informationweek méxico — junio 2010

9 de junio 2010, Camino Real Monterrey

www.bsecureconference.com.mx/mty

THE BUSINESS VALUE OF TECHNOLOGY MÉXICO

JUNI

O, 2

010.

NÚM

. 205

La virtualización de servidores presenta ventajas comprobadas; tanto, que ahora el proyecto se está llevando al escritorio y el almacenamiento. Pero hay que tener cuidado, porque de perderse el control en la gestión IT, los administradores de la infraestructura se convierten en esclavos de su propia creación

ESCLAVODE LAVIRTUALIZACIÓN

informationweek.com.mx 1

[CONTENIDO]THE BUSINESS VALUE OF TECHNOLOGY Núm. 205 Junio, 2010

CONTRASEÑA2 Las empresas de software

¿desaparecerán como las conocemos?Acostumbradas a millonarios contratos anuales de licencias de software, ahora las compañías se ven obligadas a ofrecer esquemas más flexibles. ¿Serán?

SEGURIDAD12 Nubes, sí; riesgos, también

El cloud computing está preparando una tormenta de cambio. Para las áreas IT, el reto está en guiar a las organizaciones hacia un sano equilibrio

STRATEGY18 HP quiere convergir con sus clientes

La complejidad por la multiplicación de máquinas y redes se ha vuelto inmanejable. HP tiene una nueva estrategia que pretende zanjar ese destino fatal y devolver el valor a las IT

REDES20 LAN de siguiente generación

La LAN será el sistema de tuberías por el que se añadirá video, fibra óptica por Ethernet, etc. ¿Cómo asegurar que será lo bastante robusta para soportar la presión?

RETOS25 Los obstáculos del gobierno digital

¿Qué hace falta para el despegue del gobierno digital? Una mayor capacitación de los funcionarios públicos y un aumento en el gasto IT en el sector público, responde IDC

CIO LEADERSHIP26 ¿Cuáles son las expectativas del CEO?

El CIO que entiende al CEO y le ofrece servicios según sus prioridades, exhibe comportamientos conscientes e implementa mecanismos que ayudan a cerrar la brecha

14DE PORTADA

ESCLAVO DE LA VIRTUALIZACIÓN

I MÉXICO

[ADEMÁS] 4 BREVES

27 COLUMNAS

8

22

A FONDO

6 PASOS PARA MEJORAR LA GESTIÓN DE IDENTIDADES

A DISCUSIÓN

SEGURIDAD: DEPORTE DE ALTO RIESGO

2 InformationWeek México Junio, 2010

[CONTRASEÑA]

La creciente insistencia en torno al cómputo en nube y el software como servicio (SaaS, por sus siglas en inglés) convertidos ya en los buzzwords del momento, haría creer que las empresas de software como las conoce-mos tienden a desaparecer.

No hay que ser muy listo para notar que su negocio ha estado históricamente sustentado en “amarrar” a los clientes mediante licencias de uso de software que se renuevan año con año, lo que se convierte en un flujo continuo (y muy saludable) de efectivo para estos gran-des consorcios. Si el esquema de entrega de la aplica-ción cambia a un modelo bajo demanda, flexible y, en teoría, cancelable, ¿cómo se sustentarán estas empre-sas acostumbradas a un modelo tan rentable?

Basta con revisar cifras: los últimos cuatro trimestres, Oracle reportó ingresos totales de $24,180 millones de dólares, pero menos de la tercera parte de ellos (o sea, $7,143 millones, o 29.5%) provinieron de lo que Oracle llama Nuevas licencias de software. Los restantes $17,000 millones resultan de dos categorías: la primera, Actuali-zaciones de licencias de software y soporte a productos, con ingresos por $12,710 millones de dólares (52.6% de las ventas totales), y la segunda, Servicios/consultoría, que sumó $3,860 millones (16% del total).

SAP no es muy distinto. En los últimos cuatro trimes-tres, que corren de acuerdo con el calendario 2009, la firma teutona reportó ventas totales de $14,481 millo-nes de dólares, de los que el rubro llamado Ventas de software significó $3,500 millones (24.4%). Lo que SAP

llama Software e ingresos relacionados con servicios de software sumó $11,100 millones de dólares, es decir, las licencias y servicios de software de su base instalada re-presentaron más del triple de las ventas.

Por su parte, una empresa mucho más pequeña como CA tuvo ingresos por $4,353 millones de dólares en su año fiscal 2010, 50% de los cuales provino de la renovación de 68 contratos de software.

Tuve oportunidad de platicar con Bill McCracken, CEO de CA desde enero pasado, en el marco de su úl-timo CA World en Las Vegas, Nevada (Estados Unidos). Aproveché para cuestionarlo sobre el asunto. De forma muy honesta confesó que SaaS es algo que sucederá y que más vale que ellos mismos lo ofrezcan; de ahí que CA esté abrazando la nube. “He sido testigo de toda evolución y revolución en esta industria y estamos en otro punto de inflexión”, dijo McCracken, un muy juvenil ejecutivo de 67 años, quien pasó 36 años en IBM antes de unirse a CA, en 2007, como presidente del Consejo.

En otras palabras, no se trata de una graciosa conce-sión. Las firmas de software se han visto cuestionadas por sus propios clientes, a su vez presionados por el en-torno económico y obligados a reducir sus presupuestos y a hacer más con lo mismo. Suena bien eso de no tener que estar atados a licencias por el uso de aplicaciones, que muchas veces no requieren de una actualización continua o de soporte técnico que dista mucho de ser óptimo. Está por verse si el cloud computing es realmen-te una alternativa liberadora o más pan con lo mismo.

Las empresas de software ¿desaparecerán como las conocemos?Acostumbradas a millonarios contratos anuales de licencias de software, ahora las compañías se ven obligadas a ofrecer esquemas más flexibles. ¿Serán?

Por Mónica Mistretta

Mónica Mistretta es periodista y editora especializada en IT desde 1983. Es directora general de Netmedia Publishing, la casa editorial a la que pertenece InformationWeek México. [email protected]

Foto

: Nai

dine

Mar

kova

Próximos eventosReserve su agenda

28 y 29 de septiembre, Centro BanamexEs el único foro que reúne al mayor número de proveedores de tecnologías de negocios mostrando en vivo sus productos o servicios. El propósito es que el comprador corporativo/influencer tenga una experiencia hands-on de las nuevas tecnologías y tendencias en servicios. A través de sesiones interactivas, los asistentes conocerán de primera mano y de voz de sus desarrolladores, las últimas versiones de las soluciones para negocios y las nuevas aplicaciones disponibles en el mercado.

13 de octubre, Hotel Hilton Cuidad de México ReformaPor tercer año consecutivo, el Government Innovation Forum reunirá a la élite de innovadores del sector público en todo el país, quienes conforman la selecta lista de “Los más innovadores” de la revista InformationWeek México. A la convocatoria asisten también tomadores de decisiones de los distintos niveles de la administración pública (federal, estatal y municipal), que desean compartir las experiencias de quienes son reconocidos en el prestigiado ranking, a través de paneles de discusión, mesas redondas y conferencias magistrales. El foro concluye con la emotiva ceremonia de entrega de la estatuilla a los más innovadores del ranking de InformationWeek México.

20 y 21 de octubre, Hotel W Ciudad de MéxicoSoMeBIZ es un foro interactivo que conjunta las mentes más brillantes en comunicaciones, marketing, desarrollo de marcas y ejecutivos de negocios para explorar cómo el social media ha revolucionado la forma en que los individuos y las empresas posicionan sus marcas en línea. Presentado por Netmedia, la compañía de soluciones mercadológicas y de medios de mayor prestigio en el segmento de la tecnología y los negocios, la conferencia está diseñada para mercadólogos, tomadores de decisiones, líderes IT, consultores, publicistas, publirrelacionistas y desarrolladores de aplicaciones.

Nuevo

24 de junio, Hotel Four SeasonsLas 50 empresas más innovadoras de InformationWeek México es una premiación creada por Netmedia y avalada por la metodología desarrollada ex profeso por la prestigiada firma de consultoría Ernst & Young. Ambas organizaciones participan año con año a lo largo del proceso, que incluye revisión y actualización de cuestionarios, convocatoria, calificación de proyectos, selección y verificación de los casos presentados. Registre su proyecto antes del 30 de abril de 2010.

Nuevo


[BREVES]NUEVO DECRETO PARA ÁREAS IT DEL GOBIERNOEn el marco de un nuevo decreto de reforma regulatoria de parte del ejecutivo mexicano, que implica la derogación de la normatividad que no se justifique en temas diversos (adquisiciones, recursos humanos, arrendamiento y servicios, entre otros), se dio a conocer el llamado Manual Administrativo de Aplicación General en Materia de Tecnologías de Información y Comunica-ciones (MAAGTIC).

Su función es ser un marco rector de aplicación obligatoria para las dependencias federales, que establecerá los procesos, disposiciones normativas, responsables, indicadores y estándares aplicables a la gestión de las áreas TIC de la administración pública federal.

Los preparativos de MAAGTIC –coordinado por la Secretaría de la Función Pública y en el que participaron diversas firmas consultoras como Itera– tomaron alrededor de medio año pre-vio a lo que será la publicación del decreto de parte del presidente Felipe Calderón.

El manual creó una “norma única”, como la llama el gobierno, con base en prácticas como CMMI, COBIT, ITIL e ISO 27000. Sus objetivos: hacer un uso eficiente de los recursos aplica-dos a las TIC, mejorar la satisfacción de áreas usuarias y monitorearla, incorporar las mejores prácticas, lograr la gobernabilidad TIC, y me-jorar el control y calidad sobre la administra-ción y ejecución de los servicios TIC.

83% de los administradores IT

no identifica correctamente (de una lista) los sitios y herramientas que pertenecen al Web 2.0

Fuente: Websense, encuesta realizada a 1,300 administradores IT

[LA CIFRA]

IBM COMPRA Y AMPLÍA SU NUBEPara incrementar sus servicios de cómputo en nube, IBM adquirió a Cast Iron Systems, pro-veedor de software, appliances y servicios de integración de cloud computing. Su intención, empleando la propuesta tecnológica de Cast Iron, es ofrecer una plataforma completa de integración de aplicaciones en nube (de proveedores como Amazon y Salesforce) con aplica-ciones on-premise (JD Edwards y SAP, entre otros).

