Top

Características de Google Drive

1. Donde quieras, cuando quieras

Drive permite el acceso a los archivos almacenados en este disco desde cualquier lugar que se tenga una conexión a internet y usando una gran cantidad de dispositivos a través del cliente que puede descargarse de manera gratuita: Windows, Mac, Android y próximamente dispositivos iOS como iPad y iPhone. Incluso, se tiene la posibilidad de acceder directamente desde cualquier navegador a través de la página web.

2. Una sola carpeta

 Al utilizar el servicio de Drive se obtiene una carpeta, que podemos manejarla como más nos guste desde nuestro computador o dispositivo. Se puede crear carpetas internamente para organizar los archivos, que pueden ser de cualquier tipo. Esta carpeta, a diferencia de cualquier otra carpeta en nuestro computador, es sincronizada de manera automática por lo que el contenido es actualizado en tiempo real con el contenido en la nube y puede ser accedido de manera instantánea desde cualquier dispositivo. Los archivos que se tengan sincronizados localmente pueden ser accedidos incluso sin no se tiene una conexión a internet activa.

3. Colaboración y Edición de Documentos en línea

 Gracias a la tecnología de Google Docs, es posible crear y editar archivos de texto, hojas de cálculo y presentaciones de manera directa con el navegador y con la posibilidad de hacerlo de forma colaborativa, compartiendo la edición con varias personas de manera simultánea sin importar en donde se encuentren. Ocurrió un error? No te gusta los cambios realizados? Es posible con drive y gracias a la tecnología de Google Docs tener un control de versiones de los con lo que es posible saber los cambios entre cada una de las versiones guardadas de manera automática, e incluso deshacer los cambios realizados para volver a una versión anterior.

4. Pre-visualización en línea

 Otra de las grandes funcionalidades es la posibilidad de pre visualizar el contenido de más de 30 tipos de archivos, entre los que se incluyen todos los formatos de imágenes, videos, archivos de Adobe Illustrator y Photoshop directamente en el navegador web y sin tener instalada la aplicación correspondiente.

5. Integración con Gmail

 Necesitas envías un archivo por correo electrónico? Ahora es posible adjunta un link al archivo que se encuentra almacenado en Drive en vez de adjuntarlo directamente al correo. De esta manera todos los usuarios tienen la última versión disponible y nos evitamos que en cada usuario tenga su propio archivo con sus cambios realizados.

6. Motor de Búsqueda

 Conocido el motor de búsqueda de Google, es posible realizar búsqueda sobre todos los archivos usando palabras claves y aplicar filtros sobre los resultados. El proceso de búsqueda también puede reconocer objetos en fotografías y texto en documentos que hayan sido escaneados y se encuentren en los criterios de búsqueda.

7. Compartir archivos o carpetas

 Con Google Drive es posible compartir cualquier archivo o carpeta que se tenga almacenado con quien queramos. Y no solo podemos compartirlo, también podemos asignarle a cada una de las personas los permisos que creamos convenientes con lo que controlamos quien puede editar, realizar comentarios o simplemente tienen permiso para visualizar.

¿Estás listo para comenzar a usar Google Drive? Clic aqui!

Capacidad de Almacenamiento y Precios

 En un principio, todas las cuentas de Google tienen una capacidad inicial y gratuita de 5GB para Google Drive, 1GB en Picasa y 10GB en Gmail. Existe la posibilidad de comprar almacenamiento extra para Google Drive con una ventaja extra: al contratar cualquier almacenamiento extra para Drive, la cuenta de Gmail pasa automáticamente a tener una capacidad de 25GB. Actualmente se tienen los siguientes precios:

How To – Instalación de Windows 8: Parte 1.

Esta segunda parte nos indica los pasos a seguir para la instalación de Widpws 8 en la máquina virtual o en cualquier máquina real.

1 Configuración General

Una vez se ha iniciado la máquina con el disco de Windows 8 aparecerá una ventana como se muestra en la siguiente imagen. Dado que ésta versión no se encuentra disponible en todos los idiomas, sólo podremos seleccionar el lenguaje del disco que hemos descargado de la página de windos.

Windows 8 Consumer Preview ISO images

En la tercera casilla seleccionamos la distribución teclado que tenemos conectado a nuestro computador, que por lo general será Español (Europeo), Latinoamérica o Ingles. Hacemos clic en “Next” para continuar y escogemos la opción “Install Now” para comenzar con el proceso de instalación.

Para iniciar el proceso debemos ingresar la clave de producto, que se encuentra junto al link de descarga de versión seleccionado en el sitio de Microsoft, que para este caso es “DNJXJ-7XBW8-2378T-X22TX-BKG7J”. Hacemos clic en “Next” y aceptamos los términos del contrato de licencia que se muestran a continuación.

En la ventana que se muestra a continuación seleccionamos la opción de instalación avanzada. Una vez seleccionamos la opción aparece una ventana como la de la imagen que se muestra a continuación. Hacemos clic en el icono “New” y seleccionamos el botón “Apply” para crear una nueva partición de disco que utilizará el sistema operativo.

Al hacer clic en “Apply” saldrá una ventana de información indicándonos que para que el sistema funcione correctamente se debe crear una nueva partición lógica en donde se almacenarán archivos propios del sistema. Damos clic en OK para crear dicha partición.

Al finalizar deben aparecer dos particiones como se muestra a continuación. Seleccionamos la de mayor tamaño (39.7GB) y que tiene como tipo la palabra Primario (Primary). Hacemos clic en “Next” para continuar.

En este momento comienza el proceso de instalación del sistema operativo. El proceso tarde varios minutos y depende de las características de la máquina. En promedio esta operación tarda entre 5 y 20 minutos. Al finalizar el proceso la máquina se reinicia automáticamente.

2 Inicio de Windows – Configuración Inicial

Cuando la máquina se reinicia obtendremos un mensaje que nos indica que Windows 8 se está preparando para su primer inicio. Cuando el proceso termina se iniciará un asistente con el cual podremos seleccionar las opciones de configuración que más nos agraden así como realizar la personalización que deseemos para lograr un Windows a nuestro gusto.

Lo primero que se nos pide es escoger un color que nos sirve como color base para toda la nueva interfaz denominada Metro. A continuación ingresamos un nombre del computador y con el cual podemos identificar a cada uno de nuestros computadores dentro de las muchas opciones de sincronización en la nube que nos ofrece es nuevo sistema operativo.

Para facilitar el proceso de configuración, utilizamos la configuración denominada “Express” que se describe en la pantalla y es la configuración recomendad por Windows para obtener lo mejor del sistema operativo. Si deseamos realizar alguna modificación hacemos clic en el botón “customize”.

A continuación seleccionamos la opción de acceder a nuestra cuenta. Por defecto, Microsoft Windows 8 trae conexión con nuestra cuenta de Windows Live, que pasará a llamarse cuenta Microsoft. Si tenemos una de estas cuentas podemos obtener ventajas como el acceso a la tienda de aplicaciones de Windows, donde podremos descargar miles de aplicaciones, acceso remoto a los archivos a través de la sincronización en la nube con el servicio de Windows SkyDrive y la sincronización de nuestra información con todos los dispositivos Microsoft que tengamos. Si no tenemos una cuenta Microsoft, podemos crearla haciendo clic en el link “Sign up for a new email address” o podemos escoger la opción de iniciar con una cuenta local, tal como ocurre con los actuales sistemas Windows haciendo clic en el enlace “Don’t want to sign in with a Microsoft Account?”.

Si ingresamos nuestra cuenta Microsoft se nos pedirá la contraseña para iniciar sesión. Una vez confirmados los datos el sistema se encargará de realizar la conexión de nuestro computador con la cuenta en internet. Es posible que durante este proceso se reciba una notificación de seguridad en nuestra dirección de correo electrónico o nuestro teléfono móvil indicando el cambio en las políticas de seguridad.

3 A explorar!

Si todo sale como deseamos, debemos obtener en pantalla el nuevo escritorio Metro de Windows 8. Al final les dejo un video con la demostración delas nuevas funcionalidades para que pasen un buen tiempo disfrutando del futuro de los sistemas operativos en todos nuestros gadgets.

4 Windows 8 Consumer Preview Official Demo

En palabras de Steven Sinofsky, presidente de Microsoft, Windows 8 es la re-imaginación de lo que tenemos hasta el momento, uniendo en un solo sistema lo mejor de los dispositivos móviles con lo mejor de los equipos de escritorio. El nuevo sistema ofrece una experiencia al usuario totalmente novedosa a través de una interfaz gráfica visualmente atractiva, intuitiva, fluida y realmente rápida, basándose en una experiencia de aplicaciones e información dinámica gracias a Internet y a la nube, logrando adaptarse al usuario en todo momento. Esto sin incurrir en grandes especificaciones mínimas, haciéndolo asequible a un gran número de dispositivos. El sistema está perfectamente adaptado para escalar desde tablets hasta PCs, lo que sin duda revolucionará el mercado.

Desde este momento es posible realizar la prueba de nuevo Windows 8 con el lanzamiento de la versión Consumer Preview, que puede ser descargada (en formato .ISO) desde la página oficial:

Windows 8 Consumer Preview ISO images

Requerimientos mínimos para la instalación de Windows 8fancy header 3

• Procesador: 1GHz o más rápido.
• Memoria RAM: 1GB (Versión de 32-bits) o 2GB (64-bits)
• Disco Duro: 16GB (Versión de 32-bis) o 20GB (64-bits)
• Gráficos: Dispositivo gráfico con soporte de Microsoft DirectX 9 o superior.
• Para las funcionalidades táctiles, es necesario una Tablet o un monitor con soporte multitouch.
• Se recomienda una cuenta en Microsoft Windows Live con el fin de conocer la funcionalidad de sincronización en la nube con varios dispositivos simultáneamente. 

Instalación de Windows 8 con VirtualBox

Teniendo en cuenta que esta versión aun se encuentra en constante mejora, es posible que las cosas no resulten como deseamos. Así, aunque es posible realizar la instalación completa sobre el equipo, no es una buena idea a menos que estemos consientes de lo que estamos haciendo (Y de los daños que puede causar a nuestra información en caso de fallo). La mejor opción es entonces es realizar la instalación en una maquina virtual utilizando Virtualbox, una herramienta gratuita.

