Evaluación de riesgos informáticos en una Organización

Hoy en día los riegos en una organización van en aumento debido a todos agentes de amenazas que existen, ya sea en forma de malware, phising, o incluso amenazas ambientales, internas por usuarios descontentos...

Teniendo en cuenta que la información de la organización es su mayor activos, no solo basta con protegerla, debemos tener una política en ciberseguridad clara, actualizada y entendida por todos los actores de la organización. Es por ello que la evaluación de riesgos informáticos es un proceso esencial para identificar, analizar y gestionar las posibles amenazas y vulnerabilidades que podrían afectar la seguridad de la información en una organización. 

Antes de conocer que medidas podemos tomar, debemos saber que tenemos activos, que se deben categorizar. Dichos activos tienen un valor y están expuestos a amenazas. El valor y la degradación posible por una amenaza nos indica el impacto que tendría para la organización, ya sea por un evento no esperado o un acto malicioso, y esto produce el daño en un sistema o activo (hardware o software). Este impacto y la probabilidad de ocurrencia nos da el Riesgo referente a ese activo. Por ejemplo, un ataque de denegación en la página web de la organización, no solo tiene un impacto en que los usuarios no pueden acceder, sino que también genera un daño reputacional a nuestra marca, que también se puede contabilizar incluso de manera económica.

Por ellos os paso una guía paso a paso sobre cómo llevar a cabo una evaluación de riesgos informáticos:

Identificación de Activos

Es una parte fundamental. No podemos proteger lo que no conocemos. Debemos enumerar y clasificar todos los activos de información relevantes para la organización, como datos, sistemas, hardware, software, redes y personal.

Identificación de Amenazas y Vulnerabilidades

Debemos identificar que puede amenazar a nuestros activos. Una amenaza puede ser un malware, un phising, un fallo hardware en un equipo, un corte de energía, un desastre natural... Debemos conocer el grado de exposición que tenemos a esos eventos. Por ejemplo, si tengo un CPD certificado como TIER IV - Tolerante a fallos, sabemos que una exposición a cortes de energía es menor que si no lo tenemos.

Análisis de Impacto:

El impacto hace referencia a las posibles consecuencias que tendría un la ocurrencia de una amenaza. Debemos tener claro cada activo que responsabilidad tiene en nuestra organización para evaluar el impacto de un problema en el mismo.

Evaluación de la Probabilidad

Una inundación se podría producir si estamos en una zona en que hay lluvias torrenciales o pasa algún rio cercano a nuestra empresa. Si no es así la probabilidad disminuye. También debemos tener en cuenta que si disponemos de Firewall actualizado, EDR, políticas de actualización comprobadas, la probabilidad de sufrir un percance baja.

Cálculo de Riesgos:

El cálculo de riesgo evalúa la probabilidad de que pueda ocurrir y el impacto que tendría para nuestra organización. Con este cálculo, podemos conocer que sistemas son más críticos. 

En el cálculo de riesgos tenemos el cuantitativo que se calcula en base al valor del activo y la probabilidad de ocurrencia y el cualitativo que se basa en opiniones y escenarios que trazan la probabilidad de una amenaza contra su impacto:

Identificación de Controles de Seguridad:

Debemos conocer y documentar los controles de seguridad que ya tenemos para poder calcular la exposición que tenemos a los riesgos. Estos Controles son de todo tipo, desde software, hardware o incluso físico, como puede ser los permisos de acceso al CPD y como se acceder (tarjeta, huella dactilar...).

Análisis de Brechas:

En esta parte se compara los controles de seguridad con las amenazas y vulnerabilidades identificadas.

Priorización de Riesgos:

Después del cálculo de riesgos, sabemos los activos cuya impacto es mayor. Por ello debemos priorizarlo para mitigar los más críticos. Si por ejemplo aparece una nueva vulnerabilidad del servidor web y tenemos varios, sabremos el más critico y el que tendremos que prestar más atención, a lo mejor el servidor de aplicaciones se actualizará antes que el servidor de la intranet. 