MÁS FUERZA MÓVILOracle liberó nuevas capacidades en su E-Business Suite Release 12.1.2. Está, por ejemplo, Oracle Field Service, que brinda visibilidad para la localización de técnicos en tiempo real en un mapa y el envío de mensajes a empleados para una mayor productividad de campo.

[FE DE ERRATAS]En el artículo “SunGard Higher Edu-cation quiere graduarse en México” (InformationWeek México No. 204, edición Abril-Mayo, págs. 26 y 27), el nombre del cliente de SunGard mencionado debe ser CESSA, la escuela de negocios de la industria de la hospitalidad.

CARTAS AL EDITORDirija su correspondencia a InformationWeek México, Cartas al editor, Sócrates 128, 4º piso, Col. Polanco, México, D.F. 11560, fax: 2629-7289 y correo electrónico: [email protected] Para efectos de identificación in-cluya nombre, cargo, compañía, di-rección, teléfono y e-mail. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistinta-mente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio internet: www.netmedia.info Todas las solicitudes serán sometidas a calificación antes de ser autoriza-das. Sólo se considerarán lectores domiciliados en México.Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar informa-ción sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected] En Estados Unidos y Canadá: David Steifman, Huson International Media. Tel. 408-879-6666. Servicios en línea www.netmedia.infoServicios editoriales y custom publishing. [email protected]

InformationWeek México es una publicación mensual de Ne-tmedia, S.A. de C.V., bajo licencia de CMP Media LLC. Se distribuye en forma gratuita con circulación controlada y calificada.©2009 Todos los derechos reser-vados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos, sin au-torización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclu-siva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomenda-ción para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de InformationWeek y otras publica-ciones de CMP Media LLC están sujetos a edición.Reserva de derechos ante la Direc-ción General de Derechos de Autor: 04-1999-053109345300-102. Autorización como publicación perió-dica por Sepomex PP09-0582. Certi-ficados de licitud de título y contenido por la Comisión Calificadora de Pu-blicaciones y Revistas Ilustradas de la Secretaría de Gobernación, en trámite. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas, S.A. de C.V. Sevilla 702 B, Col. Por-tales, 03300 México D.F. Netmedia, S.A de C.V., Sócrates 128 4º. Piso, Col. Polanco, C.P. 11560, México, D.F., teléfono 2629-7260, fax 2629-7289. www.netmedia.info

Mónica Mistretta Directora general

Elba de MoránDirectora comercial

Gabriela Pérez Sabaté

Directora de proyectos especiales

Alejandro CárdenasDirector de arte

Gabriela BernalDirectora administrativa

José Luis CaballeroAsesoría legal

CONSEJO EDITORIALFlor Argumedo,

Leopoldo Murillo, Jordi Ballesteros, Abel

García, Carlos Chalico, Jorge Luis Ibarra, Octavio Márquez,

David Orellana Moyao, Carlos Zozaya, Isidoro

Ambe, Jorge Pérez Colín, Juan Portilla, Gaël Thomé, Eduardo Gutiérrez, Jorge Varela, Gerardo Villarreal,

Pedro Cerecer, Francisco Javier Gómez

EDITORA Fabiola González

COLUMNISTAS

Jorge Blanco, Bob Evans

EDITOR ONLINEEfraín Ocampo

COLABORADORESCharlotte Dunlap, Ione de

Almeida Coco, Adam Eli, Greg Shipley,

Jeremy Littlejohn, Michael A. Davis, Michael Healey, Richard Dreger

DISEÑO Pablo Rozenberg

WEBMASTERAlejandra Palancares

FOTOGRAFÍA

Fernando Canseco

TRADUCCIÓNManuel Arbolí

COORDINADORA DE LOGÍSTICA

Claudia Aguilar

ASISTENTES DE REDACCIÓNCésar Nieto, Oscar Nieto

ASISTENTE DE VENTASAlejandra Rivera

SUSCRIPCIONESSonco-Sua Castellanos,

Diana Zdeinert

Circulación certificada por el Instituto Verificador de

Medios Registro No. 163/05

eMediaRedes SocialesWebcastPodcastBlogsRevistas DigitaleseNewsletter

eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletterRevistas Digitales

Líder enCustom New eMedia

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info

t. 2629 7260 ext. 1125

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info

t. 2629 7260 ext. 1125


CA: NUEVO NOMBRE, NUEVA APUESTADurante el CA World, celebrado recientemente en Las Vegas, Nevada, no se habló de otra cosa: CA cambiará su nombre por CA Technologies (que, a decir de su CEO, Bill McCracken, “apunta hacia un futuro como líder en la entrega de soluciones que revolu-cionarán la forma en que las IT facilitan la agilidad de los negocios”), y se centrará en software que permita administrar y asegurar

la infraestructura y la información en ambientes de nube, sean públicos o privados. McCracken estima que la mitad de sus ingresos provendrá de versiones SaaS de sus productos,

pero en forma más estratégica como proveedor de herramientas de administración y seguridad para centros de datos en la nube o virtualizados.

El CA World fue el escenario para el anuncio de Catalyst (nombre código), una arquitectura basada en servicios Web que integra el portafolio de productos de reciente adquisición con los ya conocidos. Entre las nuevas compras están Nimsoft, para el monitoreo del desempeño y disponi-bilidad de los recursos IT; 3Tera, que permite ofrecer servicios de cómputo bajo demanda a través de su producto estrella AppLogic; Oblicore, proveedor de software para gestión de niveles de servicio, y NetQoS, para administración del desempeño de la red y de la entrega de servicios.r

SYMANTEC COMPRÓ A VERISIGNEl negocio de autenticación e identidad de Verisign será adquirido por Symantec, luego de que ambos firmaran un convenio final. Éste sigue sujeto a las condiciones de cierre consetudinarias, pero se espera la resolución para el siguiente trimestre.

El monto pactado asciende a cerca de $1,280 millones de dólares en efectivo, e inclu-ye los servicios de certificados de capas de conexión segura (SSL), los de infraestructura de claves públicas (PKI), los de confianza de Verisign y el servicio de autenticación de

protección de la identidad (VIP).El fin de la adquisición es que Symantec presente una nue-

va visión de la informática que integre seguridad de la iden-tidad, seguridad móvil y de otros dispositivos, protección de

la información y seguridad en la nube, y ayudar así a que sus clientes adopten modelos más confiables considerando cómputo móvil, redes sociales,

cloud computing y demás.

[BREVES]

[LA FRASE]“Unix está muerto, y hasta IBM lo está diciendo”, Donald Feinberg, vicepresidente y analista distinguido de Gartner

Bill McCracken, CEO de CA

CRECEN LOS DATOS Y LOS PROBLEMASDe acuerdo con el estudio “La década de universo digital – ¿Está usted listo?”, que realizó IDC a encargo de EMC, en 2009 la cantidad de información digital alcanzó los 800,000 millones de GB (o 0.8 zettabytes).

Su crecimien-to, comparado con 2008, fue de 62%. Para finales del presente año, la firma de análi-sis estima que se llegará a los 1.2 zettabytes, lo que equivaldría a reunir 75,000 millones de iPads de 16 GB com-pletamente llenas.

El aumento será exponencial hasta llegar al año 2020, cuando la informa-ción digital será 44 veces mayor a lo registrado en 2009. Entonces, más de una tercera parte de esa información residirá o pasará a través de la nube, y de 30% a 50% requerirá seguridad más allá de lo básico. La pregunta es: ¿las infraestructuras IT empresariales esta-rán preparadas?

UNIÓN REAL EN EL CAMPO VIRTUALSAP mantiene su estrategia de innovar, por lo que decidió aliarse con Cisco, EMC y VMware para desarrollar conjuntamente soluciones de virtualización y de cómputo en nube de ambientes críticos de negocios.

Cisco, EMC y VMware se comprometieron a desarrollar innovaciones continuas en torno al software de SAP, de modo que se aprovechen al máximo los beneficios de la virtualización y se acelere el paso hacia la adopción del cloud computing privado.


La gestión de identidades, las contraseñas y los dere-chos de acceso de empleados siempre han sido com-plicados. Y ahora, con un mayor uso del outsourcing y

del software como servicio (SaaS, por sus siglas en inglés), las cosas se vuelven más enredosas y requieren el uso de una gestión de identidades (IDM) federada, operada desde fuera de las paredes de la empresa.

Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar latoso, además de complicado.

Los sistemas distribuidos, usados en el mundo entero, y un inacabable número de tecnologías que se deben integrar son para volver loco a cualquiera. Pero si se planean adecua-damente resultan en beneficios significativos, como seguri-dad mejorada, menos gasto operativo fijo, mejor experiencia de los usuarios y más bajos costos de soporte. La IDM permi-te al área IT entender quiénes son los usuarios, a que aplica-ciones y redes accesan y, en la mayoría de los casos, cuáles son sus funciones en el trabajo. Permite también la gestión completa de una identidad (en contraposición de una pers-pectiva aislada de una sola cuenta en un solo sistema).

La clave está en entender cuáles son las tecnologías de IDM en el ambiente de cada empresa, cómo son usadas por el personal y cómo se entrelaza todo. Lo que sigue son seis pasos para manejar estos asuntos y para mejorar el control sobre el ambiente.

PASO #1.- SABER QUÉ SE ESTÁ ADMINISTRANDO El enfoque que se adopte en IDM dependerá de cuánto se dispone para gastar, qué tecnologías se aplicarán y cuál será la sofisticación y amplitud del sistema. ¿Requiere la compa-ñía soporte de administistración de usuarios básico, o todo, desde aprovisionar a los nuevos usuarios y los login indi-viduales hasta eliminar a los usuarios que se han ido? Si la compañía está creciendo, abre nuevas sucursales, contrata a más empleados y ha optado por aplicaciones SaaS (en vez de traer más aplicaciones intramuros), entonces será conve-

[A FONDO]6 pasos para mejorar la gestión de identidadesEsto es lo que se requiere saber sobre gestión de identidades de empleados en una época de outsourcing y software-as-a-service■ Por Adam Eli


niente más automatización de los actuales procesos de IDM que gastar dinero en traer nuevas soluciones.

