www.bsecureconference.com.mx/mty 9 de junio 2010, Camino Real Monterrey
THE BUSINESS VALUE OF TECHNOLOGY
ESCLAVODE LA
JUNIO, 2010. NÚM. 205
VIRTUALIZACIÓN La virtualización de servidores presenta ventajas comprobadas; tanto, que ahora el proyecto se está llevando al escritorio y el almacenamiento. Pero hay que tener cuidado, porque de perderse el control en la gestión IT, los administradores de la infraestructura se convierten en esclavos de su propia creación
MÉXICO
[ CONTENIDO ] I MÉXICO
Núm. 205 Junio, 2010
THE BUSINESS VALUE OF TECHNOLOGY
2
CONTRASEÑA
Las empresas de software ¿desaparecerán como las conocemos?
Acostumbradas a millonarios contratos anuales de licencias de software, ahora las compañías se ven obligadas a ofrecer esquemas más flexibles. ¿Serán? SEGURIDAD
12 Nubes, sí; riesgos, también
14 DE PORTADA
ESCLAVO DE LA VIRTUALIZACIÓN
El cloud computing está preparando una tormenta de cambio. Para las áreas IT, el reto está en guiar a las organizaciones hacia un sano equilibrio STRATEGY
18 HP quiere convergir con sus clientes
La complejidad por la multiplicación de máquinas y redes se ha vuelto inmanejable. HP tiene una nueva estrategia que pretende zanjar ese destino fatal y devolver el valor a las IT REDES
20 LAN de siguiente generación
8 A FONDO
6 PASOS PARA MEJORAR LA GESTIÓN DE IDENTIDADES
La LAN será el sistema de tuberías por el que se añadirá video, fibra óptica por Ethernet, etc. ¿Cómo asegurar que será lo bastante robusta para soportar la presión? RETOS
25 Los obstáculos del gobierno digital
¿Qué hace falta para el despegue del gobierno digital? Una mayor capacitación de los funcionarios públicos y un aumento en el gasto IT en el sector público, responde IDC CIO LEADERSHIP
26 ¿Cuáles son las expectativas del CEO?
22 A DISCUSIÓN
SEGURIDAD: DEPORTE DE ALTO RIESGO
El CIO que entiende al CEO y le ofrece servicios según sus prioridades, exhibe comportamientos conscientes e implementa mecanismos que ayudan a cerrar la brecha
[ ADEMÁS ] 4 BREVES 27 COLUMNAS informationweek.com.mx
1
[CONTRASEÑA]
Por Mónica Mistretta
Las empresas de software ¿desaparecerán como las conocemos? Foto: Naidine Markova
Acostumbradas a millonarios contratos anuales de licencias de software, ahora las compañías se ven obligadas a ofrecer esquemas más flexibles. ¿Serán?
La creciente insistencia en torno al cómputo en nube y el software como servicio (SaaS, por sus siglas en inglés) convertidos ya en los buzzwords del momento, haría creer que las empresas de software como las conocemos tienden a desaparecer. No hay que ser muy listo para notar que su negocio ha estado históricamente sustentado en “amarrar” a los clientes mediante licencias de uso de software que se renuevan año con año, lo que se convierte en un flujo continuo (y muy saludable) de efectivo para estos grandes consorcios. Si el esquema de entrega de la aplicación cambia a un modelo bajo demanda, flexible y, en teoría, cancelable, ¿cómo se sustentarán estas empresas acostumbradas a un modelo tan rentable? Basta con revisar cifras: los últimos cuatro trimestres, Oracle reportó ingresos totales de $24,180 millones de dólares, pero menos de la tercera parte de ellos (o sea, $7,143 millones, o 29.5%) provinieron de lo que Oracle llama Nuevas licencias de software. Los restantes $17,000 millones resultan de dos categorías: la primera, Actualizaciones de licencias de software y soporte a productos, con ingresos por $12,710 millones de dólares (52.6% de las ventas totales), y la segunda, Servicios/consultoría, que sumó $3,860 millones (16% del total). SAP no es muy distinto. En los últimos cuatro trimestres, que corren de acuerdo con el calendario 2009, la firma teutona reportó ventas totales de $14,481 millones de dólares, de los que el rubro llamado Ventas de software significó $3,500 millones (24.4%). Lo que SAP
llama Software e ingresos relacionados con servicios de software sumó $11,100 millones de dólares, es decir, las licencias y servicios de software de su base instalada representaron más del triple de las ventas. Por su parte, una empresa mucho más pequeña como CA tuvo ingresos por $4,353 millones de dólares en su año fiscal 2010, 50% de los cuales provino de la renovación de 68 contratos de software. Tuve oportunidad de platicar con Bill McCracken, CEO de CA desde enero pasado, en el marco de su último CA World en Las Vegas, Nevada (Estados Unidos). Aproveché para cuestionarlo sobre el asunto. De forma muy honesta confesó que SaaS es algo que sucederá y que más vale que ellos mismos lo ofrezcan; de ahí que CA esté abrazando la nube. “He sido testigo de toda evolución y revolución en esta industria y estamos en otro punto de inflexión”, dijo McCracken, un muy juvenil ejecutivo de 67 años, quien pasó 36 años en IBM antes de unirse a CA, en 2007, como presidente del Consejo. En otras palabras, no se trata de una graciosa concesión. Las firmas de software se han visto cuestionadas por sus propios clientes, a su vez presionados por el entorno económico y obligados a reducir sus presupuestos y a hacer más con lo mismo. Suena bien eso de no tener que estar atados a licencias por el uso de aplicaciones, que muchas veces no requieren de una actualización continua o de soporte técnico que dista mucho de ser óptimo. Está por verse si el cloud computing es realmente una alternativa liberadora o más pan con lo mismo.
Mónica Mistretta es periodista y editora especializada en IT desde 1983. Es directora general de Netmedia Publishing, la casa editorial a la que pertenece InformationWeek México. monicami@netmedia.info
2
InformationWeek México Junio, 2010
Próximos eventos Reserve su agenda 24 de junio, Hotel Four Seasons
Las 50 empresas más innovadoras de InformationWeek México es una premiación creada por Netmedia y avalada por la metodología desarrollada ex profeso por la prestigiada firma de consultoría Ernst & Young. Ambas organizaciones participan año con año a lo largo del proceso, que incluye revisión y actualización de cuestionarios, convocatoria, calificación de proyectos, selección y verificación de los casos presentados. Registre su proyecto antes del 30 de abril de 2010.
evo
Nu 28 y 29 de septiembre, Centro Banamex
Es el único foro que reúne al mayor número de proveedores de tecnologías de negocios mostrando en vivo sus productos o servicios. El propósito es que el comprador corporativo/influencer tenga una experiencia hands-on de las nuevas tecnologías y tendencias en servicios. A través de sesiones interactivas, los asistentes conocerán de primera mano y de voz de sus desarrolladores, las últimas versiones de las soluciones para negocios y las nuevas aplicaciones disponibles en el mercado.
13 de octubre, Hotel Hilton Cuidad de México Reforma
Por tercer año consecutivo, el Government Innovation Forum reunirá a la élite de innovadores del sector público en todo el país, quienes conforman la selecta lista de “Los más innovadores” de la revista InformationWeek México. A la convocatoria asisten también tomadores de decisiones de los distintos niveles de la administración pública (federal, estatal y municipal), que desean compartir las experiencias de quienes son reconocidos en el prestigiado ranking, a través de paneles de discusión, mesas redondas y conferencias magistrales. El foro concluye con la emotiva ceremonia de entrega de la estatuilla a los más innovadores del ranking de InformationWeek México.
20 y 21 de octubre, Hotel W Ciudad de México
o
ev Nu
SoMeBIZ es un foro interactivo que conjunta las mentes más brillantes en comunicaciones, marketing, desarrollo de marcas y ejecutivos de negocios para explorar cómo el social media ha revolucionado la forma en que los individuos y las empresas posicionan sus marcas en línea. Presentado por Netmedia, la compañía de soluciones mercadológicas y de medios de mayor prestigio en el segmento de la tecnología y los negocios, la conferencia está diseñada para mercadólogos, tomadores de decisiones, líderes IT, consultores, publicistas, publirrelacionistas y desarrolladores de aplicaciones.
[BREVES] NUEVO DECRETO PARA ÁREAS IT DEL GOBIERNO En el marco de un nuevo decreto de reforma regulatoria de parte del ejecutivo mexicano, que implica la derogación de la normatividad que no se justifique en temas diversos (adquisiciones, recursos humanos, arrendamiento y servicios, entre otros), se dio a conocer el llamado Manual Administrativo de Aplicación General en Materia de Tecnologías de Información y Comunicaciones (MAAGTIC). Su función es ser un marco rector de aplicación obligatoria para las dependencias federales, que establecerá los procesos, disposiciones normativas, responsables, indicadores y estándares aplicables a la gestión de las áreas TIC de la administración pública federal. Los preparativos de MAAGTIC –coordinado por la Secretaría de la Función Pública y en el que participaron diversas firmas consultoras como Itera– tomaron alrededor de medio año previo a lo que será la publicación del decreto de parte del presidente Felipe Calderón. El manual creó una “norma única”, como la llama el gobierno, con base en prácticas como CMMI, COBIT, ITIL e ISO 27000. Sus objetivos: hacer un uso eficiente de los recursos aplicados a las TIC, mejorar la satisfacción de áreas usuarias y monitorearla, incorporar las mejores prácticas, lograr la gobernabilidad TIC, y mejorar el control y calidad sobre la administración y ejecución de los servicios TIC.