Desarrollo de Estrategias de Mitigación:

Si un riesgo es un malware por falta de política de actualización, sabemos que debemos desarrollar una estrategia de actualizaciones de software. Si los usuarios vienen con sus dispositivos al trabajo e implica un riesgo, deberemos crear una política BYOD para minimizar el riesgo intrínseco de este tipo de políticas.

Monitoreo y Revisión Continua:

Si todo lo anterior lo hemos realizado, pero nos olvidamos de monitorizar y comprobar que el sistema está funcionando y está cumpliendo con lo indicado, no sirve para nada. También debemos tener en cuenta cambios en la tecnología, los nuevos vectores de ataque, cambios en la organización...

Métricas

No podemos tener un control si no podemos medir como están funcionando las medidas tomadas. Por ello debemos buscar una manera de evaluar si todas las acciones tomadas están funcionando. Por ejemplo, una métrica podría ser violaciones graves de seguridad detectadas o encuestas a usuarios sobre la normativa y procedimientos creados.

Documentación

La parte mas aburrida para algunos, pero necesaria. El documentar todo el proceso hace que la organización pueda actuar de manera más rápida y organizada antes un eventos independientemente de los responsables que lo crearon. 

Una buena evaluación de riesgos permite a las organizaciones estar más preparadas ante eventos inesperados y da seguridad y control sobre los recursos, además de identificar los activos mas importantes que quizás no seamos conscientes. Solamente queda indicar que la evaluación de riesgos es un documento para toda la organización y que deben estar implicados desde la gerencia al resto de profesionales.

Estafa de WhatsApp que comienza con un "Hola"

En la era digital, la mensajería instantánea se ha convertido en una parte integral de nuestras vidas, y WhatsApp es una de las plataformas más populares, no solo por la inmediatez, sino por la sencillez, que ha hecho que sea un programa utilizado tanto por adolescentes hasta por los más mayores de cada familia. Esto unido a la pandemia recién pasada y la necesidad de contactar con amigos y familiares hace que sea una gran oportunidad para los estafadores que buscan aprovecharse de la confianza de los usuarios.

¿Y porqué ese interés en nosotros?

Pues porque según cifras de mediados de 2023, el cibercrimen es muy lucrativo, llegando a valor global de 1 billón de dólares según fuentes de IT Reseller. Y si a esto unimos toda la información que damos sobre nosotros y la facilidad de intentar la estafa, hace que "los malos" se hayan centrado en estos canales para intentar engañar a los usuarios, sobre todo para conseguir dos cosas:

1. Controlar tu cuenta:

Para ello te indican que por error te han remitido un código de 6 dígitos y si se lo puedes enviar tipo: "Hola. Lo siento, Te han enviado un código de 6 dígitos por SMS por error. ¿Me lo puedes pasar?. Es urgente". Si lo remites tendrán el control de tu cuenta, ya que ese código de verificación llega a tu terminal y si se lo enviamos es como que les ha llegado a ellos, pudiendo manipular esa cuenta para pedir rescate o utilizarlo para otras estafas

2. Realizar una estafa

Otro método sencillo comienza con un mensaje de "hola", y se espera a la respuesta.

Si nosotros respondemos, porque nos pica la curiosidad, van a comenzar a través de métodos de ingeniería social a sacar información para engañarnos con frases tipos "¿Adivinas quien soy?". Si empezamos a dar datos, los utilizarán para hacer creer que son un familiar, amigo.. que se encuentra en el extranjero, ha tenido un problema e intentar que les enviamos dinero. Puedes utilizar el "tengo un problema con el vuelo", "me han robado el móvil y necesito comprar otro ya", "tengo problemas al facturar la maleta" y ¿Quién no ayuda a un familiar o amigo con esos problemas en otro país?.

