con la tozudez de los datos es más difícil influir desde la sutileza de la experiencia. No debemos olvidar que la consultoría es un oficio de lectura diversas pero convexas para añadir el valor recibido en tu intervención. Sin duda, hay que apoyarse en el big data pero dotarle no sólo de su valor heurístico y sin no de valor integrativo. Pero es volver a lo clásico no vale el análisis sin la síntesis y la síntesis sin el análisis. De aquí el concepto más holístico de la consultoría inclusiva donde el valor de la experiencia haga más importante a los datos obtenidos. Hay que derribar los estereotipos, incluso los estereotipos “cientificoides” que podemos caer en el uso de los datos. La experiencia es el antídoto para describir la realidad solo con datos, sin tener en cuenta la hipótesis de dar sentido a los datos caerás en el panteísmo de la datamania. Y para acabar una frase de STEPHEN HAWKING que demuestra como su experiencia de científico puede destruir estereotipos humanos: “Habiendo seres vivos tan poco parecidos en la tierra, como una mariposa de una ballena, se antoja una casualidad inasumible que en la inmensidad del universo los alienígenas se parecerían tanto a nosotros” ¿Cuántas casualidades se basa en datos sin experiencias?, el saber de un científico como Hawking nos hace replantear nuestra búsqueda de vida allende de la tierra, porque buscamos alienígenas humanos cuando lo más seguro es que sean otras materias y otras naturalezas.

¿Por qué la consultoría de datos debe olvidar la experiencia? Ya saben la experiencia es la madre de la ciencia.

F. Javier Cantera Herrero, Presidente AUREN-BLC

¿Qué son los Ataques BEC?

Según un reciente estudio realizado por ISACA, los tres principales tipos de ataque que sufrieron las empresas durante 2018 son el phishing, malware y ataques de ingeniería social.

El BEC o Business Email Compromise en inglés, es decir, compromiso del email corporativo, es un tipo de ataque basado en phishing que en la mayoría de los casos implica también ingeniería social y en algunos casos también malware. Principalmente consiste en que un ciberdelincuente se hace pasar por un ejecutivo e intenta hacer que un empleado, cliente o vendedor transfiera fondos o información confidencial al atacante. Habitualmente también es conocido como el “Fraude del CEO”, y aunque éste sea el escenario más habitual, hay distintas modalidades.

En general, el BEC termina con un fraude o estafa en el que el objetivo principal suele consistir en lograr realizar transferencias no autorizadas de fondos a favor de los atacantes, es decir, el fin es puramente económico. Las empresas susceptibles de ser potenciales víctimas son aquellas que utilizan las transferencias bancarias como su método común de pago y cobro.

Según el Internet Crime Complaint Center del FBI, también conocido como IC3, la estafa BEC continúa creciendo y evolucionando, afectando tanto a pequeñas, como medianas y grandes empresas a nivel mundial. Entre diciembre de 2016 y mayo de 2018, hubo un aumento del 136% en las pérdidas globales identificadas. La estafa ha sido reportada en los 50 estados de EEUU y en 150 países y en base a las quejas de las víctimas presentadas ante el IC3 y las fuentes de las entidades financieras, se constata que se han enviado transferencias fraudulentas a 115 países.

Los destinos de las transferencias fraudulentas suelen ser bancos asiáticos, en países como China y Hong Kong como principales, aunque Inglaterra, México y Turquía también están siendo identificados como nuevos países destino para esas transacciones.