Mónica Mistretta Directora general
Elba de Morán Directora comercial
Gabriela Pérez Sabaté Directora de proyectos especiales
Alejandro Cárdenas Director de arte
Gabriela Bernal Directora administrativa
José Luis Caballero Asesoría legal
CONSEJO EDITORIAL
Flor Argumedo, Leopoldo Murillo, Jordi Ballesteros, Abel García, Carlos Chalico, Jorge Luis Ibarra, Octavio Márquez, David Orellana Moyao, Carlos Zozaya, Isidoro Ambe, Jorge Pérez Colín, Juan Portilla, Gaël Thomé, Eduardo Gutiérrez, Jorge Varela, Gerardo Villarreal, Pedro Cerecer, Francisco Javier Gómez EDITORA
Fabiola González COLUMNISTAS
Jorge Blanco, Bob Evans EDITOR ONLINE
CARTAS AL EDITOR Dirija su correspondencia a InformationWeek México, Cartas al editor, Sócrates 128, 4º piso, Col. Polanco, México, D.F. 11560, fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y e-mail. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones. SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio internet: www.netmedia.info Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: David Steifman, Huson International Media. Tel. 408-879-6666. Servicios en línea www.netmedia.info Servicios editoriales y custom publishing. servicios@netmedia.info
Efraín Ocampo COLABORADORES
MÁS FUERZA MÓVIL Oracle liberó nuevas capacidades en su E-Business Suite Release 12.1.2. Está, por ejemplo, Oracle Field Service, que brinda visibilidad para la localización de técnicos en tiempo real en un mapa y el envío de mensajes a empleados para una mayor productividad de campo.
Charlotte Dunlap, Ione de Almeida Coco, Adam Eli, Greg Shipley, Jeremy Littlejohn, Michael A. Davis, Michael Healey, Richard Dreger DISEÑO
Pablo Rozenberg WEBMASTER
Alejandra Palancares FOTOGRAFÍA
IBM COMPRA Y AMPLÍA SU NUBE
Fernando Canseco
Para incrementar sus servicios de cómputo en nube, IBM adquirió a Cast Iron Systems, proveedor de software, appliances y servicios de integración de cloud computing. Su intención, empleando la propuesta tecnológica de Cast Iron, es ofrecer una plataforma completa de integración de aplicaciones en nube (de proveedores como Amazon y Salesforce) con aplicaciones on-premise (JD Edwards y SAP, entre otros).
[LA CIFRA]
[FE DE ERRATAS]
83%
En el artículo “SunGard Higher Education quiere graduarse en México” (InformationWeek México No. 204, edición Abril-Mayo, págs. 26 y 27), el nombre del cliente de SunGard mencionado debe ser CESSA, la escuela de negocios de la industria de la hospitalidad.
de los administradores IT no identifica correctamente (de una lista) los sitios y herramientas que pertenecen al Web 2.0 Fuente: Websense, encuesta realizada a 1,300 administradores IT
4
InformationWeek México Junio, 2010
TRADUCCIÓN
Manuel Arbolí COORDINADORA DE LOGÍSTICA
Claudia Aguilar ASISTENTES DE REDACCIÓN
César Nieto, Oscar Nieto ASISTENTE DE VENTAS
Alejandra Rivera SUSCRIPCIONES
Sonco-Sua Castellanos, Diana Zdeinert
Circulación certificada por el Instituto Verificador de Medios Registro No. 163/05
InformationWeek México es una publicación mensual de Netmedia, S.A. de C.V., bajo licencia de CMP Media LLC. Se distribuye en forma gratuita con circulación controlada y calificada. ©2009 Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos, sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de InformationWeek y otras publicaciones de CMP Media LLC están sujetos a edición. Reserva de derechos ante la Dirección General de Derechos de Autor: 04-1999-053109345300-102. Autorización como publicación periódica por Sepomex PP09-0582. Certificados de licitud de título y contenido por la Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación, en trámite. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas, S.A. de C.V. Sevilla 702 B, Col. Portales, 03300 México D.F. Netmedia, S.A de C.V., Sócrates 128 4º. Piso, Col. Polanco, C.P. 11560, México, D.F., teléfono 2629-7260, fax 2629-7289. www. netmedia.info
eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter
Lテュder en
Custom New eMedia
SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTテ,TENOS www.netmedia.info t. 2629 7260 ext. 1125
[BREVES] CA: NUEVO NOMBRE, NUEVA APUESTA Durante el CA World, celebrado recientemente en Las Vegas, Nevada, no se habló de otra cosa: CA cambiará su nombre por CA Technologies (que, a decir de su CEO, Bill McCracken, “apunta hacia un futuro como líder en la entrega de soluciones que revolucionarán la forma en que las IT facilitan la agilidad de los negocios”), y se centrará en software que permita administrar y asegurar la infraestructura y la información en ambientes de nube, sean públicos o privados. McCracken estima que la mitad de sus ingresos provendrá de versiones SaaS de sus productos, pero en forma más estratégica como proveedor de herramientas de administración y seguridad para centros de datos en la nube o virtualizados. El CA World fue el escenario para el anuncio de Catalyst (nombre código), una arquitectura basada en servicios Web que integra el portafolio de productos de reciente adquisición con los ya conocidos. Entre las nuevas compras están Nimsoft, para el monitoreo del desempeño y disponibilidad de los recursos IT; 3Tera, que permite ofrecer servicios de cómputo bajo demanda a través de su producto estrella AppLogic; Oblicore, proveedor de software para gestión de niveles de Bill McCracken, CEO de CA servicio, y NetQoS, para administración del desempeño de la red y de la entrega de servicios.r
SYMANTEC COMPRÓ A VERISIGN El negocio de autenticación e identidad de Verisign será adquirido por Symantec, luego de que ambos firmaran un convenio final. Éste sigue sujeto a las condiciones de cierre consetudinarias, pero se espera la resolución para el siguiente trimestre. El monto pactado asciende a cerca de $1,280 millones de dólares en efectivo, e incluye los servicios de certificados de capas de conexión segura (SSL), los de infraestructura de claves públicas (PKI), los de confianza de Verisign y el servicio de autenticación de protección de la identidad (VIP). El fin de la adquisición es que Symantec presente una nueva visión de la informática que integre seguridad de la identidad, seguridad móvil y de otros dispositivos, protección de la información y seguridad en la nube, y ayudar así a que sus clientes adopten modelos más confiables considerando cómputo móvil, redes sociales, cloud computing y demás.
UNIÓN REAL EN EL CAMPO VIRTUAL SAP mantiene su estrategia de innovar, por lo que decidió aliarse con Cisco, EMC y VMware para desarrollar conjuntamente soluciones de virtualización y de cómputo en nube de ambientes críticos de negocios. Cisco, EMC y VMware se comprometieron a desarrollar innovaciones continuas en torno al software de SAP, de modo que se aprovechen al máximo los beneficios de la virtualización y se acelere el paso hacia la adopción del cloud computing privado.
[LA FRASE] “Unix está muerto, y hasta IBM lo está diciendo”, Donald Feinberg, vicepresidente y analista distinguido de Gartner
6
InformationWeek México Junio, 2010
CRECEN LOS DATOS Y LOS PROBLEMAS De acuerdo con el estudio “La década de universo digital – ¿Está usted listo?”, que realizó IDC a encargo de EMC, en 2009 la cantidad de información digital alcanzó los 800,000 millones de GB (o 0.8 zettabytes). Su crecimiento, comparado con 2008, fue de 62%. Para finales del presente año, la firma de análisis estima que se llegará a los 1.2 zettabytes, lo que equivaldría a reunir 75,000 millones de iPads de 16 GB completamente llenas. El aumento será exponencial hasta llegar al año 2020, cuando la información digital será 44 veces mayor a lo registrado en 2009. Entonces, más de una tercera parte de esa información residirá o pasará a través de la nube, y de 30% a 50% requerirá seguridad más allá de lo básico. La pregunta es: ¿las infraestructuras IT empresariales estarán preparadas?
[A FONDO] 6 pasos para mejorar la gestión de identidades Esto es lo que se requiere saber sobre gestión de identidades de empleados en una época de outsourcing y software-as-a-service ■ Por Adam Eli
L
a gestión de identidades, las contraseñas y los derechos de acceso de empleados siempre han sido complicados. Y ahora, con un mayor uso del outsourcing y del software como servicio (SaaS, por sus siglas en inglés), las cosas se vuelven más enredosas y requieren el uso de una gestión de identidades (IDM) federada, operada desde fuera de las paredes de la empresa. Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar latoso, además de complicado. Los sistemas distribuidos, usados en el mundo entero, y un inacabable número de tecnologías que se deben integrar son para volver loco a cualquiera. Pero si se planean adecuadamente resultan en beneficios significativos, como seguridad mejorada, menos gasto operativo fijo, mejor experiencia de los usuarios y más bajos costos de soporte. La IDM permite al área IT entender quiénes son los usuarios, a que aplicaciones y redes accesan y, en la mayoría de los casos, cuáles son sus funciones en el trabajo. Permite también la gestión completa de una identidad (en contraposición de una perspectiva aislada de una sola cuenta en un solo sistema). La clave está en entender cuáles son las tecnologías de IDM en el ambiente de cada empresa, cómo son usadas por el personal y cómo se entrelaza todo. Lo que sigue son seis pasos para manejar estos asuntos y para mejorar el control sobre el ambiente. PASO #1.- SABER QUÉ SE ESTÁ ADMINISTRANDO El enfoque que se adopte en IDM dependerá de cuánto se dispone para gastar, qué tecnologías se aplicarán y cuál será la sofisticación y amplitud del sistema. ¿Requiere la compañía soporte de administistración de usuarios básico, o todo, desde aprovisionar a los nuevos usuarios y los login individuales hasta eliminar a los usuarios que se han ido? Si la compañía está creciendo, abre nuevas sucursales, contrata a más empleados y ha optado por aplicaciones SaaS (en vez de traer más aplicaciones intramuros), entonces será conve-
8
InformationWeek México Junio, 2010
niente más automatización de los actuales procesos de IDM que gastar dinero en traer nuevas soluciones. La automzatización del aprovisionamiento y eliminación de los empleados que se han ido evitará equivocaciones, traerá mayor seguridad y redundará en menos problemas de auditoría. Se puede dar un paso más y crear plantillas y fechas de expiración de las cuentas de los empleados para efectos de su acceso a las aplicaciones y a la red, lo que hará la felicidad de los auditores. PASO #2.- IDENTIFICAR LA TECNOLOGÍA SOBRE LA QUE RESIDEN LAS CUENTAS DE LOS USUARIOS Puede tratarse de un sistema de recursos humanos (RH), SAP, Active Directory, OpenLDAP o cualquier directorio de cuentas de usuario, o incluso alguna combinación de todo esto. Los sistemas de RH y nómina son los mejores lugares para buscar un sistema que identifique qué usuarios son legítimos y activos. También es necesario determinar cuál es el sistema maestro de identificación del área IT. ¿Es Active Directory o algún otro repositorio centralizado de cuentas? Si no hay uno, esto explica el problema en que está la empresa, y por ahí se debe empezar. Si se tiene Active Directory u otro sistema, entonces hay que averiguar qué está autenticando en su contra. Puede tratarse sólo de las PC y servidores, pero también puede deberse a aplicaciones a la medida o aplicaciones de terceros. PASO #3.- CENTRALIZAR LA AUTENTICACIÓN En este punto es preciso evaluar detalladamente si es conveniente migrar a un sistema central de autenticación. Una clave de la IDM federada es tener un lugar central para la gestión de cuentas, y muchas compañías han comprobado que los beneficios de una autenticación central superan con mucho los inconvenientes de dicho sistema.
