martes, agosto 30, 2011

Crowdsourcing: la nueva revolución de las masas en Internet

Tomado de: Nueva revolucion de las masas

El crowdsourcing, la colaboración en masa vía internet, se está transformando en la más poderosa y controversial herramienta de la red.

Por Sergio Jara Román / América Economía

Los ejecutivos de General Electric conocen el lado amable de la colaboración masiva. Buscando ideas para llenar su pipeline de proyectos sobre energía sustentable, la compañía organizó el programa “Ecoimagination Challenge", un concurso abierto vía internet para recoger ideas de ciudadanos comunes y corrientes de todo el mundo. La compañía ya ha recibido 4.800 ideas, de las cuales 200 provienen de Latinoamérica. De hecho, GE tiene un fondo de US$200 millones aportados por compañías de capital de riesgo para financiar las mejores.

Se trata de un sistema de colaboración que ya se ha popularizado como crowdsourcing: la masa como proveedora de servicios. “El crowdsourcing permite llegar a un público masivo de una forma rápida, expedita y a un costo más bajo, al mismo tiempo que plasma en una misma plataforma las visiones, vivencias y necesidades de personas en distintas partes del mundo”, dice la argentina Cecilia Albuixech, gerenta de comunicaciones corporativas para Chile, Perú y Argentina de GE.

Hay portales especializados que llevan estos modelos a las empresas. Es el caso de Worth1000.com, en el que una bolsa de creativos compite con sus propuestas en concursos propuestos por organizaciones que buscan resolver problemas de diseño. Innocentive.com es un esquema similar, pero para reunir conocimientos químicos, físicos e ingenieriles. En ambos, las empresas deben ofrecer un premio en dinero a la propuesta ganadora.

Para los informáticos, el crowdsourcing no es un concepto nuevo. Lo popularizaron a fines de los 90 mediante modelos de colaboración online para desarrollar software libre. Muchos programadores dedicaron horas gratuitas de trabajo conectados a internet para colaborar en la creación del sistema operativo Linux. Con ello, muchos nuevos paquetes de programas se terminaron en tiempo récord y a bajo costo. Lo novedoso es que esta misma lógica se está llevando a nuevas aplicaciones y funcionalidades no sin generar controversia.

“No se buscan soluciones solamente dentro de la organización”, dice el argentino Lisandro Sosa, gerente general de SQL Consultora, basada en Buenos Aires. “Acá se trata de innovar incorporando a mucha gente común y corriente que está demostrado que aún tenemos la capacidad de solucionar problemas complejos que ni los algoritmos más avanzados han podido enfrentar”.

La artificial inteligencia artificial. Las nuevas aplicaciones de crowdsourcing justamente buscan poner el intelecto humano donde la computación fracasa. Un grupo de hackers llamados The Extraordinaries crearon una de las aplicaciones online más exitosas para encontrar gente después del terremoto de Haití: en el epicentro del terremoto se subían a un sitio online cientos de fotos de personas encontradas, mientras otros subían fotos de personas a las que estaban buscando. Usuarios conectados a internet en todo el mundo revisaban estos archivos e iban marcando coincidencias. Miles de personas dedicaron su tiempo para ayudar a esta tarea totalmente gratis. Este uso del criterio humano en labores que inicialmente se pensaba que podrían ser hechas por computadoras (la identificación de rostros en distintas imágenes) ya es conocido como la Inteligencia Artificial Artificial.

El problema es que los objetivos no siempre son tan nobles. El gobierno de Irán, por ejemplo, creó una aplicación en el portal www.gerdab.ir para identificar a las personas que participaban en protestas en Teherán de acuerdo a los datos que tenían en sus registros de ciudadanos. Un pequeño beneficio monetario ofrecido a quienes hicieran una identificación ayudó a que cada usuario se transformara “en un apoyo a la seguridad nacional”, como decía el portal del gobierno.