Según el FBI hay cinco escenarios principales relacionados por BEC:

  • Estafa del proveedor
    • El objetivo es una empresa que trabaja con proveedores extranjeros. En este escenario la empresa víctima tiene una larga relación comercial con un proveedor. El atacante suplanta a éste y solicita transferir fondos para el pago de una factura a una cuenta alternativa distinta a la habitual.  La solicitud puede hacerse por teléfono, fax o correo electrónico y en el caso del correo electrónico se falsificará la dirección del correo e imagen corporativa del proveedor para que sea similar al real.
  • Fraude del CEO
    • Algún Directivo de una compañía (CEO, Director Financiero, etc.) recibe o inicia una solicitud de transferencia mediante su correo electrónico corporativo. En este caso habitualmente la cuenta puede haber sido falsificada o hackeada. Esta solicitud se hace un segundo empleado dentro de la empresa que generalmente es responsable para procesar estas solicitudes. En algunos casos, aunque mucho menos habituales, la solicitud de la transferencia bancaria se envía directamente a la institución financiera con instrucciones para enviar fondos urgentemente un cierto banco dando una razón aparentemente legítima.
  • Suplantación de comunicaciones comerciales
    • Un empleado de una cierta empresa, habitualmente del departamento de ventas o facturación ve comprometida su cuenta de correo personal.  A partir de la lista de clientes de la empresa y lista de contactos del empleado se enviarían solicitudes de pago de facturas a clientes pero dirigidas a nuevas cuentas bancarias controladas por los estafadores. En este caso es posible que la empresa no se dé cuenta de las actividades fraudulentas hasta que algún cliente se pusiera en contacto con esa empresa para hacer un seguimiento del estado de un pago de factura.
  • Suplantación de abogados
    • En este escenario el modo de actuación es que los estafadores generalmente se identifican como abogados o representantes de bufetes de abogados e indican estar involucrados en un caso muy sensible representando a la compañía. Este contacto puede hacerse por teléfono o correo electrónico y el atacante suele presionar a las víctimas para que actúen rápida o secretamente para llevar a cabo una transferencia rápida de fondos en concepto de provisión o adelanto de los gastos de representación. Este tipo de estafa BEC puede ocurrir al final del día hábil o la semana y se sincronizará con el cierre semanal de las instituciones financieras internacionales.
  • Robo de datos
    • Las solicitudes fraudulentas se envían utilizando el correo electrónico comprometido de un Directivo. Los destinatarios habituales suelen ser personal del departamento de recursos humanos, de contabilidad o de auditoría interna con el fin de obtener listados con información de datos personales de empleados y directivos, salarios, roles o funciones o información financiera, de impuestos o contable. Habitualmente son un paso previo a otro tipo ataque BEC y se utiliza para obtener información corporativa para que el ataque con objetivo económico tenga más probabilidades de ser exitoso. Éste es el tipo de ataque suele ser el más difícil de suele detectar.

El funcionamiento de una estafa BEC inicia con la investigación de la empresa objetivo. Un atacante examinará la información disponible públicamente sobre su empresa desde su sitio web, comunicados de prensa e incluso publicaciones en redes sociales. Igualmente se obtendrá información de los nombres y títulos oficiales de los directivos de la compañía, su jerarquía corporativa e incluso planes de viaje o agenda a partir de respuestas automáticas por correo electrónico o mediante ingeniería social usando llamadas a la secretaría o recepción haciéndose pasar por un contacto lícito.

El atacante intentará obtener acceso a la cuenta de correo electrónico de ese directivo o empleado mediante ataques por fuerza bruta, ingeniería social, etc. Si lo consigue, para no ser detectado, lo habitual es definir ciertas las reglas de la bandeja de entrada para redirigir los correos o cambiar la dirección de respuesta en los envíos para que cuando se ejecute la estafa, el ejecutivo no sea alertado.

EL método más habitual es el email spoofing o lo que viene a ser lo mismo crear un correo electrónico con un dominio falso, pero que parezca una dirección de correo electrónico legítima y así se engaña a la víctima para que piense que proviene de alguien que no lo hizo.

Por ejemplo, el atacante podría usar nombre.apellido@empresa_ejemplo.com en lugar de nombre.apellido@empresaejemplo.com, o nombre.apellido@empresaejemplo.org en lugar de nombre.apellido@empresaejemplo.com.  Si no presta mucha atención, es fácil dejarse engañar por estas pequeñas diferencias.