Para poder contar con una buena experiencia y donde los dos sistemas operativos corran fluidamente, es necesario que el computador donde se realiza este procedimiento tenga un procesador con más de un núcleo (Soporte para procesamiento paralelo o HT) y suficiente memoria RAM (Al menos 4GB). De lo contrario, es posible que la máquina se quede congelada por falta de recursos.

1 Obtener VirtualBox

VirtualBox es una herramienta gratuita y multiplataforma, por lo que puede ser descargada para Windows, OS X, Linux y Solaris en el siguiente enlace (La instalación es bastante sencilla, como cualquier programa de Windows):

VirtualBox – Downloads

2 Configuración de VirtualBox

En la pantalla principal hacemos clic en el botón Nueva (New), ubicado en la esquina superior izquierda, para crear una nueva máquina virtual en donde realizaremos la instalación del Windows 8.

A continuación se muestra el asistente que tiene la herramienta, hacemos clic en el botón “Next” para continuar.

En esta pantalla debemos ingresar el nombre de la máquina, con el cual la identificaremos en la pantalla principal en caso de tener más de una configurada. Para este ejemplo ingresamos el texto “Windows 8″.  En el tipo de SO escogemos a “Microsoft Windows” como sistema operativoy “Windows 8 (32bits)” o ”Windows 8 (64bits)”, dependiendo de la versión que hayamos descargado. Una vez seleccionada la opción correcta hacemos clic en “Next” para continuar. 

Seleccionamos la cantidad de memoria RAM que deseamos asignarle de manera exclusiva a nuestra máquina virtual. Es importante saber que ésta depende de la cantidad de memoria con la que cuenta nuestro computador y que va a ser compartida con la máquina virtual. Por esta razón es recomendable seleccionar un valor que se encuentre dentro del área de color verde, garantizando que la máquina real tiene suficiente memoria para trabajar. Dependiendo de la versión de Windows 8 que hayamos descargado, se le debe asignar un valor mínimo de 1GB (1024)  o 2GB (2048). Si podemos asignarle un valor superior mucho mejor!

El siguiente paso consiste en crear el disco duro. Para esto seleccionamos la opción de crear un nuevo disco virtual. Haciendo clic en el botón “Next” se abre un nuevo asistente para configurar el disco duro.

Podemos seleccionar cualquiera de la opciones que se muestren a continuación, dependiendo como deseemos hacerlo. Dado que este tutorial está enfocado a un ambiente virutal de pruebas, la mejor opción es la de crear un disco virtual de VirtualBox (VDI). Hacemos clic en “Next” para continuar.

La siguiente opción nos indica la manera en como va a ser la manera en que el espacio del disco duro va a ser almacenado dentro del disco duro de nuestra máquina real. La primera opción, Reservado Dinámicamente, crea una serie de archivos dentro de una carpeta con el tamaño del disco duro utilzado por la máquina real, ocupando únicamente el espacio que realmente está utilizando la máquina virtual y va a creciendo de acuerdo a este valor. La segunda opción, Tamaño Fijo, crea un archivo del tamaño total del disco duro, ocupando el espacio total que se le asigna a la máquina virtual. Esta opción es un poco más veloz pero más difícil de manejar en caso de tener que compartir la máquina virtual.  Para este ejercicio seleccionamos la opción de reserva dinámica.

En la siguiente ventana seleccionamos el tamaño del disco duro. El tamaño mínimo debe ser de 20GB, pero si es posible escoger una tamaño mayor nos servirá para descargar e instalar una mayor cantidad de aplicaciones. Para este ejemplo seleccionamos una tamaño de 40GB.  En la parte superior podemos escoger la ubicación del disco duro o podemos dejarlo en la ubicación por defecto dentro del directorio de VirtualBox.

Al hacer clic en “Next” obtenemos una ventana con el resumen de la creación del disco duro. Hacemos clic en el botón “Crear” para finalizar el proceso y retornar al asistente de creación de la máquina virtual en donde se nos muestra el resumen. Hacemos nuevamente clic en el botón “Crear” para finalizar la creación de la máquina virtual.

Regresando a la pantalla princial de VirtualBox vemos que tenemos una máquina virtual y al lado derecho se muestran los detalles de su configuración.

Para mejorar el rendimiento de la máquina virtual es necesario realizar una configuración extra. Para esto seleccionamos la máquina virtual y hacemos clic en el botón “Configuración” del menú superior o podemos hacer clic derecho y escoger esta misma opción. En la ventana que se abre seleccionamos la opción “Sistema” en la parte derecha y la pestaña “Procesador”, como se muestra en la siguiente imagen. Dependiendo de las características de nuestra máquina real, podemos asignarle más de un procesador. Para realizar este ejemplo seleccionamos que se le asigne a nuestra máquina un total de 4 cores o procesadores y un limite del 100%, con lo que se obtiene un mejor rendimiento.

De la misma manera ingresamos a la opción “Pantalla”  y seleccionamos la opción de habilitar la aceleración 3D y 2D. Al hacer esto vemos que la cantidad de memoria que le podemos asignar al video se incrementa. Seleccionamos la máxima capacidad para obtener el mejor rendimiento de Windows 8. Hacemos clic en “Aceptar” para guardar los cambios.

3 Iniciar la Máquina Virtual

Para inicial la máquina virtual la seleccionamos en a pagina princiapal de VirtualBox  y hacemos clic en el botón “Iniciar” del menú principal en la parte superior. Como es la primera vez que ejecutamos nuestra máquina, se inicia el asistente que nos permite seleccionar de donde vamos a instalar el sistema operativo, como se muestra en la imagen a continuación.

 Si hemos guardado la imagen del disco (ISO) que descargamos en un DVD seleccionamos la unidad. Si hemos simplemente descargado el archivo, podemos seleccionarlo directamente (Este se debe encontrar en la carpeta de descargas).

Al finalizar hacemos clic en “Next”. A continuación se muestra un resumen de la operación. Para terminar e iniciar el proceso de inicio de la máquina virtual debemos hacer clic en el botón “Iniciar”

4 Instalación de Windows 8 Consumer Preview

A partir de este momento se pude continuar con la instalación de Windows 8 como si estuvieramos trabajando directamente desde un computador real. Este proceso de instalación se encuentra en la segunda parte del tutorial.

How To – Instalación de Windows 8: Parte 2

Beneficios desde el punto de vista del negocio

Reducción de costos:

Lo primero y lo esencial es la reducción real de los costos tanto operativos como administrativos. Dado que los proveedores de los servicios utilizan en ambientes de alta eficiencia y con altos márgenes de utilización, es posible que el costo total de operación y mantenimiento de dicha infraestructura sea repartido entre miles de usuarios a los que presta el servicio. Incluso, se puede llegar a decir que se tiene un costo nulo en la inversión inicial de infraestructura, lo que permite crear proyectos de gran escala en donde tradicionalmente se debía tener inversiones millonarias iniciales en propiedades, seguridad física, hardware (Como es el caso de servidores, routers, fuentes de poder redundantes, por ejemplo) y personal capacitado para su operación. Este tipo de inversión hacía inviable muchos proyectos interesantes debido al desgaste que suponía el conseguir a un inversionista que estuviera dispuesto a aportar el capital inicial asumiendo los riesgos del posible fracaso. Con el nuevo modelo, no existe tal problema ni los riesgos asociados, eliminado cualquier costo asociado a la inicialización del proyecto, únicamente se requiere el pago de lo que se va a consumir.

Infraestructura Just-in-Time:

Uno de los problemas que afrontaba cualquier proyecto era el dimensionamiento de la infraestructura que debía montarse, asumiendo un número de usuarios y otros factores en base a proyecciones de negocio. Cuando se tenía un éxito mayor al esperado y no era posible tener un escalamiento rápido, se era una víctima del éxito propio al no tener recursos para atender las peticiones de todos los usuario y llegando a perder muchos de ellos. Por el contrario, si se invertía mucho en infraestructura y no llegaba a utilizarla, se era víctima del fracaso propio, agilizando la muerte de la empresa. Estos problemas son resueltos con el modelo de la nube, donde cada aplicación puede obtener los recursos que requiere para dar respuesta a todos los usuarios, sean pocos o muchos, reduciendo los riesgos y costos operacionales, pagando exactamente lo que se está consumiendo.

Eficiencia en la utilización de recursos:

Contrario a un modelo tradicional donde debe existir un administrador que se encargue de la adquisición del hardware para cumplir con las necesidades de las compañía (Ejemplo: almacenamiento en discos) y tratando de llevar al máximo la utilización de la infraestructura en todo momento para reducir los costos, en el modelo de Cloud Computing no existe tal preocupación. Es posible crear sistemas que se encarguen de monitorear el uso de los recursos y administrarlos de manera eficiente para reducir los costos  de manera automática y eficiente, a través de llamados de petición o liberación de recursos al proveedor del servicio.

Costo basado en uso:

Con el modelo de pago por utilidad que manejan todos los proveedores (una de las cinco características del modelo de NIST explicado anteriormente), cada usuario sólo paga por lo que realmente está usando y no por infraestructura que se tiene pero está siendo subutilizada, como ocurre con el modelo tradicional.  De esta manera, se obtienen ventajas que anteriormente no se tenían con el desarrollo y uso de software más eficiente. Es decir, que si actualiza el actual software de una compañía por uno que ofrece una mejora en menor uso de cache, se tiene una reducción del costo en la siguiente factura.

Time to market reducido:

Una de los usos que ofrece Cloud Computing es la paralelización  de los procesos. Si un proceso requiere un uso computacional alto, con intensos trabajos de manejo de datos que toman mucho tiempo, es posible dividirlo en varios procesos y ejecutarlos paralelamente en muchas unidades de procesamiento para reducir el tiempo total de procesamiento a solo una fracción del tiempo original. Con la elasticidad del sistema  es posible pagar por esta gran cantidad de cómputo sólo en el momento que se requiere, reduciendo los tiempos de desarrollo de nuevos productos, por ejemplo, dando la ventaja competitiva al negocio.

