Ventajas Y Desventajas de Cloud Computing - Tomado de http://www.hcrealty.com y luego modificado por Manuel Vieda

Beneficios desde el punto de vista del negocio

Reducción de costos:

Lo primero y lo esencial es la reducción real de los costos tanto operativos como administrativos. Dado que los proveedores de los servicios utilizan en ambientes de alta eficiencia y con altos márgenes de utilización, es posible que el costo total de operación y mantenimiento de dicha infraestructura sea repartido entre miles de usuarios a los que presta el servicio. Incluso, se puede llegar a decir que se tiene un costo nulo en la inversión inicial de infraestructura, lo que permite crear proyectos de gran escala en donde tradicionalmente se debía tener inversiones millonarias iniciales en propiedades, seguridad física, hardware (Como es el caso de servidores, routers, fuentes de poder redundantes, por ejemplo) y personal capacitado para su operación. Este tipo de inversión hacía inviable muchos proyectos interesantes debido al desgaste que suponía el conseguir a un inversionista que estuviera dispuesto a aportar el capital inicial asumiendo los riesgos del posible fracaso. Con el nuevo modelo, no existe tal problema ni los riesgos asociados, eliminado cualquier costo asociado a la inicialización del proyecto, únicamente se requiere el pago de lo que se va a consumir.

Infraestructura Just-in-Time:

Uno de los problemas que afrontaba cualquier proyecto era el dimensionamiento de la infraestructura que debía montarse, asumiendo un número de usuarios y otros factores en base a proyecciones de negocio. Cuando se tenía un éxito mayor al esperado y no era posible tener un escalamiento rápido, se era una víctima del éxito propio al no tener recursos para atender las peticiones de todos los usuario y llegando a perder muchos de ellos. Por el contrario, si se invertía mucho en infraestructura y no llegaba a utilizarla, se era víctima del fracaso propio, agilizando la muerte de la empresa. Estos problemas son resueltos con el modelo de la nube, donde cada aplicación puede obtener los recursos que requiere para dar respuesta a todos los usuarios, sean pocos o muchos, reduciendo los riesgos y costos operacionales, pagando exactamente lo que se está consumiendo.

Eficiencia en la utilización de recursos:

Contrario a un modelo tradicional donde debe existir un administrador que se encargue de la adquisición del hardware para cumplir con las necesidades de las compañía (Ejemplo: almacenamiento en discos) y tratando de llevar al máximo la utilización de la infraestructura en todo momento para reducir los costos, en el modelo de Cloud Computing no existe tal preocupación. Es posible crear sistemas que se encarguen de monitorear el uso de los recursos y administrarlos de manera eficiente para reducir los costos  de manera automática y eficiente, a través de llamados de petición o liberación de recursos al proveedor del servicio.

Costo basado en uso:

Con el modelo de pago por utilidad que manejan todos los proveedores (una de las cinco características del modelo de NIST explicado anteriormente), cada usuario sólo paga por lo que realmente está usando y no por infraestructura que se tiene pero está siendo subutilizada, como ocurre con el modelo tradicional.  De esta manera, se obtienen ventajas que anteriormente no se tenían con el desarrollo y uso de software más eficiente. Es decir, que si actualiza el actual software de una compañía por uno que ofrece una mejora en menor uso de cache, se tiene una reducción del costo en la siguiente factura.

Time to market reducido:

Una de los usos que ofrece Cloud Computing es la paralelización  de los procesos. Si un proceso requiere un uso computacional alto, con intensos trabajos de manejo de datos que toman mucho tiempo, es posible dividirlo en varios procesos y ejecutarlos paralelamente en muchas unidades de procesamiento para reducir el tiempo total de procesamiento a solo una fracción del tiempo original. Con la elasticidad del sistema  es posible pagar por esta gran cantidad de cómputo sólo en el momento que se requiere, reduciendo los tiempos de desarrollo de nuevos productos, por ejemplo, dando la ventaja competitiva al negocio.

Calidad del servicio y Fiabilidad:

La mayoría de las actuales infraestructuras donde están operando los servicios de Cloud Computing poseen acuerdos de niveles de servicio (SLA) con tiempos de disponibilidad mayores al 99.99% 24/7. Desde la perspectiva del usuario implica que se pueden obtener diferentes niveles de servicios de acuerdo a las necesidades del negocio y pueden ir hasta estándares de muy alta disponibilidad, a partir de los contratos firmados con los proveedores. Estos acuerdos suelen ser mucho más económicos y con mejores niveles que los cualquier organización normalmente podría obtener con una infraestructura interna.

Outsourcing del área de Tecnologías de Información:

Actualmente se tiene la mentalidad que cada empresa debe dedicarse por completo a su negocio y no estar lidiando con los problemas que no hacen parte de este núcleo, como lo es el mantenimiento y operación de la plataforma tecnológica. Con el modelo de Cloud Computing es posible delegar estas responsabilidades a otra empresa que se dedica a estas operaciones, por lo que se incrementa la eficiencia de la empresa y se reducen los cosos.  Otra de las ventajas de delegar esta responsabilidad a un tercero que posee una infraestructura centralizada es la posibilidad de aplicar parches o realizar actualizaciones de manera sencilla, garantizando que siempre se tiene las últimas versiones del software.

Beneficios desde el punto de vista técnico

Automatización:

Este modelo de desarrollo permite tener una infraestructura creada y controlado por scripts, permitiendo la creación de procesos de despliegue de las aplicaciones y nuevos recursos de manera automática a través del uso de sistemas autónomos basados en los APIs de los proveedores de la infraestructura.

Escalabilidad:

El mismo proceso de automatización de los procesos dentro de la infraestructura permite que una aplicación escale de manera inmediata en razón a la demanda inesperada que está experimentando, sin la intervención de ningún operario. Así mismo, es posible tener un escalamiento proactivo en donde la aplicación puede escalar hacia arriba o hacia abajo para atender una demanda anticipada a través del entendimiento de los patrones de uso de la aplicaciones y el adecuado uso de planificación de eventos, buscando en todo momento el menor costo.

Ciclos de Desarrollo más eficientes:

A través del Cloud Computing es posible tener los ambientes de desarrollo, pruebas y producción en todas las organizaciones, garantizando que todo el software producido cumple con altos niveles de calidad. Pero lo ventaja no se limita a tener los ambientes para cada ciclo, sino que permite hacerlos de manera eficiente simplemente clonando el ambiente de producción o reemplazándolo por el de pruebas cuando se aseguró la calidad de las nuevas funcionalidades.

Mejor capacidad de prueba:

Siguiendo con la anterior ventaja, dentro del ambiente de pruebas es posible obtener el ambiente adecuado de pruebas, sin las limitaciones de hardware o software, como ocurre generalmente en las actuales organizaciones. De la misma manera se reduce el costo al hacer el despliegue y uso de unidades de prueba sólo en los momentos que sea necesario y pagando por su periodo de uso.

Recuperación ante desastres y Continuidad de Negocio:

El modelo en la nube ofrece soluciones de muy bajo costo para el mantenimiento de plataformas de recuperación tanto de servidores y sus aplicaciones así como de datos. Además, es posible usar la amplia distribución geográfica de la infraestructura del proveedor para la replicación de ambientes en varias locaciones alrededor del mundo en minutos.

Desvetajas del Cloud Computing

Así como existe una gran cantidad de ventajas, existe un número también elevado de desventajas que deben ser tomadas en cuenta a la hora de optar por el uso de este nuevo modelo de computación.

Servicios poco Personalizables:

Para las pequeñas organizaciones este puede ser un punto más crítico y con mayor dificultad que los es para las grandes organizaciones, quienes cuentan con un departamento de TI con el personal capacitado para realizar todas estas tareas de ajuste y personalización de las aplicaciones a sus necesidades. Por lo general, las aplicaciones bajo el esquema de SaaS son algo de lo que se puede disponer mas no modificar. En muchos casos las aplicaciones desarrolladas bajo demanda, a las que se tiene acceso en el modelo tradicional suelen tener una gran cantidad de funcionalidad desarrolladas específicamente para el usuario, lo cual no ocurre por lo general en la nube y esto suele ser un gran obstáculo para ser parte de la nube.

Alta latencia:

Todas las aplicaciones en la nube sufren de este problema asociado a la latencia generada por las conexiones WAN (Wide Area Network) con la que el usuario se conecta a la infraestructura de la nube. Esta restricción hace que las aplicaciones con tareas de alto procesamiento de datos sean óptimas para usar este modelo, mientras que las aplicaciones que requieren de la transferencia de volúmenes de datos considerables o con modelos de transferencia de mensajes, de cualquier tamaño, entre varias unidades de procesamiento, no lo son debido a la latencia en las comunicaciones.

Sistema sin estado:

Todos los sistemas en Cloud Computing no poseen la capacidad de llevar un estado de las comunicaciones, como ocurre por lo general en cualquier sistema en internet. La propia arquitectura de este tipo de infraestructura hace que las comunicaciones deban ser unidireccionales, como ocurre con todas las solicitudes HTTP que se realizan (PUT y GET), logrando que cada petición tenga su respuesta pero sin garantizar que se tenga una conversación a través de varias peticiones. Esto se debe a que cada mensaje, al ser un sistema distribuido, puede tomar rutas diferentes y no se garantiza el orden de llegada de cada mensaje, aunque debido a esta naturaleza se garantiza que todos los mensajes son entregados.  Esto hace que sea necesario la implementación de encabezados y de capas intermedias (middleware) para lograr este tipo de funcionalidades.

Privacidad y seguridad:

Una de las desventajas más graves que existe actualmente, al tiempo de ser el reto más grande al que se ven afrontadas las compañías, y que cualquier usuario que desee usar un sistema en la nube debe tener en cuenta es la privacidad y la seguridad de los datos. Aun cuando el proveedor del servicio, a través de los acuerdo de niveles de servicio (SLA) se comprometen a llevar un control de la seguridad del aplicación y la infraestructura, así como de la privacidad de la información de la información almacenada en sus instalaciones, existe un riesgo remanente que no puede ser eliminado ni olvidado. El riego existe en que al estar la información viajando y permaneciendo en una infraestructura que no se puede controlar, se incrementa el riesgo que dicha información pueda ser interceptada o modificada por un tercero. Pero el peor problema consiste en el marco legal que involucra y que todavía no ha sido desarrollado para estos ambientes de prestación de servicios. Actualmente, aunque es posible delegar la funciones, no es posible delegar la responsabilidad de la información, así que ante el gobierno es la empresa la responsable de dicha información, por lo que al no tener el control de la infraestructura donde está viviendo, es decir la nube,  no es posible tomar las medidas de protección o al menos no se sabe con qué medidas cuenta el proveedor para asegurar el nivel de seguridad exigido debido a la virtualización de los ambientes.

Bibliografía

Rittinghouse, J. W., & Ransome, J. F. (2011). Cloud Computing. Implementation, Managment and Security. CRC Press. Taylor and Francis Group.

Sosinsky, B. (2011). Cloud Computing Bible. Indianápolis, IN, Estados Unidos: Wiley Pubblishing, Inc.

Varia, J. (Enero de 2011). Amazon Web Services – Architecting for the Cloud: Best Practices. Amazon Web Services.

En los últimos años la computación ha estado envuelta en un gran cambio, pasando a un modelo se servicios de consumo masivo, ofreciendo una tecnología bajo el esquema de pago-bajo-demanda. En este nuevo esquema, se están desarrollando millones de aplicaciones a las cuales los usuarios pueden acceder a través de internet y no aplicaciones para correr en máquinas de manera individual. Cloud Computing es una extensión del paradigma en donde las aplicaciones son expuestas en internet como servicios a los cuales cualquier persona con autorización puede consumirlos.

El termino Cloud, o en la nube, ha sido usado metafóricamente en la historia para connotar una infraestructura por la cual los usuarios tienen acceso a aplicaciones desde cualquier lugar del mundo bajo demanda, lo que conocemos más comúnmente como Internet. Muchos diagramas de ingeniería muestran la nube como una infraestructura abstracta en donde la información fluye de un lado a otro sin importar lo que existe en medio. Aún cuando existe una estrecha relación entre esta metáfora bien conocida por todos y el verdadero significado del término computación en la nube, es importante hacer énfasis en una definición precisa.

El término Cloud implica dos conceptos claves: Abstracción y virtualización. La abstracción corresponde a olvidar los detalles de la implementación por parte de los usuarios y los desarrolladores, tomando este concepto desde un enfoque en donde las aplicaciones se ejecutan sobre una maquina física que no está especificada, los datos son almacenados en ubicaciones desconocidas, la administración de los sistemas está bajo responsabilidad de un tercero y finalmente los usuarios tienen exceso a esta infraestructura desde cualquier lugar con acceso la red. En cuanto a la virtualización se refiere a la habilidad del sistema para crear sistemas que parezcan independientes ante los usuarios a través de mecanismos de compartir y asignar periodos de uso a los recursos que cada unidad necesita.