FALTA ACCIÓN ¿Usa su compañía gestión de identidades externa en su trato con socios de negocio y proveedores?
41% Sí
42% No
17% Aún no, pero planeamos su implementación en 18 meses
Fuente: Encuesta del área de investigación de la revista hermana InformationWeek en Estados Unidos, sobre gestión de identidades a 376 profesionales IT y de negocios. Marzo de 2009
El Identity Manager, de CA, y el Tivoli Identity Manager, de IBM, son algunos de los productos de IDM que las compañías pueden usar, independientemente de si tienen o no un directorio central de usuarios. Muchas de estas herramientas realizan el mismo trabajo, pero cada una tiene sus lados ventajosos (ver recuadro “En busca del sistema correcto”). Los sistemas más grandes (como el de CA y el de IBM) cuestan $100,000 dólares o más y proveen gestión completa del flujo de trabajo para aprovisionar y eliminar usuarios, incluida la aceptación de la solicitud inicial, la obtención de la autorización, la creación o eliminación de cuentas con un solo clic, etc. Estas características son las que distinguen a la IDM de los sistemas de servicios de directorio, como Active Directory. Permiten que el departamento IT importe cuentas de un directorio maestro o de un sistema individual.
EN BUSCA DEL SISTEMA CORRECTO Existen muchos fabricantes en el mercado de la gestión de identidades, como CA, IBM, Oracle, Radiant y SAP. La otra opción es desarrollar una herramienta dentro de la empresa, pero a la mayoría de las compañías esto les resulta difícil, y al cabo salen gastando más. La compra de un paquete puede costar más en un comienzo, pero a la larga suele funcionar mejor a medida que las organizaciones, al tiempo que crecen, van añadiendo tecnologías. Un consejo sería enviar a los fabricantes una lista de las tecnologías que se usan en la empresa y pedirles que verifiquen cuáles soportan y si ese soporte aumenta el costo, además de revisar cómo los procesos de la empresa se complementan con los de los sistemas de los fabricantes. Proceder a un rankeo basándose en los criterios de la empresa y el presupuesto es recomendable. Antes de llegar a la decisión final, es importante tomarse el tiempo para ver más allá, pues es probable que posteriormente la compañía quiera implementar alguna nueva tecnología. Finalmente, siempre es bueno procurar que cualquier senda que se emprenda en materia de IDM sea flexible y permita hacer añadiduras y cambios durante el proceso.
informationweek.com.mx
9
[A FONDO] URGE PROTEGER ¿Qué tan importantes son las siguientes motivaciones para establecer iniciativas de gestión de identidades en su empresa? Promedio Protección de datos o IP
4.3
Neutralizar amenazas externas
4.1
Cumplimiento de normas
3.9
Escalabilidad de la gestión de acceso para empleados o socios
3.6
Funcionalidad a través de dominios
3.5
el manejo de centenares de cuentas en un sistema subcontratado puede absorber muchos recursos. Hay que averiguar con el área contable y la de personal de encuestas qué aplicaciones y sitios online (de terceros) están usando sin conocimiento del departamento IT. El propósito, lejos de impedir que se utilicen esos servicios, es entender cómo manejarlos mejor.
3.5
PASO #5.- EXAMINAR LAS OPCIONES Y PEDIR SUGERENCIAS A LOS Gestión de derechos digitales 3.0 FABRICANTES DE IDM Y SAAS 1 (carece de importancia) 5 (Muy importante) El siguiente paso es entender los flujos de trabajo y el proceso tal cual es, Fuente: Encuesta del área de investigación de la revista hermana InformationWeek en Estados Unidos, sobre gestión de identidades a 376 profesionales IT y de negocios. Marzo de 2009 a cabalidad, para, entonces, poder proporcionar un mapa que muestre PASO #4.- SABER QUÉ APLICACIONES EXTERNAS SE cuál sería la diferencia en su operación con otro proveedor. ESTÁN USANDO Hay que observar cómo se aprovisiona a los usuarios, Una vez que se ha entendido la parte interna de la empresa, cómo se manejan los cambios a su acceso y cómo se elimina hay que mirar hacia fuera. ¿Emplea la compañía servicios de a los usuarios cuando se marchan. SaaS, redes sociales, gestión subcontratada de gastos y sis¿Cómo se añaden cuentas a lo ancho de múltiples sistetemas de RH? mas? Conviene realizar una prueba sobre cómo se procesan Dado que su operación es más barata y su despliegue las solicitudes, sobre todo cuando se trata de sistemas extermás rápido, las ofertas de SaaS pueden ser un gran añadi- nos, como Salesforce y aquella plataforma que siempre ha do a la empresa, si tienen suficientes capacidades de ges- sido manejada por una persona que se rehúsa a que otros le tión de usuarios. Si no se dispone de buenas herramientas, “metan mano”. Para la documentación del flujo de trabajo, Evita costos
CUANDO LAS CONTRASEÑAS NO BASTAN La autenticación de usuarios no ha cambiado con el paso de los años: los nombres y contraseñas de los usuarios siguen siendo la norma, con todo y que éstas sólo ofrecen una protección moderada. Con todo, muchas compañías no están listas para deshacerse de ellas, y no pueden pagar el costo y la complejidad de una infraestructura completa de clave pública o algún otro esquema multifactorial. Por lo mismo, en lo que están pensando es en seguir usando los métodos de autenticación existentes, al tiempo que desarrollan una estrategia más segura de gestión de la autenticidad. He aquí los tres elementos que dicha estrategia debe contener: 1. Implementar una fuerte política de contraseñas, que contemple passwords de máxima fuerza (de ocho cifras/letras como mínimo). Conviene exigir una combinación de minúsculas, mayúsculas, números y signos especiales. Asimsimo, hay que establecer una caducidad de la contraseña y una política de cierre de la cuenta. 2. Complementar con controles, como los settings de constraseñas del Active Directory; exigir actualizaciones de autenticación de las aplicaciones, y establecer opciones en los sistemas. Si bien no existe la posibilidad en todos los casos, siempre hay que hacer lo más posible, y basarse en buenas prácticas de auditoría y educación de los usuarios. 3. Usar autenticación multifactorial (donde dos o más credenciales validan a un usuario). Puede resultar prohibitivo, pero hay lugares donde un control más estricto rendirá ganancias significativas en seguridad. Está, por ejemplo, el acceso remoto en autenticación de VPN, las identidades establecidas por el servicio (SSID) y el control de acceso a los sistemas críticos que no sean a través de consola. –Richard Dreger 10
InformationWeek México Junio, 2010
es recomendable emplear siempre gráficas de flujo; son útiles cuando se implementan nuevos productos y para advertir redundancias en los procesos. Un elemento a destacar es que esto debe hacerse con usuarios finales. Suele suceder que se revisen los procesos técnicos y se olvide el preguntar a los ususarios qué piensan del proceso, cómo lo entienden y qué puntos les parecen difíciles. Cuando no se resuelven los problemas y las malas interpretaciones de un sistema ya existente, es muy fácil trasladarlos al nuevo. PASO #6.- CONOCER LOS LÍMITES Una vez que se tiene la tecnología, los directorios y los servicios a integrar, es momento de estimar las limitaciones de la empresa. ¿Se van a manejar todas estas tecnologías? ¿Basta un producto o se requieren varios? Una manera fácil de simplificar la gestión de identidades es vinculando todos
los recursos en el menor número posible de directorios; por ejemplo, autentificar todos los sistemas y aplicaciones posibles en el Active Directory. Una vez que se ha reducido el número de puntos de autenticación con la implementación de un sistema de IDM, hay menos probabilidades de apagones debido a cambios del sistema, y menos llamadas al help desk por contraseñas olvidadas. Hasta aquí, el usuario tendrá conocimiento en un nivel razonable de dónde manejar las cuentas. Si no hay mucho cambio de empleados, tal vez no tenga sentido implementar un sistema automatizado mayor. De detenerse aquí , la organización ya habrá reducido los costos de soporte y mejorado el proceso del manejo de identidades. —El autor es director de seguridad de TiVo, donde es responsable de las IT y los sistemas de seguridad de las aplicaciones. Se le puede contactar en: iweekletters@techweb.com