Calidad del servicio y Fiabilidad:

La mayoría de las actuales infraestructuras donde están operando los servicios de Cloud Computing poseen acuerdos de niveles de servicio (SLA) con tiempos de disponibilidad mayores al 99.99% 24/7. Desde la perspectiva del usuario implica que se pueden obtener diferentes niveles de servicios de acuerdo a las necesidades del negocio y pueden ir hasta estándares de muy alta disponibilidad, a partir de los contratos firmados con los proveedores. Estos acuerdos suelen ser mucho más económicos y con mejores niveles que los cualquier organización normalmente podría obtener con una infraestructura interna.

Outsourcing del área de Tecnologías de Información:

Actualmente se tiene la mentalidad que cada empresa debe dedicarse por completo a su negocio y no estar lidiando con los problemas que no hacen parte de este núcleo, como lo es el mantenimiento y operación de la plataforma tecnológica. Con el modelo de Cloud Computing es posible delegar estas responsabilidades a otra empresa que se dedica a estas operaciones, por lo que se incrementa la eficiencia de la empresa y se reducen los cosos.  Otra de las ventajas de delegar esta responsabilidad a un tercero que posee una infraestructura centralizada es la posibilidad de aplicar parches o realizar actualizaciones de manera sencilla, garantizando que siempre se tiene las últimas versiones del software.

Beneficios desde el punto de vista técnico

Automatización:

Este modelo de desarrollo permite tener una infraestructura creada y controlado por scripts, permitiendo la creación de procesos de despliegue de las aplicaciones y nuevos recursos de manera automática a través del uso de sistemas autónomos basados en los APIs de los proveedores de la infraestructura.

Escalabilidad:

El mismo proceso de automatización de los procesos dentro de la infraestructura permite que una aplicación escale de manera inmediata en razón a la demanda inesperada que está experimentando, sin la intervención de ningún operario. Así mismo, es posible tener un escalamiento proactivo en donde la aplicación puede escalar hacia arriba o hacia abajo para atender una demanda anticipada a través del entendimiento de los patrones de uso de la aplicaciones y el adecuado uso de planificación de eventos, buscando en todo momento el menor costo.

Ciclos de Desarrollo más eficientes:

A través del Cloud Computing es posible tener los ambientes de desarrollo, pruebas y producción en todas las organizaciones, garantizando que todo el software producido cumple con altos niveles de calidad. Pero lo ventaja no se limita a tener los ambientes para cada ciclo, sino que permite hacerlos de manera eficiente simplemente clonando el ambiente de producción o reemplazándolo por el de pruebas cuando se aseguró la calidad de las nuevas funcionalidades.

Mejor capacidad de prueba:

Siguiendo con la anterior ventaja, dentro del ambiente de pruebas es posible obtener el ambiente adecuado de pruebas, sin las limitaciones de hardware o software, como ocurre generalmente en las actuales organizaciones. De la misma manera se reduce el costo al hacer el despliegue y uso de unidades de prueba sólo en los momentos que sea necesario y pagando por su periodo de uso.

Recuperación ante desastres y Continuidad de Negocio:

El modelo en la nube ofrece soluciones de muy bajo costo para el mantenimiento de plataformas de recuperación tanto de servidores y sus aplicaciones así como de datos. Además, es posible usar la amplia distribución geográfica de la infraestructura del proveedor para la replicación de ambientes en varias locaciones alrededor del mundo en minutos.

Desvetajas del Cloud Computing

Así como existe una gran cantidad de ventajas, existe un número también elevado de desventajas que deben ser tomadas en cuenta a la hora de optar por el uso de este nuevo modelo de computación.

Servicios poco Personalizables:

Para las pequeñas organizaciones este puede ser un punto más crítico y con mayor dificultad que los es para las grandes organizaciones, quienes cuentan con un departamento de TI con el personal capacitado para realizar todas estas tareas de ajuste y personalización de las aplicaciones a sus necesidades. Por lo general, las aplicaciones bajo el esquema de SaaS son algo de lo que se puede disponer mas no modificar. En muchos casos las aplicaciones desarrolladas bajo demanda, a las que se tiene acceso en el modelo tradicional suelen tener una gran cantidad de funcionalidad desarrolladas específicamente para el usuario, lo cual no ocurre por lo general en la nube y esto suele ser un gran obstáculo para ser parte de la nube.

Alta latencia:

Todas las aplicaciones en la nube sufren de este problema asociado a la latencia generada por las conexiones WAN (Wide Area Network) con la que el usuario se conecta a la infraestructura de la nube. Esta restricción hace que las aplicaciones con tareas de alto procesamiento de datos sean óptimas para usar este modelo, mientras que las aplicaciones que requieren de la transferencia de volúmenes de datos considerables o con modelos de transferencia de mensajes, de cualquier tamaño, entre varias unidades de procesamiento, no lo son debido a la latencia en las comunicaciones.

Sistema sin estado:

Todos los sistemas en Cloud Computing no poseen la capacidad de llevar un estado de las comunicaciones, como ocurre por lo general en cualquier sistema en internet. La propia arquitectura de este tipo de infraestructura hace que las comunicaciones deban ser unidireccionales, como ocurre con todas las solicitudes HTTP que se realizan (PUT y GET), logrando que cada petición tenga su respuesta pero sin garantizar que se tenga una conversación a través de varias peticiones. Esto se debe a que cada mensaje, al ser un sistema distribuido, puede tomar rutas diferentes y no se garantiza el orden de llegada de cada mensaje, aunque debido a esta naturaleza se garantiza que todos los mensajes son entregados.  Esto hace que sea necesario la implementación de encabezados y de capas intermedias (middleware) para lograr este tipo de funcionalidades.

Privacidad y seguridad:

Una de las desventajas más graves que existe actualmente, al tiempo de ser el reto más grande al que se ven afrontadas las compañías, y que cualquier usuario que desee usar un sistema en la nube debe tener en cuenta es la privacidad y la seguridad de los datos. Aun cuando el proveedor del servicio, a través de los acuerdo de niveles de servicio (SLA) se comprometen a llevar un control de la seguridad del aplicación y la infraestructura, así como de la privacidad de la información de la información almacenada en sus instalaciones, existe un riesgo remanente que no puede ser eliminado ni olvidado. El riego existe en que al estar la información viajando y permaneciendo en una infraestructura que no se puede controlar, se incrementa el riesgo que dicha información pueda ser interceptada o modificada por un tercero. Pero el peor problema consiste en el marco legal que involucra y que todavía no ha sido desarrollado para estos ambientes de prestación de servicios. Actualmente, aunque es posible delegar la funciones, no es posible delegar la responsabilidad de la información, así que ante el gobierno es la empresa la responsable de dicha información, por lo que al no tener el control de la infraestructura donde está viviendo, es decir la nube,  no es posible tomar las medidas de protección o al menos no se sabe con qué medidas cuenta el proveedor para asegurar el nivel de seguridad exigido debido a la virtualización de los ambientes.

Bibliografía

Rittinghouse, J. W., & Ransome, J. F. (2011). Cloud Computing. Implementation, Managment and Security. CRC Press. Taylor and Francis Group.

Sosinsky, B. (2011). Cloud Computing Bible. Indianápolis, IN, Estados Unidos: Wiley Pubblishing, Inc.

Varia, J. (Enero de 2011). Amazon Web Services – Architecting for the Cloud: Best Practices. Amazon Web Services.

En los últimos años la computación ha estado envuelta en un gran cambio, pasando a un modelo se servicios de consumo masivo, ofreciendo una tecnología bajo el esquema de pago-bajo-demanda. En este nuevo esquema, se están desarrollando millones de aplicaciones a las cuales los usuarios pueden acceder a través de internet y no aplicaciones para correr en máquinas de manera individual. Cloud Computing es una extensión del paradigma en donde las aplicaciones son expuestas en internet como servicios a los cuales cualquier persona con autorización puede consumirlos.

El termino Cloud, o en la nube, ha sido usado metafóricamente en la historia para connotar una infraestructura por la cual los usuarios tienen acceso a aplicaciones desde cualquier lugar del mundo bajo demanda, lo que conocemos más comúnmente como Internet. Muchos diagramas de ingeniería muestran la nube como una infraestructura abstracta en donde la información fluye de un lado a otro sin importar lo que existe en medio. Aún cuando existe una estrecha relación entre esta metáfora bien conocida por todos y el verdadero significado del término computación en la nube, es importante hacer énfasis en una definición precisa.

El término Cloud implica dos conceptos claves: Abstracción y virtualización. La abstracción corresponde a olvidar los detalles de la implementación por parte de los usuarios y los desarrolladores, tomando este concepto desde un enfoque en donde las aplicaciones se ejecutan sobre una maquina física que no está especificada, los datos son almacenados en ubicaciones desconocidas, la administración de los sistemas está bajo responsabilidad de un tercero y finalmente los usuarios tienen exceso a esta infraestructura desde cualquier lugar con acceso la red. En cuanto a la virtualización se refiere a la habilidad del sistema para crear sistemas que parezcan independientes ante los usuarios a través de mecanismos de compartir y asignar periodos de uso a los recursos que cada unidad necesita.

Cloud Computing es la abstracción de la noción de compartir recursos físicos y presentarlos ante el usuario final como recursos independientes a través de la virtualización. Cuando hablamos de Cloud Computing haceos referencia a todas las aplicaciones y servicios que se ejecutan en una red distribuida usando recursos virtualizados y que pueden ser accedidos a través de protocolos comunes de internet y estándares de comunicación en redes. Lo importante es que como usuarios nos olvidamos de la infraestructura física que hay detrás y suponemos que los recursos con los que podemos contar en la nube son ilimitados.

Para entrar en una descripción más detallada tenemos dos modelos que definen Cloud Computing: a partir del lugar donde está ubicada y la manera en cómo se administra la infraestructura (Modelo de Despliegue) y a partir del tipo de servicios a los que se puede acceder en la plataforma (Modelo de Servicio). A partir de estos dos modelos es que NIST (National Institute of Standars and Technology) da una definición formal y que puede ser resumida en la siguiente figura, teniendo en cuenta que esta definición se está moviendo hacia una interacción de componentes basados en estándares como SOA (Service Oriented Architecture) por lo que en un futuro incluirá nuevos componentes.