Cloud Computing es la abstracción de la noción de compartir recursos físicos y presentarlos ante el usuario final como recursos independientes a través de la virtualización. Cuando hablamos de Cloud Computing haceos referencia a todas las aplicaciones y servicios que se ejecutan en una red distribuida usando recursos virtualizados y que pueden ser accedidos a través de protocolos comunes de internet y estándares de comunicación en redes. Lo importante es que como usuarios nos olvidamos de la infraestructura física que hay detrás y suponemos que los recursos con los que podemos contar en la nube son ilimitados.

Para entrar en una descripción más detallada tenemos dos modelos que definen Cloud Computing: a partir del lugar donde está ubicada y la manera en cómo se administra la infraestructura (Modelo de Despliegue) y a partir del tipo de servicios a los que se puede acceder en la plataforma (Modelo de Servicio). A partir de estos dos modelos es que NIST (National Institute of Standars and Technology) da una definición formal y que puede ser resumida en la siguiente figura, teniendo en cuenta que esta definición se está moviendo hacia una interacción de componentes basados en estándares como SOA (Service Oriented Architecture) por lo que en un futuro incluirá nuevos componentes.

Definición de Cloud Computing según NIST (Sosinsky, 2011)

Modelo de Despliegue

Según NIST el modelo de despliegue hace diferencia y define el propósito de la nube y en donde se encuentra ubicada. Una nube pública hace referencia a una infraestructura que está disponible para uso público, a diferencia de las nubes privadas, en donde la infraestructura es operada para uso exclusivo de una organización. También existen las nubes comunitarias que han sido creadas y organizadas para servir un propósito específico o una función común. Finalmente, las nubes híbridas combinan varias nubes, privadas, públicas y comunitarias, en donde cada una mantiene sus características propias pero trabajan en conjunto como una sola unidad.

Modelo de Servicios

Existen diferentes modelos de servicios que se describen como XaaS (<Something> as Services o <Algo> como servicio). Lo más comunes son:

INFRAESTRUCTURA COMO SERVICIO (IaaS)

Dentro de este modelo de servicio, el proveedor de servicios le ofrece a cada cliente una infraestructura computacional virtual con características estándares que pueden ser escogidas de una gran variedad de opciones ofrecidas y que el cliente selecciona de acuerdo a sus necesidades. El proveedor está encargado de todas las operaciones del hosting de los ambientes virtuales de los usuarios y de las operaciones propias del mantenimiento de la infraestructura real, mientras que los usuarios mantienen el control absoluto y son responsables de todas operaciones de despliegue de sus aplicaciones y configuraciones.

Dentro de lo que consideramos como infraestructura encontramos plataformas de virtualización de máquinas virtuales que incluyen el hardware de un computador, típicamente configurado en grid para escalabilidad horizontal masiva; acceso a redes de alta velocidad, incluyendo routers, firewalls, balanceadores de carga y dispositivos relacionados; conexión a Internet, típicamente sobre backbones OC 192; y ambientes de almacenamiento virtual. Todos estos servicios son cobrados bajo demanda y están sometidos a unos acuerdos de niveles de prestación de servicio que garantizan un mínimo de disponibilidad y confiabilidad para todo el servicio obtenido.

PLATAFORMA COMO SERVICIO (PaaS)

Cloud computing ha encapsulado plataformas para la creación y ejecución de aplicaciones web, lo que se conoce como Plataforma como Servicio. De esta manera, los desarrolladores tienen todas las herramientas para concentrarse en el diseño de nuevas aplicaciones que pueden ser accedidas desde cualquier lugar con acceso a Internet, dejando a un lado las operaciones relacionadas con la configuración y mantenimiento de la infraestructura en la cual estará soportada la aplicación, el sistema operativo e incluso la instalación y configuración de las herramientas de desarrollo. El desarrollador o la empresa sólo están encargados de su propia aplicación.

PaaS ofrece un nuevo modelo para el desarrollo de aplicaciones mucho más económico, rápido y con mayores garantías de éxito que al antiguo modelo de desarrollo de aplicaciones específicas para cada organización. Las empresas que prestan estos servicios cuentan facilidades para el diseño de las aplicaciones a través de workflows y herramientas para el ciclo de desarrollo, pruebas, despliegue y hosting, así como oficinas virtuales, equipos de colaboración, integración de bases de datos, seguridad, escalabilidad, manejos de estados, paneles de control y muchas otras facilidades que una infraestructura propia difícilmente puede llegar a tener.

Entre las principales características de PaaS encontramos que está basado completamente en estándares web como lo son HTML y JavaScript y está diseñado con una arquitectura que soporta multitenant que garantiza la utilización de una aplicación por muchos usuarios independientes e incluyendo funcionalidades que soportan el manejo de concurrencia, escalabilidad y tolerancia a fallos. Otra de las características esenciales es su integración con servicios web y bases de datos a través de protocolos SOAP (Simple Object Access Protocol) que permite la creación de combinaciones de servicios web, reutilización de funcionalidades y acceso a servicios privados.

SOFTWARE COMO SERVICIO (SaaS)

Software como servicio es un modelo de distribución de aplicaciones que son alojadas por el vendedor y distribuidas a los clientes a través de una red como Internet y por lo general utilizando navegadores web, a diferencia del modelo tradicional donde cada usuario compraba la aplicación y se encargaba de su instalación en cada una de las máquinas en donde se iba a utilizar. Muchas de las aplicaciones del modelo SaaS están enfocadas en proveer funcionalidades a clientes empresariales a bajos precios, ofreciendo los mismos beneficios del software tradicional sin la complejidad asociada a la instalación, administración, soporte y costo inicial que este representa. De esta manera, el cliente SaaS sólo tiene la responsabilidad del uso del software contratado mediante prepago, de ahí hacia abajo es responsabilidad del vendedor.

La arquitectura de estas aplicaciones está basada también en el compartir una misma aplicación con varios clientes, repartiendo así el precio de la licencia entre todos de manera equitativa a su uso. De esta manera, una sola aplicación es usada por varios clientes, cada uno separado de los otros a través de contextos lógicos. Las aplicaciones más comunes son los ERP, CRM, SCM y otra amplia gama de paquetes para verticales de negocio. Esto ha hecho que tanto grandes corporaciones como pequeños negocios obtengan acceso a esta clase de herramientas, haciéndolas más competitivas al centrar sus esfuerzos en el dominio principal del negocio.

Características del Cloud Computing

El modelo de la computación en la nube fue caracterizado por la NIST por tener tres niveles de servicios conocidos como SPI (SaaS, IaaD y IaaS) y cuatro tipos de nubes (pública, privada, comunitaria e híbrida), como se describió en la anterior sección. Adicionalmente, la NIST le otorgó cinco características esenciales que cualquier servicio de computación en la nube debe ofrecer a sus usuarios (Sosinsky, 2011):

1. Autoservicio bajo demanda (On-demand self-service): Cualquier usuario de la nube puede ter acceso a los recursos computacionales cuando éste los necesite y sin ningún tipo de interacción con el personal encargado de la nube, de manera automática y unilateral.
2. Acceso completo a la red (Broad network acces): Todos los recursos que se ofrecen en la nube, así como las aplicaciones que el usuario está implementando deben tener completo acceso a través de la red usando métodos estándares, de manera que se permita un acceso independiente de la plataforma de los clientes del usuario. Esto garantiza que cualquier usuario, con cualquier sistema operativo o dispositivo (computadores, teléfonos móviles, PDAs, etc.) tengan acceso a los servicios.
3. Agrupación y distribución de recursos (Resource pooling): El proveedor de la nube debe crear recursos que se encuentran agrupados pero que pueden ser distribuidos entre muchos usuarios, lo que se conoce como el soporte de uso multiusuario. De esta manera, los sistemas tanto físicos como virtuales deben ser distribuidos dinámicamente según las necesidades actuales de los usuarios y dando, por hecho, la abstracción de la ubicación real de los recursos consumidos por cada cliente.
4. Elasticidad rápida (Rapid elasticity): Esta característica indica que los recursos deben ser otorgados de manera rápida y elástica, según las necesidades del cliente en el momento en que este los solicite. El adicionar recursos se puede dar de dos maneras: horizontalmente (Ampliando el número de recursos físicos, es decir, agregando más computadores) o verticalmente (Cambiando los actuales recursos por otros con mayores capacidades). Sin embargo, es importante notar que los recursos a los que puede tener acceso el cliente, desde su punto de vista, son ilimitados.
5. Medición del servicio (Measured service): La última característica indica que el uso de cualquier recursos debe ser medido, auditado y reportado al cliente en base a un sistema de medición acordado previamente entre el proveedor y el usuario. De esta manera al usuario se le generan cargos económicos según el espacio de disco que usa, el número de transacciones, unidades de procesamiento, tiempo de uso, etc.

Videos

Aquí les dejo dos videos donde explican el concepto de Cloud Computing. El primero es mucho más gráfico y el segundo es mucho más técnico.

Click here to view the embedded video.

Click here to view the embedded video.

Algunos enlaces de interés

Cloud Computing LA

Blog Windows Azure

Amazon Web Services

Bibliografía

Rittinghouse, J. W., & Ransome, J. F. (2011). Cloud Computing. Implementation, Managment and Security. CRC Press. Taylor and Francis Group.

Sosinsky, B. (2011). Cloud Computing Bible. Indianápolis, IN, Estados Unidos: Wiley Pubblishing, Inc.

Aquí les dejo algunos de los últimos cómic que dejaron un algo en mi:

The Blmae Line: Everyone hates gravity
(Fuente)

Everyone hates gravity.

Asking For Computer Help: You’re good at technology, right?
(Fuente)

You're good at technology, right?

Soup
(Fuente)

Sinopsis:

Urbanizacion Vs Naturaleza: Detrimento del Patrimonio Nacional (Natural)

Dentro del Patrimonio Nacional de una nación encontramos el patrimonio Natural, el Histórico y el Cultural. El patrimonio Natural hace referencia a todas las formaciones físicas y biológicas de interés estético o científico, formaciones geológicas o fisiológicas que son el habitad de especies animales y vegetales propios de cada país o que se encuentran en vía de extinción o tienen algún interés ara la ciencia o la conservación. En la primera fotografía de serie, Urbanización Vs Naturaleza, quiero mostrar el impacto de las ciudades como Bogotá y el área de la Sabana en las formaciones naturales como son los humedales. Estos son importantes reservas de fauna y flora además de formar parte de la cuenca del rio Bogotá. El constante crecimiento de la ciudad ha invadido estos humedales para dar paso a grandes construcciones urbanas sin tener en cuenta el efecto para los animales y plantas que viven en ellos, pero aún más importante, el daño a todos nosotros, quienes respiramos un aíre que es descontaminado por estos pulmones de la ciudad.

Plaza de Bolívar: Detrimento del Patrimonio Nacional (Histórico) - Clic para ampliar

Plaza de los Periodistas - Detrimento del Patrimonio Nacional (Histórico) - Clic para ampliar

Como patrimonio Histórico encontramos todos los lugares o bienes, materiales o inmateriales, que representan a personajes de la historia o actividades que marcaron para siempre la historia del país. En la siguientes fotos de la serie, Plaza de los Periodistas y Plaza de Bolívar, se muestran dos lugares de la localidad de La Candelaria, considerada como patrimonio Histórico y Culturar del Colombia para el mundo. Ambos monumentos han sido deteriorados, físicamente, con mensajes y grafitis que a pesar de mostrar el pensamiento de una población, no respetan estas construcciones que hacen memoria a Simón Bolívar, El Libertador, personaje que se encargó de la independencia de los actuales Colombia, Bolivia, Ecuador, Panamá, Perú y Venezuela. Estos son considerados actos vandálicos y son castigados levemente por la justicia, pero existe la necesidad de crear conciencia de la necesidad de preservar nuestra historia y brindar maneras de expresión que no vallan en contra de este principio de conservación.

Grafiti y Familia Indígena - Detrimento del Patrimonio Nacional (Cultural) - Clic para ampliar

En la siguiente fotografía de la serie, Grafiti y Familia Indígena, muestra nuevamente como esta actividad el Grafiti o técnica de inscripción o pintura sobre inmobiliario, que puede ser considerada una forma de arte, toma como lienzo las edificaciones que representan nuestra historia, como aparece en la fotografía junto a una familia indígena. Estas expresiones no pueden ser eliminadas ya que hacen parte de la sociedad, pero si deben ser enfocadas no dañar el patrimonio y ser usadas, como se ha venido dando en algunos sectores de la capital Colombiana, para adornar lugares residenciales o comerciales de manera controlada, garantizando una estéticas y planeación.