La automzatización del aprovisionamiento y eliminación de los empleados que se han ido evitará equivocaciones, traerá mayor seguridad y redundará en menos problemas de auditoría. Se puede dar un paso más y crear plantillas y fechas de expiración de las cuentas de los empleados para efectos de su acceso a las aplicaciones y a la red, lo que hará la felicidad de los auditores.

PASO #2.- IDENTIFICAR LA TECNOLOGÍA SOBRE LA QUE RESIDEN LAS CUENTAS DE LOS USUARIOS Puede tratarse de un sistema de recursos humanos (RH), SAP, Active Directory, OpenLDAP o cualquier directorio de cuen-tas de usuario, o incluso alguna combinación de todo esto. Los sistemas de RH y nómina son los mejores lugares para buscar un sistema que identifique qué usuarios son legítimos y activos. También es necesario determinar cuál es el siste-ma maestro de identificación del área IT. ¿Es Active Directory o algún otro repositorio centralizado de cuentas? Si no hay uno, esto explica el problema en que está la empresa, y por ahí se debe empezar. Si se tiene Active Directory u otro sis-tema, entonces hay que averiguar qué está autenticando en su contra. Puede tratarse sólo de las PC y servidores, pero también puede deberse a aplicaciones a la medida o aplica-ciones de terceros.

PASO #3.- CENTRALIZAR LA AUTENTICACIÓNEn este punto es preciso evaluar detalladamente si es con-veniente migrar a un sistema central de autenticación. Una clave de la IDM federada es tener un lugar central para la gestión de cuentas, y muchas compañías han comprobado que los beneficios de una autenticación central superan con mucho los inconvenientes de dicho sistema.

El Identity Manager, de CA, y el Tivoli Identity Manager, de IBM, son algunos de los productos de IDM que las compa-ñías pueden usar, independientemente de si tienen o no un directorio central de usuarios. Muchas de estas herramientas realizan el mismo trabajo, pero cada una tiene sus lados ven-tajosos (ver recuadro “En busca del sistema correcto”).

Los sistemas más grandes (como el de CA y el de IBM) cuestan $100,000 dólares o más y proveen gestión comple-ta del flujo de trabajo para aprovisionar y eliminar usuarios, incluida la aceptación de la solicitud inicial, la obtención de la autorización, la creación o eliminación de cuentas con un solo clic, etc. Estas características son las que distinguen a la IDM de los sistemas de servicios de directorio, como Active Directory. Permiten que el departamento IT importe cuentas de un directorio maestro o de un sistema individual.

Fuente: Encuesta del área de investigación de la revista hermana InformationWeek en Estados Unidos, sobre gestión de identidades a 376 profesionales IT y de negocios. Marzo de 2009

FALTA ACCIÓN¿Usa su compañía gestión de identidades externa en su trato

con socios de negocio y proveedores?

17% Aún no, pero planeamos su implementación en 18 meses

42% No41% Sí

Existen muchos fabricantes en el mercado de la gestión de identidades, como CA, IBM, Oracle, Radiant y SAP. La otra opción es desarrollar una herramienta dentro de la empresa, pero a la mayoría de las compañías esto les resulta difícil, y al cabo salen gastando más.

La compra de un paquete puede costar más en un comienzo, pero a la larga suele funcionar mejor a medida que las organizaciones, al tiempo que crecen, van añadiendo tecnologías.

Un consejo sería enviar a los fabricantes una lista de las tecnologías que se usan en la empresa y pedirles que verifiquen cuáles soportan y si ese soporte aumenta el costo, además de revisar cómo los procesos de la empresa se complementan con los de los sistemas de los fabricantes. Proceder a un rankeo basándose en los criterios de la empresa y el presupuesto es recomendable.

Antes de llegar a la decisión final, es importante tomarse el tiempo para ver más allá, pues es probable que posteriormente la compañía quiera implementar alguna nueva tecnología.

Finalmente, siempre es bueno procurar que cualquier senda que se emprenda en materia de IDM sea flexible y permita hacer añadiduras y cambios durante el proceso.

EN BUSCA DEL SISTEMA CORRECTO


PASO #4.- SABER QUÉ APLICACIONES EXTERNAS SE ESTÁN USANDOUna vez que se ha entendido la parte interna de la empresa, hay que mirar hacia fuera. ¿Emplea la compañía servicios de SaaS, redes sociales, gestión subcontratada de gastos y sis-temas de RH?

Dado que su operación es más barata y su despliegue más rápido, las ofertas de SaaS pueden ser un gran añadi-do a la empresa, si tienen suficientes capacidades de ges-tión de usuarios. Si no se dispone de buenas herramientas,

el manejo de centenares de cuentas en un sistema subcontratado puede absorber muchos recursos. Hay que averiguar con el área contable y la de personal de encuestas qué aplicacio-nes y sitios online (de terceros) están usando sin conocimiento del depar-tamento IT.

El propósito, lejos de impedir que se utilicen esos servicios, es entender cómo manejarlos mejor.

PASO #5.- EXAMINAR LAS OPCIO-NES Y PEDIR SUGERENCIAS A LOS FABRICANTES DE IDM Y SAASEl siguiente paso es entender los flu-jos de trabajo y el proceso tal cual es, a cabalidad, para, entonces, poder proporcionar un mapa que muestre

cuál sería la diferencia en su operación con otro proveedor. Hay que observar cómo se aprovisiona a los usuarios,

cómo se manejan los cambios a su acceso y cómo se elimina a los usuarios cuando se marchan.

¿Cómo se añaden cuentas a lo ancho de múltiples siste-mas? Conviene realizar una prueba sobre cómo se procesan las solicitudes, sobre todo cuando se trata de sistemas exter-nos, como Salesforce y aquella plataforma que siempre ha sido manejada por una persona que se rehúsa a que otros le “metan mano”. Para la documentación del flujo de trabajo,

[A FONDO]

Fuente: Encuesta del área de investigación de la revista hermana InformationWeek en Estados Unidos, sobre gestión de identidades a 376 profesionales IT y de negocios. Marzo de 2009

URGE PROTEGER¿Qué tan importantes son las siguientes motivaciones para establecer iniciativas de gestión

de identidades en su empresa?

Promedio

Protección de datos o IP 4.3Neutralizar amenazas externas 4.1Cumplimiento de normas 3.9Escalabilidad de la gestión de acceso para empleados o socios 3.6Funcionalidad a través de dominios 3.5Evita costos 3.5Gestión de derechos digitales 3.0

1 (carece de importancia) 5 (Muy importante)

La autenticación de usuarios no ha cambiado con el paso de los años: los nombres y contraseñas de los usuarios siguen siendo la norma, con todo y que éstas sólo ofrecen una protección moderada.

Con todo, muchas compañías no están listas para deshacerse de ellas, y no pueden pagar el costo y la complejidad de una infraestructura completa de clave pública o algún otro esquema multifactorial. Por lo mismo, en lo que están pensando es en seguir usando los métodos de autenticación existentes, al tiempo que desarrollan una estrategia más segura de gestión de la autenticidad.

He aquí los tres elementos que dicha estrategia debe contener:1. Implementar una fuerte política de contraseñas, que contemple passwords de máxima fuerza (de ocho cifras/letras como mínimo). Conviene

exigir una combinación de minúsculas, mayúsculas, números y signos especiales. Asimsimo, hay que establecer una caducidad de la contraseña y una política de cierre de la cuenta.

2. Complementar con controles, como los settings de constraseñas del Active Directory; exigir actualizaciones de autenticación de las aplicaciones, y establecer opciones en los sistemas. Si bien no existe la posibilidad en todos los casos, siempre hay que hacer lo más posible, y basarse en buenas prácticas de auditoría y educación de los usuarios.

3. Usar autenticación multifactorial (donde dos o más credenciales validan a un usuario). Puede resultar prohibitivo, pero hay lugares donde un control más estricto rendirá ganancias significativas en seguridad. Está, por ejemplo, el acceso remoto en autenticación de VPN, las identidades establecidas por el servicio (SSID) y el control de acceso a los sistemas críticos que no sean a través de consola.

–Richard Dreger

CUANDO LAS CONTRASEÑAS NO BASTAN


es recomendable emplear siempre gráficas de flujo; son úti-les cuando se implementan nuevos productos y para advertir redundancias en los procesos.

Un elemento a destacar es que esto debe hacerse con usuarios finales. Suele suceder que se revisen los procesos técnicos y se olvide el preguntar a los ususarios qué piensan del proceso, cómo lo entienden y qué puntos les parecen difíciles. Cuando no se resuelven los problemas y las malas interpretaciones de un sistema ya existente, es muy fácil tras-ladarlos al nuevo.

PASO #6.- CONOCER LOS LÍMITESUna vez que se tiene la tecnología, los directorios y los ser-vicios a integrar, es momento de estimar las limitaciones de la empresa. ¿Se van a manejar todas estas tecnologías? ¿Basta un producto o se requieren varios? Una manera fácil de simplificar la gestión de identidades es vinculando todos

los recursos en el menor número posible de directorios; por ejemplo, autentificar todos los sistemas y aplicaciones posi-bles en el Active Directory. Una vez que se ha reducido el nú-mero de puntos de autenticación con la implementación de un sistema de IDM, hay menos probabilidades de apagones debido a cambios del sistema, y menos llamadas al help desk por contraseñas olvidadas.

Hasta aquí, el usuario tendrá conocimiento en un nivel razonable de dónde manejar las cuentas. Si no hay mucho cambio de empleados, tal vez no tenga sentido implementar un sistema automatizado mayor. De detenerse aquí , la orga-nización ya habrá reducido los costos de soporte y mejorado el proceso del manejo de identidades.