Definición de Cloud Computing según NIST (Sosinsky, 2011)

Modelo de Despliegue

Según NIST el modelo de despliegue hace diferencia y define el propósito de la nube y en donde se encuentra ubicada. Una nube pública hace referencia a una infraestructura que está disponible para uso público, a diferencia de las nubes privadas, en donde la infraestructura es operada para uso exclusivo de una organización. También existen las nubes comunitarias que han sido creadas y organizadas para servir un propósito específico o una función común. Finalmente, las nubes híbridas combinan varias nubes, privadas, públicas y comunitarias, en donde cada una mantiene sus características propias pero trabajan en cnjunto como una sola unidad.

Modelo de Servicios

Existen diferentes modelos de servicios que se describen como XaaS (<Something> as Services o <Algo> como servicio). Lo más comunes son:

INFRAESTRUCTURA COMO SERVICIO (IaaS)

Dentro de este modelo de servicio, el proveedor de servicios le ofrece a cada cliente una infraestructura computacional virtual con características estándares que pueden ser escogidas de una gran variedad de opciones ofrecidas y que el cliente selecciona de acuerdo a sus necesidades. El proveedor está encargado de todas las operaciones del hosting de los ambientes virtuales de los usuarios y de las operaciones propias del mantenimiento de la infraestructura real, mientras que los usuarios mantienen el control absoluto y son responsables de todas operaciones de despliegue de sus aplicaciones y configuraciones.

Dentro de lo que consideramos como infraestructura encontramos plataformas de virtualización de máquinas virtuales que incluyen el hardware de un computador, típicamente configurado en grid para escalabilidad horizontal masiva; acceso a redes de alta velocidad, incluyendo routers, firewalls, balanceadores de carga y dispositivos relacionados; conexión a Internet, típicamente sobre backbones OC 192; y ambientes de almacenamiento virtual. Todos estos servicios son cobrados bajo demanda y están sometidos a unos acuerdos de niveles de prestación de servicio que garantizan un mínimo de disponibilidad y confiabilidad para todo el servicio obtenido.

PLATAFORMA COMO SERVICIO (PaaS)

Cloud computing ha encapsulado plataformas para la creación y ejecución de aplicaciones web, lo que se conoce como Plataforma como Servicio. De esta manera, los desarrolladores tienen todas las herramientas para concentrarse en el diseño de nuevas aplicaciones que pueden ser accedidas desde cualquier lugar con acceso a Internet, dejando a un lado las operaciones relacionadas con la configuración y mantenimiento de la infraestructura en la cual estará soportada la aplicación, el sistema operativo e incluso la instalación y configuración de las herramientas de desarrollo. El desarrollador o la empresa sólo están encargados de su propia aplicación.

PaaS ofrece un nuevo modelo para el desarrollo de aplicaciones mucho más económico, rápido y con mayores garantías de éxito que al antiguo modelo de desarrollo de aplicaciones específicas para cada organización. Las empresas que prestan estos servicios cuentan facilidades para el diseño de las aplicaciones a través de workflows y herramientas para el ciclo de desarrollo, pruebas, despliegue y hosting, así como oficinas virtuales, equipos de colaboración, integración de bases de datos, seguridad, escalabilidad, manejos de estados, paneles de control y muchas otras facilidades que una infraestructura propia difícilmente puede llegar a tener.

Entre las principales características de PaaS encontramos que está basado completamente en estándares web como lo son HTML y JavaScript y está diseñado con una arquitectura que soporta multitenant que garantiza la utilización de una aplicación por muchos usuarios independientes e incluyendo funcionalidades que soportan el manejo de concurrencia, escalabilidad y tolerancia a fallos. Otra de las características esenciales es su integración con servicios web y bases de datos a través de protocolos SOAP (Simple Object Access Protocol) que permite la creación de combinaciones de servicios web, reutilización de funcionalidades y acceso a servicios privados.

SOFTWARE COMO SERVICIO (SaaS)

Software como servicio es un modelo de distribución de aplicaciones que son alojadas por el vendedor y distribuidas a los clientes a través de una red como Internet y por lo general utilizando navegadores web, a diferencia del modelo tradicional donde cada usuario compraba la aplicación y se encargaba de su instalación en cada una de las máquinas en donde se iba a utilizar. Muchas de las aplicaciones del modelo SaaS están enfocadas en proveer funcionalidades a clientes empresariales a bajos precios, ofreciendo los mismos beneficios del software tradicional sin la complejidad asociada a la instalación, administración, soporte y costo inicial que este representa. De esta manera, el cliente SaaS sólo tiene la responsabilidad del uso del software contratado mediante prepago, de ahí hacia abajo es responsabilidad del vendedor.

La arquitectura de estas aplicaciones está basada también en el compartir una misma aplicación con varios clientes, repartiendo así el precio de la licencia entre todos de manera equitativa a su uso. De esta manera, una sola aplicación es usada por varios clientes, cada uno separado de los otros a través de contextos lógicos. Las aplicaciones más comunes son los ERP, CRM, SCM y otra amplia gama de paquetes para verticales de negocio. Esto ha hecho que tanto grandes corporaciones como pequeños negocios obtengan acceso a esta clase de herramientas, haciéndolas más competitivas al centrar sus esfuerzos en el dominio principal del negocio.

Características del Cloud Computing

El modelo de la computación en la nube fue caracterizado por la NIST por tener tres niveles de servicios conocidos como SPI (SaaS, IaaD y IaaS) y cuatro tipos de nubes (pública, privada, comunitaria e híbrida), como se describió en la anterior sección. Adicionalmente, la NIST le otorgó cinco características esenciales que cualquier servicio de computación en la nube debe ofrecer a sus usuarios (Sosinsky, 2011):

1. Autoservicio bajo demanda (On-demand self-service): Cualquier usuario de la nube puede ter acceso a los recursos computacionales cuando éste los necesite y sin ningún tipo de interacción con el personal encargado de la nube, de manera automática y unilateral.
2. Acceso completo a la red (Broad network acces): Todos los recursos que se ofrecen en la nube, así como las aplicaciones que el usuario está implementando deben tener completo acceso a través de la red usando métodos estándares, de manera que se permita un acceso independiente de la plataforma de los clientes del usuario. Esto garantiza que cualquier usuario, con cualquier sistema operativo o dispositivo (computadores, teléfonos móviles, PDAs, etc.) tengan acceso a los servicios.
3. Agrupación y distribución de recursos (Resource pooling): El proveedor de la nube debe crear recursos que se encuentran agrupados pero que pueden ser distribuidos entre muchos usuarios, lo que se conoce como el soporte de uso multiusuario. De esta manera, los sistemas tanto físicos como virtuales deben ser distribuidos dinámicamente según las necesidades actuales de los usuarios y dando, por hecho, la abstracción de la ubicación real de los recursos consumidos por cada cliente.
4. Elasticidad rápida (Rapid elasticity): Esta característica indica que los recursos deben ser otorgados de manera rápida y elástica, según las necesidades del cliente en el momento en que este los solicite. El adicionar recursos se puede dar de dos maneras: horizontalmente (Ampliando el número de recursos físicos, es decir, agregando más computadores) o verticalmente (Cambiando los actuales recursos por otros con mayores capacidades). Sin embargo, es importante notar que los recursos a los que puede tener acceso el cliente, desde su punto de vista, son ilimitados.
5. Medición del servicio (Measured service): La última característica indica que el uso de cualquier recursos debe ser medido, auditado y reportado al cliente en base a un sistema de medición acordado previamente entre el proveedor y el usuario. De esta manera al usuario se le generan cargos económicos según el espacio de disco que usa, el número de transacciones, unidades de procesamiento, tiempo de uso, etc.

Videos

Aquí les dejo dos videos donde explican el concepto de Cloud Computing. El primero es mucho más gráfico y el segundo es mucho más técnico.

Algunos enlaces de interés

Cloud Computing LA

Blog Windows Azure

Amazon Web Services

Bibliografía

Rittinghouse, J. W., & Ransome, J. F. (2011). Cloud Computing. Implementation, Managment and Security. CRC Press. Taylor and Francis Group.

Sosinsky, B. (2011). Cloud Computing Bible. Indianápolis, IN, Estados Unidos: Wiley Pubblishing, Inc.

Cisco Systems Inc. es una empresa fundada por dos Ingenieros de Sistemas de la universidad de Stanford en 1984 y dada a conocer al mundo en 1990 y que se ha encargado de dominar y explotar el mercado de las redes de dato. Actualmente se dedica principalmente a la fabricación, venta, mantenimiento y consultoría de una amplia gama de equipos de telecomunicaciones y se ha consolidado como el líder mundial en soluciones der e infraestructuras para Internet.

El primero producto de Cisco fueron los Routers, un equipo que permitía controlar el flujo de paquetes de datos a través de las complejas topologías de las redes utilizando el protocolo TCP/IP, que permitían la existencia tanto de Internet como de las redes corporativas o Intranets. Con el crecimiento acelerado de Internet debido a su popularidad, Cisco logró consolidarse como el líder y dominar el mercado con sus productos. Esto le permitió pasar de una capitalización del mercado de $100 billones de dólares en 1998 a $531 billones en el año 2000.

Cisco comenzó en el mercado dando una lucha en tres diferentes frentes con sus productos: Redes de telefonía para transmisión de voz, redes área local para la transmisión de datos y redes de broadcast para la transmisión de video. La idea de Cisco se basa en que la digitalización permitiría la transmisión de audio, video y datos a través de una sola red conocida como Internet, haciendo que el proceso sea mucho más eficiente y barato. En este punto se funda la visión de la compañía que puede ser resumida en las palabras de su CEO: “Information at your finger tips, with a computer in every desk and in every home”.