Después de obtener cierta información corporativa durante algún tiempo, el atacante probablemente tendrá una buena idea de los escenarios de estafa que podrían funcionar y podrá elaborar un escenario convincente que requiera la transferencia inmediata de fondos y ejecutar un ataque.

En un próximo artículo continuaremos tratando del BEC y veremos los mecanismos y consejos para protegernos de este tipo de ataques e incluso con ayuda de empresas especializadas, tal y como hacemos desde la División de Seguridad de Auren, para simular este tipo de ataques en las compañías y así concienciar y formar tanto a usuarios como a los equipos de respuesta y técnicos y responsables de seguridad de la entidad. 

José Miguel Cardona Pastor, Socio de División de Seguridad de la Información – Auren Consultores

Josemiguel.cardona@mad.auren.es

 

?¿AUDITORÍAS ENERGÉTICAS O ISO 50.001?

En este nuevo año laboral que comenzamos en septiembre, se cumplirán cuatro años de la publicación del RD 56/2016 y muchos de nuestros clientes volverán a confiar en nosotros para realizar las auditorías energéticas a las que obligaba dicho Real Decreto. Otros, en este tiempo, han implantado con nosotros un Sistema de Gestión de la Energía según la ISO 50.001. Pero la pregunta que surge es ¿qué les conviene a nuestros clientes?, ¿qué diferencias existen entre estas opciones?

En una sociedad con un modelo de desarrollo en el que se consume una gran cantidad de energía, es necesario cambiar a un modelo de desarrollo sostenible que promueva el uso de energías renovables y que fomente el ahorro y la eficiencia energética.

En este sentido se desarrollan en Europa unas Directivas que buscan alcanzar los objetivos de reducción de emisiones de CO2, reducción del consumo de energía primaria, y el aumento de la contribución de energías renovables al consumo. Estas Directivas se trasponen en nuestro país mediante RD como el RD 56/2016, que traspone la Directiva 2012/27/UE relativa a la eficiencia energética en lo referente a auditorías energéticas, proveedores de servicios y auditores energéticos y promoción de la eficiencia del suministro de energía.

Por otro lado, el consumo de energía es un factor clave para la sostenibilidad de las organizaciones. Un consumo energético ajustado y acorde a las necesidades reales permite a las organizaciones alcanzar una mejor gestión y ahorro de costes manteniendo el confort. Ante esta situación, se hace necesario implantar Herramientas de Gestión Energética que nos ayuden a lograr un uso eficiente de la energía, contribuyan a reducir costes asociados, y mejoren los costes operativos.

Con esta filosofía en mente y sabiendo que el ahorro energético se traduce inmediatamente en ahorro económico, parece que lo lógico es realizar una Auditoría Energética que nos muestre la foto del estado actual de nuestra Organización, que analice en profundidad los consumos energéticos y que nos indique las mejoras a realizar para conseguir ese ahorro energético, más allá del mero cumplimiento normativo, que, por otro lado, es perfectamente licito que esta sea la motivación.

Una vez que conocemos el punto de partida, el estado actual, el paso lógico es implantar un SGEn basado en la ISO 50.001, y certificarnos. La certificación nos proporcionará además el plus de distinción que otorgan este tipo de sellos, cada vez más demandados por proveedores, clientes y licitaciones públicas. Desde el punto de vista de la energía, el implantar un SGEn nos hará trabajar de manera continua en el tiempo para buscar el ahorro y la optimización de nuestra instalación. Cada año deberemos implementar mejoras que optimicen el Sistema y buscar la mejora continua. El propio sistema implica a la Alta Dirección y al resto de usuarios de la instalación que deberán conocer la política energética y la guía de buenas prácticas, entre otros. El mantenimiento del Sistema consigue que se realice el seguimiento de las medidas implementadas, al contrario que la Auditoría Energética que adolece de este seguimiento al estudiar solo un momento puntual en el tiempo. Desde este punto de vista, el SGEn es un éxito por sí mismo en el objetivo de conseguir la eficiencia energética.