Cultura Indígena - Detrimento del Patrimonio Nacional (Cultural) - Clic para ampliar

Siguiendo con la familia indígena de la fotografía, nos encontramos con la tercera y última forma de patrimonio nacional, el patrimonio Cultural. Este patrimonio es la herencia que ha dejado la cultura propia de cada lugar de la nación, que todavía se vive y es transmitida todavía entre las nuevas generaciones. Según lo dictado por la UNESCO, el patrimonio cultural inmaterial es entendido como los usos, representaciones, expresiones, conocimientos y técnicas, junto a los instrumentos, objetos, artefactos y espacios culturales que son inherentes a las comunidades pertenecientes al patrimonio cultural. Así como se muestra en la última fotografía de la serie, Cultura Indígena, esta familia conserva muchas de sus tradiciones como la vestimenta y sus habilidades para la creación de accesorios con técnicas propias. Su cultura, representada a través de las manillas, collares y otros adornos muy apetecidos tanto por toda la población Colombiana como por el mundo entero, está siendo acabada por problemas de respeto a su espacio original, problemas sociales como el desplazamiento forzado o la presión de las necesidades económicas de la actual sociedad. Las culturas indígenas deben ser protegidas, respetadas y ayudas con el fin de conservar su arte, su cultura y su vida, sin que las necesidades actuales los afecten.

Fotografías:

En mi cuenta de flickr se pueden encontrar las anteriores imágenes, y muchas más, en calidad óptima y tamaño original.

• Urbanizacion Vs Naturaleza
• Plaza de Bolívar
• Grafiti y Familia Indígena
• Cultura Indígena

La verdad nunca me había preguntado por la historia detrás de estos adhesivos, hasta que me topé con ella y aquí se las dejo…

¿Cómo surgieron los Post-It?

Los Post-It fue un invento del químico Dr. Spencer Silver, quien trabajaba para la compañía 3M en el año de 1968 como Científico Ejecutivo en el Laboratorio de Investigación Corporativa. Su trabajo era encontrar un pegamento de alta capacidad que pudiera ser usado en la construcción de aviones. Sin embargo, el resultado fue un pegamento de alta calidad pero lo suficientemente débil como pegar dos hojas y luego despegarlas sin dañarlas. En este momento, el Dr Spencer no encontró un uso a su descubrimiento, así que lo mostró a sus compañeros esperando que alguno pudiera ayudarlo. Ninguno de sus colegas lo pudo ayudar.

En 1974 otro científico de la compañía 3M, Art Fry, quien también participaba en el coro de una iglesia se enfrenta al problema de perder la página en el libro de himnos, obligándolo a buscar desesperadamente la página correcta durante las presentaciones. En uno de esos momentos, recordó el invento de Spencer y comenzó a idear una solución que finalmente terminaría en volverse una innovación para nuestro mundo. Fry toma un pedazo de papel de la oficina, que tenía el color amarillo que terminó en volverse el color oficial y lo unta del pegamento. Estos papelitos tenían la capacidad de mantenerse adheridos por mucho tiempo y podían ser reutilizados sin perder su efectividad.

Para 1977, 5 años después de la invención del pegamento, Art Fry logra superar los obstáculos de la fabricación para producir suficientes Post-It y los distribuye en todas las oficinas corporativas de 3M. Adicionalmente se prueban en distintos mercados, pero los resultados además de ser variantes, no cumplen con todas las expectativas.

En 1978, los representantes de ventas de 3M se dan cuenta que el secreto está en dar muestras gratis, tal como ocurrió con los empleados de la compañía, para lograr el éxitos. Por esta razón se idean lo que se conoce como “Bombardeo a Boise”, en donde muchos representantes de ventas distribuyen muestras de estas particulares papeles en la ciudad de Boise, Idhao. El resultado: 90% de los consumidores de oficinas que los probaron quedaron aficionados, así que los dirigentes de 3M dan luz verde para la producción en grandes cantidades bajo el nombre de Post-It.

En 1979se realiza el lanzamiento para 11 estados del oeste de Estados Unidos y finalmente se logra en 1980 el lanzamiento en todo el territorio americano. En 1981 se introducen al mercado de Canadá y Europa. Hoy en día existen más de 600 productos Post-It en más de 100 países, siempre han sido fabricados de materiales reciclados, se encuentran en 8 tamaños 25 formas y 62 colores diferentes, los encontramos en todas las oficinas, hogares, bibliotecas, paredes, muros, neveras y hasta en la pantalla de tu computador.

Post-It hecho arte…

Otro de los muchos usos que se le han dado es el Arte. En Internet podemos encontrar varios artistas con sus obras repletas de estos papelitos. Unos ejemplos bastante buenos son los siguientes:

Dos imágenes…

Y tres vídeos…

DEADLINE post-it stop motion (Por bunliu)

Click here to view the embedded video.

DEADLINE 2 : Sticking Close to You (Por bunliu)

Click here to view the embedded video.

Post-It Love (Por Future Shorts)

Click here to view the embedded video.

Visto en:

• Post-It (R) Brand – Historia – 3M México
• FayerWayer – El origen del Post-It

Desde que se comenzó a hablar sobre la ley de “Protección a los derechos de autor”, mejor conocida como Ley Lleras (Más info aquí), por el cual se regula la responsabilidad por las infracciones al derecho de autor y los derechos conexos en Internet, han empezado a levantarse las dos caras de la historia. Muchos no estamos de acuerdo con la totalidad de la ley y se han dado una gran cantidad protestas cibernéticas en contra de esta ley, la mayoría encabezada por el grupo Anonymous Colombia.

Anonymous se autodenominan como una “Legión internacional apoyada por varios Colombianos”. No se consideran un grupo de Hacktivistas ni terroristas cibernéticos como los tildan las autoridades en sus declaraciones, sino un grupo de ciudadanos con el privilegio de tener acceso al conocimiento, lo que les permite tomar acciones cuando sus derechos se ven vulnerados. Aunque sus acciones están contempladas en la ley 1273 de 2009 articulo 26B y 269H. (Lo que los hace penalizables: ”[...] incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayo.”)

“Anonymous somos todos y no es nadie, nuestra principal motivación es que la información pueda circular libre en la red. Internet no tiene presidente y si no hemos ni vamos a elegir ninguno, no entendemos por qué quieren poner leyes en el mundo virtual. No estamos de acuerdo en que se apoderen de él como lo están intentando hacer con el mundo físico, en la red no hay jerarquí­as, somos iguales todos, no hay coerciones, es un estado de flujo, de ir y venir sin restricciones.”

Ataques DDoS

Este grupo ha iniciado una serie de ataques de denegación de servicio distribuido (DDoS) a los portales de entidades del gobierno, entre las que encontramos el sitio del Ministerio del Interior y de Justicia y las páginas de la Presidencia de la República. Estos ataques tienen la idea de ser manifestaciones pacíficas. La coordinación de estos ataques se han dado gracias a los anuncios publicados en su cuenta de Twitter (Anonymous_co) y del canal IRC.

Para quienes no lo saben, un ataque de Denegación de Servicio no es más que una acción que tiene como objetivo acabar con un servicio, de manera que este sea inexequible a quienes realmente lo necesitan. Estos servicios son prestados por un servidor que se encarga de recibir las peticiones de cada uno de los clientes y atenderlas. Estos servidores son máquinas similares a las que tienes en este momento al frente, pero con mayores capacidades computacionales, pero limitadas al fin de cuentas. Cuando el número de peticiones es muy grande y llegan con tal rapidez que no pueden ser atendidas inmediatamente, entran a una cola de espera. Si las magnitudes aumentan, esta cola de espera, que no es otra cosa que un espacio en memoria se llena o no puede ser operada a tal velocidad, el sistema colapsa. Esto genera un cuello de botella en donde no se puede atender ninguna de las solicitudes que llegan, aun cuando estas son legales. ¿Cómo logran estas tazas de peticiones tan altas? Con un botnet, que es un conjunto con una gran cantidad de computadores que trabajan como zombies (infectados a través de código malicioso y sus dueños muy posiblemente no tienen la menor idea de lo que está sucediendo) y bots o robots. Lo que hace anonymous es que estas máquinas no sean zombies ni robots, sino miles de usuarios que conscientemente están generando una gran cantidad de peticiones a través de herramientas que ayudan a automatizar el proceso.

Se puede consultar más información en este link.

Un mensaje de Anonymous

Después de realizados varios ataques a sitios del gobierno y las respectivas declaraciones de las autoridades, el grupo Anonymous Colombia ha publicado un video con claro mensaje:

Click here to view the embedded video.

Algunas respuestas del grupo Anonymous a Enter.co

¿Cuál es la propuesta de Anonymous (aunque sé que es un grupo descentralizado y no hay posiciones ‘oficiales’) para que los internautas conservemos todas las libertades, y a la vez los creadores (escritores, desarrolladores de software, músicos, etc.) puedan proteger, si quieren, sus derechos? ¿Hay algún modelo internacional que se acerque a lo ideal?

Un control de precios y apertura económica debidos por medio del Estado, definiendo pautas apropiadas para la importación de material, para la entrada de tiendas que no han podido existir aquí (como iTunes Store), la apertura del mercado (aquí no se puede conseguir X o Y títulos, libros, etc., y dando posibilidad a la ciudadanía de adquirirlos.

Es irónico, combatir la piratería, por ejemplo, de software, donde un programa de oficina básico puede costar 300,000; 400,000 hasta 800,000; o un antivirus de 200,000 el año, en contraste con un paupérrimo salario mínimo (pasa lo mismo con música, películas, libros, etc). En otras palabras, nadie puede comprar, por tanto la gente opta por el acceso a estos sin permiso alguno. Y más irónico aún, por ejemplo, siendo los mismos ‘honorables’ Senadores quienes buscan “programas gratis” “música” y “pornografía” en Internet cuando “trabajan”.

En un país tan inequitativo socialmente, una ley como éstas sólo aumentaría la brecha entre ricos y pobres, permitiendo el acceso a la información sólo a los adinerados y rezagando a los que tienen poco poder adquisitivo. Sería dejar la capacidad culturizante y educativa de Internet en manos del mercado.

Un Modelo Internacional que a la fecha a traído muy buenos resultados es el de Creative Commons (CC) o el Copy Left, los cuales buscan facilitar la difusión de herramientas informáticas, poder citar obras de autores, reproducirlas, regalarlas o crear derivadas, con distintos tipos de restricciones como la No-Venta y el respeto de su autoria original. Igualmente, Creative Commons busca apoyar a las naciones en desarrollo con licencias que permitan su libre distribución en éstos, con el apoyo de los países industrializados.

Se supone que hay un foro en línea y que habrá varias actividades para que en el proyecto se hagan los ajustes, las correcciones y las adiciones que los ciudadanos propongan. ¿Cree Anonymous que estos mecanismos no sirven y por esto está lanzando ataques contra sitios web? ¿O pueden servir de algo?

No sirven por la simple razón de que es una farsa; muchos usuarios se han quejado debido a que sus comentarios han sido borrados.Consideramos esto un insulto a la libre expresión, si se plantea un foro donde el pueblo pueda debatir y opinar libremente sobre su opinión al respecto debe ser sin repercusión alguna o con moderadores que elijan que comentarios consideran pertinentes y cuáles no. Lo ideal sería que este tipo de espacios se hubieran abierto antes de presentar la ley, pero esta discusión ya no está en manos de el proponente sino del congreso, por lo que es totalmente inservible.

Los DDos no son ataques, son una expresión de inconformismo que no causa ningun daño a la estructura de la página, no se pierde ni un solo byte de información, es nuestra forma de marchar frente a una entidad y decirle: “Hey, no nos gusta lo que están haciendo, si no toman en cuenta nuestra opinión, seguiremos sentados frente a su puerta”

Imagen tomada de la pagína web del Ministerio del Interior y de Justicia - Firma de Proyecto de Ley

Hace unas semanas el congreso colombiano anunció dos proyectos de ley propuestos por el Ministerio del Interior y de Justicia, que han causado grandes polémicas en el entorno social y político. Se trata de la ley de “Inteligencia y Contrainteligencia” por la cual se pretende proteger la a todas las personas que están en riesgo por actividad política en el país; y la ley de “Protección a los derechos de autor”, mejor conocida como Ley Lleras, por el cual se regula la responsabilidad por las infracciones al derecho de autor y los derechos conexos en Internet.