Internet es una red fundada en estándares abiertos, lo creo un nuevo frente de batalla para la vertical de negocio a la que pertenece Cisco, donde compiten grandes empresas de telecomunicaciones regulares como AT&T, Verizon, British Telecom y Deutsche Telecom. Este nuevo negocio de transmisión de datos ha permitido el surgimiento de nuevas compañías que se dedican a ofrecer servicios como el acceso a Internet, hosting, email, y servicios de búsqueda de información. Todas estas actividades aceleraron aun más las redes IP, haciendo que para el año 2000 el tráfico de datos excedía ampliamente el tráfico de voz. Siendo Cisco el principal proveedor, se estimó que el 70% de estos datos viajaban soportados en productos de la compañía Cisco.

ESTRATEGIAS DE NEGOCIO DE CISCO

En 1988 fue contratado John Morgridge como CEO de la compañía debido a su experiencia en la industria de la computación. Inmediatamente comenzó a construir inmediatamente un equipo de administración profesional. Morgridge implantó un sistema basado en la idea de un control centralizado general y tres ramas descentralizadas en el área de Investigación y Desarrollo, una para cada línea de negocio: Negocios pequeño, medianos y proveedores de servicios.

En 1991 Morgridge contrató a John Chambers, quien asumió el rol de CEO en 1995. En 1993, Morgridge y Chambers, junto a Ed Kozel quien era el CTO en el momento, generaron un plan de estrategia constituido por 6 elementos, que se explican a continuación.

TENER UNA LINEA DE PRODUCTO AMPLIA PARA REDES EMPRESARIALES

Cisco quería tener una línea de productos bastante amplia que le permitieran servir como un único punto de venta para todas las redes empresariales, que le permitían a la empresa manejar el tráfico de datos desde la oficina principal hasta cada uno de los terminales de la empresa. Esta estrategia se muestra finalmente en el ofrecimiento de productos en la actualidad que satisfacen todas las necesidades de un cliente. Con el tiempo Cisco se consolidó tanto en el ámbito de grandes proveedores de servicios y ambientes empresariales como los pequeños nichos con requerimientos específicos como pequeños comercios o consumidores finales.

ADQUICISCIÓN SISTEMÁTICA COMO UN PROCESO DE NEGOCIO EFECTIVO

Cisco tenía en mente la adquisición de varias compañías y la realización de importantes alianzas estratégicas con el fin de lograr completar sus líneas de productos. Cada uno de estos procesos debía ser sistematizado para reducir los tiempos y costos para aumentar la ventaja competitiva de la compañía. En la actualidad el proceso de “Merge and Acquisitions” se ha conertido en una innovación interna. La capacidad de innovación es el marco seguro para éxito y la sostenibilidad de la empresa, algo que Cisco ha logrado mantener con la integración de nuevas, pequeñas y medianas empresas que tienen las ideas innovadoras pero no necesariamente los recursos, los medios o el conocimiento para poner en marcha estas ideas.

ESTABLECIMIENTO DE ESTÁNDARES DE SOFTWARE PARA TODA LA INDUSTRIA

Cisco implemento un sistema operativo para redes conocido como IOS (Internetwork Operating System), que fue licenciado a compañías como Alcatel, Ericcson, Northen Telecom, Compaq, Hewlett-Packard, Bay Networks, 3Com, Microsoft, Intel y otras 12 compañias japonesas. En la actualidad Cisco logró hacer que cada hogar en el planeta, como lo digo su CEO algún tiempo atrás, contara con el equipo para conectarse a cualquier red basada en el protocolo IP.

ESCOGENCIA DEL ALIADO ESTRATÉGICO ADECUADO

Cisco estaba empeñado en realizar alianzas estratégicas con las compañías más adecuadas de la industria. Como ejemplo tenemos el trabajo realizado con Microsoft en la creación de un estándar de seguridad en redes o con HP para el desarrollo y venta de sistemas de computación corporativa basada en internet. En la actualidad Cisco cuenta con tres focos para la escogencia de aliados, con los que algunos terminan también en adquisiciones o compras de la compañía por parte de Cisco: Aceleración de mercados, expansión del mercado y la entrada a nuevos mercados.

IMPLEMENTACIÓN DE UN ERP

NECESIDAD DE IMPLEMETNACIÓN DE UN NUEVO SISTEMA DE INFORMACIÓN

En 1993 entró a la organización Pete Solvik como CIO. En este momento la compañía se encontraba soportado en sistemas UNIX que le permitían manejar todos sus procesos transaccionales a través de una amplia gama de paquetes, uno para cada área como finanzas, recursos humanos, ventas, etc. La experiencia de Solvik y junto al crecimiento de la compañía lograron determinar la necesidad de un cambio urgente en todos los sistemas de información. Se sabía que los actuales sistemas no darían abasto para las nuevas necesidades y empezarían a traer problemas al desarrollo diario de la compañía.

Algunos análisis realizaron mostraron que existían varias demoras en los procesos de negocio debido al proceso de sincronización de la información que debía hacerse en cada uno de los pasos. Esto se reflejaba en gasto innecesario de recursos y tiempo de los empleados e incluso algunos procesos como investigación y desarrollo debían iterar entre 5 y 6 ciclos. Como mostraremos, con un ERP esto se redujo a 2.5 ciclos. Finalmente, en el mes de febrero de 1994 se comenzaron a materializar los problemas en la infraestructura con un daño en la base de datos de la aplicación principal. Este daño llevo a que la compañía estuviera sin sistemas por dos días, generando millonarias pérdidas. El tiempo se había agotado y todo el equipo de TI estaba de acuerdo en la necesidad de un cambio pronto.

PROCESO DE SELECCIÓN DEL ERP A IMPLEMENTAR

Desde un comienzo se tomó en cuenta la importancia del tiempo ya que la situación no permití la implementación en fases y fupe necesario un plan para un cambio total. En este momento se entró en el proceso de selección del sistema ERP que se iba a implementar en la compañía. Dada la estrategia de la compañía de escoger a la alianza estratégica correcta, se tuvo a KPMG con sus amplias habilidades técnicas y conocimiento del negocio. Junto a KPMG se estableció la tarea de especificar las necesidades de Cisco respecto al software (RFP – Request For Proposals) que se les entregaría a todos los vendedores con el fin de que cada uno mostrara su mejor opción.

Finalizado este proceso, se le dio a cada uno de los vendedores dos semanas para presentar su propuesta, mientras Cisco continuaba la investigación de cada una de las empresas vendedoras. Finalmente, a cada empresa se le dio un conjunto de datos de ejemplo y un espacio de tres días para que pudieran presentar como su solución cumplía, o no, con los requerimientos especificados. Finalmente se escogía a Orcale como la compañía vencedora. Además de las características de la solución presentada, Cisco compartía con Oracle en gran parte su visión, además de tener la capacidad tanto económica como de negocio para estar a la misma altura de Cisco. Este proceso demoró un total de 75 días.

Finalmente se acordó el negocio entre Orcale y Cisco por un valor de 15 millones de dólares. El quipo preparó la presentación del proyecto al CEO Morgridge. Era un valor considerable para cualquier proyecto, así que era importante mostrar no solo las necesidades de una migración a nuevos sistemas sino también la generación de valor que este iba a dar a los procesos de negocio y como se alineaba con el plan estratégico de la empresa. Durante esta reunión con CEO se presentaron nuevos problemas con los sistemas, casi impidiendo que se pudiera mostrar la información, lo que aceleró la aprobación del mismo y catalogación de prioritario.

IMPLEMENTACIÓN DEL ERP POR PARTE DE ORACLE

Para la implementación del ERP se utilizó una técnica conocida como “Rapid Iterative Prototyping”, con lo que se tenían fases llamadas “Conference Room pilots” o CRP. Cada una de estas construía sobre las anteriores y buscaban un mejor entendimiento del software y su funcionalidad para el ambiente del negocio. A continuación se muestra el resultado de cada CRP.

CRP-0

En el primer CRP se implementó el equipo de trabajo y ambiente técnico en las aplicaciones Oracle. A cada grupo se le impartió clases de entrenamiento de 16 horas diarias durante 5 días. Finalizado el entrenamiento cada grupo se encargó de la configuración de cada uno de los miles de parámetros de la aplicación. Al finalizar la semana y el CRP-0 se demostró la capacidad del software para procesar las órdenes de Cisco a través de todos procesos de negocio de la compañía (Quote-to-Cash).

CRP-1

Finalizado CRP-0 se pasó a la tarea de hacer funcionar el sistema en cada una de las áreas de la compañía. Se generaron scripts de la respectiva documentación del proceso que se estaba llevando, incluyendo los problemas encontrados. Estos eran tratados en reuniones de 3 horas semanales, en donde los líderes de cada grupo encontraban las soluciones de cada uno. Adicionalmente se tuvo un arduo proceso de modelamiento, ya que muchos procesos de negocio no eran soportados por la aplicación y debían ser implementados. Un equipo de implementación se encargó de llenar cada uno de los vacíos del ERP.

CRP-2 Y CRP-3

Durante los dos siguientes ciclos se entró al proceso más difícil de la implementación con la inclusión del paquete adicional de ventas que debía ser desarrollado a medida para cumplir con el proceso de Cisco, que no era soportado originalmente por el software de Oracle. También se presentaron algunos problemas técnicos con las comunicaciones, pasando de un modelo punto-a-punto que originalmente se tenía a un modelo donde toda la información pasaba a través de un data wharehouse, que adicionalmente ofrecía ventajas a la recopilación de información para Cisco.

Al finalizar el CRP.2 se entró en una fase de pruebas del sistemas, tanto hardware como software, determinando que la capacidad de carga y volúmenes de transacciones generados por Cisco eran soportados correctamente y que además el sistema soportaba el crecimiento esperado y que había generado originalmente la necesidad del cambio de los sistemas de información. CRP-3 se dedicó finalmente a la generación de pruebas totales del sistema y la preparación de la puesta en marcha de este.