Un ejemplo distinto es lo que hace Samasource.org, plataforma creada por una organización sin fines de lucro que busca dar trabajo en países poblados, con alto desempleo y un parque suficiente de conexiones a internet. Por ejemplo, gente en India o en Irak revisa fotos en sus teléfonos móviles, marcando si el contenido es ofensivo o adecuado. A veces, el usuario en India debe agregar en palabras si la imagen se trata de un perro, un tigre o un auto. Asi mismo la persona desde su celular puede leer un contenido y ver si es que usa un lenguaje inadecuado y hace propuestas de edición. Por cada respuesta enviada recibe algunos centavos. ¿Tonto? Miles de personas haciendo lo mismo es lo que permite que grandes portales al estilo de LInkedin y Ask.com editen y protejan muchos de los contenidos creados por las redes sociales. Crowdsourcing como editores de contenidos.

Sin embargo, crowdsourcing y redes sociales no siempre crean círculos virtuosos. Una gran polémica surgió en Estados Unidos cuando se descubrió que un grupo de aseguradoras pagaba a miles de usuarios en redes sociales para que participaran activamente en debates en línea criticando la reforma de salud del gobierno de Obama. Lo curioso es que no pagaban en dólares, sino en monedas virtuales para ser usadas en juegos como Farmville. Hoy hay portales establecidos como Speak.org.uk y Subvertandprofit.com que ayudan a organizar protestas masivas para determinadas causas, ya sea en el mundo real como en internet. Con el advenimiento de este tipo de prácticas que facilita la participación colectiva no se podrá distinguir la honestidad ni la verdadera motivación de sus participantes.

“El crowdsourcing genera un desafío muy fuerte para la institucionalidad que surge de internet, pues en la colaboración colectiva, muchos no entienden el tipo de proceso del que están participando ni el objetivo final de su trabajo”, dice el estadounidense Jonathan Zittrain, profesor de derecho de Harvard y quien se ha especializado en los desafíos legales de internet. Su reciente libro The Future of the Internet and How to stop it desarrolla algunos de los desafíos que empuja el crowdsourcing. “En un modelo de crowdsourcing, un grupo de expertos podría estar colaborando para armar un arma nuclear, sin saberlo”.

Pero del crowdsourcing surgen también oportunidades invaluables. Liveops.com, por ejemplo, es un centro de llamados en la nube. Si un usuario está con tiempo libre y requiere pesos adicionales, entonces puede registrarse en el sitio, descargar la aplicación de Liveops y convertirse en un telefonista de un call center. Las ventajas de costos que ofrece una solución como ésta a empresas que requieren un servicio telefónico liviano son las mismas que busca GE al lanzar su concurso por proyectos de energía sustentable. El desafío próximo es cómo hacer que las masas se responsabilicen de lo que hacen.

Fuente: TendenciaDigital

lunes, agosto 29, 2011

Top 5 errores de seguridad en el mundo IT

Top 5 errores de seguridad en el mundo IT

Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc ...

Es difícil aportar algo nuevo a esta clase de 'rankings', no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación

Error 1: Pensar que la mentalidad empresarial de la organización es la misma que hace cinco años

Hace cinco años el tipo de dispositivos que accedían a una red corporativa se limitaban a los equipos plataformados de la compañía, sean equipos de sobremesa o portátiles.

Actualmente eso no es así, cada vez más se imponen los 'smartphones' como elementos empresariales, y ahora asistimos a la moda de los tablets. En definitiva, un montón de nuevos equipos que ni de lejos han sido diseñados para ejercer sobre ellos el tipo de control que se puede tener sobre el típico equipo Windows dentro de un dominio.

Sumemos a este escenario la cantidad de aplicaciones 'Cloud' de uso ampliamente difundido, y tenemos un escenario bastante complejo de gestionar que requiere una estrategia mucho mas moderna.

Error 2: No saber establecer las relaciones correctas entre el equipo de seguridad y el resto de áreas IT

El ya clásico tira-y-afloja entre la división de seguridad y el resto de departamentos. Para cualquiera que haya trabajado en una empresa IT le sonarán altamente familiares las discusiones entre lo que quiere el grupo de desarrollo, los plazos del grupo de marketing, el coste que impone el grupo financiero y las objeciones del equipo de seguridad.

Tener muy clara y definida la 'cadena de decisión' es clave.