El hecho de tener implantado un SGEn o un Sistema medioambiental, como la ISO 14.001, y siempre que se haya partido de una Auditoría Energética inicial, exime de repetir éstas cada cuatro años. Por lo que implantar la ISO 50.001 presenta también esta ventaja.

Entonces, ¿por qué no se produce ese paso lógico entre Auditorías y 50.001 en nuestros clientes?

La respuesta es sencilla si nos atenemos al coste de las dos opciones. Si la Organización no tiene una motivación de mejora energética, cualquiera de las dos opciones se traduce en un gasto que hay que asumir una vez cada cuatro años, en el caso de las auditorías, o una vez al año durante cuatro años en el caso de la ISO 50.001. Además, las Organizaciones están hastiadas del enfoque que tradicionalmente se daba a los Sistemas Normalizados, con un auditor exigiendo cumplimentar documentación que evidenciase acciones que pudieran cumplir con los puntos de la norma. Por ello, este tipo de clientes va a elegir sin duda la realización de una Auditoría Energética cada cuatro años.

¿Qué aconsejamos a nuestros clientes?

Desde AUREN INGENIERÍA ofrecemos un equipo de ingenieros expertos en eficiencia energética que pueden adaptarse a las necesidades del Cliente y a su elección: realizamos auditorías energéticas e implantamos y mantenemos SGEn como la ISO 50.001. Además, trabajamos de forma conjunta con nuestros compañeros de SISTEMAS NORMALIZADOS para ofrecer un Sistema de Gestión Integral que englobe la ISO 9.001, 14.001 y 50.001, aprovechando las sinergias entre los sistemas y ofreciendo servicios globales de asistencia técnica propios de una firma de servicios profesionales como AUREN.

Sara García Jiménez, Gerente Consultoría Auren

El concepto “Pronto Moda” y la individualización masiva

“Pronto Moda” es un concepto que encaja totalmente con el principio de la Individualización Masiva. Es la aplicación al sector moda de sus postulados.

¿Qué DEFINE AL MODELO PRONTO MODA?

COLABORACIÓN GLOBAL CLIENTE – PROVEEDOR

En el entorno actual de mercado, la importancia de un proveedor radica en el servicio a tiempo, precio, facilidades de pago, la calidad del bien o servicio adquirido y el desarrollo de nuevos productos. Son en éstas donde se centran las ventajas competitivas de los mismos.

Los posibles clientes son muy reducidos y tienen un gran poder de decisión sobre el proveedor, no existiendo compromisos a largo plazo.

Esta colaboración, pasa, entre otras, por compartir gran cantidad de información, y, muy importante, aunar esfuerzos en la fase de diseño de producto, donde las aportaciones del cliente son las más relevantes y siguen, en muchos casos, las directrices que marca éste.

MODELO MULTI SOURCING (multi proveedor)

Este modelo parte de los principios del “modelo de sourcing”. Va mas allá, en concreto en la externalización de ciertos productos o servicios a un “pool” de proveedores, balanceando, operación a operación, los criterios competitivos básicos definidos en el apartado anterior (nivel de servicio, precio, facilidades de pago, calidad). Se da el caso que un mismo producto se externaliza a más de un proveedor, incluso en el mismo periodo de tiempo. Gran espectro de proveedores para los mismos productos. De esta forma, la empresa no está “atada” en sus decisiones.

Para un proveedor, el número de clientes a los que abastece es muy reducido.