Esta es una forma, la otra es buscando en toda la información que publicamos sobre nosotros en redes sociales. Si publico en mi Instagram que voy a pasar las vacaciones en un país exótico, podrán contactar a mis familiares con este tipo de estafa, ya que es sencillo que solamente utilice mi conexión en los hoteles con Wifi y el resto del tiempo esté sin comunicación. Como publicamos fotos de nuestra vida y conocidos, el trabajo de los ciberdelincuentes se hace más sencillo.

Los números de teléfono suelen venir de prefijos cono +256 (Uganda), +62 (Indonesia), etc.

Que debemos hacer para no caer en las estafas de WhatsApp

• Verifica siempre la autenticidad de los mensajes antes de proporcionar información sensible. Escribe al número antiguo y ten paciencia. Si es posible intenta contactar de manera teléfonica.
• Pide pruebas de que realmente es quien dice ser.
• Piensa si te indican que se ha roto el móvil, puedes indicarles que pongan la SIM en otro terminal
• No nos fiemos, sabiendo que existe esta estafa

Como consejos generales:

• Evita hacer clic en enlaces desconocidos y nunca descargues archivos de fuentes no confiables.
• Sé escéptico ante ofertas que parezcan demasiado buenas para ser verdad y verifica su autenticidad.
• Configura la privacidad de tu cuenta para limitar quién puede agregarte a grupos y controlar quién puede enviarte mensajes.
• Activa la autenticación en dos pasos en la configuración de tu cuenta de WhatsApp

En resumen, la vigilancia constante y la conciencia son esenciales para evitar caer en estafas de WhatsApp. Siempre verifica la autenticidad de los mensajes y enlaces, configura la privacidad de tu cuenta y utiliza medidas de seguridad como la autenticación en dos pasos. Mantente informado y protege tu privacidad en la era digital.

Una Consola linux online

Poder lanzar un comando de red desde un terminal es una buena estrategia para tener control de si un equipo está en pie o conectarte a un servidor. Si además lo podemos realizar online, sin mas software que un navegador, puede ser de gran ayuda para salir de un apuro, por ejemplo para verificar un servidor desde nuestro móvil, o para poder lanzar comandos con una cierta privacidad.

Para estos casos tenemos telnet-online.

Esta página nos permite manejar una consola Unix para poder lanzar comandos de red. Estos son:

• telnet <ip> <port>: conectarnos a un servidor Telnet    .
  
• ping host.com: realizar un ping a un host.      
• traceroute host.com: ver los saltos de un host a otro desde la web
  
• sha1 somestring: convertir a sha1 un texto     
• md5 somestring: converit a md5 un texto     
• idn_to_ascii: convertir a ascii un nombre internacional de dominio
  
• idn_to_utf8: convertir a ascii un nombre internacional de dominio
• whois <host|ip>: lanzar el comando whois para saber datos de un dominio o host 

 

No solo permite realizar estas acciones sino que también nos indica como poder enviar un email a través dela plataforma o realizar una llamada a una web. Para realizar estas acciones debemos teclear cada uno de los procesos, como abrir un puerto, realizar una petición GET... 

Obviamente este servicio también permite escudarnos en una web para realizar algún tipo de ataque, cosa que no se debe de hacer, si la aplicación lo detecta, parará el servicio.

Batch para Realizar un Backup de tus psts de Outlook

El correo electrónico es fundamental para cualquier usuario, pero si hablamos de una empresa, es imprescindible. Todos los días se envían múltiples correos, haciendo de este servicio un sistema fiable de comunicación y verificación de las conversaciones. Según statista en 2022 se enviaron 333,2 miles de millones de emails, con los nos podemos figurar el tráfico que genera en Internet.