Error 3: No comprender que la virtualización requiere nuevas estrategias de seguridad

Es obvio que según se van integrando las tecnologías de virtualización el enfoque debe cambiar. Se ha puesto muy de moda el introducir servicios ya paquetizados en formato vmware -por ejemplo- que supuestamente son 'plug&play', pero en lo que pocas veces se piensa es en como se parchean estos equipos y como se gestiona su seguridad

Error 4: No estar preparados para una fuga de datos

Probablemente siempre se tiene claro que documentos son considerados sensibles dentro de una organización pero ¿y si aparecen fuera de la organización? Tener mecanismos para identificar accesos a documentos y disponer de una trazabilidad al respecto es clave

Error 5: Complacencia con los proveedores

Muy típico en España, una vez la organización establece su red clientelar de 'partners' pocas veces existe un espíritu crítico para revisar lo que nos están vendiendo. Hay que tener claro que la solución ofertada por un proveedor X no tiene porque ser la mas correcta aunque en anteriores ocasiones nos haya suministrado aplicaciones interesantes.

Hay que mantenerse alerta y al tanto de lo que hay en el mercado de una forma global, no solo a través de los ojos de nuestros partners.

Autor: Yago Jesús

Leer más: Segu-Info: Top 5 errores de seguridad en el mundo IT http://blog.segu-info.com.ar/2011/08/top-5-errores-de-seguridad-en-el-mundo.html#ixzz1WQPIZAtu
Under Creative Commons License: Attribution Non-Commercial Share Alike

jueves, agosto 25, 2011

Revelación de información sensible en Apache Tomcat

Tomcat: 

Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un nivel de severidad de "Importante" al permitir la revelación de información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

Debido a un error en las políticas de seguridad del servicio jsvc se permitiría a las aplicaciones web tener acceso a ficheros y directorios pertenecientes al superusuario.

Esta situación sólo se daría si la instalación de Tomcat está bajo un sistema operativo Linux, el servicio jsvc fue compilado con libcap y se utilizó el parámetro -user.

Se recomienda actualizar Tomcat y aplicar las contramedidas necesarias:

Tomcat 7.0.0 a 7.0.19
Actualizar a la versión ya disponible 7.0.20:
http://tomcat.apache.org/download-70.cgi

Tomcat 6.0.30 a 6.0.32 y Tomcat 5.5.32 a 5.5.33
Utilizar las contramedidas disponibles hasta que se hagan públicas las nuevas versiones (6.0.33 y 5.5.34 respectivamente):
  • Actualizar el servicio jsvc a la versión 1.0.7 o posterior.
  • No utilizar el parámetro -user para cambiar de usuario
  • Recompilar el servicio jsvc sin libcap.

Leer más: Segu-Info: Revelación de información sensible en Apache Tomcat http://blog.segu-info.com.ar/2011/08/revelacion-de-informacion-sensible-en.html#ixzz1W4WmdLlv
Under Creative Commons License: Attribution Non-Commercial Share Alike

martes, agosto 09, 2011

COBIT 5, tanteando el terreno

Tomado de: COBIT 5

¿Han leído COBIT? Es una de esas lecturas ligeras que pueden llevarse a la playa o para descansar a la sombra de un pino. Es más, si se dispone de la edición de bolsillo pueden llevárselo al dentista para amenizar la espera, no hay nada como la prosa de COBIT para pasar un buen rato. ¿¡Qué dice éste chalao!?, habrán pensado los lectores que conozcan COBIT. Estaba sólo bromeando.

Como ya sabrán, COBIT no es ningún bestseller que podamos llevar a la piscina para pasar un rato entretenido, sino que son las siglas de “Control Objectives for Information and related Technology”. Es un conjunto de mejores prácticas relacionadas con el Gobierno TI que fue creado por ISACA (Information Systemas Audit and Control Association) y por el ITGI (IT Governance Institute). Se han publicado varias versiones de COBIT. La primera versión fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000; y la cuarta edición en 2005, y la versión 4.1 está disponible desde mayo de 2007.

Este tipo de publicaciones, las que agrupan o recopilan “mejores prácticas”, requieren de actualizaciones para no quedarse desfasadas u obsoletas. Era previsible pensar que una nueva edición de COBIT llegaría en “breve” y si todo sigue según lo previsto, la próxima versión de COBIT (COBIT 5) estará disponible a principios de 2012. A medida que se va concretando la última versión, van surgiendo noticias con las novedades que ésta contendrá. De hecho podemos descargar y consultar un primer borrador en el que se destacan los principales cambios que aportará la nueva versión.