PUESTA EN MARCHA DEL SISTEMA

Uno de los grandes logros para Oracle fue la puesta en marcha del funcionamiento del sistema, sin embargo se tuvieron grandes problemas e un comienzo. Los usuarios debían adaptarse a un sistema que tenía graves problemas de estabilidad, sufriendo caídas casi a diario. El principal problema se encontró en el dimensionamiento del hardware, donde se debían realizar cambio de equipo en los puntos donde no se cumplían con las necesidades. La ventaja en este punto fue el contrato con el vendedor de hardware, ya que este se realizó por una promesa de funcionamiento y no en una especificación dada, por lo que fue este el que debía remplazar el equipo sin aumentar el costo.

El segundo problema encontrado fue la deficiencia en la capacidad del software para manejar la carga de transacciones generada. El problema se atribuyó a que las pruebas realizadas anteriormente no tuvieron volúmenes de información similar a la que maneja Cisco en su negocio. Durante los siguientes 60 días se contó con un equipo especializado que se encargó de encontrar soluciones tanto de software como hardware, logrando finalmente una estabilización de todo el sistema de ERP.

CONLUSIONES

En el presente trabajó se logró mostrar como la empresa Cisco, después de realizar un análisis y contando con la experiencia de su CIO y su CIO se llegó a la conclusión de la necesidad de la implementación de un nuevos sistema de información que soportara todo los proceso de negocio de la compañía. Dentro del plan estratégico de la misma se tenía previsto un gran crecimiento, como ocurriría con la adición de nuevos productos para poder ofrecer una solución a todas las necesidades de redes de un cliente. Este crecimiento no estaba siendo soportado por los sistemas actuales, quienes no tenían una coordinación o una integración completo, lo que incluso llevaba un desperdicio de horas hombre yb de grandes cantidades de dinero en la realización de procesos que no estaban optimizados.

La implementación de un ERP en una empresa tan grande como estas lleva grandes riesgos y muchas complicaciones tanto técnicas como de negocio. Es importante que el proceso esté soportado directamente por toda la empresa para poder culminarlo de manera satisfactoria.

Entre las ventajas de un ERP encontramos le centralización de la información. Es muy importante que toda la organización o compañía funcionen como una sola unidad y no como varias dependencias que parecen incluso compañías diferentes. Con la centralización es posible realizar análisis del estado de todos los procesos de negocio, permitiendo optimizarlos al encontrar los defectos de estos. Al tener una sola fuente de información se logra también mejorar la experiencia del usuario, ya que la empresa responde como una unidad ante todas sus solicitudes o inconformidades, pudiendo encontrar la fuente del problema en caso de presentarse. Adicionalmente, cuando se tiene la información suficiente es posible anticipar situaciones.

Cisco, con la implementación de este ERP logró entrar en nuevos negocios y cambiar de manera radical del modelo de negocio. Un claro ejemplo está en la nueva forma de realizar el soporte de los clientes, con sitios web interactivos en donde cada cliente puede encontrar toda la información necesaria para solucionar sus inconvenientes. Esto no hubiera sido posible si no se tenía un sistema centralizado como el ERP.

La reducción de costos y tiempos es lo que finalmente más valor le da a la cadena de valor y sus procesos de negocio, siempre manteniéndolos alineados como la estrategia de la compañía. Con un ERP es posible reducir costos eliminando los procesos iterativos y repetitivos que debían hacerse anteriormente para el manejo de la información de cada uno de los sistemas por aparte.

BIBLIOGRAFÍA

Austin, Robert, L Richard Nolan, y Mark Cooteleer. «Cisco Systems, Inc: Implementing ERP.» Hardvard Busineess School, Noviembre 07, 2001.

Inc, CiscoSystems. Cisco: Corporate Overview. s.f. http://newsroom.cisco.com/dlls/corpinfo/corporate_overview.html (último acceso: 23 de Marzo de 2011).

Interview, The HBR. «The HBR Interview. Cisco sees the future.» Hardvard Business Review, Noviembre 2008: 72 – 79.

Nolan, l Richard. “Cisco Systmes Architecture: ERP and Web-Enabled IT.” Harvard Business School, Julio 17, 2001.

El uso de tarjetas para realizar pagos requiere de la coordinación de muchas entidades como comerciantes, los emisores de las tarjetas, los bancos afiliados a las entidades comerciales y la red de transacciones. El proceso de pago, por ejemplo, empieza en el momento en que el usuario desliza su tarjeta por el lector, haciendo que se almacene toda su información en un servidor local. El proceso continúa cuando éste se encarga de verificar los datos recolectados con el emisor de la tarjeta para luego realizar la aprobación de la transacción con la entidad bancaria a la que se encuentra afiliado. Todo este flujo de información confidencial puede verse afectado por fallos de seguridad en uno de los sistemas involucrados, exponiendo a entidades no autorizadas los datos de miles de clientes que fueron almacenados, afectando negativamente a los usuarios, los establecimientos comerciales o incluso a las mismas entidades bancarias.

Esto ha hecho que muchas de las grandes redes de pagos con tarjetas establecieran sus propios programas de seguridad de manera independiente para evitar el fraude en sus procesos. Algunos de estos ejemplos son Visa Card Information Security Program (CISP), Master Card Site Data Protection (SDP), JCB Data Security Program y American Express Data Security Operating Policy. Debido a que estos programas se realizaron de manera fragmentada no cumplieron las expectativas con las que fueron ideados, terminando finalmente en que todos los grandes operadores fundaran conjuntamente el Payment Card Industry Security Standars Council (PCI SSC) en el año 2004, logrando publicar en diciembre de ese mismo año el estándar PCI DDS (PCI Data Security Standar). Este estándar fue actualizado en los años 2006 y 2008.

La idea básica detrás de esta idea es la estandarización de una serie de prácticas y supervisiones con el fin de garantizar la seguridad en la información sensible de los usuarios de tarjetas de pago. Adicionalmente se busca crear una guía para los comerciantes, proveedores de servicios y adquirientes que hacen uso de este tipo de transacciones para evitar los fraudes con tarjetas de crédito.

I    Antecedentes

En febrero del 2003, una compañía de procesamiento de datos para tarjetas de crédito, Data Processors International, perdió entre 5 y 8 millones números de tarjetas. Aparentemente, un intruso logró tener acceso a unas de las estaciones de trabajo dentro de la compañía.

En 2005, Choice Point sufrió el robo de la información de cerca de 163.000 clientes, siendo multada con U$10 millones de dólares y obligada a pagar otros U$10 millones en la reparación de los clientes. En 2006, VISA reportó en EEUU cerca de 365 ataques que causaron la pérdida a entidades comerciales de productos valorados en U$4.4 millones. Este mismo año, Circuit City, una de las grandes tiendas de américa, perdió cerca de 2.6 millones de datos de usuarios de tarjetas de crédito debido a que uno de sus instituciones asociadas y contratadas para el manejo de esta información, desecho de manera inapropiada 5 unidades de disco duro.

En agosto de 2009, el Departamento de Justicia de Estados Unidos anunció la detención de un hombre residente de Florida que robó 130 millones de números de tarjetas de crédito y débito, considerado uno de los mayores de la historia. Este hombre accedió ilegalmente a los sistemas informáticos de la compañía de manejo de pagos por internet Heartland Payment Systems, que ofrecía sus servicios a las cadenas de establecimientos 7-Eleven y a la cadena de supermercados Hannaford Brothers.

Incidentes como estos generaron la presión y demandan por parte de los usuarios para la consolidación de estándares de seguridad como PCI DSS para garantizar la privacidad de la información de los clientes de este tipo de tarjetas de pago. En la actualidad, las compañías que no implementen este tipo de estrategias, son perseguidas y penalizadas por entes gubernamentales

II   Arquitectura de la Transacción de Pago

Cada transacción realizada con una tarjeta de pago consiste en dos pasos: Flujo de transacción y Compensación y Liquidación.

Flujo de la Transacción

Cada transacción empieza cuando el cliente desliza la tarjeta en un datafono o introduce los datos en el portal web. El establecimiento comercial entonces almacena el tipo de tarjeta, número de cuenta, fecha de expiración y otros códigos de identificación y seguridad. Esta información es enviada al comerciante-comprador (merchant-acquirer). Éste es una institución comercial que se encarga de manejar los clientes de los comerciantes en las redes de pagos. Algunos proveedores de redes de pago como Visa y MasterCard no emite tarjetas de crédito directamente a sus clientes, como si lo hacen otros proveedores como Discover y American Express, de manera que estos últimos juegan el papel de comerciante-comprador y red de pagos simultáneamente.

El emisor de la tarjeta verifica entonces el estado de la cuenta en sus bases de datos y responde al comprador. Este reenvía el código de autorización al equipo terminal donde se inició el proceso.

Este primer paso no termina con el manejo de dinero a través del sistema bancario, aun cuando la transacción para el poseedor de la tarjeta haya concluido en la tienda. Algunos establecimientos comerciales de pequeño y mediano tamaño envían los datos de las transacciones al finalizar el día a los compradores, mientras que los grandes establecimientos lo hacen en tiempo real. El siguiente proceso, es el encargado de realizar el manejo de los fondos.

 Compensación y Liquidación

En el proceso de compensación y liquidación, el comprador recibe los datos por parte del comerciante y los envía a la red de pagos apropiada (Visa, MasterCard, etc) en donde se encamina directamente al emisor de la tarjeta. Es éste el que finalmente realiza el cobro al usuario y retorna el pago respectivo, descontando sus respectivos impuestos.

Aplicación de PCI DSS

En la figura 1 se  puede apreciar en diagrama de flujo de información de estas dos actividades. Es aquí donde se nota que varias entidades involucradas tienen el manejo de información se sensible de los usuarios de tarjetas. Además, cada una puede recurrir a funciones de terceros para realizar su labor, quienes deben también velar por la protección de esta información para evitar casos como los mencionados en la sección de antecedentes.

El estándar de seguridad de datos PCI DSS se aplica para cualquiera que almacene, procese o transmita información de un usuario de algún tipo de tarjeta, así como también a todos los sistemas técnicos y operacionales que se encuentran conectados o incluidos a la red de pagos.

III

Estándar de Seguridad De Datos Para Pagos Con Tarjeta – PCI DSS

Este PCI DSS está compuesto por 12 requerimientos agrupados en 6 categorías conocidas como Objetivos de Control que se describen a continuación.