—El autor es director de seguridad de TiVo, donde es res-ponsable de las IT y los sistemas de seguridad de las aplicacio-

nes. Se le puede contactar en: [email protected]

El Memorial Sloan-Kettering Cancer Center, el más an-tigüo y mayor centro privado de cancerología de Esta-dos Unidos, con sede en Nueva York, pasó 18 meses

en un proceso de RFP (Request for Proposal) antes de de-cidirse por una oferta de gestión de identidades y accesos como parte de su estrategia de gobernabilidad, riesgos y cumplimiento de normas.

Este centro de cancerología, con 480 camas y que admitió a más de 23,000 pacientes en 2009, posee una estructura IT centralizada que soporta unos 10,000 usuarios. La gestión de identidades (IDM) es particularmente importante porque tie-ne que ajustarse a los lineamientos de la legislación HIPAA, sobre privacidad.

Antes de implementar el sistema, cuatro miembros del personal IT empleaban una enorme cantidad de tiempo es-tableciendo y cambiando las identidades de los usuarios. El despliegue de la solución seleccionada empezó con un siste-ma de sincronización de contraseñas que provee un password para todas las aplicaciones de un usuario. En la primera fase, el equipo IT también aprendió cómo escribir los conectores entre el sistema IDM y las aplicaciones de la empresa, inclui-

da su aplicación de recursos humanos que provee al equipo IT los datos sobre cambios en el estatus de los empleados. También construyó flujos de trabajo para manejar situaciones donde algún miembro del personal tiene que ser removido inmediatamente, así como actualizaciones sobre el estatus de los empleados a partir del sistema de RH.

La tercera fase del proyecto permite que los gerentes de negocio acepten, denieguen o revoquen derechos de acce-so a los usuarios, empleando una herramienta adicional. Y otro flujo de trabajo todavía en desarrollo consiste en una página Web con instrucciones sobre cómo manejar las solici-tudes de terminación y cambio.

Sloan-Kettering aprovechará otros productos de IDM que integran avanzadas capacidades de seguridad, como pre-vención de pérdida de datos, según adelanta Rachel Heftler, su director de servicio a clientes. La tecnología Data-in-mo-tion DLP, integrada con un sistema de identidad consciente de contenido y de gestión de accesos, puede advertir si está saliendo un e-mail con información sensible, y avisar al ofi-cial de privacidad, quien puede inhabilitar las cuentas de ese empleado con sólo dar clic en un flujo de trabajo.

Un centro de cancerología se apoya en IDM para proteger la privacidad de su información y cumplir con las regulaciones de su industria

La cura del riesgo informático

Por Charlotte Dunlap


[SEGURIDAD]

Hace unos meses, circuló por las oficinas de la revista hermana InformationWeek un artículo de considera-ble tamaño “a favor de la nube” que venía girando

por diversos grupos ejecutivos fuera del mundo de las IT. Dicho material, redactado por una firma de capital de ries-go y dirigido a altos ejecutivos, presentaba algunos puntos interesantes, pero el mensaje clave era incitar, sin gran ar-gumentación, a usar la nube “cuando y donde se pudiera”. La palabra “riesgo” no figuraba por ninguna página de ese documento.

Los beneficios del cloud computing pueden ser reales, pero la descarada omisión de referencias a los aspectos des-ventajosos tiene todas las señas de un entusiasmo ciego, y

no es de sorprender que sus autores tengan sustanciales in-tereses en uno o varios proveedores de nube.

El artículo en cuestión también hace hincapié en que la discusión sobre la nube, guste o no, ocurre fuera de los círcu-los IT. Más aún, algunas organizaciones usan los servicios de la nube sin equipos IT, de seguridad o de control de riesgos, incluso siendo conscientes de que hay datos que salen de la red.

Por ejemplo, en una organización que prefirió mantener el anonimato no supieron que sus empleados usaban los servi-cios Elastic Compute Cloud, de Amazon, hasta que dichos empleados trataron de pasar las facturas. Fue el área de con-tabilidad, no el departamento IT, quien sonó la alerta.

Nubes, sí; riesgos, tambiénEl cloud computing está preparando una tormenta de cambio. Para el área IT, el reto está en guiar a las organizaciones hacia un sano equilibrio■ Por Greg Shipley

C R M | B A S E S D E D A T O S | M E D I U M B U S I N E S S | B U S I N E S S P R O C E S S


Quitamos la paja por ti

Información a la medida para tu negocio

powered by:

CRMLas aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son más accesibles y fáciles de usar. Conózcalas.

Bases de DatosEl crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la información. Aquí le decimos cómo.

Business ProcessLas mejores prácticas se incorporan a las tecnologías de negocio a través de aplicaciones que automatizan los procesos empresariales y están a su alcance.

Medium BusinessSoluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.

A FAVOR Y EN CONTRAHoy por hoy, muchas compañías con área IT centralizada se las ven negras para seguir la pista a sus datos, proveedores y contratistas. El uso de tecnología basada en la nube, de parte del personal de negocios, hace saltar por los aires el modelo centralizado, y es ahí donde estriba el problema de mayor importancia para la gobernabilidad: ¿quién tiene que tomar la decisión de subcontratar una función del negocio o un conjunto de datos de la empresa?, ¿y a quién compete aceptar los riesgos afines?

El lector quizá piense que actualmente hemos avanzado en el frente del control de riesgos, dado que el entusiasmo por la nube se ha extendido por los grupos IT empresariales desde hace más de un año.

En particular, el departamento de investigación de Infor-mationWeek, revista hermana de InformationWeek México en Estados Unidos, realizó una encuesta en la que participa-ron 547 profesionales IT y de negocios en febrero del año pasado. El total de los participantes se calificaban intrigados por las promesas del cloud computing, pero igualmente por sus riesgos: más de la mitad se preocupaba por los defectos en la seguridad de la tecnología en sí misma y por la pérdida de datos propietarios.

Un año después, la dinámica persiste: en la investigación de febrero de 2010, en la que participaron 518 ejecutivos, las preocupaciones por la seguridad de nuevo encabezaron la lista de las razones para no usar los servicios de nube; en tanto, el principal impulsor es el ahorro en costos.

“¿Se ha olvidado todo el mundo del hundimiento de las punto-com? –se pregunta el vicepresidente senior de una compañía de servicios públicos en el vecino país del norte–. Sitios Web enteros, junto con las compañías que los mane-jaban, desaparecieron sin dejar rastro. Deseo controlar mi propio futuro.”

Un profesional IT del sector de la educación que ha sub-contratado el e-mail a Google, revira: “Al sobrepasar las 5,000 cuentas, la administración, respaldo y mantenimiento se volvieron prohibitivos. Ahora contamos con una fiabilidad de 99.999%, disponemos de hasta 20 GB de espacio por usuario y podemos entregar más servicios”.

Ambos grupos tienen razón. Entregar algunas funciones a un proveedor de nube libera tanto al personal como a los re-cursos de computación para que puedan hacer frente a otros problemas. Pero es necesario efectuar un mejor trabajo en cuanto al control de riesgos, porque hay tanta oportunidad de desastre como espacio para los beneficios.



Quitamos la paja por ti

Información a la medida para tu negocioInformación a la medida Información a la medida Información a la medida

powered by:

CRMLas aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son más accesibles y fáciles de usar. Conózcalas.

Bases de DatosEl crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la información. Aquí le decimos cómo.

Business ProcessLas mejores prácticas se incorporan a las tecnologías de negocio a través de aplicaciones que automatizan los procesos empresariales y están a su alcance.

Medium BusinessSoluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.


[DE PORTADA]

Por Fabiola V. González y Michael Healey

Las empresas han probado las mieles de la virtualización de los servidores. Por eso, ahora los proyectos en torno a esta tecnología

se están llevando a los escritorios y el almacenamiento. El problema es que ante el crecimiento de la iniciativa puede perderse el control

en la gestión IT, lo que convierte a los administradores de la infraestructura en esclavos de su propia creación

Es raro encontrar a algún profesional IT que no re-conozca los beneficios de la virtualización de los servidores. El concepto, que significa aprovechar el potencial del hardware subyacente, dividien-

do el sistema en múltiples sesiones virtuales, ha existido desde los tiempos del mainframe, pero VMware se llevó las palmas al virtualizar servidores x86, lo que catapultó este enfoque tecnológico al mundo distribuido. Hoy prác-ticamente se puede virtualizar cualquier cosa: ¿iPhones corriendo un hipervisor?, ¿por qué no?

Una reciente encuesta de la revista hermana en Estados Unidos, InformationWeek, muestra que la virtualización de servidores no deja de avanzar: 54% de los 391 participan-

tes espera que al menos la mitad de sus servidores de producción estén virtualizados para 2011.

Ello ha dado pie a un nuevo paso en el marco de la virtualización, y las organizaciones han empezado a virtua-lizar el almacenamiento y el escritorio. Pero los departa-mentos IT requieren dominar el tema de la administración para poder soportar con efectividad la virtualización, y en algunos casos no lo están logrando, ni siquiera con la vir-tualización de servidores.

EL ÉXITO SE BASA EN EL CONTROLVarios años atrás, la división de una gran empresa con sede en Estados Unidos (perteneciente a las 1,000 de Fortune)

VIRTUALIZACIÓN

ESCLAVODE LA


VIRTUALIZACIÓN

ESCLAVO


[DE PORTADA]

virtualizó 800 servidores en un periodo de 12 meses. Los beneficios que ello trajo consigo (menores costos de en-friamiento, ahorro en equipos y licencias, menor espacio en el centro de datos, etc.) llenaron de gloria al área IT.

En 2009, los 800 servidores virtuales de dicha compañía (que prefirió mantener el anonimato) se incrementaron a 1,000, sin que ni aun hoy se tenga un cuadro claro de la configuración general, ni rastreo del ciclo de vida de cada máquina virtual, ni registro alguno de cómo crecieron con tanta rapidez.

La revisión de los procedimientos que siguió el staff IT se topó con una completa ruptura del protocolo de la organización referente a los métodos empleados para el aprovisionamiento de cómputo. Se echó la culpa a la falta de herramientas de manejo y a una deficiente organiza-ción. El equipo tuvo que traer consultores para que ayu-daran a poner orden en la operación.