LANZAMIENTO EN EL “ÚLTIMO MINUTO”

Este término se refiere a la creación de productos genéricos o configurables, fácil y rápidamente diferenciables una vez conocida la demanda del cliente. La meta de estos artículos que se lanzan en “último momento” (cuando la demanda es “muy conocida”) es establecer una alta flexibilidad de respuesta a los cambios en los componentes del producto y a los cambios generales en la demanda. El objeto de esta tecnología es reducir al mínimo la necesidad de pronosticar, tanto en necesidad de materias primas como en capacidad de producción y planificación de inventarios.

FABRICACIÓN “AGIL”

Consiste en flexibilizar el proceso productivo para responder a las necesidades inmediatas de acuerdo a una constante interacción con el cliente directo, haciendo los productos reconfigurables para atender las necesidades futuras de la demanda. Se dice que la empresa por medio de la fabricación ágil deja de vender productos para vender soluciones consiguiendo copar las expectativas del cliente.

ECONOMIA PRO-CONSUMIDOR

La masificación esta siendo reemplazada por la individualización y esta, a su vez, por la individualización masiva. En la coyuntura de negocios nueva, el cliente esta estrechamente relacionado con el proceso de producción y está exigiendo ser tenido en cuenta de forma individual, con sus gustos y sus deseos totalmente satisfechos. El hecho de que cada vez sea más fácil comparar entre las diferentes ofertas hace que los fabricantes deban idear nuevas ventajas competitivas duraderas e innovadoras, y estas nacen de los deseos insatisfechos del demandante.

Esto genera una explosión en el número de referencias que maneja la empresa, la inmensa mayoría con ciclos de vida muy cortos. El ciclo de vida de un artículo de Pronto Moda es muy inferior al llamado artículo de “temporada”.

INMEDIATEZ

Si tenemos en cuenta la digitalización económica y la disponibilidad de información en tiempo real, la capacidad de respuesta inmediata es una variable fundamental en el éxito o fracaso de las empresas. Una innovación deja de serlo en un plazo no mayor de tres meses, siendo copiada, superada o sustituida por la competencia.

Un artículo nuevo no es fuente de ingreso garantizada durante mucho tiempo. Los lotes productivos son ajustados a demanda temporal, siendo, en la inmensa mayoría de casos, reducidos. Estamos entrando en una época donde la empresa debe funcionar en tiempo real, con una capacidad de cambio, innovación y ajuste a las nuevas condiciones debido a la inmediatez de la información.

BAJA FIDELIDAD DEL CLIENTE

A medida que la gama de productos aumenta, se incrementa él número de proveedores y la fuerte competencia obliga a variaciones rápidas de precio y producto, el consumidor con acceso ilimitado e inmediato a la información esta siendo cada vez menos fiel.

La demanda se dirige hacia aquel fabricante que ofrezca las mejores condiciones en el instante, sin existir un compromiso a largo plazo entre cliente y proveedor.

Guillermo Giménez Gualde, Socio de Auren Consultores

Los Ayuntamientos en el cumplimiento de los 17 Objetivos de Desarrollo Sostenible

La Agenda 2030 de la ONU es un llamamiento a la acción global, que requiere de una implicación activa de los gobiernos locales para alcanzar sus 17 Objetivos de Desarrollo Sostenible (ODS) de forma exitosa.

La incorporación de los ODS en el funcionamiento de las administraciones públicas locales no sólo redundará en conseguir dichos objetivos sino también a la mentalización, sensibilización e implicación de los ciudadanos.

La formulación de los 17 Objetivos y sus 169 metas, está ayudando a normalizar y homogeneizar políticas de desarrollo en los organismos públicos bajo una meta común, aunque se parta territorialmente de diferentes realidades económicas y sociales. Además, por su carácter dimensional de desarrollo sostenible tiene un gran encaje en las actuaciones que se pueden realizar a nivel local, siendo más del 80% de ellas funciones que desarrollan en España las administraciones locales.