Ley de Derechos de Autor en Internet

Como se expresa en la página del ministerio, se quieren tomar medidas serias contra la piratería en la red. La idea es que se tengan mecanismos legales para bloquear contenido publicado en Internet a parte de la pornografía infantil, obligando a los proveedores de servicios de internet (ISP) a bloquear el acceso a la lista de material protegido con derechos de autor. Textualmente se dice que “El proyecto propone que en Colombia la decisión de deshabilitar o retirar contenidos de páginas web quede en manos de la jurisdicción, y que el procedimiento creado brinde garantías procesales y la libre información de los usuarios de Internet”.

Todo suena muy bien en boca del gobierno, pero existen grandes incongruencias y textos ambiguos que pueden ser interpretados de maneras muy distintas, que finalmente pueden terminar perjudicando a los usuarios de la red. Para comenzar, no se tiene una definición clara y precisa de lo que se considera un delito informático. Esto permite que cualquier persona que cometa una infracción sea juzgada y tildada como criminal. ¿Qué es entonces una infracción? Se define como subir o descargar contenido protegido por derechos de autor, sea o no utilizado para fines comerciales o lucrativos. Dentro de este marco se estaría penalizando, si alguien lo desea, cualquier foto que subas a tu perfil en Facebook donde sea legible el logotipo de la marca de la ropa que llevas puesta y mucho menos podrás grabarte cantando una canción porque no has pagado los derechos correspondientes. En este momento parece que la “Neutralidad en la Red” va rumbo a convertirse en otra utopía de la sociedad moderna.

¿Cómo hará el gobierno para determinar si lo que estás descargando o subiendo a la rede está protegido? Bueno, para saberlo tienen que saber qué es lo que circula por la red. Es de esta manera que el gobierno podrá “chuzar” tu conexión e interceptar cualquier paquete que sea transmitido, aun cuando su información sea privada y confidencial. Siendo entonces los usuarios los principales afectados en la ley, ¿Por qué el gobierno decidió apresurase y saltarse cualquier tipo de discusión pública? El proyecto de ley pasó sin ni ningún debate con expertos y ciudadanos, directamente al Congreso de la República. ¿Qué está buscando realmente el en su jugada con la ley Lleras y la Ley de Inteligencia y contrainteligencia? Lo que nos queda claro, por el momento, es que estas leyes obedecen no al interés real por los usuarios sino a un requerimiento impuesto por el gobierno de Estados Unidos para la firma del TLC y la protección de grandes empresas que producen millonarias ganancias en la producción de contenidos.

Algunos grupos como Anonymous, han realizado protestas contra estas ley  a través de ataques de denegación de servicios a reconocidos portales web del gobierno, entre los que encontramos el sitio del Ministerio de Interior y de Defensa.  Ver más información aquí.

Ejemplo – Un caso en concreto

Tomemos como ejemplo el Artículo 1 de la propuesta de ley que nos define lo que se considera un proveedor de servicio de internet o ISP que, como se mencionó anteriormente tiene la obligación legal de bloquear el acceso al contenido protegido.

“Artículo 1. Prestadores de servicios de internet. A los efectos de esta ley se entenderán por tales las personas que presten uno o varios de los siguientes servicios: a) Transmitir, enrutar o suministrar conexiones para materiales sin hacer modificaciones en su contenido; b) Almacenar datos temporalmente mediante un proceso automático (caching); c) Almacenar a petición de un usuario del material que se aloja en un sistema o red controlado u operado por o para el prestador de servicios; d) Referir o vincular a los usuarios a un sitio en línea mediante la utilización de herramientas de búsqueda de información, incluyendo hipervínculos y directorios.”

Muchos de nosotros usamos una red inalámbrica para conectar todos nuestros dispositivos a la red. Se ha demostrado que una gran cantidad de usuarios únicamente han comprado el Router y conectado al modem, dejando su conexión abierta. Algunos otros han establecido mecanismos de seguridad como WEP, con una contraseña fácil de recordar, y por ende, fácil de obtener. Incluso, los ISP que instalan un modem inalámbrico en nuestros hogares obligan a usar WEP porque no nos dan permisos para configurar los modem, que según el contrato, se encuentran en comodato y por ende no tenemos derechos sobre ellos. Son muy pocos los usuarios que han cambiado su protocolo de seguridad a sistemas más robustos como WPA2.

Los sistemas de protección WEP son bastante débiles en la actualidad y solo se requiere de un software que se consigue de manera libre y abierta en internet como la distribución BackTrack para penetrar a estos sistemas y hacerse con la contraseña. Una red abierta o desprotegida o con seguridad WEP puede considerarse, según el artículo 1, como un proveedor de servicio a internet o ISP. Son entonces, estos usuarios, responsables directos del tráfico que circula por su red? Debe este usuario estar en la obligación de supervisar y controlar el contenido con derechos de autor so pena de recibir una multa, o incluso cárcel sin estar involucrado en ningún acto delictivo.

En el sitio GeekThePlanet.net encontré un enlace al sitio ePubGratis.es, donde es posible descargar de manera gratuita un total de 200 libros (Este número está incrementando con el tiempo!) y de muy buena calidad.

Descarga de libros electrónicos gratuitos en formato ePub - ePubGratis.es

Las categorías disponibles son:

• Aventuras (51)
• Ciencia Ficción (14)
• Clásico (14)
• Drama (13)
• Fantástico (49)
• Histórico (18)
• Humor (2)
• Infantil y juvenil (24)
• Intriga (25)
• Poesía (0)
• Policíaco (6)
• Referencia (0)
• Romántico (9)
• Teatro (0)
• Terror (19)
• otros (11)

También es posible leer estos libros directamente en nuestros computadores a través de la aplicación Adobe Digital Editions

Otros sitios para la descarga de libros electrónicos son:

• Proyecto Guntenberg
• ePubBooks
• FeedBooks

Cisco Systems Corporate por Taylor McNight (CC) - http://flic.kr/p/f117g

Cisco Systems Inc. es una empresa fundada por dos Ingenieros de Sistemas de la universidad de Stanford en 1984 y dada a conocer al mundo en 1990 y que se ha encargado de dominar y explotar el mercado de las redes de dato. Actualmente se dedica principalmente a la fabricación, venta, mantenimiento y consultoría de una amplia gama de equipos de telecomunicaciones y se ha consolidado como el líder mundial en soluciones der e infraestructuras para Internet.

El primero producto de Cisco fueron los Routers, un equipo que permitía controlar el flujo de paquetes de datos a través de las complejas topologías de las redes utilizando el protocolo TCP/IP, que permitían la existencia tanto de Internet como de las redes corporativas o Intranets. Con el crecimiento acelerado de Internet debido a su popularidad, Cisco logró consolidarse como el líder y dominar el mercado con sus productos. Esto le permitió pasar de una capitalización del mercado de $100 billones de dólares en 1998 a $531 billones en el año 2000.

Cisco comenzó en el mercado dando una lucha en tres diferentes frentes con sus productos: Redes de telefonía para transmisión de voz, redes área local para la transmisión de datos y redes de broadcast para la transmisión de video. La idea de Cisco se basa en que la digitalización permitiría la transmisión de audio, video y datos a través de una sola red conocida como Internet, haciendo que el proceso sea mucho más eficiente y barato. En este punto se funda la visión de la compañía que puede ser resumida en las palabras de su CEO: “Information at your finger tips, with a computer in every desk and in every home”.

Internet es una red fundada en estándares abiertos, lo creo un nuevo frente de batalla para la vertical de negocio a la que pertenece Cisco, donde compiten grandes empresas de telecomunicaciones regulares como AT&T, Verizon, British Telecom y Deutsche Telecom. Este nuevo negocio de transmisión de datos ha permitido el surgimiento de nuevas compañías que se dedican a ofrecer servicios como el acceso a Internet, hosting, email, y servicios de búsqueda de información. Todas estas actividades aceleraron aun más las redes IP, haciendo que para el año 2000 el tráfico de datos excedía ampliamente el tráfico de voz. Siendo Cisco el principal proveedor, se estimó que el 70% de estos datos viajaban soportados en productos de la compañía Cisco.

ESTRATEGIAS DE NEGOCIO DE CISCO

John Morgridge. Ex-CEO de CISCO

En 1988 fue contratado John Morgridge como CEO de la compañía debido a su experiencia en la industria de la computación. Inmediatamente comenzó a construir inmediatamente un equipo de administración profesional. Morgridge implantó un sistema basado en la idea de un control centralizado general y tres ramas descentralizadas en el área de Investigación y Desarrollo, una para cada línea de negocio: Negocios pequeño, medianos y proveedores de servicios.

En 1991 Morgridge contrató a John Chambers, quien asumió el rol de CEO en 1995. En 1993, Morgridge y Chambers, junto a Ed Kozel quien era el CTO en el momento, generaron un plan de estrategia constituido por 6 elementos, que se explican a continuación.

TENER UNA LINEA DE PRODUCTO AMPLIA PARA REDES EMPRESARIALES

Cisco quería tener una línea de productos bastante amplia que le permitieran servir como un único punto de venta para todas las redes empresariales, que le permitían a la empresa manejar el tráfico de datos desde la oficina principal hasta cada uno de los terminales de la empresa. Esta estrategia se muestra finalmente en el ofrecimiento de productos en la actualidad que satisfacen todas las necesidades de un cliente. Con el tiempo Cisco se consolidó tanto en el ámbito de grandes proveedores de servicios y ambientes empresariales como los pequeños nichos con requerimientos específicos como pequeños comercios o consumidores finales.

ADQUICISCIÓN SISTEMÁTICA COMO UN PROCESO DE NEGOCIO EFECTIVO

Cisco tenía en mente la adquisición de varias compañías y la realización de importantes alianzas estratégicas con el fin de lograr completar sus líneas de productos. Cada uno de estos procesos debía ser sistematizado para reducir los tiempos y costos para aumentar la ventaja competitiva de la compañía. En la actualidad el proceso de “Merge and Acquisitions” se ha conertido en una innovación interna. La capacidad de innovación es el marco seguro para éxito y la sostenibilidad de la empresa, algo que Cisco ha logrado mantener con la integración de nuevas, pequeñas y medianas empresas que tienen las ideas innovadoras pero no necesariamente los recursos, los medios o el conocimiento para poner en marcha estas ideas.

ESTABLECIMIENTO DE ESTÁNDARES DE SOFTWARE PARA TODA LA INDUSTRIA

Cisco implemento un sistema operativo para redes conocido como IOS (Internetwork Operating System), que fue licenciado a compañías como Alcatel, Ericcson, Northen Telecom, Compaq, Hewlett-Packard, Bay Networks, 3Com, Microsoft, Intel y otras 12 compañias japonesas. En la actualidad Cisco logró hacer que cada hogar en el planeta, como lo digo su CEO algún tiempo atrás, contara con el equipo para conectarse a cualquier red basada en el protocolo IP.

ESCOGENCIA DEL ALIADO ESTRATÉGICO ADECUADO

Cisco estaba empeñado en realizar alianzas estratégicas con las compañías más adecuadas de la industria. Como ejemplo tenemos el trabajo realizado con Microsoft en la creación de un estándar de seguridad en redes o con HP para el desarrollo y venta de sistemas de computación corporativa basada en internet. En la actualidad Cisco cuenta con tres focos para la escogencia de aliados, con los que algunos terminan también en adquisiciones o compras de la compañía por parte de Cisco: Aceleración de mercados, expansión del mercado y la entrada a nuevos mercados.

IMPLEMENTACIÓN DE UN ERP

NECESIDAD DE IMPLEMETNACIÓN DE UN NUEVO SISTEMA DE INFORMACIÓN

En 1993 entró a la organización Pete Solvik como CIO. En este momento la compañía se encontraba soportado en sistemas UNIX que le permitían manejar todos sus procesos transaccionales a través de una amplia gama de paquetes, uno para cada área como finanzas, recursos humanos, ventas, etc. La experiencia de Solvik y junto al crecimiento de la compañía lograron determinar la necesidad de un cambio urgente en todos los sistemas de información. Se sabía que los actuales sistemas no darían abasto para las nuevas necesidades y empezarían a traer problemas al desarrollo diario de la compañía.

Algunos análisis realizaron mostraron que existían varias demoras en los procesos de negocio debido al proceso de sincronización de la información que debía hacerse en cada uno de los pasos. Esto se reflejaba en gasto innecesario de recursos y tiempo de los empleados e incluso algunos procesos como investigación y desarrollo debían iterar entre 5 y 6 ciclos. Como mostraremos, con un ERP esto se redujo a 2.5 ciclos. Finalmente, en el mes de febrero de 1994 se comenzaron a materializar los problemas en la infraestructura con un daño en la base de datos de la aplicación principal. Este daño llevo a que la compañía estuviera sin sistemas por dos días, generando millonarias pérdidas. El tiempo se había agotado y todo el equipo de TI estaba de acuerdo en la necesidad de un cambio pronto.

