SG #40

Festejemos a SG

lasr21 — Wed, 12 Jun 2013 19:51:14 +0000

Festejemos a SG lasr21 Wed, 06/12/2013 - 14:51

Publicado en

SG #40

Tejiendo nuestra red

Autor

Hanna Oktaba

El número anterior de Software Gurú lo leí de cabo a rabo. Es verdad que el número estaba dedicado a mi tema favorito —certificaciones—, pero me di cuenta de que no era la única razón. También encontré cosas interesantes sobre el uso de métodos ágiles, pruebas, casos de uso, tendencias tecnológicas y una conmovedora historia del suicidio de un joven genio comprometido con la sociedad.

SG durante más de ocho años ha logrado unir en su publicación de revista varios elementos: temas de interés, autores y columnistas muy variados —gente de la industria, consultores y académicos, que escriben en forma sencilla y no aburrida, además involucran cada vez más a los participantes latinoamericanos. Ni hablar de la calidad gráfica de la revista que ha sido su distintivo desde el inicio.

El esfuerzo que han hecho de iniciar una encuesta de salarios en la industria de software mexicana es invaluable. Ya tenemos evidencia objetiva de que en México en esta industria se gana bien y cuáles perfiles son los más cotizados. Para los nuevos aspirantes de las carreras de TI es un incentivo y, para los que ya están trabajando, es un parámetro de referencia de a qué sueldo pueden aspirar. Tal vez esta información no siempre les conviene a los empleadores.

Pero la revista es apenas una punta del “iceberg”. Mara y Pedro, esta pareja de incansables entusiastas e innovadores, nos asombran constantemente: eventos presenciales y virtuales con gurús internacionales y nacionales, eventos para jóvenes emprendedores, SG Campus con webinar gratuitos y cursos en línea, la bolsa de trabajo SG Talento y un sitio web con mucha información útil. Por si fuera poco, todo lo tratan de hacer de manera muy profesional pero a la vez lúdica. Sus eventos siempre tienen partes divertidas para atraer a los jóvenes y lo están logrando.

En mi opinión, SG es ahora el mayor aglutinador de los profesionales de la industria de software. El trabajo que están haciendo con tan pocos recursos es titánico. Necesitan apoyo o más bien una contraparte que reconozca su papel y colabore seriamente con ellos.

¿En que estoy pensando como contraparte? Nos falta la organización como la industria de software para aprovechar la oportunidad del avance que tenemos y apuntalar a los esfuerzos como el de SG.

El primer punto importante es el de reconocimiento de la industria de software como tal. El problema es que todo mundo utiliza los productos de nuestra industria pero nadie los reconoce como importantes, por ser intangibles. Todos pagan por un teléfono celular (hardware) pero muy pocos están conscientes de que a la vez compran el software. Parece que este es de a gratis por su “levedad de ser”.

Para tener un reconocimiento social de la industria de software se requiere de una labor que organice a la industria como tal. Respeto a todas las organizaciones existentes de TI, pero vuelvo a insistir, como lo dije hace más de 10 años en Querétaro, que ninguna de las existentes representa específicamente a los intereses de la industria de software. Por lo que aplaudo el esfuerzo iniciado desde Tamaulipas de crear una Cámara de la Industria de Software e invito a todos los empresarios a que la conozcan y que se sumen a ella.

Una Cámara de la Industria de Software puede abogar por sus intereses en las instancias políticas, pero su voz va a ser más fuerte si cuenta con un respaldo de profesionistas reconocidos. Por eso creo, que es igual de importante la organización de un gremio de los propios Ingenieros de Software. El papel de este gremio sería definir los criterios, y eventualmente los famosos certificados, para asegurar la calidad de sus servicios profesionales. Creo que ya es el momento de que entendemos que el impacto en el bienestar de la sociedad de un ingeniero de software es comparable al de un médico o un ingeniero civil.

La Cámara de la Industria de Software, la asociación de los Ingenieros de Software, las carreras que ya tenemos en la academia mexicana y SG podrían ser la mancuerna de colaboración que necesitamos para fortalecer a la industria de software mexicana. ¿Y usted qué opina? dígame a @hannaoktaba

Para finalizar, les comparto una noticia …

KUALI-BEH y ESSENCE

El 20 de marzo de 2013 en la reunión de OMG en Reston, se aprobó la adopción de ESSENCE con KUALI-BEH integrado como el estándar (ver SG #39). Según el procedimiento de OMG, a finales de abril se publicará la propuesta como versión beta para su prueba y crítica por la comunidad. La versión retroalimentada se publicará como versión 1.0 en marzo de 2014. Para más detalles consultar http://sg.com.mx/buzz/essence-beh-es-aprobado-por-omg y http://www.kuali-kaans.mx

Bio

La Dra. Hanna Oktaba es profesora de la UNAM, miembro del IPRC, y directora técnica del proyecto COMPATISOFT. hanna.oktaba@ciencias.unam.mx

La Internet de las Cosas

lasr21 — Wed, 12 Jun 2013 19:46:30 +0000

La Internet de las Cosas lasr21 Wed, 06/12/2013 - 14:46

Publicado en

SG #40

Tendencias en Software

El término “la Internet de las cosas” se refiere a diversas tecnologías y dispositivos que permiten conectar cualquier objeto a la nube. Seguramente este será un tema central en este siglo. LG ha estimado que para el año 2020 habrá 8 mil millones de dispositivos conectados a la red; Cisco es mucho más agresivo en su proyección, estimando que serán 50 mil millones y que para el 2050 cada hogar contará con al menos 50 dispositivos conectados.

Entre esas “cosas” se encuentran las chapas de las puertas, monitores personales de salud, medicinas, sensores de movimiento en el hogar, sistemas de aire acondicionado, automóviles, personas y mascotas. En los comercios cada objeto tendrá sensores: las repisas podrán visualizarse en zonas de mayor o menor actividad. Virtualmente cada escalón registrará cuántas veces ha sido pisado, es decir, todo se podrá medir.

Origen

Fue en el MIT a fines de los noventas cuando dio inicio la conversación. En un principio se consideró la tecnología de radiofrecuencia (RFID) pero posteriormente WiFi, celular, Bluetooth y broadband como opciones en módulos tan pequeños como 1 mm cuadrado. El cómputo en la nube es el complemento perfecto para dar una espina dorsal a la administración de aplicaciones y dispositivos.

Una encuesta realizada por Accenture en el 2010, reflejó que ya desde entonces el 76% de los consumidores “esperaban” que los dispositivos que adquieren se puedan conectar a Internet. Algunos gobiernos han anunciado programas de estímulo de enrejados digitales. Los operadores de redes desean establecer nuevas unidades de negocio basadas en este modelo.