La cura del riesgo informático Un centro de cancerología se apoya en IDM para proteger la privacidad de su información y cumplir con las regulaciones de su industria Por Charlotte Dunlap
E
l Memorial Sloan-Kettering Cancer Center, el más antigüo y mayor centro privado de cancerología de Estados Unidos, con sede en Nueva York, pasó 18 meses en un proceso de RFP (Request for Proposal) antes de decidirse por una oferta de gestión de identidades y accesos como parte de su estrategia de gobernabilidad, riesgos y cumplimiento de normas. Este centro de cancerología, con 480 camas y que admitió a más de 23,000 pacientes en 2009, posee una estructura IT centralizada que soporta unos 10,000 usuarios. La gestión de identidades (IDM) es particularmente importante porque tiene que ajustarse a los lineamientos de la legislación HIPAA, sobre privacidad. Antes de implementar el sistema, cuatro miembros del personal IT empleaban una enorme cantidad de tiempo estableciendo y cambiando las identidades de los usuarios. El despliegue de la solución seleccionada empezó con un sistema de sincronización de contraseñas que provee un password para todas las aplicaciones de un usuario. En la primera fase, el equipo IT también aprendió cómo escribir los conectores entre el sistema IDM y las aplicaciones de la empresa, inclui-
da su aplicación de recursos humanos que provee al equipo IT los datos sobre cambios en el estatus de los empleados. También construyó flujos de trabajo para manejar situaciones donde algún miembro del personal tiene que ser removido inmediatamente, así como actualizaciones sobre el estatus de los empleados a partir del sistema de RH. La tercera fase del proyecto permite que los gerentes de negocio acepten, denieguen o revoquen derechos de acceso a los usuarios, empleando una herramienta adicional. Y otro flujo de trabajo todavía en desarrollo consiste en una página Web con instrucciones sobre cómo manejar las solicitudes de terminación y cambio. Sloan-Kettering aprovechará otros productos de IDM que integran avanzadas capacidades de seguridad, como prevención de pérdida de datos, según adelanta Rachel Heftler, su director de servicio a clientes. La tecnología Data-in-motion DLP, integrada con un sistema de identidad consciente de contenido y de gestión de accesos, puede advertir si está saliendo un e-mail con información sensible, y avisar al oficial de privacidad, quien puede inhabilitar las cuentas de ese empleado con sólo dar clic en un flujo de trabajo. informationweek.com.mx
11
[SEGURIDAD] Nubes, sí; riesgos, también El cloud computing está preparando una tormenta de cambio. Para el área IT, el reto está en guiar a las organizaciones hacia un sano equilibrio ■ Por Greg Shipley
H
ace unos meses, circuló por las oficinas de la revista hermana InformationWeek un artículo de considerable tamaño “a favor de la nube” que venía girando por diversos grupos ejecutivos fuera del mundo de las IT. Dicho material, redactado por una firma de capital de riesgo y dirigido a altos ejecutivos, presentaba algunos puntos interesantes, pero el mensaje clave era incitar, sin gran argumentación, a usar la nube “cuando y donde se pudiera”. La palabra “riesgo” no figuraba por ninguna página de ese documento. Los beneficios del cloud computing pueden ser reales, pero la descarada omisión de referencias a los aspectos desventajosos tiene todas las señas de un entusiasmo ciego, y
12
InformationWeek México Junio, 2010
no es de sorprender que sus autores tengan sustanciales intereses en uno o varios proveedores de nube. El artículo en cuestión también hace hincapié en que la discusión sobre la nube, guste o no, ocurre fuera de los círculos IT. Más aún, algunas organizaciones usan los servicios de la nube sin equipos IT, de seguridad o de control de riesgos, incluso siendo conscientes de que hay datos que salen de la red. Por ejemplo, en una organización que prefirió mantener el anonimato no supieron que sus empleados usaban los servicios Elastic Compute Cloud, de Amazon, hasta que dichos empleados trataron de pasar las facturas. Fue el área de contabilidad, no el departamento IT, quien sonó la alerta.
A FAVOR Y EN CONTRA Hoy por hoy, muchas compaĂąĂas con ĂĄrea IT centralizada se las ven negras para seguir la pista a sus datos, proveedores y contratistas. El uso de tecnologĂa basada en la nube, de parte del personal de negocios, hace saltar por los aires el modelo centralizado, y es ahĂ donde estriba el problema de mayor importancia para la gobernabilidad: ÂżquiĂŠn tiene que tomar la decisiĂłn de subcontratar una funciĂłn del negocio o un conjunto de datos de la empresa?, Âży a quiĂŠn compete aceptar los riesgos afines? El lector quizĂĄ piense que actualmente hemos avanzado en el frente del control de riesgos, dado que el entusiasmo por la nube se ha extendido por los grupos IT empresariales desde hace mĂĄs de un aĂąo. En particular, el departamento de investigaciĂłn de InformationWeek, revista hermana de InformationWeek MĂŠxico en Estados Unidos, realizĂł una encuesta en la que participaron 547 profesionales IT y de negocios en febrero del aĂąo pasado. El total de los participantes se calificaban intrigados por las promesas del cloud computing, pero igualmente por sus riesgos: mĂĄs de la mitad se preocupaba por los defectos en la seguridad de la tecnologĂa en sĂ misma y por la pĂŠrdida de datos propietarios.
C R M
|
B A S E S
D E
D A T O S
|
M E D I U M
Un aĂąo despuĂŠs, la dinĂĄmica persiste: en la investigaciĂłn de febrero de 2010, en la que participaron 518 ejecutivos, las preocupaciones por la seguridad de nuevo encabezaron la lista de las razones para no usar los servicios de nube; en tanto, el principal impulsor es el ahorro en costos. â€œÂżSe ha olvidado todo el mundo del hundimiento de las punto-com? –se pregunta el vicepresidente senior de una compaĂąĂa de servicios pĂşblicos en el vecino paĂs del norte–. Sitios Web enteros, junto con las compaĂąĂas que los manejaban, desaparecieron sin dejar rastro. Deseo controlar mi propio futuro.â€? Un profesional IT del sector de la educaciĂłn que ha subcontratado el e-mail a Google, revira: “Al sobrepasar las 5,000 cuentas, la administraciĂłn, respaldo y mantenimiento se volvieron prohibitivos. Ahora contamos con una fiabilidad de 99.999%, disponemos de hasta 20 GB de espacio por usuario y podemos entregar mĂĄs serviciosâ€?. Ambos grupos tienen razĂłn. Entregar algunas funciones a un proveedor de nube libera tanto al personal como a los recursos de computaciĂłn para que puedan hacer frente a otros problemas. Pero es necesario efectuar un mejor trabajo en cuanto al control de riesgos, porque hay tanta oportunidad de desastre como espacio para los beneficios.
B U S I N E S S
|
B U S I N E S S
P R O C E S S
$MJFOUFT DPO WBMPS CRM
Quitamos la paja por ti
Las aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son mĂĄs accesibles y fĂĄciles de usar. ConĂłzcalas.
/P UF QJFSEBT FO MB C|TRVFEB
"SDIJWPT EJHJUBMFT Bases de Datos
El crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la informaciĂłn. AquĂ le decimos cĂłmo.
InformaciĂłn a la medida para tu negocio
/FHPDJPT FO DSFDJNJFOUP Medium Business
IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP
Soluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.
powered by:
&NQSFTBT FGJDJFOUFT Business Process
IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP C R M
|
B A S E S
D E
D A T O S
|
M E D I U M
B U S I N E S S
|
Las mejores prĂĄcticas se incorporan a las tecnologĂas de negocio a travĂŠs de aplicaciones que automatizan los procesos empresariales y estĂĄn a su alcance.