PROCESO DE SELECCIÓN DEL ERP A IMPLEMENTAR

Desde un comienzo se tomó en cuenta la importancia del tiempo ya que la situación no permití la implementación en fases y fupe necesario un plan para un cambio total. En este momento se entró en el proceso de selección del sistema ERP que se iba a implementar en la compañía. Dada la estrategia de la compañía de escoger a la alianza estratégica correcta, se tuvo a KPMG con sus amplias habilidades técnicas y conocimiento del negocio. Junto a KPMG se estableció la tarea de especificar las necesidades de Cisco respecto al software (RFP – Request For Proposals) que se les entregaría a todos los vendedores con el fin de que cada uno mostrara su mejor opción.

Finalizado este proceso, se le dio a cada uno de los vendedores dos semanas para presentar su propuesta, mientras Cisco continuaba la investigación de cada una de las empresas vendedoras. Finalmente, a cada empresa se le dio un conjunto de datos de ejemplo y un espacio de tres días para que pudieran presentar como su solución cumplía, o no, con los requerimientos especificados. Finalmente se escogía a Orcale como la compañía vencedora. Además de las características de la solución presentada, Cisco compartía con Oracle en gran parte su visión, además de tener la capacidad tanto económica como de negocio para estar a la misma altura de Cisco. Este proceso demoró un total de 75 días.

Finalmente se acordó el negocio entre Orcale y Cisco por un valor de 15 millones de dólares. El quipo preparó la presentación del proyecto al CEO Morgridge. Era un valor considerable para cualquier proyecto, así que era importante mostrar no solo las necesidades de una migración a nuevos sistemas sino también la generación de valor que este iba a dar a los procesos de negocio y como se alineaba con el plan estratégico de la empresa. Durante esta reunión con CEO se presentaron nuevos problemas con los sistemas, casi impidiendo que se pudiera mostrar la información, lo que aceleró la aprobación del mismo y catalogación de prioritario.

IMPLEMENTACIÓN DEL ERP POR PARTE DE ORACLE

Oracle logo on a building at Oracle HQ - Fotografía por: Oracle_Photo_Screenshots (C) - http://www.flickr.com/photos/oracle_images/4952257444/

Para la implementación del ERP se utilizó una técnica conocida como “Rapid Iterative Prototyping”, con lo que se tenían fases llamadas “Conference Room pilots” o CRP. Cada una de estas construía sobre las anteriores y buscaban un mejor entendimiento del software y su funcionalidad para el ambiente del negocio. A continuación se muestra el resultado de cada CRP.

CRP-0

En el primer CRP se implementó el equipo de trabajo y ambiente técnico en las aplicaciones Oracle. A cada grupo se le impartió clases de entrenamiento de 16 horas diarias durante 5 días. Finalizado el entrenamiento cada grupo se encargó de la configuración de cada uno de los miles de parámetros de la aplicación. Al finalizar la semana y el CRP-0 se demostró la capacidad del software para procesar las órdenes de Cisco a través de todos procesos de negocio de la compañía (Quote-to-Cash).

CRP-1

Finalizado CRP-0 se pasó a la tarea de hacer funcionar el sistema en cada una de las áreas de la compañía. Se generaron scripts de la respectiva documentación del proceso que se estaba llevando, incluyendo los problemas encontrados. Estos eran tratados en reuniones de 3 horas semanales, en donde los líderes de cada grupo encontraban las soluciones de cada uno. Adicionalmente se tuvo un arduo proceso de modelamiento, ya que muchos procesos de negocio no eran soportados por la aplicación y debían ser implementados. Un equipo de implementación se encargó de llenar cada uno de los vacíos del ERP.

CRP-2 Y CRP-3

Durante los dos siguientes ciclos se entró al proceso más difícil de la implementación con la inclusión del paquete adicional de ventas que debía ser desarrollado a medida para cumplir con el proceso de Cisco, que no era soportado originalmente por el software de Oracle. También se presentaron algunos problemas técnicos con las comunicaciones, pasando de un modelo punto-a-punto que originalmente se tenía a un modelo donde toda la información pasaba a través de un data wharehouse, que adicionalmente ofrecía ventajas a la recopilación de información para Cisco.

Al finalizar el CRP.2 se entró en una fase de pruebas del sistemas, tanto hardware como software, determinando que la capacidad de carga y volúmenes de transacciones generados por Cisco eran soportados correctamente y que además el sistema soportaba el crecimiento esperado y que había generado originalmente la necesidad del cambio de los sistemas de información. CRP-3 se dedicó finalmente a la generación de pruebas totales del sistema y la preparación de la puesta en marcha de este.

PUESTA EN MARCHA DEL SISTEMA

Uno de los grandes logros para Oracle fue la puesta en marcha del funcionamiento del sistema, sin embargo se tuvieron grandes problemas e un comienzo. Los usuarios debían adaptarse a un sistema que tenía graves problemas de estabilidad, sufriendo caídas casi a diario. El principal problema se encontró en el dimensionamiento del hardware, donde se debían realizar cambio de equipo en los puntos donde no se cumplían con las necesidades. La ventaja en este punto fue el contrato con el vendedor de hardware, ya que este se realizó por una promesa de funcionamiento y no en una especificación dada, por lo que fue este el que debía remplazar el equipo sin aumentar el costo.

El segundo problema encontrado fue la deficiencia en la capacidad del software para manejar la carga de transacciones generada. El problema se atribuyó a que las pruebas realizadas anteriormente no tuvieron volúmenes de información similar a la que maneja Cisco en su negocio. Durante los siguientes 60 días se contó con un equipo especializado que se encargó de encontrar soluciones tanto de software como hardware, logrando finalmente una estabilización de todo el sistema de ERP.

CONLUSIONES

En el presente trabajó se logró mostrar como la empresa Cisco, después de realizar un análisis y contando con la experiencia de su CIO y su CIO se llegó a la conclusión de la necesidad de la implementación de un nuevos sistema de información que soportara todo los proceso de negocio de la compañía. Dentro del plan estratégico de la misma se tenía previsto un gran crecimiento, como ocurriría con la adición de nuevos productos para poder ofrecer una solución a todas las necesidades de redes de un cliente. Este crecimiento no estaba siendo soportado por los sistemas actuales, quienes no tenían una coordinación o una integración completo, lo que incluso llevaba un desperdicio de horas hombre yb de grandes cantidades de dinero en la realización de procesos que no estaban optimizados.

La implementación de un ERP en una empresa tan grande como estas lleva grandes riesgos y muchas complicaciones tanto técnicas como de negocio. Es importante que el proceso esté soportado directamente por toda la empresa para poder culminarlo de manera satisfactoria.

Entre las ventajas de un ERP encontramos le centralización de la información. Es muy importante que toda la organización o compañía funcionen como una sola unidad y no como varias dependencias que parecen incluso compañías diferentes. Con la centralización es posible realizar análisis del estado de todos los procesos de negocio, permitiendo optimizarlos al encontrar los defectos de estos. Al tener una sola fuente de información se logra también mejorar la experiencia del usuario, ya que la empresa responde como una unidad ante todas sus solicitudes o inconformidades, pudiendo encontrar la fuente del problema en caso de presentarse. Adicionalmente, cuando se tiene la información suficiente es posible anticipar situaciones.

Cisco, con la implementación de este ERP logró entrar en nuevos negocios y cambiar de manera radical del modelo de negocio. Un claro ejemplo está en la nueva forma de realizar el soporte de los clientes, con sitios web interactivos en donde cada cliente puede encontrar toda la información necesaria para solucionar sus inconvenientes. Esto no hubiera sido posible si no se tenía un sistema centralizado como el ERP.

La reducción de costos y tiempos es lo que finalmente más valor le da a la cadena de valor y sus procesos de negocio, siempre manteniéndolos alineados como la estrategia de la compañía. Con un ERP es posible reducir costos eliminando los procesos iterativos y repetitivos que debían hacerse anteriormente para el manejo de la información de cada uno de los sistemas por aparte.

BIBLIOGRAFÍA

Austin, Robert, L Richard Nolan, y Mark Cooteleer. «Cisco Systems, Inc: Implementing ERP.» Hardvard Busineess School, Noviembre 07, 2001.

Inc, CiscoSystems. Cisco: Corporate Overview. s.f. http://newsroom.cisco.com/dlls/corpinfo/corporate_overview.html (último acceso: 23 de Marzo de 2011).

Interview, The HBR. «The HBR Interview. Cisco sees the future.» Hardvard Business Review, Noviembre 2008: 72 – 79.

Nolan, l Richard. “Cisco Systmes Architecture: ERP and Web-Enabled IT.” Harvard Business School, Julio 17, 2001.

¿QUÉ SON LOS MEDIOS SOCIALES?

Según (Kaplan & Haenlein, 2010), el actual uso de Social Media comenzó hace unos 20 años, cuando Bruce y Susan Abelson fundaron “Open Diary”, un sitio que permitía la agrupación de escritores en una comunidad. Para entender este proceso, es importante comenzar con la definición de lo que es y lo que no es un medio social y su diferencia con otros términos similares como la Web 2.0 o el Contenido Generado por Usuarios.

Cuando nos referimos a la Web 2.0, hacemos referencia a una nueva representación ideológica y fundación técnica en donde los desarrolladores y los usuarios finales comenzaron a utilizar la WWW como una plataforma. Este nuevo enfoque de plataforma en donde el contenido y las aplicaciones no eran creados y publicados por individuos, sino que eran continuamente modificados por los usuarios en una manera participativa y colaborativa. Aunque no se trato de un actualización técnica, si hubo la aparición de nuevas tecnologías que ofrecían nuevas funcionalidades como Adobe Flash, RSS y AJAX.

El contenido generado por usuarios (CGU) es la suma de todas las formas en que las personas hacen uso de los Social Media. Es un término que agrupa varias formas en donde el contenido es puesto a disposición de todo el público y es creado por los mismos usuarios finales. Esta definición impone tres restricciones para ser considerado un CGU: 1. Debe ser publicado en un sitio web o red social disponible a un grupo de personas. 2. Debe contener un contenido creativo por parte de los creadores y 3. Debe estar fuera de cualquier ambiente o práctica profesional.

Teniendo claras las definiciones anteriores, es posible definir a los Social Media como aplicaciones basadas en Internet que fueron construidas basadas en los principios ideológicos y técnicos de la Web 2.0 y que tienen por finalidad permitir la creación e intercambio de contenido generado por usuarios. Esta definición permite una división que permita distinguir varios tipos de Social Media, y esto se hace basándose en dos conceptos claves: Social precense / Media richness y Self-Disclousure / Self-presentation.

Social Precense se define como el grado de contacto visual, acústico o físico que se puede lograr y que permite la comunicación entre dos individuos. La presencia social es influenciada por la intimidad y la inmediatez. Entre más presencia, más influencia se logra que un individuo logre sobre otro. Similarmente, Media Richness hace referencia a que grado de efectividad se logra en el proceso de comunicación, en donde se busca la clarificación de ambigüedades y la disminución de la incertidumbre.

Self-Presentation establece que en cualquier tipo de interacción social, las personas tienden a controlar la impresión de ellos mismos sobre los otros individuos. Esta creación de esta imagen personal se puede llevar a cabo por medio de Self-Disclousure, en donde los usuarios revelan información personal de manera consciente o inconsciente.

Dependiendo del grado de cada una, es posible distinguir 6 tipos de Social Media: Blogs, Proyectos Colaborativos, Redes Sociales, Contenido Comunicativo, Mundos Sociales Virtuales y Mundos de Juegos Virtuales.

1. Proyectos colaborativos: permiten la creación conjunta y simultánea de contenido por parte de usuarios finales. Dentro de este grupo se encuentran las wikis y las aplicaciones de marcadores sociales como delicious.
2. Blogs: son tipos de páginas web que muestran publicaciones en un orden cronológico inverso.
3. Comunidades de contenido: el propósito principal de estas comunidades es compartir contenido multimedia entre usuarios. El contenido compartido puede incluir textos, fotos, videos, presentaciones, etc.
4. Redes Sociales: son aplicaciones que permiten crear conexiones entre los usuarios compartiendo información asociada a sus perfiles (mensajes, fotos, videos,etc.).
5. Juegos Virtuales: son plataformas que replican un ambiente tridimensional en el que los usuarios pueden jugar a través de avatares personalizados.
6. Mundos Virtuales: son plataformas virtuales en las que los usuarios tienen mayor libertad para interactuar de una forma similar a la vida real.