La “Internet de las cosas” traerá muchos posibles beneficios. En el ámbito personal, ayudará a brindar salud preventiva a menores costos, ahorro de energía en el hogar, conducción más segura y más formas de interactuar con la familia. Colectivamente ayudará al ambiente, mejorará el servicio al cliente y aumentará la seguridad en varias dimensiones.

Retos

La privacidad es siempre tema de debate. Los lectores de RFID a distancia han limitado la capacidad de obtener datos e interactuar con la información. Es necesario asegurar al usuario que sus datos se encontrarán resguardados.

Otro reto fundamental es la conectividad. Aunque hay grandes avances de enlace, muchos lugares todavía no cuentan con acceso a Internet generalizado entre la población. Hay que considerar también diversos tipos de redes: pequeñas, celulares y fijas alambradas.

El problema cíclico de lectores versus señales primero. Si el gobierno desea usar sensores para recolección de tarifas, la mayor parte de la población deberá utilizarlo.

La interacción entre dispositivos dedicados y dispositivos de propósito específico. Muchos sistemas pueden “ejecutar cualquier programa” y por tanto “ser cualquier cosa”. M2M se refiere a la comunicación “máquina a máquina” a diferencia del actual uso de Internet que es primariamente de personas.

Hace 5 años la diferencia entre vendedores de cómputo empresarial y dispositivos especializados (embedded system makers) era clara. Hoy en día las fronteras no son tan claras.

Conclusiones

Alrededor del 2008 cruzamos la barrera en donde hay más dispositivos que humanos conectados a Internet. Estamos progresando rápidamente al “Internet de las cosas” y nos llevará al menos una década alcanzar el auge. La visión unifica tecnologías, filosofías de diseño, expectativas sociales y regulaciones gubernamentales. Esto resultará en nuevos modelos de negocio y un nuevo ecosistema digital.

Bio

Luis Daniel Soto Maldonado (@luisdans) labora en la división de negocio de servidores y herramientas de Microsoft Corp

La Leyenda del Patito Feo

lasr21 — Wed, 12 Jun 2013 19:42:56 +0000

La Leyenda del Patito Feo lasr21 Wed, 06/12/2013 - 14:42

Publicado en

SG #40

Mejora continua

A lo largo de los años he estudiado diversos modelos de calidad, y en todos se insiste en crear un área de calidad para auditar los proyectos de la organización. Sin embargo, en las organizaciones de software el área de calidad acostumbra ser de las menos apreciadas. A todos nos molesta que aparezca un auditor a criticar nuestro trabajo y reportar problemas a nuestros jefes. Aunque estoy seguro que en parte se debe al carácter humano, me parece que también está relacionado con un cambio de paradigma al que no estamos acostumbrado.

Como saben, uno de los objetivos esenciales de todo modelo de calidad es tener un servicio confiable y eficiente, a través de predecir desde el principio el resultado a obtener y reducir la variación con respecto a este resultado. En un proyecto, la variación se reduce a través de pre-establecer una serie de acuerdos sobre cómo vamos a resolver los problemas que se nos presenten, a esto acuerdos les llamamos comúnmente procesos. Dichos procesos definen de antemano cómo vamos a coordinar el proyecto y cómo vamos a interactuar entre nosotros para asegurar la mayor eficiencia, rapidez y exactitud, aplicando todo lo que hemos aprendido como organización sobre cómo operar. Dado que todo esto se planea previamente, el éxito del proyecto depende de qué tan bien adaptamos los procesos al problema actual, qué tan bien ejecutamos esos procesos y qué tan bien se van administrando los riesgos que van surgiendo que podrían afectar nuestro plan y los incidentes que ya afectaron nuestro plan.

Esta filosofía de confiar en el proceso, sabiendo que representa el aprendizaje acumulado de la organización, es un cambio de paradigma importante, y es independiente de si usamos una metodología en cascada, ágil, un proyecto de desarrollo o un servicio de pruebas. Este es uno de los principales puntos de entrada de la función de auditoría; contrario a lo que se cree, el principal objetivo de la auditoría no es detectar desviaciones si no prevenir riesgos, siendo uno de los principales riesgos en un proyecto el no seguir los acuerdos preestablecidos. Esto no quiere decir que el proyecto va a fracasar debido a esto, simplemente la probabilidad de que fracase aumenta considerablemente.

En organizaciones de poca madurez, lo que normalmente se tiene son grupos de apaga-fuegos que se dedican a resolver los problemas que van saliendo. El resultado de los proyectos depende de la efectividad y heroísmo de éstos. En compañías de alta madurez, el objetivo es reducir riesgos en forma proactiva, por eso se definen una serie de acuerdos que se adaptan al problema en mano. Seguir estos acuerdos es crítico.

Es común pensar que los riesgos que una auditoría descubre en un proyecto son culpa del líder, y por ello el líder se siente atacado en la auditoría: ésta lo expone ante la organización y su grupo de influencia, pero esto nuevamente es un cambio de paradigma. Otro de los puntos en los que todo modelo de calidad es enfático es en que siempre existe más de una razón para un problema; en pocas palabras, si hay un problema es porque los procesos no están funcionando adecuadamente, no por decisiones individuales del líder. En la organización existe una serie de procesos que se llevaron a cabo para el arranque, seguimiento y conclusión de un proyecto, los cuales culminan precisamente en el momento presente. El proceso de entrenamiento no se aseguró que el líder o los participantes estuvieran entrenados, el proceso de ventas o inicio de proyecto no le explicó al cliente claramente qué esperar, o el cliente no está convencido, faltaron recursos al iniciar el proyecto o los recursos no llegaron en los tiempos establecidos y ahora están sobrecargados con otros trabajos, etc. Precisamente la auditoría pretende dar visibilidad a un problema, los riesgos que conlleva e identifica entre los diferentes responsables aquellos que son los más apropiados para entender las implicaciones y entre todos buscar una solución.

Finalmente unos de los principales ataques que veo contra las auditorías es el reproche del líder de que “la auditoría no me viene a ayudar, solamente me da más trabajo; mejor que se arremanguen y se pongan a trabajar”. Este puede parecer un punto válido, pero en realidad es un reflejo de lo que mencionábamos anteriormente: en organizaciones de baja madurez, lo que necesitamos son apaga-fuegos. Aún más profundo que esto podemos ver otro cambio de paradigma: en una organización madura no es posible que una sola persona sea el único responsable de que todo funcione correctamente en un proyecto, la idea de notificar a un nivel superior sobre un problema detectado en la auditoría no es para que le exija al líder corregirlos, sino para que nos involucremos y entre todos nos aseguramos que tanto éste, como todos y los proyectos de la organización sean un éxito.