Construir y Mantener una Red Segura

Los hackers pueden tener acceso a las redes de pagos a través de un acceso en los sistemas de las entidades comerciales. Esto hace que el uso de Firewalls tengan un papel importante, controlando el tráfico que entra y sale de estas redes internas de cada comerciante. PCI DSS requiere que se tenga un Firewall configurado para proteger su propia red, y por ende, los datos de los portadores de tarjetas de pago.

El estándar requiere un análisis de todos los protocolos peligrosos o que no han sido probados, definición de roles y responsabilidades, así como un listado de todos los servicios y puertos requeridos para operar. Todo lo que no sea necesario debe ser bloqueado por estos Firewalls.

Es recomendado tener una configuración de Firewall de tres áreas: interna donde está almacenada la información sensible (INS – Internal Network Zone), Perimetral (DMZ, Demarcation Zone) en donde están los servidores de acceso externo y la zona externa, como se observa en la figura 2. Cada interconexión de zonas debe estar supervisada y controlada por un juego de reglas en el Firewall. Por ejemplo, cualquier tráfico de la zona externa a una zona interna debe ser denegado y bloqueado.

Finalmente, el estándar recomienda no utilizar cualquier configuración por defecto de los equipos, como contraseñas y SSID de conexiones inalámbricas, que debe ser cambiada y no difundida. Las conexiones WiFi deben ser autenticadas y encriptados por WPA.

Proteger Información del Portador de las Tarjetas

La información almacenada debe ser protegida en caso de que el Firewall sea penetrado o se tenga acceso físico a la información. Para esto, se debe limitar la información almacenada a el menor tiempo posible de acuerdo las necesidades del negocio y restricciones legales, y no se debe nunca almacenar la información de la cinta magnética o códigos de verificación ni números de identificación personal (PIN). La información que sea almacenada debe estar encriptado y se debe mantener las claves de encriptación bajo el menor número de guardianas y almacenadas en muy pocos sitios.

Durante la transmisión de esta información, se debe utilizar protocolos de seguridad y criptografía fuerte como Internet Protocol Security (IPSEC) y SSL/TLS. Se recomienda usar librerías de criptografía como AES y 3DES. En comunicaciones inalámbricas, además se requiere protocolos como WPA, WPA2, VPN y SSL.

Mantener un Programa de Gestión de Vulnerabilidades

Software maliciosa, como virus, gusanos y trajanos pueden dar acceso a personas malintencionadas. Estos pueden acceder incluso por medios legítimos como email, dispositivos portátiles o unidades de disco externas. Se recomienda usar software de seguridad como Antivirus para llevar un registro de estas acciones y evitar las acciones más comunes.

Otro medio de acceso son las vulnerabilidades de los sistemas. Se recomienda actualizarlos con los parches de actualización del vendedor de sistema en un tiempo menor a un mes. Antes de hacerlo, se debe validar su funcionamiento en un entorno de pruebas controlado.

Para aplicaciones web se debe seguir el Open Web Application Security Project Guide, con el fin de validar que no se evitan las vulnerabilidades muy bien conocidas como validación de datos de entrada, ataques cross-site scripting, desbordamientos de memoria, etc.

Implementar Sistemas de Acceso Seguro

Cualquier acceso a información sensible debe ser controlado y autorizado solamente a quienes lo necesiten y en el nivel requerido. Además, cada usuario debe contar un ID que permite ser auditado sobre sus acciones. Cada ID, como nombre de usuario, contraseña, token o información biométrica debe ser encriptado antes de ser transmitida y cada cambio realizado debe ser almacenado en un log.

Específicamente se tienen las siguientes reglas: 1) antes de resetear una contraseña, se debe validar a profundidad el usuario; 2) la contraseña por defecto debe ser diferente para cada usuario y debe ser cambiada en el primer acceso; 3) revocar permisos una vez se termine la sesión; 4) eliminar cuentas inactivas cada 90 días; 5) deshabilitar accesos remotos a menos que sea supremamente requerido; 6) tener políticas de distribución de accesos a quienes tienen acceso a información sensible; 7) no se permite compartir claves de acceso a grupos; 8 ) cambio de clave cada 90 días; 9) no se permite utilizar una de las 4 contraseñas anteriores; 10) bloquear usuarios con más de 6 accesos fallidos; 11) este bloqueo puede ser de media hora o un tiempo establecido por el administrador de seguridad; 12) expirar la sesión si está inactiva por más de 15 minutos; 13) solicitar credenciales de acceso, incluso a administradores y gerentes; a las bases de datos.

Se debe también limitar el acceso físico a los sistemas y bases de datos. Para esto se requiere uso de protocolos de seguridad en edificaciones seguras y controladas por sistemas electrónicos como video cámaras, donde se registre cualquier acceso en un record por mínimo 3 meses si está permitido por la ley.  Limitar el uso de equipos personales y el uso de redes inalámbricas.

Se debe mantener también un trato seguro a los backup de la información sensible. Esta información off-line debe ser almacenada en un lugar seguro y no debe ser distribuida bajo estrictos protocolos de seguridad, como uso de transporte de valores y en contenedores marcados como información confidencial. Si se necesita ser eliminado, esta debe seguir un protocolo para garantizar que esta información no pueda ser recuperada de ninguna manera.

Monitoreo Regular y Prueba de Redes

PCI DSS demanda que todo acceso a información sensible debe ser seguida y monitoreada en logs. Estos permiten determinar las acciones de todas las personas y determinar las razones si algo falla.  Estos archivos deben almacenar accesos fallidos tratando de usar privilegios de administradores y asociarlos  con los mecanismos de identificación. Todos los componentes deben auditar identificación de usuarios, tipos de eventos y tiempos, origen de acciones e información accedida o afectada. Todos estos archivos deben ser igualmente protegidos de acceso en áreas seguras y centralizadas. Estos no deben tener posibilidad de ser cambiados y deben ser almacenadas por al menos un año y por 3 meses para acceso inmediato.

Se deben identificar nuevas vulnerabilidades regularmente, en especial después de actualizaciones o servicios de mantenimiento. Todas las conexiones, sistemas de seguridad y control de acceso deben ser probadas rutinariamente para garantizar que se están controlando los accesos no autorizados.  En cada nueva instalación o cambio de topología de redes, se deben validar todas las vulnerabilidades internas y externas por una entidad certificada (PCI Qualified Scan Vendor).

Mantener una Política de Seguridad de Información

Este último objetivo de control define la sensibilidad de la información y la responsabilidad de los trabajadores en la protección de la información que tienen a cargo.

Se deben desarrollar políticas de uso para los empleados que usen dispositivos críticos o tecnológicos que puedan presentar algún tipo de amenaza, como tecnologías inalámbricas, dispositivos portátiles, memorias removibles, PDAs e incluso correo electrónico. Cada una de estos debe tener una autenticación para ser utilizadas, y esta solo se debe dar después de haber sido inspeccionados y entendido la importancia de ser aprobadas para la ejecución de las labores del empleado. Adicionalmente, cada dispositivo debe ser almacenado en una base de datos con los datos de quien lo utiliza para poder dar seguimiento a sus acciones.

Para lograrlo, se deben crear documentos donde se definan de manera clara y desambigua las políticas y procedimientos de seguridad. En primer lugar, estas deben dar responsabilidades a los empleados que utilicen estos elementos. En segundo lugar, se debe establecer las alertas de los monitoreos y controles de acceso declarados y a quienes se informa y como se actúan en caso de presentarse una alerta. También es importante cerciorarse que todos los empleados conocen y entienden estas políticas y sus implicaciones con claridad, para evitar ataques internos.

La compañía debe también tener una estrategia de respuesta en caso de presentarse un rompimiento de la seguridad. Este plan debe incluir un plan sólido que coordine acciones para garantizar la recuperación del negocio y procedimientos de continuidad. Este debe ser probado al menos una vez al año. El personal encargado debe monitorear 24/7 los datos sensibles y deben proveer detección y prevención de intrusos así como integridad en los archivos de monitoreo.

IV

PCI En Un Contexto de TI

En la figura 3 se observa la aplicación de PCI DSS en el contexto de la arquitectura de TI de un comercio minorista. Este se encuentra dividido en 5 subsistemas importantes: Ambiente de la tienda; Ambiente de e-commerce; Back-Office y sistemas ERP (Enterprise resource planning); Ambiente de administración de negocio; y finalmente ambiente de tecnologías de información, junto a su ambiente de desarrollo,  implementación y pruebas. Cada uno de estos subsistemas se encuentra controlado por un Firewall. Los componentes claves se pueden elaborar de la siguiente manera:

Equipos Electrónicos de Puntos de Venta Finales (EPOS – Electrónic Point of Sale):  

Son los equipos de los terminales de las cajas del establecimiento comercial e interactúan con los usuarios. Estos se encargan de colectar la información de la tarjeta y el usuario, pero no deben en ningún momento almacenarla. En algunos casos estos se comunican directamente con la red del vendedor (acquirer) a través de un protocolo asíncrono (VISA1 o VISA2), o un protocolo síncrono como el ISO 8583/SDLC. También pueden

usar un protocolo IP. Sin embargo, lo más general es que estos equipos se conecten únicamente con el servidor de la sucursal comercial a través de una red privada, y es este servidor el que finalmente se comunica con el vendedor de la tarjeta correspondiente.  En ambos casos, la comunicación con los EPOS debe ser encriptado, dado que están transmitiendo información sensible.

 Servidor de la Tienda

Cada tiende puede tener su propio servidor, que es lo más común en la actualidad, en donde se almacenan los datos de las tarjetas y sus transacciones. Toda esta información debe ser igualmente encriptado de manera separada al sistema operativo. Este servidor puede estar corriendo otro tipo de aplicaciones como inventarios o manejadores de empleados.

Aplicaciones

Toda comunicación entre EPOS y otro tipo de aplicaciones debe estar mediado por un Firewall, asi como la información transmitida encriptada

Comercio Electrónico

Al igual que los EPOS, los portales web que ofrecen comercio deben estar separados del resto del sistema por medio de inFirewall. La comunicación de datos de las tarjetas y usuario entre el sitio web e Internet debe estar encriptado.