Los ayuntamientos cuentan con competencias directamente relacionadas con los 17 ODS, y ya sea de forma directa o indirecta la influencia de sus políticas e intervenciones se reflejan en una serie de indicadores que constatan el cumplimiento de los Objetivos. Algunos de esos indicadores locales por Objetivos son los siguientes, según la SDSN de la ONU:

ODS 1 Fin de la Pobreza: Ratios locales de desigualdad de renta y presupuestos sociales.

ODS 2 Hambre Cero: Indicadores locales de precios de alimentos y ayudas.

ODS 3 Salud y Bienestar: Esperanza de vida, mortalidad infantil, y ratios de muertes por tipos de enfermedades y accidentes.

ODS 4 Educación de Calidad: Población según nivel de estudios, matriculaciones por estudios y presupuestos dedicados a educación.

ODS 5 Igualdad de Género: Brechas de género en población activa, pensiones, salarios, tasa de desempleo, así como violencia de género y paridad de cargos electos municipales. 

ODS 6 Agua Limpia y Saneamiento: Balances de ingresos y gastos en gestión del agua, y precios en abastecimiento de agua y saneamiento.

ODS 7 Energía Asequible y No Contaminante: Demanda de energía y gastos sobre renta, reducción de gastos en alumbrado público, energías renovables y calidad del suministro.

ODS 8 Trabajo Decente y Crecimiento Económico: Tasas de desempleo general, juvenil y de larga duración, accidentabilidad laboral y PIB local.

ODS 9 Industria Innovadora e Infraestructuras: Comunicaciones móviles y de fibra óptica, empleo en el sector, I+D+i y patentes solicitadas.

ODS 10 Reducción de las Desigualdades: Desplazamiento al trabajo, dependencia por edad, concentración de altos ingresos, Índice Gini e integración laboral de discapacitados y extranjeros.

ODS 11 Ciudades y Comunidades Sostenibles: Áreas verdes y de ocio, acceso a la vivienda, resiliencia y vulnerabilidad urbana, transporte sostenible, y concentraciones de NO2, O3 y partículas PM10.

ODS 12 Producción y Consumo responsables: Reciclaje de papel, envases, vidrio, y recuperación de residuos.

ODS 13 Acción por el Clima: Tasas de emisiones de CO2, productividad del ecosistema y riesgo de inundaciones.  

ODS 14 Vida Submarina: En su caso, calidad de las aguas de baño, superficie artificial relativa, ocupación del dominio público marítimo-terrestre y superficie de costa protegida.

ODS 15 La Vida de Ecosistemas Terrestres: Zonas naturales, espacios naturales protegidos, y zona verde artificial y arbolado urbano.

ODS 16 Paz, Justicia e Instituciones Sólidas: Blanqueo y tráfico de drogas, homicidios y asesinatos, Índice de Transparencia Municipal ITA, participación electoral y violencia a menores.

ODS 17 Alianzas para Lograr Los Objetivos: Proyectos de cooperación y desarrollo, redes nacionales, y solidez y autonomía de la institución municipal.

Estos 17 ODS no tienen carácter de obligado cumplimiento, pero si son necesarios para unificar un compromiso político con la sociedad, tanto a nivel local como global. Siendo los ayuntamientos los principales impulsores por proximidad al ciudadano, y pudiendo elaborar planes estratégicos municipales que conecten con los ODS, en el que se implique a todo el personal municipal para informar, sensibilizar y difundir los beneficios del proyecto.

La constitución de los nuevos ayuntamientos tras las elecciones del 26 de mayo tiene ante sí una oportunidad única, la de trabajar todos bajo unos mismos objetivos que poseen un amplio consenso y aceptación mundial. Trabajando tanto individualmente como en red con otros entidades locales y supramunicipales para la consecución de los objetivos, los cuales serían muy palpables por el conjunto de la ciudadanía y, por tanto, se desarrollaría una concienciación colectiva que fortalecería la Agenda 2030 de la ONU, y alcanzar así sus 17 Objetivos de Desarrollo Sostenible.

Juan Antonio López, Socio Consultoría de Auren