Sé que difícilmente mis palabras los harán fieles creyentes de las auditorías. Adicionalmente, estoy consciente de que existen equipos de auditoría que no tienen las capacidades de comunicación, negociación o los conocimientos básicos para llevar a cabo correctamente su trabajo. Pero al menos, espero haberlos convencido de que si sienten que su área de auditorías no genera ningún valor, una posible explicación es que su empresa no está lo suficientemente madura para encontrarle un valor.

Bio

Luis R. Cuellar es director de calidadad nivel mundial de Softtek. Es reconocido por la ASQ como Certiied Quality Manager, Certiied Software Engineer y Six Sigma Black Belt. lcuellar

Capital de Riesgo en México

lasr21 — Wed, 12 Jun 2013 19:38:36 +0000

Capital de Riesgo en México lasr21 Wed, 06/12/2013 - 14:38

Publicado en

SG #40

Emprendiendo

Es un momento emocionante para ser un empresario de Internet en México. Las narcoguerras parecen estar enfriándose; los indicadores macroeconómicos de México se ven bien; y si hemos de creer a la prensa mundial, México se prepara para un período de crecimiento estable y agresivo. Esta es la oportunidad dorada de México para posicionarse como un motor para la innovación tecnológica. Hay mucho en juego y hay un montón de maneras de meter la pata; pero si se maneja bien, las empresas respaldadas por capital de riesgo podrían mejorar la economía mexicana dramáticamente —a un nivel más próspero globalmente y con el control en las manos de la clase media emergente.

Sin embargo, México tiene un largo camino por recorrer. Si comparamos el sector de capital de riesgo (VC) en México con el de EE.UU., las diferencias son impresionantes. EE.UU. cuenta con 923 empresas de capital de riesgo registradas, que en el año 2012 realizaron 3,752 inversiones por un total de 29 mil 100 millones de dólares. Por su parte, en México existen 14 organizaciones de este tipo, que en el 2012 realizaron 19 inversiones por 200 millones de dólares.

Así que México está empezando desde abajo, muy abajo. Paradójicamente, esto puede funcionar a su favor. Sabemos que México sigue fiel y rápidamente las tendencias de negocios y cultura que se establecen en San Francisco y EE.UU. Al revisar las tendencias de crecimiento año tras año aquí (la penetración de Internet, el crecimiento de smartphones, el uso de los redes sociales, etc.), los números están por las nubes. Cuando miramos a México desde el punto de vista del entorno de capital de riesgo en el Silicon Valley, México representa una oportunidad que parece casi demasiado buena para ser verdad. En Silicon Valley, las valoraciones de las startups están por las nubes; es un caso de demasiado dinero disponible, persiguiendo a empresas con ideas de calidad inferior; los empresarios se esfuerzan por crear nuevas necesidades a satisfacer ya que todas las necesidades obvias están cubiertas. Mientras tanto, en México, existen necesidades reales por todo el país. Muchos de los servicios en línea, como el e-commerce, publicidad, sitios de opinión (ej. yelp.com) todavía no son tan populares aquí. ¡Las oportunidades abundan!

Hasta ahora, México parece estar intentando importar directamente el modelo de riesgo de EE.UU. tal como existe hoy en día en San Francisco, pero, ¿funciona esto? ¿Podemos saltarnos 40 años de historia tecnológica y empezar a la par? Difícilmente. Nos hacen falta elementos fundamentales como: contratos, instrumentos financieros, infraestructura técnica y, sobre todo, la experiencia compartida. El concepto mismo de inversión de capital de riesgo parece fuera de lugar aquí.

Por un lado, tenemos a inversionistas que no están acostumbrados a hacer inversión de riesgo en empresas de base tecnológica. Ellos piensan: "¿Por qué debo invertir en este chico de 27 años que no conozco, para construir una aplicación web que no entiendo? Además, ni el niño ni el modelo de negocio tienen un historial de éxito aquí. Y sin un mercado público con bastante dinero ni empresas de tecnología para comprarlos, no hay ningún camino claramente definido para un éxito financiero. ¡¿Están locos?!”

Por su parte, los emprendedores estarán pensando cosas como: "¿Qué se supone que debo hacer? ¿Qué indicadores son importantes? ¿Cómo es el proceso de financiación? ¿Qué es la deuda convertible? ¿Qué condiciones debo aceptar? Qué preferencias de liquidación debo elegir? ¡Ayuda! "

El resultado es obvio. Todo el mundo quiere ser un inversionista o emprendedor —porque está de moda y hay la promesa de dinero— pero nadie sabe realmente cómo empezar. Así que cada lado, inversionista y empresario, se rodean uno al otro, una y otra vez. Hay reuniones, conversaciones, más reuniones, llamadas, y luego... nada. Mucho hablar pero muy poca acción. Entonces, ¿cómo salimos de este ciclo? He aquí una idea … empecemos. Dejemos de hablar y empecemos a programar.

A los emprendedores: ¿Tienes una gran idea? Qué bueno, pero te informo que las ideas prácticamente no valen nada. La ejecución es todo; sobre todo aquí y ahora. Pero no te desanimes, hay buenas noticias: no necesitas el permiso ni el financiamiento para empezar. Sólo tienes que decidir lo que quieres hacer, enfócate en el componente más crítico y central de tu modelo de negocio y ejecuta. Dedica algunos fines de semana y algunas noches para construirlo y lanzarlo. Decide cuáles son las métricas más importantes —las que te indicarán si tu idea funciona o no— y dales seguimiento.

A los inversionistas: Invierte basándote en la tracción. Reúnete con los emprendedores lo antes posible y ayúdalos a determinar qué métricas significarían un éxito y luego ayúdales a llegar allí. Negocía los términos antes de participar, por ejemplo: "Si se pueden atraer un número X de clientes o Y de pesos dentro del plazo Z, invertiremos A pesos a una valoración B en días C". Mantén un espacio de tiempo breve (2-3 meses) y posiciónate como inversionista semilla al mostrar que puedes agregar valor a emprendimientos en sus primeras etapas.

Imaginemos el siguiente escenario: un emprendedor y su equipo se reúnen con un inversionista y describen lo que quieren hacer. Juntos trazan sus metas para los siguientes 90 días (50 clientes nuevos y 1000 pesos semanales). El inversionista está de acuerdo que si alcanzan sus objetivos, invertirá $500 mil pesos por el 20% de la compañía dentro de los 14 días siguientes a haber logrado sus metas. Ahora sí no hay excusas, ambas partes se suben las mangas y se ponen a trabajar. Al final de los 90 días, ambos lados saben si la idea es factible y tienen una muy buena idea si la otra parte es competente y si disfrutan trabajando juntos.

Conclusión

Al financiar sólo después de que los objetivos pragmáticos compartidos se consiguen, se elimina una parte significativa del riesgo, es un trato más fácil de hacer. El emprendedor sabe cuáles son los objetivos y, por tanto, qué hacer, mientras que el inversionista tiene una comprensión clara de lo que él/ella está invirtiendo.