Base de Datos

Las aplicaciones de las bases de datos y las aplicaciones de productividad de la empresa u organización deben estar física y lógicamente separadas.

Para el manejo de roles, es importante que se establezca a cada individuo su rol dentro del sistema, de acuerdo con las labores que realiza y otorgarle un identificador único. El monitoreo y los accesos a los derechos de cada uno se debe hacer en tiempo real. Usuarios de la central de repositorio deben ser controlados, administrados y dados de baja inmediatamente del sistema cuando sea necesario.

V

Requerimientos Para Asesores de Seguridad Calificador por PIC (QAS)

Las dos grandes empresas emisoras de tarjetas de pago, VISA y MasterCard, requieren el uso de compañías certificadas en seguridad de datos para PCI (QDSC – Qualified Data Security Companies). Las compañías entonces deben ser validadas sobre su implementación de los estándares de seguridad. Actualmente, la PCI SSC publicó el Payment Card Industry Data Security Estándar Validation Requirements for Qualified Security Assessors (QSA). Los requerimientos para ser QDSC o QSA son exactamente los mismos y el proceso de certificación consiste en dos pasos: Certificación de la compañía en sí misma y la certificación de los empleados de la compañía que están manejando los datos sensibles. Cada uno de estos requerimientos se agrupan en 6 categorías que se muestran a continuación:

Requerimientos de Negocio para QSA

En este campo se debe demostrar la estabilidad e independencia de la compañía, así como la cobertura de seguros.

1) Estabilidad: La compañía debe ser legítimamente establecida y con un buen historial crediticio. Esto también implica que la compañía no debe tener antecedentes de actividades ilícitas o fraudulentas. Para esto, la compañía debe mostrar sus licencias de funcionamiento y una copia con la información del número total de empleados y cuántos de ellos pueden ejercer una labor técnica de seguridad tecnológica de la empresa.

2) Independencia: Un QSA debe proveer juzgamientos imparciales mientras realiza valoraciones, por lo que se debe limitar sus fuentes de influencia. Para esto, se debe revisar la historia de los directores de la compañía. Así mismo, esta debe firmar el acuerdo que no puede generar valoraciones para cualquier entidad con la que haya tenido algún tipo de relación o con la que cualquier QSA se encuentre investigando. También se debe revisar que la QSA no ha ofrecido ningún tipo de regalo, favor, servicio o gratitud a cualquier empleado del PCI SSC o cualquier entidad que tenga relación con el proceso de admisión. Es necesario firmar también un acuerdo en donde se prohíbe el uso del estatus de miembro QSA para generar ofertas o atraer clientes, así como tampoco debe establecer o declarar que la implementación de PCI DSS y/o Mejores Prácticas para Aplicaciones de Pago deben hacer uso de servicios o aplicaciones de un QSA.

3) Cobertura de Seguros: Cada QSA debe tener una cobertura mínima en un seguro para cubrir con posibles gastos de indemnización. Cada QSA debe también demostrar capacidad de recuperación de pérdidas financieras o de cualquier índole debida a actos, errores u omisiones en procesamientos computacionales o servicios de tecnología de información debido a daños, destrucción o corrupción de sus sistemas, incluyendo accesos no autorizados, transmisión de virus, denegación de servicio, fallos de seguridad de la red con la que se comunica con sus clientes.

Requerimientos de Habiliades para QSA

Es también indispensable que se certifique que los empleados de una QSA tienen las habilidades suficientes para realizar su trabajo.

1) Servicios y Experiencia de un QSA: Es necesario acreditar experiencia de asesorías en temas de seguridad. No solo se debe garantizar personal con capacidad para ofrecer asesoría en seguridad de datos, sino que además deben contar con trabajo previo en este campo. Para esto, los interesados deben presentar la documentación de su experiencia y conocimiento adquirido. Se requiere de al menos dos clientes importantes con los que se haya trabajado en el pasado.

2) Habilidades y Experiencia de los Empleados de una QSA: Cada uno de los empleados de una QSA debe ser también certificado. Los empleados deben ser responsables por la calidad de la asesoría en seguridad de datos para la PCI, así como tener presencia durante la consultoría para realizar los procesos de auditoria correspondientes.

Cada uno de los empleados QSA deben tener la información suficiente en seguridad y la experiencia para liderar una asesoría en seguridad para una empresa lo suficientemente compleja. Para esto, la compañía candidata debe presentar documentación completa de cada uno de sus empleados (certificados, grados de estudio, instituciones educativas, certificados de experiencia, rolos desempeñados, etc.)

Cada empleado debe tener certificados de experiencia en la industria de seguridadad. Cada uno de los empleados QSA debe tener por lo menos uno de los siguientes certificados: CISSP (Certified Information System Security Professional), CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager). Si no tiene uno de estos certificados, debe demostrar por lo menos 5 años de experiencia en temas de seguridad.

Requerimientos Administrativos para QSA

El equipo administrativo de la QSA debe estar liderado por dos personas de contacto. Estos deben dar autorización a un empleado de PCI SSC para realizar investigaciones de fondo dentro de la compañía, con el fin de determinar áreas débiles a mejorar o para el proceso de re-certificación.

Se debe garantizar que se tiene con la capacidad para ejercer un fiel control de los procedimientos requeridos por PCI SSC, asi como garantizar un nivel de calidad exigido por la industria en sus procesos internos.

Cada candidato debe también demostrar su capacidad de seguridad de los archivos obtenidos durante las consultorías, y debe mantener registro de sus actividades por lo menos durante tres años con alto grado de seguridad.

VI

Procedimiento de Escaneo de Seguridad de VISA Europa

De acuerdo con las regulaciones de VISA Europa, un programa de vulnerabilidades debe incluir un programa de escaneo de fallos de seguridad en la red de pagos con tarjeta con el fin de identificar vulnerabilidades en la red o algún sistema de infraestructura. El resultado de dicho análisis debe ser usado para generar el parche adecuado. Este tipo de análisis debe efectuarse a todos los establecimientos comerciales y prestadores de servicios relacionados que tienen una IP externa y tiene algún tipo de almacenamiento o procesamiento de información de tarjetas de pago. Durante estos ejercicios, no se debe ver afectado su normal funcionamiento. Si se ha realizado alguna modificación, la revisión debe incluir nuevas posibles vulnerabilidades del nuevo sistema o topología.

Estos procedimientos deben ser ejecutados regularmente y se deben verificar Firewalls, Routers o cualquier dispositivo de enrutamiento y filtrado, sin importar su uso o red a la que pertenezca.

Es muy importante realizar pruebas detalladas a los servidores web, puesto que estos están en contacto directo a cualquier usuario en la web. Si existe un servidor de aplicaciones, este también debe ser probado, ya que es un paso intermedio en el transporte de información sensible. Si el proveedor de servicios del comerciante utiliza su propio DNS, este también debe ser evaluado para riesgos, ya que es posible tener acceso a datos de las tarjetas de pago suplantando dicho servidor. Las redes perimetrales o DMZ contienen servidores de correo que pueden servir como rutas de acceso a hacker si presentan vulnerabilidades, por lo que también deben ser puestos a prueba. Es común que se utilice balanceo de cargas en los servidores, por lo que se requiere realizar pruebas de manera individual a cada uno de los servidores, ya que de no hacerlo, es posible dejar oculta alguna vulnerabilidad en alguno de los servidores. También deben ser evaluadas las redes inalámbricas de los comerciantes, así como sus LANs, dado que pueden dar lugar a riesgos.

VII

Conclusiones

El estándar de seguridad de datos PCI DDS es el primer estándar que se encarga de proteger la información de los usuarios de tarjetas de pago y que ha sido ampliamente difundido en este tipo de industria. Resultó del aporte colaborativo de los principales y más grandes administradores de redes de pagos y emisores de tarjetas. El estándar incluye un esfuerzo de cada compañía en varios aspectos, incluyendo seguridad en redes, manejo de vulnerabilidades, control de acceso y asesorías y reportes de seguridad. Esto ha logrado que a través de un continuo asesoramiento de exportes y reportes de actividades, comerciantes y proveedores de servicios hayan reducido significativamente los problemas de seguridad que pueden dar lugar a fraudes bancarios o robo de identidad que ha causado pérdidas millonarias a este sector económico.

Las mayores redes de tarjetas como VISA, MasterCard, Discover, American Express y JCB han logrado obligar a los comerciantes a conseguir un nivel mínimo de seguridad en sus procesos de pago con tarjetas. Sin embargo, estos 12 requerimiento que son solicitados y que fueron explicados en el documento, son difíciles de implementar debido a las complejidades tanto organizaciones como técnicas. Esto se ha evidenciado en las dificultades que presentan muchos de los vendedores y compradores de tarjetas en cumplir a cabalidad con el estándar. Según un reporte de VISA, solo el 22% de sus más grandes vendedores y adquisidores tienen cumplimiento de las normas del PCI SSC.

Debido al alto costo y complejidad que requiere la implementación de todos los estándares de seguridad exigidos por la PCI SSC, existen varias compañías que ofrecen una solución lista para ser adaptada a cada negocio.

A pesar de que existe un alto grado de preocupación en el gobierno por generar una política de control de seguridad de los datos personales de los poseedores de tarjetas, no ha logrado que todas las compañías inviertan en protecciones. Esto causa que aun sigan existiendo riesgos de seguridad, dado que un solo punto que pueda ser quebrantado significa la pérdida de toda seguridad. Es importante por eso seguir trabajando en conseguir soluciones eficaces y crear la presión necesario como usuarios en todos los establecimientos comerciales en los que utilicemos nuestras tarjetas, para que nos aseguren que están cumpliendo con un grado mínimo de seguridad en el manejo de nuestros datos.

VI

Bibliografía

Liu, J., Xia, Y., Chen, H., & Ozdemir, S. (2010.). A Survey of Payment Card Industry Data Security Standar. IEEE Communications Surveys & Tutorial, Vol 12. No.3. Pags 287-303.