Más de 50% de los encuestados por InformationWeek que usan la virtualización, se basan en la herramienta que viene de proveedores de hipervisores, como VMware o Microsoft, lo que obliga a las áreas de sistemas a mane-jar una herramienta de gestión para los servidores físicos, y otra para los virtuales. Sólo 10% de las empresas tiene implementado un sistema de administración de servido-res que provee un marco único. El resto, o emplea herra-mientas de legado, que no manejan adecuadamente un ambiente virtualizado, o no hace nada en absoluto.

VIRTUALIZAR, SÍ; PERO HAY QUE HACERLO BIENMuchos de los participantes en la investigación de InformationWeek tienen interés o planes de expandir sus iniciativas de virtualización al es-critorio y al almacenamiento. Cable-más es una de las organizaciones en territorio mexicano que está toman-do ventaja de esta tecnología más allá de los servidores.

Con 5,000 empleados cubriendo 49 ciudades del país, donde suma al-rededor de 1.4 millones de clientes, la empresa tenía un serio problema con el aumento de la información del negocio. Al no contar con siste-mas consolidados, el problema lle-gó a tope cuando su infraestructura IT ya no le dio el ancho. La solución

que su proveedor de hardware en el centro de datos le ofrecía implicaba remodelación y expansión del espacio físico, así como, por supuesto, una mayor inversión.

Con 2.5 veces menos de lo que hubiera invertido de haber decidido aceptar la ampliación propuesta por su proveedor IT, ahora Cablemás se encuentra implementan-do virtualización de servidores y de almacenamiento, de la mano de Hitachi. El proyecto inicial concluirá en octu-bre de este año, pero a mediano plazo está en los planes implementar virtualización del escritorio para proyectos del área IT.

La iniciativa forma parte de Katún, ambicioso proyecto tecnológico que significará para la compañía un cambio radical en la forma de manejar sus sistemas de informa-ción, y que incluirá consolidación, mejora de componen-tes de aplicaciones y centralización de procesos, así como optimización en la toma de decisiones de negocio y en la operación.

“En Cablemás consideramos que la virtualización mar-ca la evolución de las IT y cumple con las demandas de desempeño de aplicaciones y de su procesamiento”, se-ñala Arturo Huys Massague, gerente de infraestructura y operaciones de la empresa. “Asimismo, la virutalización del almacenamiento nos puede ayudar a superar muchas deficiencias que tienen las infraestructuras de storage tradicionales, además de que nos permitirá optimizar la inversión en este concepto, simplificar nuestra infraestruc-

Sí ayuda: “La virutalización del almacenamiento nos

permitirá simplificar nuestra infraestructura y mejorar

drásticamente su uso mediante la gestión de todos los

activos del almacenamiento con una única interfaz de

administración”, Huys Massague, gerente de

infraestructura y operaciones de Cablemás

Foto

: cor

tesí

a de

Cab

lem

ás


tura y mejorar drásticamente su uso mediante la gestión de todos los activos del almacenamiento con una única interfaz de gestión.”

TODO UN CAMBIO DE MENTALIDADÉste es un punto crucial. La virtualización cambia casi cada aspecto del marco operativo porque elimina o re-duce el nexo físico entre hardware y software. Esta tec-nología también redefine los planes de failover y trae un nuevo modelo de recuperación ante desastres (DRP) y de alta disponibilidad.

La administración de los ambientes parcial o total-mente virtualizados requiere poner atención en muchos elementos, más de los que había que cuidar cuando no se tenía esta infraestructura en la empresa.

Está el ejemplo de un gran municipio de Connecticut, en Estados Unidos, cada vez más preocupado por los po-sibles problemas de su plan de virtualización en caso de falla del hardware hospedado. Lo curioso es que el plan de contingencia existente en dicho municipio para fallas de hardware no tenía un inventario de servidores de re-puesto ni una protección continuada de los datos.

La conclusión: es totalmente cierto que la virtualización tiene múltiples ventajas, pero las organizaciones deben estar concientes que conforme avancen en la iniciativa de-ben considerar la urgencia de emprender una estrategia de administración de la virtualización con las herramientas correctas y una estructura de equipo óptima.

Las empresas deben comenzar por repensar su ope-ración –nada más y nada menos–. Además, es prioritario

contar con un departamento IT que tenga suficientes ha-bilidades de monitoreo para detectar posibles descontro-les e impedir la extensión desmesurada que puede llegar a originarse.

A más largo plazo es recomendable participar de dis-ciplinas como ITIL. La virtualización aplanará con efectivi-dad al área IT, si se está dispuesto a hacerlo. Otro consejo útil es contar con presupuesto asignado a herramientas de gestión que sean apropiadas al tamaño de cada orga-nización.

No se puede hablar con sensatez de recabar beneficios de la virtualización sin tomar en serio la necesidad de una administración sofisticada y un cambio total de mentali-dad en la organización.

Para lanzarse hacia una iniciativa de administración de la virtualización, las organizaciones requieren comenzar por:

Repensar su operación

Asegurarse de conformar un staff IT con las habilidades necesarias para prevenir los elementos de descontrol

Buscar el apoyo de prácticas estándares, como ITIL o CMMI

Adoptar herramientas de gestión a la altura de la estrategia de virtualización que se tenga

Contar con presupuesto asignado en específico a administración

Las funciones más importantes de la gestión de máquinas virtuales (VM)

5 TIPS PARA EMPEZAR

LO QUE MÁS SE ADMINISTRA

Fuente: Encuesta realizada a 391 profesionales IT y de negocios por el área de investigación de InformationWeek, en Estados Unidos, sobre administración de la virtualización.

Importancia

Interoperabilidad con las herramientas de administración existentes en la empresa 1

Monitoreo del desempeño de las aplicaciones 2

Gestión de la seguridad virtual 3

Herramientas automáticas de la conversión de los servidores físicos a virtuales 4

Herramientas de administración del ciclo de vida de las máquinas virtuales 5

Gestión del almacenamiento y visibilidad de la red de área de almacenamiento (SAN, por sus siglas en inglés) 6

Capacidades regulatorias, de cumplimiento y de auditoria 7

Capacidad de proveedores cruzados y gestión heterogénea de las máquinas virtuales 8


[STRATEGY]

“El próximo ciclo en la inte-ligencia del negocio será enmarcado por la infraes-

tructura convergente.” Es una predic-ción de hace 30 años, pero finalmente los datos del mercado indican que está iniciando la primera fase de esta arquitectura. El meollo del asunto, hoy por hoy, consiste en centrarse en los servicios.

HP recientemente presentó su ini-ciativa de infraestructura convergen-te, cuyo fin es ofrecer a los clientes la promesa de simplificar su arquitectu-ra IT y lo que está alrededor de ella – nada más y nada menos–, mediante una oferta integral que contempla el manejo de redes, almacenamiento y servidores en una nueva plataforma que se complementa con servicios de consultoría y outsourcing para la transformación del centro de datos de la empresa hacia un modelo de administración centralizada.

ADIÓS AL 90% DE LOS CABLESHP no es la primera organización IT que promete la convergencia total; le antecede un gran grupo de empre-sas, como CA, IBM y SAP. Con todo, la propuesta de HP busca diferenciarse en un punto crucial: “La infraestructu-ra convergente no es una estrategia, sino una arquitectura que promete eliminar el 90% de los cables en el centro de datos. Por sus característi-cas, logrará un nuevo nivel de simpli-cidad y automatización, que acelerará

HP quiere convergir con sus clientes La complejidad IT se ha vuelto inmanejable. HP asegura tener la forma de zanjar ese destino fatal y devolver el valor a las IT■ Por Fabiola V. González

Foto

: cor

tesí

a de

HP

Se acabó el cablerío: “La infraestructura convergente no es una estrategia, sino una arquitectura que promete eliminar el 90% de los cables en el centro de datos”, Oathout


los resultados que todo negocio busca; a saber, mejor time-to-market, menores costos en futuras implementaciones y despliegues, flexibilidad para adecuarse a los cambios de la empresa y del mercado, y mayor seguridad, por conseguir eficacia y transparencia optimizadas en las operaciones con proveedores y clientes”, explica Doug Oathout, vicepresi-dente de Infraestructura Convergente de HP a nivel global.

El ejecutivo, entrevistado por InformationWeek México en exclusiva, agrega que uno de los valores de la propuesta de HP radica en que las organizaciones no requieren con-tar con las soluciones de HP exclusivamente. “Sabemos que una de las mayores preocupaciones de las compañías es si cambiar o no su infraestructura existente. HP desarrolló un ambiente operativo que mane-ja todos los recursos como si se tratase de uno solo. El cliente no necesita casarse con HP”, dice en-fático Oathout. “Nuestras solucio-nes están diseñadas para funcionar óptimamente al estar juntas, pero podemos ofrecer los mismos re-sultados con una infraestructura heterogénea. Cuando pones el almacenamiento, los servidores y la red en un mismo rack, te des-haces de igual forma del 90% de los cables.”

La Infraestructura Convergente de HP está asentada en una arqui-tectura IT de siguiente generación, basada en estándares, que combi-na como sus principales pilares la virtualización y la orques-tación, es decir, optimización de recursos en las tres áreas convergidas –como son los servidores, el almacenamiento y las redes–, a través de la administración de sistemas.

HP: “CADA VEZ MÁS RICO”Como es de esperarse, la propuesta de HP va encaminada a servir de salvavidas de las más grandes organizaciones, cuya infraestructura IT es tan vasta como compleja, pero men-ciona Oathout que no dejará de lado a las organizaciones recién nacidas que están entrando a mundos como el de proveer servicios de nube, en los que la entrega de servicios y el movimiento de aplicaciones debe hacerse en forma su-mamente rápida.

Para hacer frente a los retos que HP asegura resolver, se apoya en firmas con las que mantiene sociedad para el tema de Infraestructura Convergente (entre ellos Brocade, EMC, Juniper, Microsoft, Oracle, SAP y VMware). “La reciente ad-

quisición de 3Com –agrega el entrevistado– nos permitirá enriquecer la oferta, dando más en el terreno de las redes.”