El uso del correo electrónico es una necesidad, pero plantea desafíos con respecto a la seguridad, privacidad y continuidad de negocio. Algunos de estos son:

• Amenazas de seguridad: Es un vía para intento de robo de contraseñas mediante phising o infecciones de malware en el envío de ficheros o acceso a urls.
• Fuga de datos: Puede ser una herramienta para enviar información de la empresa o información privada que puede causar trastornos a la propia empresa.
• Correcta gestión del correo: Los usuario deben conocer y gestionar correctamente el correo, sino se producen perdidas de tiempo o comunicaciones erróneas que bajan la productividad de la empresa.
• Continuidad del negocio: El que el servidor de correo se caiga o se sobrecarguen los sistemas y se pare el servicio hace que el trabajo se ralentice al no contar con planes de contingencia al respecto.

Es por ello que muchas veces se debe crear un archivo de datos de Outlook (.pst) en el ordenador local para seguir recibiendo y enviando correos sin que se desborde la capacidad de nuestro sistema de correo y así tener las conversaciones archivadas. Pero que pasa si se estropea nuestro Disco Duro... pues que perdemos estos fichero .pst y con ellos los correos que se encuentran en el archivo.

Existen varias soluciones al respecto, yo hoy os muestro como de manera sencilla podéis crear un archivo batch para Windows que permite automatiza la copia de estos ficheros a otro ubicación como puede ser una NAS de manera encriptada y comprimida.

Para empezar podemos debemos crear con el propio Notepad de Windows 10 un archivo con extensión. .bat. 

Una vez creado comenzamos creando una portada acorde para dar una imagen de profesionalidad. Se puede realizar fácilmente leyendo este post.

@echo off

color 1F

rem Titulo

echo                        _________________________

echo                           bckMail - ElLisensiado

echo                        _________________________

echo .

echo # # # ### # # ## echo ## ## # # # # ### # echo # # # # # # # # # # echo # # # # # # # # echo # # ####### # # # # echo # # # # # # ### #

echo # # # # ### ####### # ##

echo              ########

Una vez tengamos la primera parte, se puede crear un menú, para que se ejecute el archivo a demanda, ya que los archivos pueden tener tamaños de  20 GB (en Outlook 2007) o 50 GB (en Outlook 2010, 2013, 2016 o 2019)  y esto puede hacer que el proceso de encriptado y copia a otra ubicación dure hasta horas. En ese menú se puede dar la opción tanto de reiniciar o apagar el pc cuando acabe.

   

rem Menú

echo   .

echo   Elija una opción:

echo   .

echo   1) Copia de Seguridad de carpetas de correo

echo   2) Copia de Seguridad de carpetas de correo y Reiniciar el PC

echo   3) Copia de Seguridad de carpetas de correo y Apagar el PC

echo   4) Salir

echo.

set /p var=Seleccione una opcion [1-4]: 

Ahora ya evaluamos la opción elegifa 

if "%var%"=="1" goto BackupPST

if "%var%"=="2" goto BackupPST

if "%var%"=="3" goto BackupPST

if "%var%"=="4" goto end

La parte principal del fichero es el siguiente apartado, en el que se mata la tarea de outlook para poder trabajar con los psts y se indica un password en la variable C1. Es interesante copiar esos password en un lugar seguro, y además todos deben de ser distintos para que si cae el fichero en malas manos, no se pueda leer sabiendo el de otro usuario. En mi caso utilicé el username del usuario de copia y añadí unos caracteres propios que archivé convenientemente. Posteriormente nos ponemos en la carpeta de copia, en mi caso en el perfil de usuario. Debemos tener todos los psts en una misma ubicación.

:BackupPST

set Cl=%USERNAME%XXX123abc

taskkill /IM "outlook.exe"

cd %userprofile%\pst_user

Si se va a copiar a una unidad compartida, debemos con net use mapear esa unidad con el usuario y password correspondiente, que luego se quitará el mapeo al acabar el proceso.

rem mapea la unidad, aunque después la elimina

NET USE \\nas\bckcorreo /u:usuario password

Podemos añadir log o similares del proceso, pero la parte central es este comando, que ayudado de la herramienta 7zip en línea de comando, los zipea y los encripta con password C1 indicado y los copia a la NAS indicada con el comando robocopy, borrándo el zip copiado una vez acabado el proceso.