Los puntos principales de este artículo están disponibles como una presentación que puedes consultar en http://bit.ly/agavelab

Bio

Andy Kieffer es fundador de Agave Lab, una aceleradora de productos ubicada en Guadalajara y San Francisco. Antes de mudarse a México en 2008, estuvo a cargo de Dev Bus para un arranque en red Kleiner Perkins, la red social (Visible Path) y ayudó a crecer una startup de 10 personas a +1000 empleados y varios miles de millones de dólares de valor de mercado (Kana).

Hacia una Cultura de la Seguridad

lasr21 — Wed, 12 Jun 2013 06:44:25 +0000

Hacia una Cultura de la Seguridad lasr21 Wed, 06/12/2013 - 01:44

Publicado en

SG #40

Temas especiales

La Internet, entendida en su conjunto como un ecosistema conformado por estándares, protocolos, tecnologías y servicios, no sólo se ha consolidado en pocos años como una pieza fundamental en los modelos de negocio; es también ya una parte vital en el desarrollo y crecimiento socio-económico de las naciones y es un recurso crítico del entramado que conforma y da soporte a los gobiernos en todo el mundo.

De acuerdo al reporte que la UIT publica anualmente, en 2011 un tercio de la población mundial total ya es parte de este gran ecosistema. Esto representa más de 2,000 millones de clientes potenciales a los que los negocios ofrecen sus productos y servicios a través de medios de comunicación electrónicos. También representa más de 2,000 millones de ciudadanos que son beneficiarios de las llamadas iniciativas de gobierno electrónico.

En el artículo “La Internet de las Cosas: cómo la siguiente evolución de Internet está cambiando todo” [1], Dave Evans anticipa que en menos de una década la Internet alcanzará al 60% de la población mundial. En este escenario, para el año 2022 estarán interconectados más de 50,000 millones de dispositivos y objetos físicos. De ser acertadas estas predicciones, en la próxima década la Internet alterará para siempre y de manera irremediable el estatus quo en materia social, política y económica.

En este contexto tecnológico, cada vez más complejo y permanentemente cambiante, se hace patente la necesidad de establecer un entorno de trabajo propicio para garantizar que aquellos requerimientos no funcionales tales como la modularidad, la escalabilidad y la seguridad, sean incorporados de manera sistemática durante las etapas de diseño, desarrollo, pruebas y despliegue de cualquier sistema o servicio informático.

El presente artículo aborda brevemente una de las aristas de este problema: el aspecto de la seguridad durante el desarrollo de los sistemas. Y dentro del universo de la seguridad, en el presente artículo sólamente me abocaré al análisis de riesgos y establecimiento de escenarios de amenazas.

El cristal con el que se mira

Bruce Schneier comenta en su ensayo “La psicología de la seguridad” [2], que la seguridad es tanto una realidad como una percepción. La decisión de implementar o no una salvaguarda se basa en un sistema de criterios que nos lleva a tomar de decisiones en materia de seguridad y que se ve fuertemente influenciados por la naturaleza humana.

De manera inconsciente, tomamos decisiones en materia de seguridad todo el tiempo. Por ejemplo: decidimos cuál es la ruta más segura para llegar al trabajo, hacemos uso del bastón inmovilizador del volante al estacionar el automóvil en una zona que no nos es familiar y optamos por no usar un ascensor que tiene una aspecto viejo y descuidado. La evolución ha dotado a nuestro cerebro con los circuitos necesarios para que no tengamos que hacer un gran esfuerzo para ponderar el riesgo y elegir entre todas estas opciones. Sin embargo, la zona en donde reside este firmware orgánico es una región del cerebro muy primitiva y desafortunadamente es inútil en muchas de las situaciones que nos presenta la modernidad.

Modelado de amenazas

Prácticamente todos los estándares y buenas prácticas en materia de seguridad de la información establecen que cualquier iniciativa para fortalecimiento de la seguridad da inicio con la identificación, evaluación y tratamiento de los riesgos asociados a un sistema o servicio informático.

La organización Software Assurance Forum for Excellence in Code (SAFECode, por sus siglas) en su publicación “Fundamental Practices for Secure Software Development” [3] reporta que la práctica más comúnmente utilizada es el modelado de amenazas. Esta actividad consiste en llevar a cabo un ejercicio durante la fase de diseño del proyecto, en donde el flujo de datos es analizado por un equipo de personas con el objeto de identificar los puntos débiles del sistema y establecer los escenarios en los que estos puntos pudieran ser explotados por un potencial atacante.

A continuación explico algunas de las técnicas más utilizadas para el modelado de amenazas.

STRIDE
suplantación de identidad (spoofing), modificación maliciosa de datos (tampering), no reconocimiento de una acción (repudiation), revelación de información (information disclosure), negación de servicio (denial of service) y elevación de privilegios (elevation of privilege).
Esta técnica consiste en revisar uno por uno cada componente del sistema y determinar si es vulnerable a una amenaza de alguno de estos grupos: Spoofing (suplantación de identidad), Tampering (modificación maliciosa de datos), Repudiation (no reconocimiento de una acción), Information disclosure (revelación de información), Denial of service (negación de servicio), Elevation of privilege (elevación de privilegios). Como se podrán dar cuenta, las siglas STRIDE se forman con la primer letra del nombre de cada grupo.
Por ejemplo, consideremos un sistema ficticio en el que se hace uso de firma electrónica para autorización de pagos. Después de que el grupo encargado de realizar el análisis STRIDE ha revisado los casos de uso del sistema, identificó lo siguiente:
Amenaza #1: El sistema es vulnerable a Repudiation, ya que un usuario con acceso legítimo al sistema puede negar que autorizó una transacción, ya que las bitácoras que genera el sistema sólo consideran el ID de la sesión y no se almacena el identificador del usuario.

Casos de mal uso
Esta metodología ayuda a entender cómo los atacantes podrían vulnerar el sistema. Estos casos se derivan de los requerimientos del sistema y los casos de uso asociados, y muestran cómo un potencial atacante puede evadir o inhabilitar las medidas de protección existentes.

Mientras que un caso de uso describe típicamente cierta funcionalidad que debe realizarse a través del sistema, mediante el caso de mal-uso se define una secuencia de acciones que deben ser completadas para provocar daño al sistema.

La figura 1 muestra un diagrama UML que ejemplifica un caso de mal-uso. [4]

Figura 1. Diagrama UML de un caso de mal uso.

La desventaja de esta metodología es que requiere que el grupo de desarrollo cuente con la asesoría de un experto en materia de seguridad; dicho experto generalmente toma el rol de moderador y facilitador, guiando las discusiones para optimizar los tiempos y las actividades. Otra consecuencia es que esta metodología también suele requerir un tiempo y esfuerzo considerable ya que requiere la participación de otros involucrados además del equipo de desarrollo.