B U S I N E S S
P R O C E S S
[DE PORTADA]
ESCLAVO
DE LA
VIRTUALIZA
Las empresas han probado las mieles de la virtualización de los servidores. Por eso, ahora los proyectos en torno a esta tecnología se están llevando a los escritorios y el almacenamiento. El problema es que ante el crecimiento de la iniciativa puede perderse el control en la gestión IT, lo que convierte a los administradores de la infraestructura en esclavos de su propia creación
E
Por Fabiola V. González y Michael Healey
s raro encontrar a algún profesional IT que no reconozca los beneficios de la virtualización de los servidores. El concepto, que significa aprovechar el potencial del hardware subyacente, dividiendo el sistema en múltiples sesiones virtuales, ha existido desde los tiempos del mainframe, pero VMware se llevó las palmas al virtualizar servidores x86, lo que catapultó este enfoque tecnológico al mundo distribuido. Hoy prácticamente se puede virtualizar cualquier cosa: ¿iPhones corriendo un hipervisor?, ¿por qué no? Una reciente encuesta de la revista hermana en Estados Unidos, InformationWeek, muestra que la virtualización de servidores no deja de avanzar: 54% de los 391 participan14
InformationWeek México Junio, 2010
tes espera que al menos la mitad de sus servidores de producción estén virtualizados para 2011. Ello ha dado pie a un nuevo paso en el marco de la virtualización, y las organizaciones han empezado a virtualizar el almacenamiento y el escritorio. Pero los departamentos IT requieren dominar el tema de la administración para poder soportar con efectividad la virtualización, y en algunos casos no lo están logrando, ni siquiera con la virtualización de servidores. EL ÉXITO SE BASA EN EL CONTROL Varios años atrás, la división de una gran empresa con sede en Estados Unidos (perteneciente a las 1,000 de Fortune)
ACIĂ“N
informationweek.com.mx
15
Foto: cortesía de Cablemás
[DE PORTADA]
Sí ayuda: “La virutalización del almacenamiento nos permitirá simplificar nuestra infraestructura y mejorar drásticamente su uso mediante la gestión de todos los activos del almacenamiento con una única interfaz de administración”, Huys Massague, gerente de infraestructura y operaciones de Cablemás
virtualizó 800 servidores en un periodo de 12 meses. Los beneficios que ello trajo consigo (menores costos de enfriamiento, ahorro en equipos y licencias, menor espacio en el centro de datos, etc.) llenaron de gloria al área IT. En 2009, los 800 servidores virtuales de dicha compañía (que prefirió mantener el anonimato) se incrementaron a 1,000, sin que ni aun hoy se tenga un cuadro claro de la configuración general, ni rastreo del ciclo de vida de cada máquina virtual, ni registro alguno de cómo crecieron con tanta rapidez. La revisión de los procedimientos que siguió el staff IT se topó con una completa ruptura del protocolo de la organización referente a los métodos empleados para el aprovisionamiento de cómputo. Se echó la culpa a la falta de herramientas de manejo y a una deficiente organización. El equipo tuvo que traer consultores para que ayudaran a poner orden en la operación. Más de 50% de los encuestados por InformationWeek que usan la virtualización, se basan en la herramienta que viene de proveedores de hipervisores, como VMware o Microsoft, lo que obliga a las áreas de sistemas a manejar una herramienta de gestión para los servidores físicos, y otra para los virtuales. Sólo 10% de las empresas tiene implementado un sistema de administración de servidores que provee un marco único. El resto, o emplea herramientas de legado, que no manejan adecuadamente un ambiente virtualizado, o no hace nada en absoluto. 16
InformationWeek México Junio, 2010
VIRTUALIZAR, SÍ; PERO HAY QUE HACERLO BIEN Muchos de los participantes en la investigación de InformationWeek tienen interés o planes de expandir sus iniciativas de virtualización al escritorio y al almacenamiento. Cablemás es una de las organizaciones en territorio mexicano que está tomando ventaja de esta tecnología más allá de los servidores. Con 5,000 empleados cubriendo 49 ciudades del país, donde suma alrededor de 1.4 millones de clientes, la empresa tenía un serio problema con el aumento de la información del negocio. Al no contar con sistemas consolidados, el problema llegó a tope cuando su infraestructura IT ya no le dio el ancho. La solución que su proveedor de hardware en el centro de datos le ofrecía implicaba remodelación y expansión del espacio físico, así como, por supuesto, una mayor inversión. Con 2.5 veces menos de lo que hubiera invertido de haber decidido aceptar la ampliación propuesta por su proveedor IT, ahora Cablemás se encuentra implementando virtualización de servidores y de almacenamiento, de la mano de Hitachi. El proyecto inicial concluirá en octubre de este año, pero a mediano plazo está en los planes implementar virtualización del escritorio para proyectos del área IT. La iniciativa forma parte de Katún, ambicioso proyecto tecnológico que significará para la compañía un cambio radical en la forma de manejar sus sistemas de información, y que incluirá consolidación, mejora de componentes de aplicaciones y centralización de procesos, así como optimización en la toma de decisiones de negocio y en la operación. “En Cablemás consideramos que la virtualización marca la evolución de las IT y cumple con las demandas de desempeño de aplicaciones y de su procesamiento”, señala Arturo Huys Massague, gerente de infraestructura y operaciones de la empresa. “Asimismo, la virutalización del almacenamiento nos puede ayudar a superar muchas deficiencias que tienen las infraestructuras de storage tradicionales, además de que nos permitirá optimizar la inversión en este concepto, simplificar nuestra infraestruc-
tura y mejorar drásticamente su uso mediante la gestión de todos los activos del almacenamiento con una única interfaz de gestión.” TODO UN CAMBIO DE MENTALIDAD Éste es un punto crucial. La virtualización cambia casi cada aspecto del marco operativo porque elimina o reduce el nexo físico entre hardware y software. Esta tecnología también redefine los planes de failover y trae un nuevo modelo de recuperación ante desastres (DRP) y de alta disponibilidad. La administración de los ambientes parcial o totalmente virtualizados requiere poner atención en muchos elementos, más de los que había que cuidar cuando no se tenía esta infraestructura en la empresa. Está el ejemplo de un gran municipio de Connecticut, en Estados Unidos, cada vez más preocupado por los posibles problemas de su plan de virtualización en caso de falla del hardware hospedado. Lo curioso es que el plan de contingencia existente en dicho municipio para fallas de hardware no tenía un inventario de servidores de repuesto ni una protección continuada de los datos. La conclusión: es totalmente cierto que la virtualización tiene múltiples ventajas, pero las organizaciones deben estar concientes que conforme avancen en la iniciativa deben considerar la urgencia de emprender una estrategia de administración de la virtualización con las herramientas correctas y una estructura de equipo óptima. Las empresas deben comenzar por repensar su operación –nada más y nada menos–. Además, es prioritario
5 TIPS PARA EMPEZAR Para lanzarse hacia una iniciativa de administración de la virtualización, las organizaciones requieren comenzar por:
Repensar su operación Asegurarse de conformar un staff IT con las habilidades
necesarias para prevenir los elementos de descontrol
Buscar el apoyo de prácticas estándares, como ITIL o CMMI Adoptar herramientas de gestión a la altura de la estrategia de
virtualización que se tenga
Contar con presupuesto asignado en específico a administración
contar con un departamento IT que tenga suficientes habilidades de monitoreo para detectar posibles descontroles e impedir la extensión desmesurada que puede llegar a originarse. A más largo plazo es recomendable participar de disciplinas como ITIL. La virtualización aplanará con efectividad al área IT, si se está dispuesto a hacerlo. Otro consejo útil es contar con presupuesto asignado a herramientas de gestión que sean apropiadas al tamaño de cada organización. No se puede hablar con sensatez de recabar beneficios de la virtualización sin tomar en serio la necesidad de una administración sofisticada y un cambio total de mentalidad en la organización.
LO QUE MÁS SE ADMINISTRA Las funciones más importantes de la gestión de máquinas virtuales (VM) Importancia Interoperabilidad con las herramientas de administración existentes en la empresa
1
Monitoreo del desempeño de las aplicaciones
2
Gestión de la seguridad virtual
3
Herramientas automáticas de la conversión de los servidores físicos a virtuales
4
Herramientas de administración del ciclo de vida de las máquinas virtuales
5
Gestión del almacenamiento y visibilidad de la red de área de almacenamiento (SAN, por sus siglas en inglés)
6
Capacidades regulatorias, de cumplimiento y de auditoria
7
Capacidad de proveedores cruzados y gestión heterogénea de las máquinas virtuales
8
Fuente: Encuesta realizada a 391 profesionales IT y de negocios por el área de investigación de InformationWeek, en Estados Unidos, sobre administración de la virtualización.
informationweek.com.mx
17
[STRATEGY] HP quiere convergir con sus clientes La complejidad IT se ha vuelto inmanejable. HP asegura tener la forma de zanjar ese destino fatal y devolver el valor a las IT ■ Por Fabiola V. González
E
“
l próximo ciclo en la inteligencia del negocio será enmarcado por la infraestructura convergente.” Es una predicción de hace 30 años, pero finalmente los datos del mercado indican que está iniciando la primera fase de esta arquitectura. El meollo del asunto, hoy por hoy, consiste en centrarse en los servicios. HP recientemente presentó su iniciativa de infraestructura convergente, cuyo fin es ofrecer a los clientes la promesa de simplificar su arquitectura IT y lo que está alrededor de ella – nada más y nada menos–, mediante una oferta integral que contempla el manejo de redes, almacenamiento y servidores en una nueva plataforma que se complementa con servicios de consultoría y outsourcing para la transformación del centro de datos de la empresa hacia un modelo de administración centralizada.
Foto: cortesía de HP
Se acabó el cablerío: “La infraestructura convergente no es una estrategia, sino una arquitectura que promete eliminar el 90% de los cables en el centro de datos”, Oathout 18
InformationWeek México Junio, 2010
ADIÓS AL 90% DE LOS CABLES HP no es la primera organización IT que promete la convergencia total; le antecede un gran grupo de empresas, como CA, IBM y SAP. Con todo, la propuesta de HP busca diferenciarse en un punto crucial: “La infraestructura convergente no es una estrategia, sino una arquitectura que promete eliminar el 90% de los cables en el centro de datos. Por sus características, logrará un nuevo nivel de simplicidad y automatización, que acelerará