¿En qué estructura sustenta HP su nueva apuesta? La compañía afirma que el nivel de simplicidad, integración y automatización que promete se consigue con cuatro ele-mentos básicos: 1) una infraestructura virtualizada de recur-sos de procesamiento, almacenamiento y redes, 2) una red central inteligente, que permite un mejor manejo de la ener-gía y, por ende, ampliación del ciclo de vida y capacidad del centro de datos, 3) orquestación, a través del cambio a un modelo de gestión centralizada que facilita la estandariza-ción de los servicios IT, y 4) finalmente (y gracias a lo ante-rior), una matriz operativa que hace funcionar todo como un

servicio compartido que opera con continuidad y de manera confiable.

En la teoría, una infraestructura convergente óptima ajusta los recursos IT a la demanda de las aplicaciones de negocio. Para lograrlo, las organizaciones necesitan desenvolver la in-fraestructura IT existente y lograr que deje de estar centrada en los productos para centrarse en los servicios.

Las ventajas no se ponen en duda: estructura IT simplifica-da y aceleración de los resultados para el negocio. El tema en cuestión es que dicha meta ha permanecido como el paraíso inalcanzable de los departamentos IT de empresas grandes y pequeñas. Hasta ahora, no ha habido propuesta que pue-da llevar al ámbito terrenal tales propósitos celestiales.

¿Simplificar? ¿Reducir la complejidad? ¿Maximizar la utili-zación de los recursos abreviando el tiempo en que se llega al mercado? ¿Agilizar y multiplicar las ganancias? Son ideas que quedan en el aire. Habrá que ver si HP es quien puede atraparlas.

Los entornos tecnológicos que la implementación de una Infraestructura Convergente permite crear incluyen las siguientes características:

Virtualización: Disponibilidad de recursos de procesamiento, almacenamiento y redes de forma más eficiente

Elasticidad: Al tener aplicaciones que comparten una misma infraestructura, la asignación de recursos se vuelve flexible y se ajusta a las necesidades del negocio

Orquestación: Al cambiar a un modelo de administración centralizada, se permite alcanzar una estandarización de los servicios IT permitiendo al área tecnológica replicar y predecir las necesidades del negocio

Optimización: La Infraestructura Convergente provee según la demanda y de manera más eficiente, permitiendo alcanzar los niveles de desempeño deseados

¿QUÉ COMPONE LA INFRAESTRUCTURA CONVERGENTE DE HP?


[REDES]

Una gran cantidad de nuevas aplicaciones se apiñan so-bre las redes de área local (LAN). Entre las más com-plicadas, por lo que se refiere al desempeño y diseño,

están la infraestructura para videoconferencias, la videovigilan-cia, los escritorios virtuales y el almacenamiento convergido.

¿Qué es esto? ¿Un proveedor de comunicaciones unificadas (UC) dice que la red actual que vende puede manejar perfecta-mente sus sistemas? Esto ya se ha oído antes. Lo cierto es que las IT ahora requieren resolver sus problemas al tiempo que buscarse abundante espacio para crecer, porque la matemáti-ca del tráfico sensato está muy lejos de ser lo fácil que los eje-cutivos de ventas de los proveedores IT quieren hacer creer.

En tanto, las áreas de negocio siempre hallan oportu-nidades de hacer que se apruebe la instalación de nuevas aplicaciones de productividad. Por ejemplo, el grupo de al-macenamiento de la empresa desea actualizarse a canal de fibra sobre Ethernet (FCoE), naciente tecnología que podría eliminar las SAN tal cual hoy se conocen. Lejos de temer al FCoE, los gerentes de LAN deberían dar la bienvenida a este avance, pues colocar el tráfico de almacenamiento en la red en forma de comunicaciones SCSI brutas permite una huella más eficiente en el centro de datos. No se requiere duplicar ninguna infraestructura para la escritura de datos en los arrays de discos. Esta convergencia rebaja no sólo los requisitos de cableado, sino también los costos, además de las demandas de energía, enfriamiento y espacio físico.

Desde luego, el tráfico de almacenamiento requiere ser en-tregado sin pérdida de paquetes y lo más rápido posible. Si los

problemas del desempeño de las UC se hacen evidentes, las fallas en el desempeño del almacenamiento se manifestarán por demoras en la lectura y escritura de prácticamente todo.

EL VIDEO MATÓ A LA ESTRELLA LAN El paradigma de los problemas de las LAN es el video de alta definición. La mayoría de los proveedores de UC ven-den ahora sistemas de videoconferencia de alta definición, y el movimiento hacia adoptar esta tecnología para pro-veer comunicaciones, intercomunicaciones e intracomuni-caciones está ganando impulso, estresando por igual las LAN y las redes de área ancha (WAN).

En febrero pasado, la revista hermana InformationWeek en-cuestó en Estados Unidos a 585 profesionales IT y de negocio sobre la optimización de las WAN. En dicho estudio, resultó que las preocupaciones principales son las aplicaciones que requieren desempeño en tiempo real, como la voz sobre IP (VoIP), el flujo de video y las videoconferencias.

La videoconferencia de alta definición en el escritorio se promueve a velocidad de 1 a 1.5 Mbps para calidad de 720p. Los sistemas basados en espacio son típicamente multipanta-lla, prometen calidad máxima y, por ende, operan en rangos de 1080p. A futuro, cabe esperar que lleguen a operar a 5 o 6 Mbps por pantalla, y que amontonen opciones para compartir contenido. Quien piense que lo tiene todo porque reúne 100 Mbps en el escritorio y varios Gbps de ancho de banda para enlazarse, debe considerar que la mayor parte de las redes tiene alguna capacidad, pero por lo general no están listas

LAN de siguiente generaciónLas LAN serán el sistema de tuberías por el que pasarán video, fibra óptica sobre Ethernet, etc. ¿Serán lo bastante robustas para soportar la presión?■ Por Jeremy Littlejohn

para manejar ninguno de estos trá-ficos por la anárquica pérdida de paquetes en los puntos críticos de agregación de la red. La videocon-ferencia de alta definición, al igual que muchas aplicaciones nuevas, casi no tiene margen de error en la red.

En resumen, para soportar la siguiente ola de tráfico de tiempo real, la red deberá ser más confia-ble, desempeñarse mejor con me-nor desperdicio y ser más eficiente que hace unos años. Así lo marca tanto las mismas empresas como los servicios y aplicaciones domi-nantes hoy y mañana. Ninguna or-ganización puede darse el lujo de tener la mitad del ancho de banda de su LAN sin usar. Una tendencia positiva es que los pro-veedores y las instituciones de establecimiento de estándares desarrollan técnicas y tecnologías para ayudar a los departa-mentos IT a resolver estos problemas.

—El autor es CEO de RISC Networks, firma que ayuda a los grupos IT a optimizar sus infraestructuras. Se le puede

contactar en: [email protected]

Fuente: Encuesta realizada por el área de investigación de InformationWeek sobre los efectos del estrés sobre las redes a 585 profesionales IT y de negocios en Estados Unidos.

YA VIENEN LAS NUEVAS REDES¿Tiene planeado crear una red unificada de almacenamiento y datos para su empresa?

Hemos comenzado su implementación en algunos de nuestros centros de datos 24%

Sí, en 12 meses 10%

Sí, en los próximos dos años 11%

Estamos evaluando la idea, pero no tenemos planes para implementar 29%

No estamos interesados 10%

Ya lo hemos hecho 16%


[A DISCUSIÓN]

Profesionales de la seguridad alrededor del mundo se alegraron cuando en las noticias se dio a conocer la existencia de pruebas de que adversarios externos

se estaban dedicando a robar propiedad intelectual de las empresas. Las instituciones gubernamentales y militares se han enfrentado desde hace años a estos ataques, pero solían hacer oídos sordos a los gritos de socorro de parte de los departamentos IT de las compañías.

Esto fue así hasta enero. Entonces, Google anunció que durante la mitad de 2009 fue atacado desde China median-te una explotación de ‘día cero’ del Internet Explorer. Otras compañías, como Adobe, Juniper y Rackspace, confirmaron que también habían sido atacadas con las mismas tecnolo-gías y durante el mismo lapso.

Este cíber-asalto de amplio rango, bautizado por McAffee como “Operación Aurora”, pretendía robar el código fuente de las aplicaciones desarrolladas por estos importantes pro-veedores, y quizá por otras firmas también de renombre.

A medida que corría la voz, los CSO de múltiples empre-sas consiguieron copias del e-mail “¿Podría ocurrirnos a no-sotros?”, y se esforzaron por dar respuesta a preguntas sobre cómo podrían salir bien librados de esos ataques, si Google,

que emplea a centenares de profesionales de seguridad de primer orden, se veía en la necesidad de retirarse de su ma-yor mercado emergente, dejando millones de dólares sobre la mesa.

Los especialistas en seguridad agrupan estos ataques bajo la categoría de amenaza persistente avanzada (APT, por sus siglas en inglés), lo que equivale a un ataque contra al-guien en específico, realizado por un atacante de avanzados recursos y capacidad. Cuando el atacante logra penetrar, por lo general vía técnicas de ingeniería social, procura no ser notado y, mientras, se adentra en la red. Entonces, con toda parsimonia, exporta valiosos datos. Limpiar el desbarajuste es una pesadilla sumamente costosa.

El hecho es que tras años de que tanto los presupuestos como los datos han estado bajo asedio, pocas son las com-pañías dotadas de los medios para afrontar a agresores de clase mundial.

¿Se debe desperdiciar una crisis así? Las primeras indica-ciones se antojan promisorias. Las compañías emplean más tiempo aprendiendo de los componentes subyacentes de la APT, como los gusanos y bots, como lo afirma el 30% de los 1,000 profesionales de negocio, IT y de seguridad que

Seguridad: deporte de alto riesgo¿Y si su organización sufriera una amenaza tan poderosa como la que obligó a Google a salir de China? ■ Por Michael A. Davis


respondieron a la reciente encuesta de seguridad estratégica, elaborada por InformationWeek (revista hermana de InformationWee México en Estados Unidos). Dicho porcentaje aumentó 25% desde el estudio del año pasado.