No obstante, al aplicar este tipo de metodología se garantiza que los resultados obtenidos serán:

Susceptibles a ser comparados en una nueva versión del proyecto,
Reproducidos en otro punto del proyecto, aún cuando los miembros del equipo original hayan cambiado,
Incluidos en una construcción de software que esté orientado a procesos.

No siempre contamos con todos los recursos necesarios para aplicar metodologías con toda la formalidad requerida; entonces podemos echar mano de las siguientes herramientas:

Lluvia de ideas
En el caso de organizaciones que no tengan recursos o experiencia en el modelado de amenazas, se recomienda por lo menos tener una sesión de lluvia de ideas donde los miembros del equipo de desarrollo que están a cargo de la arquitectura y diseño comenten y evalúen las potenciales vulnerabilidades que presenta el sistema.

Es importante hacer notar que los resultados de esta dinámica no pueden considerarse exhaustivos, por carecer de una identificación sistemática de las amenazas, principales activos y riesgos asociados. Tampoco es una actividad cuyos resultados sean repetibles, porque depende en gran parte de la experiencia de los miembros del equipo que se integren a la reunión.

Catálogo de amenazas
Contar con un diccionario o catálogo de amenazas es bastante útil, especialmente para que las personas que no son expertas en seguridad puedan entender mejor el tipo de vulnerabilidades a las que pueden estar sujetos sus aplicaciones. Algunos diccionarios de este tipo disponibles públicamente son CWE [5], OWASP [6] y CAPEC [7]. Haciendo uso de estos recursos, podemos aprovechar el conocimiento generado por la comunidad y la industria en materia de seguridad.

Conclusión

En este artículo he listado algunas de las técnicas más comunes para modelar amenazas y así reconocer las vulnerabilidades que pueden tener nuestros sistemas, de manera que podamos actuar para evitarlas o resolverlas. Espero que esta información les sea de utilidad para desarrollar sistemas más seguros.

Referencias
[1] D. Evans. “The Internet of Things: How the Next Evolution of the Internet is Changing Everything”. http://swgu.ru/sg40r4
[2] B. Schneier. “The Psychology of Security”. http://swgu.ru/sg40r5
[3] Autores varios. “Fundamental Practices for Secure Software Development”. SAFECode, 2011. http://swgu.ru/sg40r6
[4] “Misuse case”. Wikipedia. http://swgu.ru/sg40r7
[5] CWE - Common Weakness Enumeration. http://cwe.mitre.org
[6] OWASP - The Web Application Security Project. https://www.owasp.org
[7] CAPEC - Common Attack Pattern Enumeration and Classification. http://capec.mitre.org

Bio

Yuri Adrián González Robles actualmente trabaja como Subdirector de Tecnología y Seguridad Informática de la Unidad de Servicios de Informática (IFE). Sus principales tareas comprenden proponer, consolidar y establecer los procesos y prácticas que permitan mantener e incrementar la seguridad y vigencia tecnológica de los servicios y sistemas informáticos del Instituto Federal Electoral www.ife.org.mx

Criptografía de Caja Blanca

lasr21 — Wed, 12 Jun 2013 06:35:19 +0000

Criptografía de Caja Blanca lasr21 Wed, 06/12/2013 - 01:35

Publicado en

SG #40

Temas especiales

La criptografía es la práctica y estudio de técnicas para comunicación segura en presencia de terceros. Esta práctica ha ido evolucionando y haciéndose más compleja a lo largo de la historia: en un inicio consistió en el reemplazo de letras o palabras en base a patrones sencillos; posteriormente en la 2da Guerra Mundial se desarrolló significativamente este campo y se comenzaron a utilizar máquinas electromecánicas, como la Enigma. Hoy en día, que vivimos en un mundo basado en información, el uso de criptografía está ampliamente extendido y para ello se utilizan diversos métodos.

A pesar de la evolución que ha tenido la criptografía, los métodos convencionales no son capaces de ofrecer una solución blindada que contemple por completo los distintos escenarios de diferentes ataques que intentan explotar las vulnerabilidades inherentes en la criptografía. En las implementaciones de DRM (Gestión de derechos digitales) típicas, los algoritmos criptográficos forman parte de la solución de seguridad y emplean un algoritmo conocido y potente al mismo tiempo, confían en el secretismo de la clave criptográfica. El problema con dicha estrategia es que las plataformas en las que estas aplicaciones pueden ejecutarse quedan sujetas al control de usuarios finales potencialmente hostiles.

El supuesto convencional de la criptografía es una configuración de tipo Black-box (caja negra) donde se asume que el atacante no tiene acceso a la clave de cifrado, es decir, que solo tiene acceso al resultado (texto cifrado). Durante mucho tiempo se ha dado por supuesto que esto es cierto también para los dispositivos de hardware como las tarjetas inteligentes, pero los ataques maliciosos que explotan la información "filtrada" de un Black-box (como los ataques de análisis de potencial diferencial, también conocidos como DPS) se han desarrollado permitiendo a los atacantes obtener las claves secretas de cifrado utilizadas por la supuesta caja negra. Es así que lo que tenemos no son realmente cajas negras, sino en todo caso grises.

Los mecanismos de cifrado más populares, como AES [1], no han sido diseñado para operar en entornos donde su ejecución puede ser observada; dichos modelos asumen que los tokens de protección en los puntos finales —como PCs o reproductores digitales— son de confianza. Si estos puntos finales residen en un entorno potencialmente hostil, entonces las claves criptográficas pueden ser visibles directamente para los atacantes que monitoreen la ejecución de la aplicación mientras intentan extraer las claves que están adjuntas o son generadas por la aplicación desde la memoria. Este es un problema común en las aplicaciones basadas en software que se ejecutan en PCs, decodificadores digitales IPTV y otros dispositivos que consumen datos al intentar aplicar DRM. Al supervisar de forma activa las API criptográficas estándar o los volcados de memoria, un atacante puede extraer las claves cuando se usan. Por ejemplo, el programa BackupHDDVD utiliza este mecanismo para lograr copiar el contenido de un DVD protegido, eliminando así el DRM.

La idea de mantener información valiosa como las licencias y otros secretos empresariales ocultos a la vez que se opera en un entorno completamente transparente plantea diversos dilemas: ¿cómo podemos cifrar y descifrar contenido sin revelar directamente ninguna parte de la clave o los datos?, ¿cómo implementamos un mecanismo de cifrado sólido sabiendo que un atacante puede observar y alterar el código durante la ejecución? Este es el contexto de lo que se conoce como criptografía White-box (caja blanca).