los resultados que todo negocio busca; a saber, mejor time- quisición de 3Com –agrega el entrevistado– nos permitirá to-market, menores costos en futuras implementaciones y enriquecer la oferta, dando más en el terreno de las redes.” ¿En qué estructura sustenta HP su nueva apuesta? La despliegues, flexibilidad para adecuarse a los cambios de la empresa y del mercado, y mayor seguridad, por conseguir compañía afirma que el nivel de simplicidad, integración y eficacia y transparencia optimizadas en las operaciones con automatización que promete se consigue con cuatro eleproveedores y clientes”, explica Doug Oathout, vicepresi- mentos básicos: 1) una infraestructura virtualizada de recursos de procesamiento, almacenamiento y redes, 2) una red dente de Infraestructura Convergente de HP a nivel global. El ejecutivo, entrevistado por InformationWeek México central inteligente, que permite un mejor manejo de la eneren exclusiva, agrega que uno de los valores de la propuesta gía y, por ende, ampliación del ciclo de vida y capacidad del de HP radica en que las organizaciones no requieren con- centro de datos, 3) orquestación, a través del cambio a un tar con las soluciones de HP exclusivamente. “Sabemos que modelo de gestión centralizada que facilita la estandarizauna de las mayores preocupaciones de las compañías es si ción de los servicios IT, y 4) finalmente (y gracias a lo antecambiar o no su infraestructura existente. HP desarrolló un rior), una matriz operativa que hace funcionar todo como un ambiente operativo que maneja todos los recursos como si se ¿QUÉ COMPONE LA INFRAESTRUCTURA tratase de uno solo. El cliente no CONVERGENTE DE HP? necesita casarse con HP”, dice enLos entornos tecnológicos que la implementación de una Infraestructura Convergente fático Oathout. “Nuestras soluciopermite crear incluyen las siguientes características: nes están diseñadas para funcionar Virtualización: Disponibilidad de recursos de procesamiento, almacenamiento y redes de óptimamente al estar juntas, pero forma más eficiente podemos ofrecer los mismos resultados con una infraestructura Elasticidad: Al tener aplicaciones que comparten una misma infraestructura, la asignación de heterogénea. Cuando pones el recursos se vuelve flexible y se ajusta a las necesidades del negocio almacenamiento, los servidores y Orquestación: Al cambiar a un modelo de administración centralizada, se permite alcanzar la red en un mismo rack, te desuna estandarización de los servicios IT permitiendo al área tecnológica replicar y predecir las haces de igual forma del 90% de necesidades del negocio los cables.” La Infraestructura Convergente Optimización: La Infraestructura Convergente provee según la demanda y de manera más de HP está asentada en una arquieficiente, permitiendo alcanzar los niveles de desempeño deseados tectura IT de siguiente generación, basada en estándares, que combina como sus principales pilares la virtualización y la orques- servicio compartido que opera con continuidad y de manera tación, es decir, optimización de recursos en las tres áreas confiable. En la teoría, una infraestructura convergente óptima ajusta convergidas –como son los servidores, el almacenamiento y los recursos IT a la demanda de las aplicaciones de negocio. las redes–, a través de la administración de sistemas. Para lograrlo, las organizaciones necesitan desenvolver la infraestructura IT existente y lograr que deje de estar centrada HP: “CADA VEZ MÁS RICO” Como es de esperarse, la propuesta de HP va encaminada a en los productos para centrarse en los servicios. Las ventajas no se ponen en duda: estructura IT simplificaservir de salvavidas de las más grandes organizaciones, cuya infraestructura IT es tan vasta como compleja, pero men- da y aceleración de los resultados para el negocio. El tema en ciona Oathout que no dejará de lado a las organizaciones cuestión es que dicha meta ha permanecido como el paraíso recién nacidas que están entrando a mundos como el de inalcanzable de los departamentos IT de empresas grandes proveer servicios de nube, en los que la entrega de servicios y pequeñas. Hasta ahora, no ha habido propuesta que puey el movimiento de aplicaciones debe hacerse en forma su- da llevar al ámbito terrenal tales propósitos celestiales. ¿Simplificar? ¿Reducir la complejidad? ¿Maximizar la utilimamente rápida. Para hacer frente a los retos que HP asegura resolver, se zación de los recursos abreviando el tiempo en que se llega apoya en firmas con las que mantiene sociedad para el tema al mercado? ¿Agilizar y multiplicar las ganancias? Son ideas de Infraestructura Convergente (entre ellos Brocade, EMC, que quedan en el aire. Habrá que ver si HP es quien puede Juniper, Microsoft, Oracle, SAP y VMware). “La reciente ad- atraparlas. informationweek.com.mx
19
[REDES] LAN de siguiente generación Las LAN serán el sistema de tuberías por el que pasarán video, fibra óptica sobre Ethernet, etc. ¿Serán lo bastante robustas para soportar la presión? ■ Por Jeremy Littlejohn
U
na gran cantidad de nuevas aplicaciones se apiñan sobre las redes de área local (LAN). Entre las más complicadas, por lo que se refiere al desempeño y diseño, están la infraestructura para videoconferencias, la videovigilancia, los escritorios virtuales y el almacenamiento convergido. ¿Qué es esto? ¿Un proveedor de comunicaciones unificadas (UC) dice que la red actual que vende puede manejar perfectamente sus sistemas? Esto ya se ha oído antes. Lo cierto es que las IT ahora requieren resolver sus problemas al tiempo que buscarse abundante espacio para crecer, porque la matemática del tráfico sensato está muy lejos de ser lo fácil que los ejecutivos de ventas de los proveedores IT quieren hacer creer. En tanto, las áreas de negocio siempre hallan oportunidades de hacer que se apruebe la instalación de nuevas aplicaciones de productividad. Por ejemplo, el grupo de almacenamiento de la empresa desea actualizarse a canal de fibra sobre Ethernet (FCoE), naciente tecnología que podría eliminar las SAN tal cual hoy se conocen. Lejos de temer al FCoE, los gerentes de LAN deberían dar la bienvenida a este avance, pues colocar el tráfico de almacenamiento en la red en forma de comunicaciones SCSI brutas permite una huella más eficiente en el centro de datos. No se requiere duplicar ninguna infraestructura para la escritura de datos en los arrays de discos. Esta convergencia rebaja no sólo los requisitos de cableado, sino también los costos, además de las demandas de energía, enfriamiento y espacio físico. Desde luego, el tráfico de almacenamiento requiere ser entregado sin pérdida de paquetes y lo más rápido posible. Si los 20
InformationWeek México Junio, 2010
problemas del desempeño de las UC se hacen evidentes, las fallas en el desempeño del almacenamiento se manifestarán por demoras en la lectura y escritura de prácticamente todo. EL VIDEO MATÓ A LA ESTRELLA LAN El paradigma de los problemas de las LAN es el video de alta definición. La mayoría de los proveedores de UC venden ahora sistemas de videoconferencia de alta definición, y el movimiento hacia adoptar esta tecnología para proveer comunicaciones, intercomunicaciones e intracomunicaciones está ganando impulso, estresando por igual las LAN y las redes de área ancha (WAN). En febrero pasado, la revista hermana InformationWeek encuestó en Estados Unidos a 585 profesionales IT y de negocio sobre la optimización de las WAN. En dicho estudio, resultó que las preocupaciones principales son las aplicaciones que requieren desempeño en tiempo real, como la voz sobre IP (VoIP), el flujo de video y las videoconferencias. La videoconferencia de alta definición en el escritorio se promueve a velocidad de 1 a 1.5 Mbps para calidad de 720p. Los sistemas basados en espacio son típicamente multipantalla, prometen calidad máxima y, por ende, operan en rangos de 1080p. A futuro, cabe esperar que lleguen a operar a 5 o 6 Mbps por pantalla, y que amontonen opciones para compartir contenido. Quien piense que lo tiene todo porque reúne 100 Mbps en el escritorio y varios Gbps de ancho de banda para enlazarse, debe considerar que la mayor parte de las redes tiene alguna capacidad, pero por lo general no están listas
YA VIENEN LAS NUEVAS REDES para manejar ninguno de estos tráficos por la anárquica pérdida de ¿Tiene planeado crear una red unificada de almacenamiento y datos para su empresa? paquetes en los puntos críticos de agregación de la red. La videoconHemos comenzado su implementación en algunos ferencia de alta definición, al igual de nuestros centros de datos 24% Ya lo hemos hecho 16% que muchas aplicaciones nuevas, casi no tiene margen de error en la red. No estamos interesados 10% En resumen, para soportar la siguiente ola de tráfico de tiempo Sí, en 12 meses 10% real, la red deberá ser más confiable, desempeñarse mejor con menor desperdicio y ser más eficiente Estamos evaluando la idea, pero no tenemos que hace unos años. Así lo marca planes para implementar 29% tanto las mismas empresas como Sí, en los próximos dos años 11% los servicios y aplicaciones domiFuente: Encuesta realizada por el área de investigación de InformationWeek sobre los efectos del estrés sobre las redes a 585 profesionales IT y nantes hoy y mañana. Ninguna orde negocios en Estados Unidos. ganización puede darse el lujo de tener la mitad del ancho de banda de su LAN sin usar. Una tendencia positiva es que los pro—El autor es CEO de RISC Networks, firma que ayuda a veedores y las instituciones de establecimiento de estándares los grupos IT a optimizar sus infraestructuras. Se le puede desarrollan técnicas y tecnologías para ayudar a los departacontactar en: iweekletters@techweb.com mentos IT a resolver estos problemas.
[A DISCUSIÓN] Seguridad: deporte de alto riesgo ¿Y si su organización sufriera una amenaza tan poderosa como la que obligó a Google a salir de China? ■ Por Michael A. Davis
P
rofesionales de la seguridad alrededor del mundo se alegraron cuando en las noticias se dio a conocer la existencia de pruebas de que adversarios externos se estaban dedicando a robar propiedad intelectual de las empresas. Las instituciones gubernamentales y militares se han enfrentado desde hace años a estos ataques, pero solían hacer oídos sordos a los gritos de socorro de parte de los departamentos IT de las compañías. Esto fue así hasta enero. Entonces, Google anunció que durante la mitad de 2009 fue atacado desde China mediante una explotación de ‘día cero’ del Internet Explorer. Otras compañías, como Adobe, Juniper y Rackspace, confirmaron que también habían sido atacadas con las mismas tecnologías y durante el mismo lapso. Este cíber-asalto de amplio rango, bautizado por McAffee como “Operación Aurora”, pretendía robar el código fuente de las aplicaciones desarrolladas por estos importantes proveedores, y quizá por otras firmas también de renombre. A medida que corría la voz, los CSO de múltiples empresas consiguieron copias del e-mail “¿Podría ocurrirnos a nosotros?”, y se esforzaron por dar respuesta a preguntas sobre cómo podrían salir bien librados de esos ataques, si Google, 22
InformationWeek México Junio, 2010
que emplea a centenares de profesionales de seguridad de primer orden, se veía en la necesidad de retirarse de su mayor mercado emergente, dejando millones de dólares sobre la mesa. Los especialistas en seguridad agrupan estos ataques bajo la categoría de amenaza persistente avanzada (APT, por sus siglas en inglés), lo que equivale a un ataque contra alguien en específico, realizado por un atacante de avanzados recursos y capacidad. Cuando el atacante logra penetrar, por lo general vía técnicas de ingeniería social, procura no ser notado y, mientras, se adentra en la red. Entonces, con toda parsimonia, exporta valiosos datos. Limpiar el desbarajuste es una pesadilla sumamente costosa. El hecho es que tras años de que tanto los presupuestos como los datos han estado bajo asedio, pocas son las compañías dotadas de los medios para afrontar a agresores de clase mundial. ¿Se debe desperdiciar una crisis así? Las primeras indicaciones se antojan promisorias. Las compañías emplean más tiempo aprendiendo de los componentes subyacentes de la APT, como los gusanos y bots, como lo afirma el 30% de los 1,000 profesionales de negocio, IT y de seguridad que
respondieron a la reciente encuesta de seguridad estratégica, elaborada por InformationWeek (revista hermana de InformationWee México en Estados Unidos). Dicho porcentaje aumentó 25% desde el estudio del año pasado.