ELEMENTOS ESTRESANTES... Y LO QUE VIENELa mayoría de los encuestados por InformationWeek señalan que el prin-cipal reto de la seguridad de la infor-mación y de las redes es el manejo de la complejidad, como ha sido desde hace varios años.

El director de un gran conglomera-do multinacional con sede en Estados Unidos y que tiene bajo su responsa-bilidad la seguridad y la privacidad, afirma que la principal fuente de angustia es el revoltijo de requisitos de cumplimiento de normas a los que está some-tida su compañía.

La actual tendencia en Estados Unidos es hacer que todos, en cualquier organización, empleen las mismas herramientas y la misma definición de riesgo, pero instituir políticas y es-tándares globales es difícil. “Algunos estados del país exigen que una penetración esté definida en detalle, pero al mismo tiempo Massachusetts prohíbe dar detalles –prosigue el di-rectivo que prefirió el anonimato–. Así que algo tan simple como redactar una carta de notificación es una pesadilla. La mejor respuesta sería un cuerpo internacional de estándares o normas autorizado a emitir lineamientos; pero por ahora nadie espera que se llegue a la uniformidad”.

Otra fuente de complejidad, y que en unos cuantos años podría rivalizar con la complejidad del cumplimiento de nor-mas, es la necesidad de detectar el indicador raíz de la APT: la intención. ¿Cómo, por ejemplo, los empleados pueden decidir si una pregunta en un e-mail es maliciosa?

Esto requiere añadir recursos para capacitar a usuarios, sin dejar de dar soporte a las tecnologías que reducen las amenazas existentes. Claro, es un asunto de dinero, pero se nota –por otro lado– que los atacantes se vuelven más nego-ciantes, pues buscan un ROI de sus acciones e invierten en herramientas y pericia para obtener esa ganancia.

Hablar de monetización equivale a pensar en información personalmente identificable: números de tarjetas de crédito, identificaciones, información médica privada; en sí, cualquier cosa que los agresores pueden usar para robar identidades. Y, por suerte para ellos, estos datos se almacenan en todas partes: inteligencia de negocio, dashboards, redes externas e internas, software de la cadena de suministro, etc.

Es una enorme preocupación entre los participantes de la encuesta citada. En 2009, sólo 17% de quienes eran conscien-tes de que existía una gran vulnerabilidad a las amenazas a la seguridad estaban preocupados por la creciente cantidad de datos, pero en 2010 el número se duplicó a 33%.

Por otro lado, el porcentaje de encuestados preocupados por la seguridad de aplicaciones desarrolladas internamente bajó 10 puntos de un año a otro: de 31%, en 2009, a 21%, en 2010. ¿A qué se debe esto? Entrevistas con CIO dejan ver que como los equipos IT tienen la idea fija de empujar las aplicaciones a la nube, están deteniendo el desarrollo de aplicaciones internas.

LAS RAZONES DE LA VULNERABILIDAD

SÍ HAY CONCIENCIA

2010

2009

¿Por qué su compañía es más vulnerable a ataques que hace un año?

Fuente: Encuesta de InformationWeek sobre seguridad estratégica a 164 profesionales IT, de negocio y de seguridad (abril 2010), y comparativo con la edición de la encuesta del año pasado (abril 2009), a 77 profesionales IT, de negocio y de seguridad

Amenazas más sofisticadas 74% 73%Más formas de atacar las redes corporativas, incluidas las inalámbricas 60% 61%Mayor número de ataques 44% 40%Intención más maliciosa (robo, destrucción de datos, extorsión) 38% 35%Limitaciones presupuestarias 38% 39%Más cantidad de datos de clientes que asegurar 37% 17%Estrategia inadecuada en seguridad de la información 32% 23%

¿Realiza su empresa estimaciones de riesgos?

Sí 70%

No 20%

No sabe 10%

Fuente: Encuesta de InformationWeek sobre seguridad a 1,002 profesionales IT, de negocio y de seguridad (abril 2010)


EL FUTURO DEPARA… MÁS DECISIONES DIFÍCILESEs tiempo de sacar la bola de cristal. Se espera un aumento constante en la adopción de estrategias de seguridad centra-da en datos, gracias al creciente uso de la tecnología de pre-vención de pérdida de datos (DLP, por sus siglas en inglés).

Esto, por los resultados del informe de InformationWeek sobre seguridad centrada en los datos, y por el carácter radi-calmente cambiante de los negocios. Por principio de cuen-tas, la cantidad de datos que se requieren proteger aumenta a una alocada velocidad, y el perímetro empresarial se va erosionando a medida que más empleados móviles requie-ren disponibilidad de servicios externos de Internet (en la encuesta sobre gestión de dispositivos móviles y seguridad, también de la revista hermana InformationWeek, 87% de los interrogados considera que los smartphones se volverán más predominantes en sus ambientes).

Otra tecnología que está recibien-do mucha visión es la ‘tokenización’, el proceso de sustituir por un valor al azar los datos confidenciales, como los números de las tarjetas de crédi-to contenidos en bases de datos. So-bre esta tecnología, 87% de quienes la usan coinciden en que reducirá los riesgos, pero sólo 16% de los encues-tados usan el token.

Aunque la tendencia es que su avance será rápido, la tokenización no resolverá el problema del almace-namiento de datos ni sustituirá la en-cripción, porque es como el juego de “¿dónde quedó la bolita?” que hacen los payasos en las fiestas, lo cual no es tan bueno: si la tokenización se efec-

túa in situ, es 100% probable que la bolita esté debajo de uno de los tres vasitos (o sea, que los datos reales estén en algún lugar de la infraestructura), así que el atacante podría dar con ellos con suficiente tiempo y credenciales del domi-nio. Subcontratar la tokenización tampoco es seguro, pero sí puede reducir el riesgo más significativamente.

Lo único claro es que los profesionales de la seguridad están peleando una guerra de muchos frentes y en evolución permanente. Adversarios bien financiados atacan constante-mente compañías públicas y privadas, y las tecnologías de seguridad existentes, si bien siguen siendo necesarias, no ayudarán a determinar el intento.

“Fuimos hackeados hace unos cuatro años y uno de los URL mostró que el ataque se había originado en China –dice un ejecutivo IT senior del ayuntamiento de una gran ciudad de Estados Unidos–, pero también tuvimos que instalar cáma-ras porque un ex empleado robó datos. Pagamos $100,000 dólares por un firewall, pero dentro teníamos un link débil.”

Mientras, las organizaciones constantemente reciben e-mails de phishing y han visto cómo algunos ejecutivos son engañados usando técnicas de redes sociales. Pero ¡ánimo! Se divisa un cuadro más brillante en cuanto a presupuesto por la lección práctica de la Operación Aurora, que permitirá a las empresas comprar, al final, la munición necesaria para luchar esta guerra psicológica que los salteadores han traído a la puerta de todas las empresas.

—El autor es CEO de la firma consultora Savid Technologies, con sede en Chicago. Se le puede contactar

en: [email protected]

FALTA MÁS APOYO

¿TRABAJO PARA EL CIO?

¿Cuánto del presupuesto IT se va a seguridad de la información?

Menos del 1% 7%1% a 5% 35%6% a 10% 22%11% a 15% 9%16% a 20% 6%21% a 25% 4%Más de 25% 4%No sabe 12%Nada 1%



¿Quién establece las políticas en seguridad de la información en su compañía? ¿Quién fija el gasto?

Políticas

Gasto

CIO, vicepresidente o director IT 60% 52%

Jefe de seguridad de la información o gerente senior de seguridad 43% 21%

Gerente o jefe del área de seguridad de la información/IT 42% 22%

Gerencia o administración de seguridad 42% 13%

Presidente, CEO o director general 27% 46%

[A DISCUSIÓN]


[RETOS]

El año pasado, el gobierno se adjudicó 12% del gasto IT a nivel nacional. Según estimaciones de IDC, para 2010 la cifra no será superior a 13%. ¿A qué se destinará el

gasto? El director general de la firma analista, Edgar Fierro, estima que si bien parte del gasto se usará en la adquisición y actualización de software e infraestructura, la alineación esta-rá en la implementación de mejores prácticas de gestión IT.

“La implementación de iniciativas como ITIL o Cobit serán prioritarias”, dice Fierro. Dicha preparación será la base de iniciativas como la integración entre las dependencias, el Ex-pediente Clínico Electrónico y la llamada infoestructura (que implica considerar en una categoría especial cierta informa-ción que es sumamente importante para el país, como los registros civil, de educación, de salud, de propiedad, etc.).

LAS GRANDES CARENCIASCon una visión externa y cuestionado por InformationWeek México en el marco de la Sexta Cumbre IDC 2010 Gobierno y Tecnología, Tom Rubel, vicepresidente de investigación de Government Insights de IDC a nivel mundial, diría que los re-tos para el gobierno mexicano son similares a los de otros paí-ses: “Cómo mover una infraestructura significativa en costos de mantenimiento hacia otra enfocada en mejorar el valor de las IT, por ejemplo. En México, el reto está llevando a las ins-

tancias hacia iniciativas como el software-as-a-service, el cloud computing y los servicios compartidos; a desarrollar solucio-nes inter-gubernamentales, y a reproducir las iniciativas y solu-ciones hacia entidades que no cuentan con los recursos”.

Carlos Viniegra, titular de la Unidad de Gobierno Digital de la Subsecretaría de Función Pública, estima que a los re-tos de integrar e interoperar, es necesario añadir una primera tarea: “Desregular, pues no será exitoso integrar una com-plejidad tan grande como la actual”, señala.

En el marco del foro citado, Viniegra dio a conocer una de las metas de la SFP a corto plazo (que él mismo calificó de polémica): reducir el 99% de las regulaciones administrativas internas. “Lo que deseamos es tener una única cancha IT, donde todos los estrategas de las tecnologías de informa-ción del sector público estén de acuerdo en cómo se deben administrar las IT en el gobierno.”