Las técnicas de criptografía White-box tienen como objetivo proteger las implementaciones de software de algoritmos criptográficos contra la recuperación de claves, incluso si el atacante tiene un control absoluto sobre la máquina que realiza el cifrado; esto es especialmente útil en el campo de DRM. La criptografía White-box utiliza técnicas que permiten realizar cifrado de manera que un atacante no pueda acceder la clave, incluso aunque sea capaz de observar libremente la ejecución del código dinámico y conocer los detalles de los algoritmos utilizados.

Conclusión

Los algoritmos creados para los modelos de Black y Grey-box no son prácticos de cara a funcionar en equipos que no sean de confianza; los atacantes han reconocido la vulnerabilidad de la criptografía clásica en el entorno de PC abierto. La criptografía White-box, en cambio, ha sido diseñada para operar en este contexto.

Resulta implícito que la protección del software debe recibir una atención específica, a lo largo de las fases de diseño e implementación además de ajustarse como parte del ciclo de vida del producto y en el lanzamiento de nuevas versiones. Además de la criptografía White-box, deberían emplearse medidas de seguridad complementarias adicionales para reforzar aún más el plan de protección general.

Bio

Mauricio Hernández es especialista en soluciones de protección en SafeNet, empresa proveedora de soluciones DRM, para la protección y el licenciamiento de software. @SafeNetLatino www.safenet-inc.com

Cibercrimen y Cómputo Forense

lasr21 — Wed, 12 Jun 2013 06:31:50 +0000

Cibercrimen y Cómputo Forense lasr21 Wed, 06/12/2013 - 01:31

Publicado en

SG #40

Temas especiales

Si bien los delitos informáticos aparecieron prácticamente desde la invención de las computadoras, en los últimos años se ha visto un aumento del cibercrimen orientado a infectar computadoras como objetivo final, enmarcados en ataques ciberterroristas, hacktivistas o de crimen organizado.

Según el reporte de cibercrimen 2012 de Norton [1], se estima que en ese año tan sólo en México más de 14.8 millones de personas fueron víctimas de delitos informáticos que ocasionaron pérdidas financieras directas por un monto de 2.2 miles de millones de dólares.

Estas cifras son evidencia de una gran fragilidad y falta de prevención frente a los delitos informáticos de parte de los usuarios, especialmente, en el ámbito corporativo. De acuerdo con un estudio realizado por Kapersky Lab [2], el 48% de las compañías tiene una protección insuficiente contra el robo de propiedad intelectual y otros ilícitos realizados en línea. Esta situación se agrava a causa de la falta de despliegue de políticas de seguridad y la falta de concientización de los empleados, lo que facilita a los ciberdelincuentes encontrar nuevas formas de beneficiarse de las corporaciones y, al mismo tiempo, lograr la profesionalización del ejercicio delictivo en la red.

Entre los delitos más frecuentes, especialmente en nivel empresarial, tenemos el robo de información. El 80% de los delitos de este tipo provienen del interior de la misma corporación, es decir, los empleados, incluso los que generan mucha confianza pueden ser la mente maestra detrás del robo de información valiosa para la empresa.

Tal es el caso, por ejemplo, de la industria automotriz: al desarrollar sus operaciones en ambientes abiertos, este tipo de corporaciones son proclives a padecer algún tipo de delito cibernético de manera deliberada o por descuido de sus colaboradores. En ese sentido es importante que cualquier agencia, por pequeña que ésta sea, tome las medidas mínimas en seguridad como el de impulsar una cultura de las Cartas de Asignación de equipos de cómputo en la empresa, lo que ayudará a individualizar responsabilidades.

Otro de los delitos de mayor frecuencia son los ciberataques en redes sociales y teléfonos móviles. En lo que respecta a los ataques en redes sociales, el robo de identidad es uno de los métodos más usados para obtener información de una persona con el fin de perjudicarla u obtener algún beneficio. De acuerdo al último Reporte de Cibercrimen de Norton, tan solo en Facebook durante el 2012 hubo casi seis millones de fraudes manuales y cerca de 600 mil falsas ofertas y encuestas.

Análisis forense en la nube

Para contrarrestar este panorama del alto crecimiento delictivo, es necesaria una mayor profesionalización en el rubro del análisis forense digital para disminuir la amenaza de delitos informáticos.

Entre las últimas tendencias del análisis forense digital que permitirán mejorar esta situación, encontramos la reducción del tiempo de procesamiento de las pruebas del delito. Para ello es necesario pasar por una nueva arquitectura de análisis forense digital que se base en los principios del cloud computing. Esto permitirá el procesamiento paralelo y simultáneo de pruebas digitales, evitando la duplicación de datos y esfuerzos, y sobre todo reduciendo drásticamente los tiempos de proceso de la información.

Esta nueva arquitectura debe considerar cómo acelerar el análisis de las pruebas digitales e incluir la capacidad de almacenamiento de pruebas, los servicios de aplicaciones y los principios de integridad y de confidencialidad de los datos digitales, así como disponer de un software de administración de casos y toda una gama de servicios adicionales.

Otra de las estrategias a seguir es la de evitar ingresar en enlaces enviados por correos externos, Facebook o por Twitter, sean promociones, avisos bancarios o tarjetas de felicitación; evitar enviar información confidencial o acceder a cuentas bancarias online usando redes inalámbricas públicas abiertas; tener contraseñas fuertes en todos los dispositivos y para todas nuestras cuentas, que combinen letras, números y signos; y capacitar a las personas en la empresa en políticas de seguridad.

Sólo empleando la última tecnología de la mano de la implementación de sólidas medidas de seguridad y de la aplicación de los principios de las últimas tendencias en arquitectura, las empresas y los usuarios finales y hasta el mismo gobierno podrán luchar en igualdad de condiciones con los ciberdelincuentes y garantizar una rápida respuesta contra los delitos.

Referencias
[1] ”CyberCrime Report 2012 - Mexico Fact Sheet”, Norton. http://swgu.ru/sg40r9
[2] “Global IT Security Risks 2012”, Kaspersky Labs. http://swgu.ru/sg40r10

Bio

Andrés Velasquez (@cibercrimen) es presidente y fundador de Mattica. Es especialista en seguridad informática y cómputo forense con más de 11 años de experiencia. Ha resuelto casos para organizaciones privadas y entidades como Interpol, ONU y agencias gubernamentales en Latinoamérica. www.mattica.com

¿Seguridad Informática o Seguridad de Información?

lasr21 — Wed, 12 Jun 2013 06:20:45 +0000

¿Seguridad Informática o Seguridad de Información? lasr21 Wed, 06/12/2013 - 01:20

Publicado en

SG #40

Temas especiales

Cada vez con mayor frecuencia escuchamos noticias relativas a fraudes, robos e incidentes relativos a la información. Es un hecho que la información se utiliza de mil formas, ya que a través de ella se define por ejemplo nuestra personalidad, nuestro estatus patrimonial, nuestro círculo social; basta ver como ejemplo el crecimiento de las redes sociales. Si lo revisamos desde una perspectiva organizacional se convierte todavía en algo más importante, ya que se traduce en nuestros secretos industriales, ventajas competitivas, situación financiera entre otros. Esto nos lleva a poder concluir que la información es uno de los activos más importantes de cualquier persona u organización.