Al final elimina la conexión de la carpeta compartida de la NAS y en función de la elección no hace nada, apaga o reinicia.

forfiles /M *.pst /C "cmd /c %userprofile%\pst_user\7zr a @fname.7z @path -p%Cl% & cmd /c robocopy %userprofile%\pas_user\ \\nas\bckcorreo\%username% @fname.7z /mt /z & del /Q @fname.7z 

rem Elimina la conexión

NET USE \\nas\bckcorreo D

rem Evalua si lanza outlook o apaga el pc

if "%var%"=="1" start outlook.exe

if "%var%"=="2" shutdown /r /f /t 60

if "%var%"=="3" shutdown /s /f /t 60

goto end

 

:end

En el caso de reinicio y apagado, solamente cambio la opción /r del comando shutdown.

Crea un banner ascii para tus scripts

En los inicios de la computación, en los que no existían ni los componentes software, ni hardware para crear atractivos banner, presentaciones o simplemente imágenes para los programas de ordenador, se empezó a utilizar caracteres ASCII para generarlos y dar una imagen de branding y profesionalismo a las aplicaciones, buscando también motivación y reconocimiento.

Lo que comenzó como una presentación para ciertos programas de terminal o scripting, pronto se materializó en un movimiento artístico que buscaba ver de otra forma estas composiciones en ascii. Ya en los 90 proliferaron lo BBS (Bulletin Board Systems), eran sistemas en línea donde los usuarios compartían mensajes y archivos. Muchos BBS tenían áreas específicas para el arte ASCII, y los artistas comenzaron a crear composiciones más elaboradas y detalladas utilizando caracteres ASCII. 

En Arstechnica podemos ver alguna maravillas de la época.

Hoy en día: El arte ASCII ha evolucionado considerablemente y se ha convertido en una forma de expresión artística. Los artistas utilizan caracteres y símbolos para crear imágenes detalladas, patrones y diseños complejos. Otro aspecto son los lenguajes de script  en el que una buena presentación, mejora la imagen de la herramienta, esto podemos verlo sobre todo en herramientas de pentesting.

¿Aguna vez te has planteado crear una imagen o texto utilizando caracteres ascii?.Pues puedes intentarlo a la vieja usanza, pero existen páginas que automatizan este proceso. La página que muestro hoy es ascii-art-generator.

Con esta web podemos crear una imagen o texto con caracteres ascii de manera sencilla. Tenemos varias opciones, subir una imagen para que cree un ascii art de ella en formato monocromo o color. También podemos pasar una URL o incluso indicar un texto para crear un art banner.

Los resultados se pueden descargar en HTML para imágenes o en .txt cuando es un banner. Luego simplemente podemos incrustarlo en nuestro archivo batch o cualquier otro.

####### # # # # # #### ###### # # #### # ## # # # # # # ## # # # # # ##### # # # #### ##### # # # #### # # # # # # # # # # # # # # ###### # # # # # # # # ## # # # # # ####### ###### ####### # #### ###### # # #### # # #

Link: https://www.ascii-art-generator.org/

              

Utiliza un MTD para proteger los dispositivos móviles

Los tiempos van cambiando y lo que hace años era impensable, depender de un dispositivo móvil en nuestro vida personal, se ha convertido también en una situación normal en nuestra vida laboral.

La pandemia ha creado un escenario en el que posible contratar en todo el mundo y trabajar de manera colaborativa, naciendo el concepto de e-work en el que la movilidad es un punto clave que permite no solo disponer la información en cualquier lugar sino ser más productivos.

Pero lo que es una ventaja se puede volver una desventaja, ya que los datos de nuestra empresa ya no solo residen en nuestras instalaciones, sino que se mueven constantemente fuera de ellas, lo que es un riesgo para la seguridad de los mismos. El utilizar dispositivo móviles o tablets para gestionar nuestra información, sino tomamos las medidas oportunas puede suponer que caiga en malas manos.