Conexión con los principales estándares o guías de buenas prácticas

COBIT tiene un alcance muy amplio, cubre procesos de todas las áreas de la organización. Un framework de estas características debe ser compatible con estándares específicos de cada una de las áreas. Hoy en día podemos encontrar estándares y guías de buenas prácticas que resuelven muy bien —cada vez mejor— la gestión de ciertos aspectos como puede ser la provisión de servicios TI, por ejemplo ITIL v3 o ISO 20000. Me parece lógico y acertado que frameworks como COBIT procuren mejorar la compatibilidad con esas prácticas en lugar de volver a reinventar la rueda.

COBIT 4.1 hacía referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los objetivos de COBIT 5 sigue siendo mejorar la compatibilidad con otras gruías de buenas prácticas y estándares. Esto facilitará a las organizaciones la adopción de modelos de gobierno pudiendo aprovechar lo desarrollado hasta el momento.

Nuevo modelo de madurez

Ésta es una de las cuestiones que más me ha gustado y que probablemente vaya a gustar a los que hayan tratado con COBIT 4.1. Hasta ahora COBIT proponía un modelo propio para medir la “madurez” de los procesos de la organización. En mi opinión este enfoque no era demasiado acertado, creo que el enfoque de CMM o ISO es más adecuado. La nueva versión de COBIT tomará precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determination). Los niveles definidos en el modelo SPICE son los siguientes:

  • Nivel 0: Incompleto
  • Nivel 1: Realizado
  • Nivel 2: Gestionado
  • Nivel 3: Establecido
  • Nivel 4: Predecible
  • Nivel 5: Optimizado
Este cambio es una buena muestra de que se procura hacer uso de los estándares que están asentados en el mercado.

Estructura de procesos
La estructura de procesos es similar a la anterior. Tras los cambios, se dispone de un total de 36 procesos (34 en la versión 4.1). Al dar un primer vistazo comprobamos que muchos de los procesos ya están adoptados en nuestra organización: Gestión de proveedores, gestión de cambios, gestión de la configuración, gestión de incidencias, gestión de problemas, etc.

Creo que resulta positivo analizar esos procesos y compararlos con los existentes en nuestra organización en un ejercicio de autoevaluación. Debemos comparar la estructura y organización de nuestros procesos con la propuesta por COBIT, es posible que detectemos puntos de mejora y podamos plantear una estructura de procesos más simple y coherente.

Una vez hayamos comparado los procesos existentes en nuestra organización con los propuestos por COBIT, será adecuado analizar aquellos procesos que no hemos definido y plantearnos si sería conveniente definirlos e implementarlos. De este modo podemos encontrar puntos débiles que no habíamos considerado y dotar de mayor robustez nuestro modelo de gestión.

En muchos casos, comprobaremos que distintos procesos son susceptibles de ser agrupados y que sólo tiene sentido mantenerlos separados cuando se implementan en grandes organizaciones. Por ejemplo, COBIT 5 propone tres procesos para la monitorización y evaluación. Seguramente en muchas organizaciones estos tres procesos estén agrupados e implementados como un único proceso.

Con la información que disponemos hasta el momento sólo podemos hacernos una idea general de lo que será COBIT 5. No obstante, los cambios destacados en el borrador al que tenemos acceso no introducen grandes cambios respecto a COBIT 4.1. Esto nos lleva a pensar que la nueva versión no será muy distinta de la actual y que por lo tanto resultará sencillo adaptar los modelos basados en COBIT 4.1 a COBIT 5.

Hasta aquí llegan las primeras pinceladas sobre lo que será COBIT 5. Nos mantenemos a la espera de que publiquen más detalles sobre la nueva versión.
Quiero hacer un último apunte que resultará interesante para quienes estén familiarizados con los sistemas de gestión basados en las normas ISO. ¿Cuántas normas ISO se requieren para cubrir los 36 procesos de COBIT 5? Dado que existen solapes en los requisitos de dichas normas podremos encontrar más de una respuesta válida, yo me reservo la mía para una futura entrada.

Fuente: SecurityArtWork