Aunado a esto comienzan a tomar mayor fuerza una serie de regulaciones y requerimientos con respecto a la seguridad de la información. En México, por ejemplo, con el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares que nos obliga a establecer mecanismos y procesos para proteger información.

La pregunta entonces es ¿por qué nos preocupamos tanto por la seguridad informática en lugar de la seguridad de la información? Me explico, cuando vamos a una organización y preguntamos por su seguridad siempre nos hablan de los firewalls que se tienen implementados, de los detectores de intrusos de última generación, de los 5 antivirus en paralelo y cualquier cantidad de controles físicos y lógicos que se puedan nombrar, pero cuando preguntamos por los procesos de negocio que se están protegiendo, de cual es el impacto que un incidente podría ocasionar, de cuales son las principales amenazas existentes, de cuales son los objetivos estratégicos de la organización, de qué motivadores existen para sufrir un ataque, es entonces cuando las respuestas comienzan a escasear y a no tener la precisión adecuada. Más preocupante aún, es cuando comenzamos a revisar en donde se encuentran las vulnerabilidades realmente y nos damos cuenta de que no es en los “fierros” (servidores, aplicaciones, bases de datos, etc). No estoy diciendo que estos controles no sean importantes —de hecho son muy importantes considerando que la mayor parte de la información que hoy manejamos se encuentra en formato digital— pero no son los únicos. Todos conocemos la expresión de que una cadena se rompe por el eslabón más débil. Preguntémonos entonces: ¿cuál es el eslabón más débil en la cadena que representa la seguridad?, ¿será la plataforma tecnológica (es decir lo que está cubierto por la seguridad informática)? En la gran mayoría de los casos, la respuesta es NO; el eslabón más débil somos las personas.

Por naturaleza somos confiados y con frecuencia no tenemos el nivel de conciencia suficiente para identificar los impactos en caso de un mal manejo de la información que divulgamos o utilizamos. Si a esto le agregamos que no siempre existen los procesos, políticas y componentes legales que definan cual es el adecuado uso de la información, entonces tendremos un muy buen sistema de seguridad informática y un muy mal sistema de seguridad de información.

De poco sirve contar con el mejor detector de intrusos y el mejor firewall, cuando estadísticamente está demostrado que el 70% de los problemas de seguridad son causados por personas internas; y la mayor parte de estos ni siquiera son con dolo o afán de causar un daño, sino debido a la falta de un marco adecuado de seguridad. Les propongo un experimento, revisen los botes de basura de sus organizaciones o de sus vecinos, se van a sorprender de la cantidad de información que está ahí, disponible para el que quiera utilizarla. Otro experimento, entren a un baño de una organización y quédense dentro de un cubículo escuchando lo que las personas comentan, igual se van a sorprender de la cantidad de información sensitiva que se divulga.

En resumen, tenemos que construir y contar con un sistema que nos garantice, dentro de lo posible, la seguridad de la información, el cual debiera de contar con los siguientes elementos mínimos:

Un entendimiento claro, preciso y priorizado de qué es lo que se va a proteger a nivel organizacional y cuáles son los riesgos existentes.
Un marco normativo que contenga las políticas y procesos que los usuarios de la información deberán de seguir y cumplir.
Un plan de capacitación y concientización para los usuarios y administradores de la información.
Por supuesto, los controles tecnológicos y físicos que protejan la información.

Bio

Carlos Kornhauser (@ckornhauser) es Director de GRC (Governance, Risk and Compliance) para Pink Elephant México. Cuenta con más de 20 años de experiencia en prácticas de Gobierno de TI, Seguridad de Información, Continuidad Tecnológica y Cumplimiento Regulatorio. En 2003 fue reconocido por Microsoft por diseñar la mejor solución de seguridad en Latinoamérica y una de las cinco mejores a nivel mundial.

¿Por qué es Imposible la Seguridad Total?

lasr21 — Wed, 12 Jun 2013 06:16:12 +0000

¿Por qué es Imposible la Seguridad Total? lasr21 Wed, 06/12/2013 - 01:16

Publicado en

SG #40

Temas especiales

Cada que escucho a un proveedor hablar sobre seguridad, su exposición típicamente tiene la siguiente estructura: primero genera terror en nuestros corazones demostrando las amenazas que nos acechan, y posteriormente nos explica como su bala de plata nos protegerá. En algunos casos se mencionan otros puntos como alinear la bala de plata a nuestra tecnología y negocio, y capacitar al personal. Así que parecería que lo único que necesitamos para vivir tranquilos es aplicar tecnología, implementar una serie de procesos, capacitar al personal en la herramienta y someternos al rigor de auditorías anuales.

Listo, sano y salvo. ¿Dónde firmo para obtener seguridad total?

Un momento ... ¿en verdad se puede? Tenemos los ejemplos de grandes empresas, con el músculo tanto tecnológico como financiero para poder implementar cuanta defensa pueda ser implementada y sin embargo también son víctimas. ¿Cómo no ser escéptico si ellos no pudieron lograrlo?

No estoy solo en mi escepticismo. El escritor y consultor en seguridad Glenn S. Phillips [1] menciona 4 puntos por los que la seguridad total de información es imposible:

Existe gente involucrada. No existe seguridad absoluta simplemente porque la gente forma la mayor parte del área de riesgo. Ya sea que tenga malas intenciones, o que tenga buenas intenciones pero cometa errores.
El cambio es constante. Aunque el día de hoy logremos asegurar algo, mañana habrá nuevos riesgos. Cambio de gente, tecnología y forma de hacer negocios. El parche que instalé hoy protege contra los riesgos de ayer, no contra los de mañana.
Seguridad es un concepto, no una definición. Se puede definir "entorno seguro" para una situación particular pero no se puede generalizar. Pasar la auditoria únicamente demuestra que se revisó lo que creemos revisable. Esto no cubre riesgos particulares de negocio y riesgos nuevos.
La tecnología es una herramienta, no una solución completa. Demasiados líderes asumen que la seguridad es un problema de tecnología. Citando a Zygmunt Bauman: "las cerraduras pueden ayudarnos a soslayar el problema o a olvidarlo, pero no pueden obligarlo a dejar de existir."

Consideremos la analogía de un candado contra una ganzúa: el candado tiene que cubrir amenazas generales, la ganzúa solo tiene que romper una debilidad particular; la ganzúa necesita el éxito una vez, el candado necesita ser exitoso siempre.