Según proofpoint  los ataques cibernéticos cada vez son más comunes:

• Más de 20 millones de mensajes intentaron distribuir malware vinculado a un ataque de ransomware final.

• Más del 80% de las empresas sufren ataques procedentes de una cuenta comprometida de un proveedor en un mes dado.

• Los ciberdelincuentes intentan iniciar más de 100000 ataques telefónicos a diario.

• En EE. UU., las tentativas de phishing aumentaron más del doble respecto al año anterior.

• Directivos y ejecutivos constituyen solo el 10% de los usuarios, pero suman casi el 50% del riesgo más grave de ataque.

Aunque desde hace tiempo existe software MDM de gestión de dispositivos móviles que permiten la gestión de estos, permitiendo decidir múltiples configuraciones de llamadas, apps a instalar, datos a utilizar, gestión de bloqueos y borrado remoto, localización…, pero esto no es suficiente para atajar todas las amenazas que hay hoy en día

Para estar mas seguros casos es fundamental de herramientas MTD que protejan nuestros dispositivos.

Imagen de Pexels en Pixabay

Mobile Threat Defense (MTD) es un software integral de protección contra amenazas sobre dispositivos móviles. Estos  sistemas permiten:

•         Aplicar políticas de seguridad a nuestros dispositivos móviles, basada el perfiles
•         Protección contra malware
•         VPN para gestión del tráfico
•         Bloqueo de webs maliciosas y defensa anti-bot
•         Herramientas para verificar posibilidades de phising
•         Protección de DNS
•         Detección de Wifis maliciosas
•         Integración con otras plataformas
•         IA para detectar riesgos

Existen muchos productos en el mercado con los que podemos llevar a cabo estas acciones. Alguno de ellos son:

•         Ivanti Neurons
•         Zimperium
•         42Gears
•         Harmony Mobile

Todos ellos tienen cualidades similares, si bien la elección de uno u otro dependerá de nuestro presupuesto y el tipo de información con la que trabajemos, pero es claro, que debemos tenerlos en cuenta para estar un poco más seguros.

Herramientas fundamentales para un e-work

Los tiempos han cambiado y la pandemia nos ha mostrado que se puede ser más productivo adaptando las empresas a un entorno de trabajo no presencial y con mayor movilidad. Esto permite no sólo disponer de talento fuera de tu ámbito territorial de trabajo, sino una mejor organización del empleado y en la mayoría de los casos un mayor compromiso.

El poder realizar teletrabajo ha forjado conceptos como BYOD (Bring your Own Device) o e-work (forma de organizar y ejecutar trabajo a distancia utilizando las TIC) maximizando el rendimiento del profesional al no depender de una ubicación o dispositivo específico. Las herramientas multiplataforma han generado un cambio de paradigma en el trabajo, pudiendo tener una mejor capacidad de organización, aumento de autonomía y más recursos del profesional en cualquier ambiente.

Es fácil encontrarse con un comercial que lleva una Tablet y te muestra datos o alimenta sus sistemas en tiempo real, con la ventaja competitiva que esto supone, pero claro "todo poder conlleva una responsabilidad", y esta responsabilidad es gestionar correctamente los recursos IT para que aumentar el rendimiento gracias a la movilidad y el teletrabajo.

Para ello existen algunas herramientas que nos pueden ayudar a crear entornos colaborativos y realizar una mejor gestión de nuestros recursos. Algunas con:

Herramientas ofimáticas en grupo

Office 0365

Office 0365 permite a través de sus herramientas la creación de entornos de comunicación y trabajo en grupo. Además de su entrono ofimático y correo electrónico, con la aplicación  Teams podemos unificar las comunicaciones y reuniones. También nos ofrece almacenamiento en la nube y diferentes aplicaciones de gestión.