OPORTUNIDADES QUE OFRECEN LOS SOCIAL MEDIA A LAS EMPRESAS

Sin importar el tamaño de las empresas u organizaciones, estas puedes utilizar las plataformas de Social Media tanto para establecer un canal de comunicación con sus clientes como para servir como medios de despliegue de información publicitaria y promociones que ayuden al incremento de las ventas.

Businessman por +fatman+ (CC)

Siguiendo lo enunciado en la presentación de (Cadena S, 2011), es posible tomar el caso más general de todas las empresas en donde tienen tres motivadores negocio que son: 1. Aumentar los ingresos, 2. Incrementar la satisfacción del cliente y 3. Reducir los costos. Estos tres motivadores pueden ser conseguidos a través de Social Media. En el caso de incrementar los ingresos, el área de publicidad y ventas de cada organización puede identificar, a través de estas plataformas, nuevas oportunidades de ventas, llegar a una audiencia muy grande y con la posibilidad de llegar a una audiencia específica que está determinada por el plan de negocio. Esta combinación hace que todos los avisos publicitarios tengan una mayor respaldo y por ende una mayor pertinencia en la audiencia. Todo eso se logra a un costo muy inferior al de la publicidad tradicional, por lo que se ha logrado avances en dos de los tres motivadores.

En el manejo de la satisfacción del usuario tenemos dos aspectos. El primero tiene que ver con el monitoreo y control de la información que circula por la red, con lo que es posible determinar que clase de información está llegando a los usuarios sobre los productos o servicios de la empresa y poder tomar acciones para corregir las deficiencias que encuentra la sociedad o promocionar a mayor escalas sus éxitos. Este punto es muy sensible, ya que la información negativa que circula es difundida rápidamente y puede manchar de manera grave la imagen de la empresa. De esta manera llegamos al segundo aspecto, que es el manejo empresarial. Esta se logra a través de la construcción y difusión de la imagen que se desea proyectar, realización de branding o la difusión de contenido multimedia que enriquezca la experiencia del usuario con nuevos servicios.

La satisfacción del cliente también puede ser manejara por el Social Media, ya que estos ofrecen un nuevo nivel de experiencia con los clientes a un muy bajo precio y teniendo beneficios como tiempos de respuesta muy cortos o la personalización del servicio. Al tener una mayor cercanía con los usuarios, se crea un vínculo que facilita a los funcionarios de la empresa conocer opiniones o cambiar la imagen de la empresa en un determinado grupo.

En (Rao, 2010), es posible ver seis casos de estudio en donde se muestra como el uso de estas plataformas para abordar nuevas formas de negocio o para aumentar las ventas de los actuales establecimientos.

RETOS PARA LA IMPLEMENTACIÓN DE PROYECTOS DE INTELIGENCIA DE NEGOCIOS

Otro reto a superar para la implementación de estos proyectos es superar la naturaleza dinámica y cambiante de los Social Media. Al tratarse de ambientes generados por millones de usuarios, es muy frecuente la aparición de grandes cambios de manera repentina a los que el software de análisis debe adaptarse para poder continuar brindando una seguridad en la calidad de los datos y resultados obtenidos.

Otro reto tiene que ver con la imagen de las empresas y las actividades que esta genera en la red. Se debe tener un completo control sobre la información que sale de la empresa a estos medios, ya que debe estar completamente supervisada para evitar ambigüedades que puedan provocar reacciones desfavorables en algunos seguidores que entienden el mensaje de manera equivoca.

Sin embargo, el principal problema que encontramos es derivado de esta condición social y se compone de dos partes. La primera de ellas estipula que la población colombiana, debido a su poco nivel de educación, no posee interés alguno en los campos investigativos y, por ende, no encuentra la necesidad de desarrollar nuevas tecnologías, sino que se limita, como máximo, a la importación de las mismas. En un segundo plano del este problema, encontramos la centralización de la educación, factor que impide la expansión del conocimiento interdisciplinario en todo el territorio nacional, reforzando el primer punto, ya que los pocos investigadores del país, no encuentran los recursos necesarios para desarrollar sus proyectos.

Dark sky ferris wheel - By Jasmic (cc) - http://www.flickr.com/photos/jasmic/274532187/

Muchos de los actuales ingenieros electrónicos o eléctricos, dedican su tiempo a la implementación de conocimientos. Son muy pocos los que intentan desarrollar investigaciones o proyectos para la creación de recursos propios que le puedan servir a la comunidad o a los demás ingenieros para el desarrollo de su trabajo. La falta de ingenio, creatividad e innovación ha invadido nuestro mercado y nuestras aulas de clase. Este el mayor problema potencial en que nos encontramos sumergidos, ya que la desarrollo depende casi exclusivamente de la creatividad que se esta perdiendo en cada generación. Hemos pasado de ser un país que innovo entre las republicas semejantes con la expedición Botánica de Mutis, los trabajos de Caldas, las Ferrerías de Pacho y la fabricación de locomotoras a vapor; para convertirnos en el país con menos publicaciones científicas y grupos o proyectos de investigación.

Somos un país con eléctricos y electrónicos grandes capacidades y un país que se esta ampliando de manera eficaz a nuevos mercados, y con ello, a nuevos recursos tecnológicos que podemos fácilmente aprovechar para nuestras propias investigaciones. Pero antes de eso, debemos organizar planes de desarrollo a futuro que cumplan con tres condiciones fundamentales: la descentralización de la educación, dar educación que inculque valores por un desarrollo sostenible y el gusto por la investigación y la separación de las investigaciones científicas de las necesidades económicas.

Las principales universidades nacionales son una gran causante del poco desarrollo de investigaciones y proyectos, ya que ante sus ojos se esta viendo solo n beneficio económico, que es a su ves transmitido a los estudiantes y no ponen gran interés en el principal objetivos de la investigación, el desarrollo de tecnologías que den un mejoramiento a las problemas de la sociedad en general.

En mi opinión, un enfoque optimo que se le debe dar al desarrollo tecnológico en el área de ingeniería, combina tanto los grupos de investigación como el rendimiento económico. Se deben desarrollar proyectos que promueven la invasión y posterior aplicación en campo de nuevas tecnologías que optimicen procesos de producción, ampliando el margen de ganancias y logrando el desarrollo sostenible que se necesita para conservar el medio ambiente.

Y es precisamente en este aspecto lo que ha cambiado mi percepción de la labor de un ingeniero. Un ingeniero no solo es la persona que se encarga del funcionamiento de aparatos y su mantenimiento. Es una persona que tiene una responsabilidad social muy grande, ya que debe esta en a obligación de darle a la sociedad herramientas que le permitan una mejor calidad de vida. El ingeniero debe usar toda la creatividad para crear procesos que faciliten las labores cotidianas, y eso no solo se logra implementando tecnologías ya conocidas, sino que además debe crear sus propias herramientas con investigaciones y demás.

Según el estudio de comScore, realizado con datos obtenidos hasta el més de septiembre de 2010, en la región se alcanzó más de 108 millones de usuarios de internet con más de 15 años, representando un aumento del 17% en relación al año pasado.

Para los colombianos, se pasó a tener un promedio de 20.4 horas cada uno, consumiendo 1.606 sitios web y conectándose 42 veces al mes. El 86% visitó alguna red social, siendo Facebook la de mayor popularidad en el país, en donde se gastaron en promedio 4.6 horas al mes. Cada usuario promedio realizó en un mes un promedio de 184 consultas o búsquedas, resultando en un total de 2 billones de solicitudes durante el mes de septiembre. La industria de rentas y viajes online fueron las que mayor potencial mostraron a pesar de estar todavía en una etapa de nacimiento para la población.

De las estadísticas dispuestas para todo el público por NAP Colombia, podemos observar el crecimiento del tráfico del país.

Trafico Picos Mensual NAP Colombia - Noviembre 2010

Consolidado Crecimiento Mensual 2010 - NAP Colombia

El uso de tarjetas para realizar pagos requiere de la coordinación de muchas entidades como comerciantes, los emisores de las tarjetas, los bancos afiliados a las entidades comerciales y la red de transacciones. El proceso de pago, por ejemplo, empieza en el momento en que el usuario desliza su tarjeta por el lector, haciendo que se almacene toda su información en un servidor local. El proceso continúa cuando éste se encarga de verificar los datos recolectados con el emisor de la tarjeta para luego realizar la aprobación de la transacción con la entidad bancaria a la que se encuentra afiliado. Todo este flujo de información confidencial puede verse afectado por fallos de seguridad en uno de los sistemas involucrados, exponiendo a entidades no autorizadas los datos de miles de clientes que fueron almacenados, afectando negativamente a los usuarios, los establecimientos comerciales o incluso a las mismas entidades bancarias.

Esto ha hecho que muchas de las grandes redes de pagos con tarjetas establecieran sus propios programas de seguridad de manera independiente para evitar el fraude en sus procesos. Algunos de estos ejemplos son Visa Card Information Security Program (CISP), Master Card Site Data Protection (SDP), JCB Data Security Program y American Express Data Security Operating Policy. Debido a que estos programas se realizaron de manera fragmentada no cumplieron las expectativas con las que fueron ideados, terminando finalmente en que todos los grandes operadores fundaran conjuntamente el Payment Card Industry Security Standars Council (PCI SSC) en el año 2004, logrando publicar en diciembre de ese mismo año el estándar PCI DDS (PCI Data Security Standar). Este estándar fue actualizado en los años 2006 y 2008.

La idea básica detrás de esta idea es la estandarización de una serie de prácticas y supervisiones con el fin de garantizar la seguridad en la información sensible de los usuarios de tarjetas de pago. Adicionalmente se busca crear una guía para los comerciantes, proveedores de servicios y adquirientes que hacen uso de este tipo de transacciones para evitar los fraudes con tarjetas de crédito.

I    Antecedentes

En febrero del 2003, una compañía de procesamiento de datos para tarjetas de crédito, Data Processors International, perdió entre 5 y 8 millones números de tarjetas. Aparentemente, un intruso logró tener acceso a unas de las estaciones de trabajo dentro de la compañía.

En 2005, Choice Point sufrió el robo de la información de cerca de 163.000 clientes, siendo multada con U$10 millones de dólares y obligada a pagar otros U$10 millones en la reparación de los clientes. En 2006, VISA reportó en EEUU cerca de 365 ataques que causaron la pérdida a entidades comerciales de productos valorados en U$4.4 millones. Este mismo año, Circuit City, una de las grandes tiendas de américa, perdió cerca de 2.6 millones de datos de usuarios de tarjetas de crédito debido a que uno de sus instituciones asociadas y contratadas para el manejo de esta información, desecho de manera inapropiada 5 unidades de disco duro.

En agosto de 2009, el Departamento de Justicia de Estados Unidos anunció la detención de un hombre residente de Florida que robó 130 millones de números de tarjetas de crédito y débito, considerado uno de los mayores de la historia. Este hombre accedió ilegalmente a los sistemas informáticos de la compañía de manejo de pagos por internet Heartland Payment Systems, que ofrecía sus servicios a las cadenas de establecimientos 7-Eleven y a la cadena de supermercados Hannaford Brothers.

Incidentes como estos generaron la presión y demandan por parte de los usuarios para la consolidación de estándares de seguridad como PCI DSS para garantizar la privacidad de la información de los clientes de este tipo de tarjetas de pago. En la actualidad, las compañías que no implementen este tipo de estrategias, son perseguidas y penalizadas por entes gubernamentales

II   Arquitectura de la Transacción de Pago

Cada transacción realizada con una tarjeta de pago consiste en dos pasos: Flujo de transacción y Compensación y Liquidación.

Flujo de la Transacción

Cada transacción empieza cuando el cliente desliza la tarjeta en un datafono o introduce los datos en el portal web. El establecimiento comercial entonces almacena el tipo de tarjeta, número de cuenta, fecha de expiración y otros códigos de identificación y seguridad. Esta información es enviada al comerciante-comprador (merchant-acquirer). Éste es una institución comercial que se encarga de manejar los clientes de los comerciantes en las redes de pagos. Algunos proveedores de redes de pago como Visa y MasterCard no emite tarjetas de crédito directamente a sus clientes, como si lo hacen otros proveedores como Discover y American Express, de manera que estos últimos juegan el papel de comerciante-comprador y red de pagos simultáneamente.

El emisor de la tarjeta verifica entonces el estado de la cuenta en sus bases de datos y responde al comprador. Este reenvía el código de autorización al equipo terminal donde se inició el proceso.