LAS RAZONES DE LA VULNERABILIDAD ¿Por qué su compañía es más vulnerable a ataques que hace un año? 74% 73% Más formas de atacar las redes corporativas, incluidas las inalámbricas 60% 61% Mayor número de ataques 44% 40% Intención más maliciosa (robo, destrucción de datos, extorsión) 38% 35% Limitaciones presupuestarias 38% 39% Más cantidad de datos de clientes que asegurar 37% 17% Estrategia inadecuada en seguridad de la información 32% 23% Amenazas más sofisticadas
ELEMENTOS ESTRESANTES... Y LO QUE VIENE La mayoría de los encuestados por InformationWeek señalan que el prin2010 cipal reto de la seguridad de la información y de las redes es el manejo de 2009 la complejidad, como ha sido desde hace varios años. El director de un gran conglomerado multinacional con sede en Estados Fuente: Encuesta de InformationWeek sobre seguridad estratégica a 164 profesionales IT, de negocio y de seguridad (abril 2010), y comparativo con la edición de la encuesta del año pasado (abril 2009), a 77 profesionales IT, de negocio y de seguridad Unidos y que tiene bajo su responsabilidad la seguridad y la privacidad, Otra fuente de complejidad, y que en unos cuantos años afirma que la principal fuente de angustia es el revoltijo de requisitos de cumplimiento de normas a los que está some- podría rivalizar con la complejidad del cumplimiento de normas, es la necesidad de detectar el indicador raíz de la APT: tida su compañía. La actual tendencia en Estados Unidos es hacer que todos, la intención. ¿Cómo, por ejemplo, los empleados pueden en cualquier organización, empleen las mismas herramientas decidir si una pregunta en un e-mail es maliciosa? Esto requiere añadir recursos para capacitar a usuarios, y la misma definición de riesgo, pero instituir políticas y estándares globales es difícil. “Algunos estados del país exigen sin dejar de dar soporte a las tecnologías que reducen las que una penetración esté definida en detalle, pero al mismo amenazas existentes. Claro, es un asunto de dinero, pero se tiempo Massachusetts prohíbe dar detalles –prosigue el di- nota –por otro lado– que los atacantes se vuelven más negorectivo que prefirió el anonimato–. Así que algo tan simple ciantes, pues buscan un ROI de sus acciones e invierten en como redactar una carta de notificación es una pesadilla. La herramientas y pericia para obtener esa ganancia. Hablar de monetización equivale a pensar en información mejor respuesta sería un cuerpo internacional de estándares o normas autorizado a emitir lineamientos; pero por ahora personalmente identificable: números de tarjetas de crédito, identificaciones, información médica privada; en sí, cualquier nadie espera que se llegue a la uniformidad”. cosa que los agresores pueden usar para robar identidades. SÍ HAY CONCIENCIA Y, por suerte para ellos, estos datos se almacenan en todas ¿Realiza su empresa estimaciones de riesgos? partes: inteligencia de negocio, dashboards, redes externas e internas, software de la cadena de suministro, etc. No sabe 10% Es una enorme preocupación entre los participantes de la encuesta citada. En 2009, sólo 17% de quienes eran conscienSí 70% tes de que existía una gran vulnerabilidad a las amenazas a la seguridad estaban preocupados por la creciente cantidad No 20% de datos, pero en 2010 el número se duplicó a 33%. Por otro lado, el porcentaje de encuestados preocupados por la seguridad de aplicaciones desarrolladas internamente bajó 10 puntos de un año a otro: de 31%, en 2009, a 21%, en 2010. ¿A qué se debe esto? Entrevistas con CIO dejan ver que como los equipos IT tienen la idea fija de empujar las aplicaciones a la nube, están deteniendo el desarrollo de Fuente: Encuesta de InformationWeek sobre seguridad a 1,002 profesionales IT, de negocio y de seguridad (abril 2010) aplicaciones internas. informationweek.com.mx
23
[A DISCUSIÓN] FALTA MÁS APOYO ¿Cuánto del presupuesto IT se va a seguridad de la información? Menos del 1% 1% a 5% 6% a 10% 11% a 15% 16% a 20% 21% a 25% Más de 25% No sabe Nada
7% 35% 22% 9% 6% 4% 4% 12% 1%
Fuente: Encuesta de InformationWeek sobre seguridad a 1,002 profesionales IT, de negocio y de seguridad (abril 2010)
túa in situ, es 100% probable que la bolita esté debajo de uno de los tres vasitos (o sea, que los datos reales estén en algún lugar de la infraestructura), así que el atacante podría dar con ellos con suficiente tiempo y credenciales del dominio. Subcontratar la tokenización tampoco es seguro, pero sí puede reducir el riesgo más significativamente. Lo único claro es que los profesionales de la seguridad están peleando una guerra de muchos frentes y en evolución permanente. Adversarios bien financiados atacan constantemente compañías públicas y privadas, y las tecnologías de seguridad existentes, si bien siguen siendo necesarias, no ayudarán a determinar el intento. “Fuimos hackeados hace unos cuatro años y uno de los URL mostró que el ataque se había originado en China –dice un ejecutivo IT senior del ayuntamiento de una gran ciudad de Estados Unidos–, pero también tuvimos que instalar cámaras porque un ex empleado robó datos. Pagamos $100,000 dólares por un firewall, pero dentro teníamos un link débil.” Mientras, las organizaciones constantemente reciben emails de phishing y han visto cómo algunos ejecutivos son engañados usando técnicas de redes sociales. Pero ¡ánimo! Se divisa un cuadro más brillante en cuanto a presupuesto por la lección práctica de la Operación Aurora, que permitirá a las empresas comprar, al final, la munición necesaria para luchar esta guerra psicológica que los salteadores han traído a la puerta de todas las empresas.
EL FUTURO DEPARA… MÁS DECISIONES DIFÍCILES Es tiempo de sacar la bola de cristal. Se espera un aumento constante en la adopción de estrategias de seguridad centrada en datos, gracias al creciente uso de la tecnología de prevención de pérdida de datos (DLP, por sus siglas en inglés). Esto, por los resultados del informe de InformationWeek sobre seguridad centrada en los datos, y por el carácter radicalmente cambiante de los negocios. Por principio de cuentas, la cantidad de datos que se requieren proteger aumenta a una alocada velocidad, y el perímetro empresarial se va erosionando a medida que más empleados móviles requieren disponibilidad de servicios externos de Internet (en la —El autor es CEO de la firma consultora Savid encuesta sobre gestión de dispositivos móviles y seguridad, Technologies, con sede en Chicago. Se le puede contactar también de la revista hermana InformationWeek, 87% de los en: iweekletters@techweb.com interrogados considera que los smartphones se volverán más predominantes en sus ambientes). ¿TRABAJO PARA EL CIO? Otra tecnología que está recibien¿Quién establece las políticas en seguridad de la información en su compañía? do mucha visión es la ‘tokenización’, ¿Quién fija el gasto? el proceso de sustituir por un valor al azar los datos confidenciales, como CIO, vicepresidente o director IT 60% los números de las tarjetas de crédi52% to contenidos en bases de datos. Sobre esta tecnología, 87% de quienes Jefe de seguridad de la información o gerente senior de seguridad 43% la usan coinciden en que reducirá los 21% riesgos, pero sólo 16% de los encuesGerente o jefe del área de seguridad de la información/IT 42% tados usan el token. 22% Aunque la tendencia es que su avance será rápido, la tokenización Gerencia o administración de seguridad 42% no resolverá el problema del almacePolíticas 13% namiento de datos ni sustituirá la enGasto Presidente, CEO o director general 27% cripción, porque es como el juego de 46% “¿dónde quedó la bolita?” que hacen los payasos en las fiestas, lo cual no es Fuente: Encuesta de InformationWeek sobre seguridad a 1,002 profesionales IT, de negocio y de seguridad (abril 2010) tan bueno: si la tokenización se efec24
InformationWeek México Junio, 2010
[RETOS] Los obstáculos del gobierno digital ¿Qué falta para que despegue el gobierno digital? Más capacitación de funcionarios y aumento en el gasto IT del sector público, dice IDC ■ Por Fabiola V. González
E
l año pasado, el gobierno se adjudicó 12% del gasto IT a nivel nacional. Según estimaciones de IDC, para 2010 la cifra no será superior a 13%. ¿A qué se destinará el gasto? El director general de la firma analista, Edgar Fierro, estima que si bien parte del gasto se usará en la adquisición y actualización de software e infraestructura, la alineación estará en la implementación de mejores prácticas de gestión IT. “La implementación de iniciativas como ITIL o Cobit serán prioritarias”, dice Fierro. Dicha preparación será la base de iniciativas como la integración entre las dependencias, el Expediente Clínico Electrónico y la llamada infoestructura (que implica considerar en una categoría especial cierta información que es sumamente importante para el país, como los registros civil, de educación, de salud, de propiedad, etc.). LAS GRANDES CARENCIAS Con una visión externa y cuestionado por InformationWeek México en el marco de la Sexta Cumbre IDC 2010 Gobierno y Tecnología, Tom Rubel, vicepresidente de investigación de Government Insights de IDC a nivel mundial, diría que los retos para el gobierno mexicano son similares a los de otros países: “Cómo mover una infraestructura significativa en costos de mantenimiento hacia otra enfocada en mejorar el valor de las IT, por ejemplo. En México, el reto está llevando a las ins-
Lo que hará el gobierno: “El foco estará puesto en maximizar lo que hoy se tiene y en administrar correctamente la infraestructura, llevándola también hacia otras entidades”, Fierro, director general de IDC