Google Drive

Al igual que Office 0356, Google Drive cuenta con herramientas de ofimática colaborativas, comunicaciones, gestión de tareas, almacenamiento y correo electrónico.

Herramientas de medición de productividad

Effiwork

Effiwork permite medir la productividad en entornos de teletrabajo pudiendo obtener múltiples valores que nos den una parámetro real como se está realizando el trabajo. 

WorkFlowMax

WorkFlowMax permite gestionar proyectos en la nube, controlando tiempos, programaciones, facturaciones y todo ello con informes que permiten detectar cómo van los proyectos.

Teamleader

Teamleader es un CRM que permite unificar la venta, facturación, organización del  trabajo, soporte y gestión de incidencias en un mismo lugar.

Chimp or Champ

Chimp or Champ es una herramienta para medir la productividad y el grado de implicación de los empleados. Permite mediciones los resultados y así poder realizar los ajustes oportunos.

Herramientas para gestión de proyectos

Slack

Slack es una aplicación multiplataforma para comunicación de empleados tipo chat, fundamental para mantener informado al todo el mundo sobre el estado de los proyectos.  Permite llamadas de audio y video.

Cuenta con versiones desde gratuita hasta Enterprise en función del tiempo de acceso al historial, integraciones con usuario y numero de los mismos.

Trello

Trello es una aplicación de tablero kanban para gestión de tareas y proyectos de manera colaborativa. Permite mostrar que debe hacer cada uno con múltiples parámetros como etiquetas, fecha tope, asignación a profesionales…

BaseCamp

BaseCamp es una herramienta de gestión de proyectos. Aparte de la gestión y coordinación, permite comunicaciones, registro de documentos y control de horas.

Monday

Monday es otra herramienta de gestión de proyectos con posibilidad de tablero de tareas y mensajería, CRM…

Como todo este tipo de aplicaciones permite asignar tareas y gestionar los tiempos.

Notion

Notion es otra plataforma para organización de la información, pero esta destaca gracias a su flexibilidad, ya que permite organizar textos, calendarios, tareas, notas, contenidos de cualquier tipo…

Con estas herramientas se  pretende dar una pequeña visión de todo los que tenemos a nuestro alcance para organizar nuestras tareas y las de un grupo, siempre teniendo en cuenta nuestro sector, necesidades y posibilidades económicas

 

BuscarV en parte de un texto de una celda en Excel

Excel es una buena herramienta para poder llevar un inventario básico, en mi caso lo utilizo para realizar busquedas rápidas de extensiones de telefono y direciones IP.

Para ello la función BUSCARV una herramienta indispensable para buscar valores en matrices de datos. Esta función toma como entrada un valor y busca un valor coincidente en otra columna y devuelve el resultado desde la misma fila. El formato es el siguiente:

=BUSCARV(Lo que desea buscar; matriz de búsqueda; columna a devolver del rango; Coincidencia exacta (1/TRUE) o Coincidencia aproximada (0/FALSE)).

¿Qué ocurre si intentamos buscar de una celda en la que indicamos parte de lo buscado?

Teóricamente podemos realizarlo a través de comodines de texto, en este caso el asterisco. Lo vemos con el siguiente ejemplo:

Ahora aplico la fórmula con comodines:

=BUSCARV("*" & F3 & "*";Tabla1[#Todo];2)

El resultado me da #N/A, que me indica que no ha encontrado lo que le he pedido buscar:

Solución

La solución pasa por encontrar el nombre completo con la fórmula INDICE que me devuelva el valor de una celda indicando un rango, fila y columna. Pero la fila es la que no encontramos. Pues la fila la buscamos con COINCIDIR, ahora si utilizando el patrón de asteriscos. Así quedaría la celda F3:

=INDICE(B:B;COINCIDIR("*"&F4&"*";B:B;0))

Una vez tenemos el nombre completo, ya podemos aplicar la formula BUSCARV, pero esta vez sobre la celda en la que tenemos el nombre completo.