Busquemos el balance

Intentar la seguridad total es costoso y con pocas posibilidades de éxito. Saber esto es bueno.

Olvidemos el "total", mejor busquemos el balance entre ser osado sin ser imprudente; entendámos profundamente la naturaleza de nuestro negocio y el riesgo que éste implica. Los autos comerciales no tienen jaulas contra volcaduras, de la misma manera que los autos de carreras no tiene bolsas de aire. El diseño en ambos es una mezcla entre lo que se espera de ellos y el riesgo que se corre.

Entender ésto es profundamente liberador. Si no hay hombres lobo, no necesitamos desperdiciar la plata en balas, ni imponer políticas basadas en quimeras. Mejor nos enfocamos tener un comportamiento adecuado a los riesgos que estamos dispuestos a tomar para realizar negocio.

Seguridad no es esconderse bajo una roca y perderse del mundo. No es encerrarse tras de murallas impenetrables y ver el mundo a la distancia. El candado total, el que es imposible de abrir, está sellado y esto lo convierte en un candado inútil. Lo que se busca es que lo abra la llave adecuada y que lo que protege no sea de mayor valor que el candado. No hacemos negocios para estar seguros, la implantación de seguridad es uno de los costos que debemos asumir para hacer negocios. Y como cualquier otro costo tiene que estar en balance con el tipo y la ganancia del negocio.

La seguridad que deberíamos buscar debe permitir un flujo sano de información con un control aceptable de los riesgos que se están tomando. Debe de tener medidas para que cuando lo inevitable pase —es decir que quede comprometida la seguridad—, no haya consecuencias desastrosas. Debe de girar en la confianza en nuestra gente y en el sentido de protección que debe de prevalecer entre ellos. Es decir, la seguridad tiene una perspectiva social que a veces olvidamos en nuestra búsqueda tecnológica de la misma.

Los mejores líderes ahorran tiempo y dinero entendiendo que la seguridad significa procesos, no entregables. Estos procesos cambian continuamente porque la gente, los riesgos y la tecnología están en un cambio continuo.

Referencias
[1] G. Phillips. “Mission Impossible: 4 Reasons Compliance Is Impossible”. http://swgu.ru/sg40r8

Bio

Edmundo Reyes Cuellar tiene 17 años de experiencia en el área de sistemas y ha trabajado desarrollando arquitecturas de Business Intelligence y Enterprise Content Management. Es apasionado de la arquitecturas de sistemas y los métodos ágiles. Le gusta programar en Ruby y Python aunque de vez en cuando todavía extraña a C. http://cuellared.wordpress.com

Apuntando los Nuevos Retos de TI

lasr21 — Wed, 12 Jun 2013 06:11:45 +0000

Apuntando los Nuevos Retos de TI lasr21 Wed, 06/12/2013 - 01:11

Publicado en

SG #40

Columna invitada

Enfrentar un ambiente con altas demandas de información, las cuáles se consumen por diferentes dispositivos, implicó en los últimos años un cambio de paradigma en las reglas, formas de entregar y consumir las TI en las organizaciones.

El impacto de la evolución de tecnologías de virtualización y nube en las áreas de TI ha crecido a pasos titánicos. Actualmente, el 40% de las cargas de trabajo en servidores están virtualizadas, y para el 2020 se espera que esta cifra llegue al 80%. Para este mismo año la industria habrá derrochado 241 mil millones de dólares en servicios relacionados con la nube.

Ante esto, las empresas han adoptado soluciones que lejos de ser competitivas, son complejas y monolíticas; esto dificulta su escalabilidad para hacer frente al manejo de información hacia los próximos años.

Por otro lado, las organizaciones han tenido que escoger entre soluciones con bajo costo de operación pero alta inversión inicial, o baja inversión inicial pero costos de operación mucho mayores a largo plazo.

Las empresas deben dejar estos modelos a un lado para cambiar a soluciones que brinden mayor agilidad y confiabilidad; que sean escalables y con niveles significativos de eficiencia y rendimiento. Estas soluciones también deben contribuir tanto a bajar los gastos de inversión como de operación, abriendo paso a que las organizaciones enfoquen sus esfuerzos a la innovación y la competencia.

Como ejemplo del abanico de retos que enfrentan actualmente las organizaciones de TI, veamos el caso de la infraestructura de cómputo. La virtualización ha tenido un gran impacto en esta área, ya que eleva el uso de los servidores por medio de máquinas virtuales y por lo tanto permite consolidar el hardware. Sin embargo, estos beneficios acarrean nuevos retos ya que ahora se requieren administrar y monitorear las máquinas virtuales. Además, la falta de estandarización de hardware y software dificulta la consolidación. En sí, la virtualización provocó una reacción en cadena ya que aumentaron los requerimientos de memoria, redes, aplicaciones y mejores mecanismos para la administración de TI, además que debe existir una integración de ellos.

Siguientes pasos

Una vez superando estos retos, lo siguiente es lograr que las TI sean la máquina que impulse a la organización por medio de niveles altos de eficiencia, agilidad y gestión de costos.

Infraestructura convergente. Se refiere a evolucionar de una simple virtualización a una infraestructura convergente con servidores, almacenamiento, aplicaciones y networking que sean centralizadas y simplificadas.
Movilidad. Otro requerimiento para ser competitivo es habilitar una fuerza de trabajo móvil y siempre conectada: en cualquier momento, en cualquier lugar y cualquier dispositivo de acceso. La organización de TI no solo debe ser capaz de habilitar esto, sino de controlarlo.
Almacenamiento. No basta con ser capaz de almacenar grandes cantidades de datos; se deben crear estrategias que organicen y administren los datos adecuadamente, además de hacerlos disponibles hacia los sistemas y dispositivos requeridos, todo ello guardando las políticas de seguridad de información requeridas.
Servicios administrados en la nube. El modelo de la administración de hardware y software en virtualización cambia y se encamina a un modelo más eficiente donde se manejan servicios en la nube o como un híbrido en tecnologías de la nube y virtualización.

Conclusión

Existe una conciencia de que la tecnología tiene que evolucionar. Por ejemplo, un 70 por ciento de los altos directivos espera un cambio significativo en su departamento de TI. Los altos directivos que involucran a los directores de sistemas en la estrategia del negocio reconocen el valor de los mismos, así como los beneficios financieros de implementar una estrategia de negocio vinculada a las tecnologías de información.

Bio

Carlos Love es Gerente de Marketing Sr. en Dell para la región de Latinoamérica, y conferencista en el centro ejecutivo de Dell en Austin. En su carrera profesional ha desempeñado diferentes posiciones ejecutivas a nivel mundial y Latinoamérica en diversas organizaciones de TI en especial el área de ventas, consultoría y marketing. Carlos tiene una Maestría en Administración con especialidad en Mercadotecnia por parte del ITESM.