Este primer paso no termina con el manejo de dinero a través del sistema bancario, aun cuando la transacción para el poseedor de la tarjeta haya concluido en la tienda. Algunos establecimientos comerciales de pequeño y mediano tamaño envían los datos de las transacciones al finalizar el día a los compradores, mientras que los grandes establecimientos lo hacen en tiempo real. El siguiente proceso, es el encargado de realizar el manejo de los fondos.

 Compensación y Liquidación

En el proceso de compensación y liquidación, el comprador recibe los datos por parte del comerciante y los envía a la red de pagos apropiada (Visa, MasterCard, etc) en donde se encamina directamente al emisor de la tarjeta. Es éste el que finalmente realiza el cobro al usuario y retorna el pago respectivo, descontando sus respectivos impuestos.

Aplicación de PCI DSS

En la figura 1 se  puede apreciar en diagrama de flujo de información de estas dos actividades. Es aquí donde se nota que varias entidades involucradas tienen el manejo de información se sensible de los usuarios de tarjetas. Además, cada una puede recurrir a funciones de terceros para realizar su labor, quienes deben también velar por la protección de esta información para evitar casos como los mencionados en la sección de antecedentes.

El estándar de seguridad de datos PCI DSS se aplica para cualquiera que almacene, procese o transmita información de un usuario de algún tipo de tarjeta, así como también a todos los sistemas técnicos y operacionales que se encuentran conectados o incluidos a la red de pagos.

Figura 1: Flujo de información en una transacción con una tarjeta de pago

III

Estándar de Seguridad De Datos Para Pagos Con Tarjeta – PCI DSS

Este PCI DSS está compuesto por 12 requerimientos agrupados en 6 categorías conocidas como Objetivos de Control que se describen a continuación.

Construir y Mantener una Red Segura

Los hackers pueden tener acceso a las redes de pagos a través de un acceso en los sistemas de las entidades comerciales. Esto hace que el uso de Firewalls tengan un papel importante, controlando el tráfico que entra y sale de estas redes internas de cada comerciante. PCI DSS requiere que se tenga un Firewall configurado para proteger su propia red, y por ende, los datos de los portadores de tarjetas de pago.

El estándar requiere un análisis de todos los protocolos peligrosos o que no han sido probados, definición de roles y responsabilidades, así como un listado de todos los servicios y puertos requeridos para operar. Todo lo que no sea necesario debe ser bloqueado por estos Firewalls.

Es recomendado tener una configuración de Firewall de tres áreas: interna donde está almacenada la información sensible (INS – Internal Network Zone), Perimetral (DMZ, Demarcation Zone) en donde están los servidores de acceso externo y la zona externa, como se observa en la figura 2. Cada interconexión de zonas debe estar supervisada y controlada por un juego de reglas en el Firewall. Por ejemplo, cualquier tráfico de la zona externa a una zona interna debe ser denegado y bloqueado.

Finalmente, el estándar recomienda no utilizar cualquier configuración por defecto de los equipos, como contraseñas y SSID de conexiones inalámbricas, que debe ser cambiada y no difundida. Las conexiones WiFi deben ser autenticadas y encriptados por WPA.

Figura 2: Implementación de Firewall donde la información sensible se encuentra protegida de acceso no autorizado.

Proteger Información del Portador de las Tarjetas

La información almacenada debe ser protegida en caso de que el Firewall sea penetrado o se tenga acceso físico a la información. Para esto, se debe limitar la información almacenada a el menor tiempo posible de acuerdo las necesidades del negocio y restricciones legales, y no se debe nunca almacenar la información de la cinta magnética o códigos de verificación ni números de identificación personal (PIN). La información que sea almacenada debe estar encriptado y se debe mantener las claves de encriptación bajo el menor número de guardianas y almacenadas en muy pocos sitios.

Durante la transmisión de esta información, se debe utilizar protocolos de seguridad y criptografía fuerte como Internet Protocol Security (IPSEC) y SSL/TLS. Se recomienda usar librerías de criptografía como AES y 3DES. En comunicaciones inalámbricas, además se requiere protocolos como WPA, WPA2, VPN y SSL.

Mantener un Programa de Gestión de Vulnerabilidades

Software maliciosa, como virus, gusanos y trajanos pueden dar acceso a personas malintencionadas. Estos pueden acceder incluso por medios legítimos como email, dispositivos portátiles o unidades de disco externas. Se recomienda usar software de seguridad como Antivirus para llevar un registro de estas acciones y evitar las acciones más comunes.

Otro medio de acceso son las vulnerabilidades de los sistemas. Se recomienda actualizarlos con los parches de actualización del vendedor de sistema en un tiempo menor a un mes. Antes de hacerlo, se debe validar su funcionamiento en un entorno de pruebas controlado.

Para aplicaciones web se debe seguir el Open Web Application Security Project Guide, con el fin de validar que no se evitan las vulnerabilidades muy bien conocidas como validación de datos de entrada, ataques cross-site scripting, desbordamientos de memoria, etc.

Implementar Sistemas de Acceso Seguro

Cualquier acceso a información sensible debe ser controlado y autorizado solamente a quienes lo necesiten y en el nivel requerido. Además, cada usuario debe contar un ID que permite ser auditado sobre sus acciones. Cada ID, como nombre de usuario, contraseña, token o información biométrica debe ser encriptado antes de ser transmitida y cada cambio realizado debe ser almacenado en un log.

Específicamente se tienen las siguientes reglas: 1) antes de resetear una contraseña, se debe validar a profundidad el usuario; 2) la contraseña por defecto debe ser diferente para cada usuario y debe ser cambiada en el primer acceso; 3) revocar permisos una vez se termine la sesión; 4) eliminar cuentas inactivas cada 90 días; 5) deshabilitar accesos remotos a menos que sea supremamente requerido; 6) tener políticas de distribución de accesos a quienes tienen acceso a información sensible; 7) no se permite compartir claves de acceso a grupos; 8 ) cambio de clave cada 90 días; 9) no se permite utilizar una de las 4 contraseñas anteriores; 10) bloquear usuarios con más de 6 accesos fallidos; 11) este bloqueo puede ser de media hora o un tiempo establecido por el administrador de seguridad; 12) expirar la sesión si está inactiva por más de 15 minutos; 13) solicitar credenciales de acceso, incluso a administradores y gerentes; a las bases de datos.

Se debe también limitar el acceso físico a los sistemas y bases de datos. Para esto se requiere uso de protocolos de seguridad en edificaciones seguras y controladas por sistemas electrónicos como video cámaras, donde se registre cualquier acceso en un record por mínimo 3 meses si está permitido por la ley.  Limitar el uso de equipos personales y el uso de redes inalámbricas.

Se debe mantener también un trato seguro a los backup de la información sensible. Esta información off-line debe ser almacenada en un lugar seguro y no debe ser distribuida bajo estrictos protocolos de seguridad, como uso de transporte de valores y en contenedores marcados como información confidencial. Si se necesita ser eliminado, esta debe seguir un protocolo para garantizar que esta información no pueda ser recuperada de ninguna manera.

Monitoreo Regular y Prueba de Redes

PCI DSS demanda que todo acceso a información sensible debe ser seguida y monitoreada en logs. Estos permiten determinar las acciones de todas las personas y determinar las razones si algo falla.  Estos archivos deben almacenar accesos fallidos tratando de usar privilegios de administradores y asociarlos  con los mecanismos de identificación. Todos los componentes deben auditar identificación de usuarios, tipos de eventos y tiempos, origen de acciones e información accedida o afectada. Todos estos archivos deben ser igualmente protegidos de acceso en áreas seguras y centralizadas. Estos no deben tener posibilidad de ser cambiados y deben ser almacenadas por al menos un año y por 3 meses para acceso inmediato.

Se deben identificar nuevas vulnerabilidades regularmente, en especial después de actualizaciones o servicios de mantenimiento. Todas las conexiones, sistemas de seguridad y control de acceso deben ser probadas rutinariamente para garantizar que se están controlando los accesos no autorizados.  En cada nueva instalación o cambio de topología de redes, se deben validar todas las vulnerabilidades internas y externas por una entidad certificada (PCI Qualified Scan Vendor).

Mantener una Política de Seguridad de Información

Este último objetivo de control define la sensibilidad de la información y la responsabilidad de los trabajadores en la protección de la información que tienen a cargo.

Se deben desarrollar políticas de uso para los empleados que usen dispositivos críticos o tecnológicos que puedan presentar algún tipo de amenaza, como tecnologías inalámbricas, dispositivos portátiles, memorias removibles, PDAs e incluso correo electrónico. Cada una de estos debe tener una autenticación para ser utilizadas, y esta solo se debe dar después de haber sido inspeccionados y entendido la importancia de ser aprobadas para la ejecución de las labores del empleado. Adicionalmente, cada dispositivo debe ser almacenado en una base de datos con los datos de quien lo utiliza para poder dar seguimiento a sus acciones.

Para lograrlo, se deben crear documentos donde se definan de manera clara y desambigua las políticas y procedimientos de seguridad. En primer lugar, estas deben dar responsabilidades a los empleados que utilicen estos elementos. En segundo lugar, se debe establecer las alertas de los monitoreos y controles de acceso declarados y a quienes se informa y como se actúan en caso de presentarse una alerta. También es importante cerciorarse que todos los empleados conocen y entienden estas políticas y sus implicaciones con claridad, para evitar ataques internos.

La compañía debe también tener una estrategia de respuesta en caso de presentarse un rompimiento de la seguridad. Este plan debe incluir un plan sólido que coordine acciones para garantizar la recuperación del negocio y procedimientos de continuidad. Este debe ser probado al menos una vez al año. El personal encargado debe monitorear 24/7 los datos sensibles y deben proveer detección y prevención de intrusos así como integridad en los archivos de monitoreo.

IV

PCI En Un Contexto de TI

Figura 3: Aplicación de PCI DSS en el contexto de la arquitectura de TI de un comercio minorista

En la figura 3 se observa la aplicación de PCI DSS en el contexto de la arquitectura de TI de un comercio minorista. Este se encuentra dividido en 5 subsistemas importantes: Ambiente de la tienda; Ambiente de e-commerce; Back-Office y sistemas ERP (Enterprise resource planning); Ambiente de administración de negocio; y finalmente ambiente de tecnologías de información, junto a su ambiente de desarrollo,  implementación y pruebas. Cada uno de estos subsistemas se encuentra controlado por un Firewall. Los componentes claves se pueden elaborar de la siguiente manera:

Equipos Electrónicos de Puntos de Venta Finales (EPOS – Electrónic Point of Sale):  

Son los equipos de los terminales de las cajas del establecimiento comercial e interactúan con los usuarios. Estos se encargan de colectar la información de la tarjeta y el usuario, pero no deben en ningún momento almacenarla. En algunos casos estos se comunican directamente con la red del vendedor (acquirer) a través de un protocolo asíncrono (VISA1 o VISA2), o un protocolo síncrono como el ISO 8583/SDLC. También pueden

usar un protocolo IP. Sin embargo, lo más general es que estos equipos se conecten únicamente con el servidor de la sucursal comercial a través de una red privada, y es este servidor el que finalmente se comunica con el vendedor de la tarjeta correspondiente.  En ambos casos, la comunicación con los EPOS debe ser encriptado, dado que están transmitiendo información sensible.

 Servidor de la Tienda

Cada tiende puede tener su propio servidor, que es lo más común en la actualidad, en donde se almacenan los datos de las tarjetas y sus transacciones. Toda esta información debe ser igualmente encriptado de manera separada al sistema operativo. Este servidor puede estar corriendo otro tipo de aplicaciones como inventarios o manejadores de empleados.

Aplicaciones

Toda comunicación entre EPOS y otro tipo de aplicaciones debe estar mediado por un Firewall, asi como la información transmitida encriptada

Comercio Electrónico

Al igual que los EPOS, los portales web que ofrecen comercio deben estar separados del resto del sistema por medio de inFirewall. La comunicación de datos de las tarjetas y usuario entre el sitio web e Internet debe estar encriptado.

Base de Datos

Las aplicaciones de las bases de datos y las aplicaciones de productividad de la empresa u organización deben estar física y lógicamente separadas.

Para el manejo de roles, es importante que se establezca a cada individuo su rol dentro del sistema, de acuerdo con las labores que realiza y otorgarle un identificador único. El monitoreo y los accesos a los derechos de cada uno se debe hacer en tiempo real. Usuarios de la central de repositorio deben ser controlados, administrados y dados de baja inmediatamente del sistema cuando sea necesario.