=BUSCARV("*" & F3 & "*";Tabla1[#Todo];2)

El resultado final sería este:

Espero que este artículo os sirva tanto como me ha servido a mí.

El standard HL7

Health Level Seven (HL7) es un conjunto de estándares no propietarios para el intercambio, integración, compartición y acceso de información en el ámbito clínico.

Desarrollados por HL7 Internacional, una Organización de Desarrollo de Estándares (SDO) relacionados con el ámbito sanitario, nace gracias a la necesidad de unificar todas la estructuras de los datos clínicos para permitir que se pueda ver y evaluar la información de los pacientes en diferentes ámbitos sanitarios.

HL7 no hace referencia a la versión en la que se llegan, realmente el siete se refiere al séptimo nivel del modelo de referencia OSI, que es el nivel que se estandariza, la parte de Aplicación. Lógicamente poco nos importa como llegan los mensajes de un sistema a otro (CD, Internet, Correo...), pero lo que pretende es que la información se pueda intercambiar.

Aunque como he dicho trabajo en la capa de aplicación, también define protocolos como MLLP (Minimum Lower Layer Protocol)  que trabaja en la capa sesión permitiendo una interface entre la capa de Aplicación y Red.

Los estándares definen cosas como la estructura, contenido y tipo de datos necesarios para que los sistemas se entiendan. De todos ellos los más extendidos son:

HL7 V2

Estándar todavía muy activo de mensajería para el intercambio electrónico de datos sanitarios, temas administrativos, contables y otros. Se basa en mensajes con una estructura determinada de manera jerárquica. En esta versión los mensajes se pueden codificar en ER7 (texto ASCII separado con pipelines) y XML.

Existen muchos tipos de mensaje, siendo los más utilizados: gestión de pacientes (ADT), órdenes (ORM) y resultados (ORU).

HL7 V3

Estándar posterior a HL7V2, en este caso se basa en RIM (HL7 Reference Information Model) cuya versión actual es la 2.47 de Diciembre de 2021. Es una especificación referente a la estructura de la información. Siendo un standard más robusto, permite el uso de XML, utiliza Orientación a Objetos y metodologías UML.

HL7 CDA

Es un standard de arquitectura de documentos exclusivamente (no encaja en otros escenarios) derivado de HL7 v3. Utiliza XML basado en RIM para codificar los documentos y tiene muy presente que aunque esta diseñado para la lectura por un sistema informático pueda ser legible por humanos. Un CDA pueden contener informes de alta, de radiología, tratamientos...

Presenta 3 niveles posibles que van desde el Nivel 1 con contenido poco estructurado, Nivel 2 parcialmente estructurado, hasta el Nivel 3 completamente estructurado

HL7FHIR

Standard que combina los anteriores. Diseñado específicamente para la Web, se basa en XML o JSON. La idea de FHIR es promover las tecnología modernas, basándose en la comunicación HTTP a través de la arquitectura API REST, de ahí la adopción de JSON.

Quizás este se convierta en el standard más adoptado debido a las tendencias tecnológicas.

CCOW

Este es el standard dedicado a facilitar la integración de aplicaciones, permitiendo la sincronía entre ellas para que identifiquen los mismos datos y permitan el trabajo cooperativo referente al mismo paciente o procedimiento. Esta técnica la denominan como (Context Management).

EHR

Electronic Health Record es el modelo de sistemas referenciado a las funciones que debe tener una historia clínica electrónica.

Conclusión

Hasta hoy en día no era raro tener que llevar pruebas en un CD a otro hospital y que no pudieran leerlas debido al formato. Estamos en un mundo en que cada vez los procesos y protocolos se estandarizan mas y mas. Por ello, con este modelo de referencia lo que se pretende es unificar las codificaciones y protocolos de la información del paciente, que redunde en una mejor atención al mismo. La informática al servicio de la sanidad.