Sin duda, el hacer realidad esta iniciativa ayudaría a re-ducir la complejidad mencionada. Pero a decir del director general de IDC México, existen otro tipo de obstáculos que no están permitiendo que el país dé el salto necesario hacia la globalidad a través de un gobierno digital útil y eficien-te. “Uno de ellos –dice– es la educación y capacitación de los funcionarios públicos, quienes deben estar concientes del impacto que trae un cambio de procesos en cuestiones como la reducción de los tiempos de entrega de los servicios y de los costos, con lo cual es posible ofrecer más servicios. Ahí vamos por buen camino, pero dado el tamaño del sector público mexicano, falta mucho por recorrer.”

En visión de Fierro, el segundo factor en este sentido es que el gobierno podría –y debería– tener un mayor gasto IT, que hoy oscila en alrededor de 12%. “La meta de lograr que 70% de los servicios gubernamentales estén automatizados en el corto plazo, representará grandes gastos IT. Si el sector aumenta su presupuesto IT para este tipo de iniciativas, po-drá reducir esa brecha que hoy existe”, finaliza.

Salta a la vista, pues, que el gobierno mexicano, con todo y su esfuerzo, sigue arrastrando pesadas cadenas que prime-ro deberán romperse para lograr el avance necesario.

Los obstáculos del gobierno digital¿Qué falta para que despegue el gobierno digital? Más capacitación de funcionarios y aumento en el gasto IT del sector público, dice IDC■ Por Fabiola V. González

Lo que hará el gobierno: “El foco estará

puesto en maximizar lo que hoy se tiene y en

administrar correctamente la infraestructura,

llevándola también hacia otras entidades”, Fierro, director general de IDC


[CIO LEADERSHIP]

Hay una importante divergencia entre las prioridades del CEO y las del CIO. De acuerdo con Gartner, esta bre-cha alimenta las preocupaciones persistentes de des-

empeño que tienen al menos la mitad de las organizaciones IT. Pero cuando el CIO logra comprender al CEO y brindarle servi-cios de acuerdo con sus necesidades, implementa mecanismos específicos para cerrar esta brecha, aumentando así su contri-bución a la empresa y obteniendo nuevas oportunidades.

El CEO define y dirige su empresa considerando las políti-cas macroeconómicas, los clientes, el mercado, la regulación y otros desafíos, traduciendo su visión en estrategias empresa-riales y objetivos medibles. El rol del CIO, en tanto, es liderar la contribución funcional hacia el logro de metas. Si ambos están en sintonía con la visión y prioridades del negocio, se puede crear una poderosa plataforma para aprovechar las IT y obtener ventajas empresariales.

La investigación de Gartner distingue cuatro tipos de rela-ciones CEO-CIO que representan un modelo de madurez: re-laciones en riesgo, cuando los resultados del CIO y su área no cumplen con las expectativas del CEO; transaccional, cuando el área IT se considera como un servicio y el CIO como gerente de un centro de costos; colaborativa, cuando el CIO y su área

(proveedores de servicios internos) entregan servicios según las expectativas de eficiencia y eficacia, y la relación como aliados de confianza, cuando el CIO es visto y se comporta como un verdadero líder de negocios responsable de una parte signifi-cativa del negocio.

La estrecha relación con el CEO se basa en una relación de trabajo con los demás ejecutivos, y ésta, a su vez, en la exce-lencia transaccional frente a las demandas de las unidades de negocio. El modelo implica la dinámica específica de la rela-ción que los CIO más eficaces entienden innatamente.

El CIO que es visto como líder de apoyo a unidades de negocio, más que como ejecutivo estratégico o aliado de confianza, tiene dificultades para conectar con los directivos, aumentando la probabilidad de diferencias. La actitud de los líderes de unidades de negocio hacia el CIO y el área IT mol-dea las actitudes del CEO.

En cambio, el CIO visto como líder de negocios tiene acce-so más fácil a su CEO, y por tanto está en mejores condiciones para eliminar la brecha de prioridades. Entiende el negocio lo suficiente como para saber lo que el CEO requiere, y lo en-trega de forma proactiva. La confianza entre CEO y CIO es tal que este último adquiere una función de “mano derecha”, similar a la de un COO o del líder del cambio estratégico.

Una vez que al CIO se le considera aliado de confianza, sur-gen nuevas oportunidades de liderazgo no relacionadas con la tecnología de la información.

La autora es vicepresidente de Gartner Executive Pro-grams (EXP) para Latinoamérica. Para dudas y comentarios

contáctela en: [email protected].—El artículo está basado en el reporte especial

para la comunidad EXP de Gartner “Identifying CEO expectations and executing agains them”, dirigido

por Collen Young y Dave Aron, vicepresidente analista distinguido y vicepresidente de investigación de Gartner,

respectivamente.

¿Cuáles son las expectativas del CEO?El CIO que entiende al CEO y le da servicios según sus prioridades, se comporta conscientemente y crea mecanismos para cerrar la brecha■ Por Ione de Almeida Coco

LAS RELACIONES SON MAYORITARIAMENTE TRANSACCIONALES


[COLUMNAS]QUÓRUM GLOBAL CIO

Con el título de esta columna no estoy hablando de “mujeres al volante”, sino del peligro inminente de que las computadoras de los automóviles actuales puedan ser atacadas por código malicioso de hackers.

Un estudio, publicado en mayo de este año (durante el Simposio de Seguridad y Privacidad de la IEEE) por el Centro de Sistemas de Seguri-dad Automotriz Embebida (CAEES) y las facultades de ingeniería y cien-cias computacionales de las universidades de Washington y California (en Estados Unidos), muestra resultados de pruebas de laboratorio hechas a vehículos sedán de lujo.

Se exploraron dos vertientes de ataque: mediante acceso al puerto de diagnóstico que todos los autos tienen bajo el tablero, y vía los múltiples receptores inalámbricos, como el control remoto que abre el auto y desac-tiva la alarma, el GPS y la radio, entre otros. En todos los casos, los sistemas de comunicación y control del vehículo carecen de la más elemental seguri-dad, y cualquier persona con conocimientos básicos de su funcionamiento podría vulnerarlos y controlar a su antojo el funcionamiento del vehículo.

Los investigadores lograron acelerar y desacelerar, frenar súbitamen-te y deshabilitar el freno, detener el motor, manejar la radio, enviar men-sajes al tablero, etc., y la sofisticación del ataque puede llegar al grado de borrar cualquier huella del mismo. Estos actos de sabotaje se pueden cometer por cualquiera con acceso al vehículo (valet-parking, mecánico, lavacoches, etc.), enemigos o terroristas, sólo teniendo una computadora de diagnóstico pre-fabricada o introduciendo dispositivos “pirata” en la cadena de suministro de autopartes, hasta llegar a los más sofisticados, por la vía inalámbrica (sin tener que entrar al auto).

Como los componentes computarizados en los automotores actuales están interconectados, desde un dispositivo controlado se podrían contro-lar los demás. El reto será fabricar vehículos que consideren estos riesgos de seguridad e integren los mecanismos para contenerlos.

Tal parece que AUTO tiene doble significado, tanto para quienes creen que es inmune a ataques cibernéticos, como para los que opinan que pue-de convertirse en blanco de ataques malintencionados. Para los primeros: Alarmista Utopía, Tecnología Ordinaria. Para los segundos: Auténtica Ur-gencia Tentación Oportunista.

Recientemente, IBM despidió a unos 2,500 empleados (a nivel corporati-vo), un destino lamentable para ellos y sus familias. En contraste, la firma también dio a conocer que el CEO, Sam Pamisano, ganó $24.5 millones de dólares en 2009. Algunos grupos gritan la gran injusticia que esto supone, y se preguntan: ¿Cómo puede una compañía volcar tanta riqueza en un solo hombre, mientras 2,500 de sus empleados pierden el trabajo?

Y si bien este alegato está palmariamente sumido en la lucha de clases y es una emoción mal colocada, no está en modo alguno basado en la eco-nomía ni en la lógica. La conexión real entre el paquete de compensaciones de Palmisano y los trabajadores despedidos es que sin el presente lideraz-go de Palmisano y su resolución de tomar decisiones difíciles en la última década, muchos más empleados de IBM habrían perdido su empleo.

Las empresas no están en el negocio para emplear trabajadores. Es un bonito ideal, pero en la práctica resulta en sumo grado fallido, y el propio historial de IBM nos lo recuerda sin ambages: por décadas, la empresa mantuvo una política de cero despidos, pero en los 80 –cuando surgió la competencia, llegaron nuevas tecnologías, entró en juego la dinámica global e IBM comenzó a sofocarse bajo el peso de su cultura interiorista, abotargada y falta de imaginación– se volvió casi fatal.

A Lou Gerstner, CEO en los 90, le correspondió acabar con una cultura que se había vuelto demasiado preocupada por mantener la comodidad de los empleados, y construir otra basada en el desempeño externo, la respuesta de los clientes y el liderazgo en el mercado.

La gran labor ha sido continuada –y en varios aspectos acelerada– por Palmisano. Una parte significativa de su cultura actual es el sacrificio de algunos ingresos al desechar negocios de alto volumen pero bajos márge-nes, como las PC. Los resultados financieros: en 2009 IBM superó no sólo al resto de la industria IT, sino también a gran parte del mundo corporativo, y para 2010 se espera lo mismo.

Los despidos son lamentables y a menudo son un elemento horrendo del capitalismo de libre mercado, pero a veces son la opción correcta que deben tomar los CEO porque el objetivo de las compañías bolsistas es el máximo éxito para los clientes, para los propietarios o accionistas y luego para los empleados.

¡Amenaza al volante!

Los movimientos de IBM y su CEO

Al incluirse computadoras en el auto, los hackers podrían poner en peligro la integridad de los pasajeros

Los despidos han ayudado a IBM a desempeñarse mejor que los demás, y se prepara para seguir creciendo

■ Jorge I. Blanco ■ Bob Evans

Jorge I. Blanco ha estado al frente de las áreas IT de diversas empresas nacionales y multina-cionales. Es catedrático del Tecnológico de Monterrey y de la Universidad ITESO. Es consultor en educación, tecnología y negocios. Se le puede contactar en: [email protected]

Bob Evans es vicepresidente senior y director de la Unidad Global CIO de la publicación hermana InformationWeek, en Estados Unidos.Se le puede contactar en: [email protected]

informationweek méxico — junio 2010

Documents