V

Requerimientos Para Asesores de Seguridad Calificador por PIC (QAS)

Las dos grandes empresas emisoras de tarjetas de pago, VISA y MasterCard, requieren el uso de compañías certificadas en seguridad de datos para PCI (QDSC – Qualified Data Security Companies). Las compañías entonces deben ser validadas sobre su implementación de los estándares de seguridad. Actualmente, la PCI SSC publicó el Payment Card Industry Data Security Estándar Validation Requirements for Qualified Security Assessors (QSA). Los requerimientos para ser QDSC o QSA son exactamente los mismos y el proceso de certificación consiste en dos pasos: Certificación de la compañía en sí misma y la certificación de los empleados de la compañía que están manejando los datos sensibles. Cada uno de estos requerimientos se agrupan en 6 categorías que se muestran a continuación:

Requerimientos de Negocio para QSA

En este campo se debe demostrar la estabilidad e independencia de la compañía, así como la cobertura de seguros.

1) Estabilidad: La compañía debe ser legítimamente establecida y con un buen historial crediticio. Esto también implica que la compañía no debe tener antecedentes de actividades ilícitas o fraudulentas. Para esto, la compañía debe mostrar sus licencias de funcionamiento y una copia con la información del número total de empleados y cuántos de ellos pueden ejercer una labor técnica de seguridad tecnológica de la empresa.

2) Independencia: Un QSA debe proveer juzgamientos imparciales mientras realiza valoraciones, por lo que se debe limitar sus fuentes de influencia. Para esto, se debe revisar la historia de los directores de la compañía. Así mismo, esta debe firmar el acuerdo que no puede generar valoraciones para cualquier entidad con la que haya tenido algún tipo de relación o con la que cualquier QSA se encuentre investigando. También se debe revisar que la QSA no ha ofrecido ningún tipo de regalo, favor, servicio o gratitud a cualquier empleado del PCI SSC o cualquier entidad que tenga relación con el proceso de admisión. Es necesario firmar también un acuerdo en donde se prohíbe el uso del estatus de miembro QSA para generar ofertas o atraer clientes, así como tampoco debe establecer o declarar que la implementación de PCI DSS y/o Mejores Prácticas para Aplicaciones de Pago deben hacer uso de servicios o aplicaciones de un QSA.

3) Cobertura de Seguros: Cada QSA debe tener una cobertura mínima en un seguro para cubrir con posibles gastos de indemnización. Cada QSA debe también demostrar capacidad de recuperación de pérdidas financieras o de cualquier índole debida a actos, errores u omisiones en procesamientos computacionales o servicios de tecnología de información debido a daños, destrucción o corrupción de sus sistemas, incluyendo accesos no autorizados, transmisión de virus, denegación de servicio, fallos de seguridad de la red con la que se comunica con sus clientes.

Requerimientos de Habiliades para QSA

Es también indispensable que se certifique que los empleados de una QSA tienen las habilidades suficientes para realizar su trabajo.

1) Servicios y Experiencia de un QSA: Es necesario acreditar experiencia de asesorías en temas de seguridad. No solo se debe garantizar personal con capacidad para ofrecer asesoría en seguridad de datos, sino que además deben contar con trabajo previo en este campo. Para esto, los interesados deben presentar la documentación de su experiencia y conocimiento adquirido. Se requiere de al menos dos clientes importantes con los que se haya trabajado en el pasado.

2) Habilidades y Experiencia de los Empleados de una QSA: Cada uno de los empleados de una QSA debe ser también certificado. Los empleados deben ser responsables por la calidad de la asesoría en seguridad de datos para la PCI, así como tener presencia durante la consultoría para realizar los procesos de auditoria correspondientes.

Cada uno de los empleados QSA deben tener la información suficiente en seguridad y la experiencia para liderar una asesoría en seguridad para una empresa lo suficientemente compleja. Para esto, la compañía candidata debe presentar documentación completa de cada uno de sus empleados (certificados, grados de estudio, instituciones educativas, certificados de experiencia, rolos desempeñados, etc.)

Cada empleado debe tener certificados de experiencia en la industria de seguridadad. Cada uno de los empleados QSA debe tener por lo menos uno de los siguientes certificados: CISSP (Certified Information System Security Professional), CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager). Si no tiene uno de estos certificados, debe demostrar por lo menos 5 años de experiencia en temas de seguridad.

Requerimientos Administrativos para QSA

El equipo administrativo de la QSA debe estar liderado por dos personas de contacto. Estos deben dar autorización a un empleado de PCI SSC para realizar investigaciones de fondo dentro de la compañía, con el fin de determinar áreas débiles a mejorar o para el proceso de re-certificación.

Se debe garantizar que se tiene con la capacidad para ejercer un fiel control de los procedimientos requeridos por PCI SSC, asi como garantizar un nivel de calidad exigido por la industria en sus procesos internos.

Cada candidato debe también demostrar su capacidad de seguridad de los archivos obtenidos durante las consultorías, y debe mantener registro de sus actividades por lo menos durante tres años con alto grado de seguridad.

VI

Procedimiento de Escaneo de Seguridad de VISA Europa

De acuerdo con las regulaciones de VISA Europa, un programa de vulnerabilidades debe incluir un programa de escaneo de fallos de seguridad en la red de pagos con tarjeta con el fin de identificar vulnerabilidades en la red o algún sistema de infraestructura. El resultado de dicho análisis debe ser usado para generar el parche adecuado. Este tipo de análisis debe efectuarse a todos los establecimientos comerciales y prestadores de servicios relacionados que tienen una IP externa y tiene algún tipo de almacenamiento o procesamiento de información de tarjetas de pago. Durante estos ejercicios, no se debe ver afectado su normal funcionamiento. Si se ha realizado alguna modificación, la revisión debe incluir nuevas posibles vulnerabilidades del nuevo sistema o topología.

Estos procedimientos deben ser ejecutados regularmente y se deben verificar Firewalls, Routers o cualquier dispositivo de enrutamiento y filtrado, sin importar su uso o red a la que pertenezca.

Es muy importante realizar pruebas detalladas a los servidores web, puesto que estos están en contacto directo a cualquier usuario en la web. Si existe un servidor de aplicaciones, este también debe ser probado, ya que es un paso intermedio en el transporte de información sensible. Si el proveedor de servicios del comerciante utiliza su propio DNS, este también debe ser evaluado para riesgos, ya que es posible tener acceso a datos de las tarjetas de pago suplantando dicho servidor. Las redes perimetrales o DMZ contienen servidores de correo que pueden servir como rutas de acceso a hacker si presentan vulnerabilidades, por lo que también deben ser puestos a prueba. Es común que se utilice balanceo de cargas en los servidores, por lo que se requiere realizar pruebas de manera individual a cada uno de los servidores, ya que de no hacerlo, es posible dejar oculta alguna vulnerabilidad en alguno de los servidores. También deben ser evaluadas las redes inalámbricas de los comerciantes, así como sus LANs, dado que pueden dar lugar a riesgos.

VII

Conclusiones

El estándar de seguridad de datos PCI DDS es el primer estándar que se encarga de proteger la información de los usuarios de tarjetas de pago y que ha sido ampliamente difundido en este tipo de industria. Resultó del aporte colaborativo de los principales y más grandes administradores de redes de pagos y emisores de tarjetas. El estándar incluye un esfuerzo de cada compañía en varios aspectos, incluyendo seguridad en redes, manejo de vulnerabilidades, control de acceso y asesorías y reportes de seguridad. Esto ha logrado que a través de un continuo asesoramiento de exportes y reportes de actividades, comerciantes y proveedores de servicios hayan reducido significativamente los problemas de seguridad que pueden dar lugar a fraudes bancarios o robo de identidad que ha causado pérdidas millonarias a este sector económico.

Las mayores redes de tarjetas como VISA, MasterCard, Discover, American Express y JCB han logrado obligar a los comerciantes a conseguir un nivel mínimo de seguridad en sus procesos de pago con tarjetas. Sin embargo, estos 12 requerimiento que son solicitados y que fueron explicados en el documento, son difíciles de implementar debido a las complejidades tanto organizaciones como técnicas. Esto se ha evidenciado en las dificultades que presentan muchos de los vendedores y compradores de tarjetas en cumplir a cabalidad con el estándar. Según un reporte de VISA, solo el 22% de sus más grandes vendedores y adquisidores tienen cumplimiento de las normas del PCI SSC.

Debido al alto costo y complejidad que requiere la implementación de todos los estándares de seguridad exigidos por la PCI SSC, existen varias compañías que ofrecen una solución lista para ser adaptada a cada negocio.

A pesar de que existe un alto grado de preocupación en el gobierno por generar una política de control de seguridad de los datos personales de los poseedores de tarjetas, no ha logrado que todas las compañías inviertan en protecciones. Esto causa que aun sigan existiendo riesgos de seguridad, dado que un solo punto que pueda ser quebrantado significa la pérdida de toda seguridad. Es importante por eso seguir trabajando en conseguir soluciones eficaces y crear la presión necesario como usuarios en todos los establecimientos comerciales en los que utilicemos nuestras tarjetas, para que nos aseguren que están cumpliendo con un grado mínimo de seguridad en el manejo de nuestros datos.

VI

Bibliografía

Liu, J., Xia, Y., Chen, H., & Ozdemir, S. (2010.). A Survey of Payment Card Industry Data Security Standar. IEEE Communications Surveys & Tutorial, Vol 12. No.3. Pags 287-303.

Nuevo "Liquid Pencil", por Sharpie

En 1564 fue descubierto el primer yacimiento de grafito en Cumberland (Inglaterra) después de una tormenta que derribo un árbol y permitió a los campesinos maravillarse con una sustancia negra que se encontraba adherida a sus raíces. Los primeros lápices consistían en la unión de dos tablas, una de ellas con una canaleta en donde contenía una barra de grafito. Con el rompimiento de las relaciones entre Francia e Inglaterra, la producción de esta material se reglamentó tanto que se llego a castigar con pena de muerte a quienes obtuvieran algo sin permiso de la corona.

Esta situación llevó a que Jacques-Nicolás Conté inventara lo que hoy conocemos como el lápiz moderno, una mezcla de grafito y arcilla que luego de ser cocida se bañaban en cera para que se dejara el rastro en el papel, permitía no solo reducir los costos y aumentar la calidad del producto sino que era posible modificar la dureza y por ende la oscuridad del trazo cambiando las proporciones de la mezcla.

La siguiente revolución fue pantentada en 1887 con el nombre de ‘portaminas’. Este invento se constituía de una mina muy fina que era insertada en un cilindro que permitía su transporte y era empujada de manera gradual por medio de un émbolo. La necesidad de afilar la punta había sido eliminada por completa y daba un mayor confort a la hora de hacer anotaciones en lápiz.

La principal ventaja de los lápices, esencialmente para nosotros que estamos trabajando con números, es la posibilidad de borrar las barbaridades que se nos ocurren. Esta ventaja fue tratada de imitar en 1979 con la invención de un bolígrafo que tenía una tinta que podía ser borrada. La verdad, no llegó a ser un gran éxito porque la tinta que se utilizaba no era lo suficientemente oscura como para considerarse apropiada al compararse con otros bolígrafos, y su borrador era tan duro que se podía dañar fácilmente la hoja. Recuerdo que hace unos 10 años intenté utilizar unos bolígrafos borrable y el resultado fue un fracaso total. La tinta se corría con la mano y manchaba todo, además que era imposible borrarlo por completo.

Las buenas noticias? Sharpie, la empresa conocida por los famosos rotuladores indelebles de todos los colores y formas que tanto nos gustan han, como ellos lo dicen, reinventado lo clásico: el lápiz con un “boli-lápiz”. Este invento se trata de un bolígrafo con tinta de grafito líquido que permite ser borrado igual que un lápiz en un periodo de tres días. Pasado este tiempo la tinta se secará por completo y quedará fijada al papel de la misma manera en que lo hace un bolígrafo normal.

En el blog oficial se informa que esta fabuloso invento-clásico se empezará a vender en los Estados Unidos en el mes de septiembre bajo el nombre de “Liquid Pencil” a un precio de US$5 por dos lápices y seis borradores.

Studying tips: best study habit is cramming (Foto por crazyfrogleg en Flickr)

YouTube es el más famosos sitio para subir videos para compartir con el mundo entero. Una de las limitaciones que presentaba era que para las cuentas corrientes o comunes la duración máxima no podía ser superior a los 1o minutos (Recordando que las cuentas de director no tienen ningún tipo de limitaciones de este tipo).  Como lo explican en el blog oficial, se ha aumentado a 15 minutos el tiempo máximo de los videos. La razón? Simplemente se ha mejorado el sistema de identificación de contenidos que permite determinar si se ha infringido no algunas de las políticas del sitio como lo es el Copyright.

Foto por: crazyfrogleg en Flickr.
Vía: YouTube Blog