tancias hacia iniciativas como el software-as-a-service, el cloud computing y los servicios compartidos; a desarrollar soluciones inter-gubernamentales, y a reproducir las iniciativas y soluciones hacia entidades que no cuentan con los recursos”. Carlos Viniegra, titular de la Unidad de Gobierno Digital de la Subsecretaría de Función Pública, estima que a los retos de integrar e interoperar, es necesario añadir una primera tarea: “Desregular, pues no será exitoso integrar una complejidad tan grande como la actual”, señala. En el marco del foro citado, Viniegra dio a conocer una de las metas de la SFP a corto plazo (que él mismo calificó de polémica): reducir el 99% de las regulaciones administrativas internas. “Lo que deseamos es tener una única cancha IT, donde todos los estrategas de las tecnologías de información del sector público estén de acuerdo en cómo se deben administrar las IT en el gobierno.” Sin duda, el hacer realidad esta iniciativa ayudaría a reducir la complejidad mencionada. Pero a decir del director general de IDC México, existen otro tipo de obstáculos que no están permitiendo que el país dé el salto necesario hacia la globalidad a través de un gobierno digital útil y eficiente. “Uno de ellos –dice– es la educación y capacitación de los funcionarios públicos, quienes deben estar concientes del impacto que trae un cambio de procesos en cuestiones como la reducción de los tiempos de entrega de los servicios y de los costos, con lo cual es posible ofrecer más servicios. Ahí vamos por buen camino, pero dado el tamaño del sector público mexicano, falta mucho por recorrer.” En visión de Fierro, el segundo factor en este sentido es que el gobierno podría –y debería– tener un mayor gasto IT, que hoy oscila en alrededor de 12%. “La meta de lograr que 70% de los servicios gubernamentales estén automatizados en el corto plazo, representará grandes gastos IT. Si el sector aumenta su presupuesto IT para este tipo de iniciativas, podrá reducir esa brecha que hoy existe”, finaliza. Salta a la vista, pues, que el gobierno mexicano, con todo y su esfuerzo, sigue arrastrando pesadas cadenas que primero deberán romperse para lograr el avance necesario. informationweek.com.mx
25
[CIO LEADERSHIP] ¿Cuáles son las expectativas del CEO? El CIO que entiende al CEO y le da servicios según sus prioridades, se comporta conscientemente y crea mecanismos para cerrar la brecha ■ Por Ione de Almeida Coco
H
ay una importante divergencia entre las prioridades del CEO y las del CIO. De acuerdo con Gartner, esta brecha alimenta las preocupaciones persistentes de desempeño que tienen al menos la mitad de las organizaciones IT. Pero cuando el CIO logra comprender al CEO y brindarle servicios de acuerdo con sus necesidades, implementa mecanismos específicos para cerrar esta brecha, aumentando así su contribución a la empresa y obteniendo nuevas oportunidades. El CEO define y dirige su empresa considerando las políticas macroeconómicas, los clientes, el mercado, la regulación y otros desafíos, traduciendo su visión en estrategias empresariales y objetivos medibles. El rol del CIO, en tanto, es liderar la contribución funcional hacia el logro de metas. Si ambos están en sintonía con la visión y prioridades del negocio, se puede crear una poderosa plataforma para aprovechar las IT y obtener ventajas empresariales. La investigación de Gartner distingue cuatro tipos de relaciones CEO-CIO que representan un modelo de madurez: relaciones en riesgo, cuando los resultados del CIO y su área no cumplen con las expectativas del CEO; transaccional, cuando el área IT se considera como un servicio y el CIO como gerente de un centro de costos; colaborativa, cuando el CIO y su área
LAS RELACIONES SON MAYORITARIAMENTE TRANSACCIONALES
(proveedores de servicios internos) entregan servicios según las expectativas de eficiencia y eficacia, y la relación como aliados de confianza, cuando el CIO es visto y se comporta como un verdadero líder de negocios responsable de una parte significativa del negocio. La estrecha relación con el CEO se basa en una relación de trabajo con los demás ejecutivos, y ésta, a su vez, en la excelencia transaccional frente a las demandas de las unidades de negocio. El modelo implica la dinámica específica de la relación que los CIO más eficaces entienden innatamente. El CIO que es visto como líder de apoyo a unidades de negocio, más que como ejecutivo estratégico o aliado de confianza, tiene dificultades para conectar con los directivos, aumentando la probabilidad de diferencias. La actitud de los líderes de unidades de negocio hacia el CIO y el área IT moldea las actitudes del CEO. En cambio, el CIO visto como líder de negocios tiene acceso más fácil a su CEO, y por tanto está en mejores condiciones para eliminar la brecha de prioridades. Entiende el negocio lo suficiente como para saber lo que el CEO requiere, y lo entrega de forma proactiva. La confianza entre CEO y CIO es tal que este último adquiere una función de “mano derecha”, similar a la de un COO o del líder del cambio estratégico. Una vez que al CIO se le considera aliado de confianza, surgen nuevas oportunidades de liderazgo no relacionadas con la tecnología de la información. La autora es vicepresidente de Gartner Executive Programs (EXP) para Latinoamérica. Para dudas y comentarios contáctela en: ione.coco@gartner.com. —El artículo está basado en el reporte especial para la comunidad EXP de Gartner “Identifying CEO expectations and executing agains them”, dirigido por Collen Young y Dave Aron, vicepresidente analista distinguido y vicepresidente de investigación de Gartner, respectivamente.
26
InformationWeek México Junio, 2010
[COLUMNAS] QUÓRUM
¡Amenaza al volante!
GLOBAL CIO
Los movimientos de IBM y su CEO
Al incluirse computadoras en el auto, los hackers podrían poner en peligro la integridad de los pasajeros
Los despidos han ayudado a IBM a desempeñarse mejor que los demás, y se prepara para seguir creciendo
■ Jorge I. Blanco
■ Bob Evans
Con el título de esta columna no estoy hablando de “mujeres al volante”, sino del peligro inminente de que las computadoras de los automóviles actuales puedan ser atacadas por código malicioso de hackers. Un estudio, publicado en mayo de este año (durante el Simposio de Seguridad y Privacidad de la IEEE) por el Centro de Sistemas de Seguridad Automotriz Embebida (CAEES) y las facultades de ingeniería y ciencias computacionales de las universidades de Washington y California (en Estados Unidos), muestra resultados de pruebas de laboratorio hechas a vehículos sedán de lujo. Se exploraron dos vertientes de ataque: mediante acceso al puerto de diagnóstico que todos los autos tienen bajo el tablero, y vía los múltiples receptores inalámbricos, como el control remoto que abre el auto y desactiva la alarma, el GPS y la radio, entre otros. En todos los casos, los sistemas de comunicación y control del vehículo carecen de la más elemental seguridad, y cualquier persona con conocimientos básicos de su funcionamiento podría vulnerarlos y controlar a su antojo el funcionamiento del vehículo. Los investigadores lograron acelerar y desacelerar, frenar súbitamente y deshabilitar el freno, detener el motor, manejar la radio, enviar mensajes al tablero, etc., y la sofisticación del ataque puede llegar al grado de borrar cualquier huella del mismo. Estos actos de sabotaje se pueden cometer por cualquiera con acceso al vehículo (valet-parking, mecánico, lavacoches, etc.), enemigos o terroristas, sólo teniendo una computadora de diagnóstico pre-fabricada o introduciendo dispositivos “pirata” en la cadena de suministro de autopartes, hasta llegar a los más sofisticados, por la vía inalámbrica (sin tener que entrar al auto). Como los componentes computarizados en los automotores actuales están interconectados, desde un dispositivo controlado se podrían controlar los demás. El reto será fabricar vehículos que consideren estos riesgos de seguridad e integren los mecanismos para contenerlos. Tal parece que AUTO tiene doble significado, tanto para quienes creen que es inmune a ataques cibernéticos, como para los que opinan que puede convertirse en blanco de ataques malintencionados. Para los primeros: Alarmista Utopía, Tecnología Ordinaria. Para los segundos: Auténtica Urgencia Tentación Oportunista.
Recientemente, IBM despidió a unos 2,500 empleados (a nivel corporativo), un destino lamentable para ellos y sus familias. En contraste, la firma también dio a conocer que el CEO, Sam Pamisano, ganó $24.5 millones de dólares en 2009. Algunos grupos gritan la gran injusticia que esto supone, y se preguntan: ¿Cómo puede una compañía volcar tanta riqueza en un solo hombre, mientras 2,500 de sus empleados pierden el trabajo? Y si bien este alegato está palmariamente sumido en la lucha de clases y es una emoción mal colocada, no está en modo alguno basado en la economía ni en la lógica. La conexión real entre el paquete de compensaciones de Palmisano y los trabajadores despedidos es que sin el presente liderazgo de Palmisano y su resolución de tomar decisiones difíciles en la última década, muchos más empleados de IBM habrían perdido su empleo. Las empresas no están en el negocio para emplear trabajadores. Es un bonito ideal, pero en la práctica resulta en sumo grado fallido, y el propio historial de IBM nos lo recuerda sin ambages: por décadas, la empresa mantuvo una política de cero despidos, pero en los 80 –cuando surgió la competencia, llegaron nuevas tecnologías, entró en juego la dinámica global e IBM comenzó a sofocarse bajo el peso de su cultura interiorista, abotargada y falta de imaginación– se volvió casi fatal. A Lou Gerstner, CEO en los 90, le correspondió acabar con una cultura que se había vuelto demasiado preocupada por mantener la comodidad de los empleados, y construir otra basada en el desempeño externo, la respuesta de los clientes y el liderazgo en el mercado. La gran labor ha sido continuada –y en varios aspectos acelerada– por Palmisano. Una parte significativa de su cultura actual es el sacrificio de algunos ingresos al desechar negocios de alto volumen pero bajos márgenes, como las PC. Los resultados financieros: en 2009 IBM superó no sólo al resto de la industria IT, sino también a gran parte del mundo corporativo, y para 2010 se espera lo mismo. Los despidos son lamentables y a menudo son un elemento horrendo del capitalismo de libre mercado, pero a veces son la opción correcta que deben tomar los CEO porque el objetivo de las compañías bolsistas es el máximo éxito para los clientes, para los propietarios o accionistas y luego para los empleados.
Jorge I. Blanco ha estado al frente de las áreas IT de diversas empresas nacionales y multinacionales. Es catedrático del Tecnológico de Monterrey y de la Universidad ITESO. Es consultor en educación, tecnología y negocios. Se le puede contactar en: jblanco@netmedia.info
Bob Evans es vicepresidente senior y director de la Unidad Global CIO de la publicación hermana InformationWeek, en Estados Unidos. Se le puede contactar en: bevans@techweb.com
informationweek.com.mx
27