D铆a: 13 julio, 2018

C贸mo garantizar la proteccio虂n legal de software libre en M茅xico

En los 煤ltimos a帽os, el universo de infraestructura viene pasando por una evoluci贸n tecnol贸gica constante. La gran tendencia que era la promesa de revoluci贸n 鈥搇os contenedores鈥 que apoyaban al desarrollo 谩gil y la adopci贸n de DevOps (Development Operations) dieron espacio a la computaci贸n sin servidor, que no est谩 lejos de esas caracter铆sticas y de la cuesti贸n de alineaci贸n de procesos y herramientas entre los equipos de desarrollo y operaciones.

En paralelo, tem谩ticas como Cloud Computing y Software Defined Anything (SDx) vienen ganando importancia en el mercado y est谩n convirti茅ndose en los cimientos para la infraestructura tecnol贸gica del futuro.

El software libre ha aparecido como una opci贸n de utilidad y como el gran cambio en esta nueva era digital. Pero 驴c贸mo garantizar la protecci贸n legal de software libres en M茅xico para empresas y organizaciones gubernamentales?

Antes de responder a esa pregunta, es importante mostrar claramente la diferencia entre software libre y software open source.

Un aspecto del desarrollo de software que muchas personas tienden a olvidar es c贸mo el software debe ser licenciado.

Una licencia de software determina c贸mo el c贸digo puede ser usado y distribuido por los propietarios de una licencia (los usuarios finales), lo que puede tener un impacto significativo sobre en qu茅 es utilizada la tecnolog铆a.

La mayor铆a de los software modernos son vendidos bajo una licencia propietaria, que permite al editor o creador mantener los derechos de propiedad intelectual del software.

Sin embargo, hay un punto de vista alternativo que afirma que eso coloca un nivel innecesario de control en manos de los editores de software. Al impedir que los licenciatarios copien y alteren el c贸digo fuente de un software, la idea es que los editores de software propietarios sofocan la innovaci贸n e impiden el crecimiento potencial de nuevas tecnolog铆as.

Esa postura inspir贸 la creaci贸n de licencias que conceden libremente a los usuarios el derecho de estudiar, alterar y compartir el c贸digo fuente del software. Generalmente, el software licenciado de esta forma es conocido por uno de estos dos nombres: 鈥渟oftware libre鈥 o 鈥渟oftware de c贸digo abierto鈥.

La definici贸n de software libre presenta los criterios para definir si un programa de software espec铆fico se califica como software libre. De vez en cuando, hay una revisi贸n de esa definici贸n 鈥損or una comunidad de desarrolladores profesionales鈥 para esclarecerla o desarrollar cuestiones sobre puntos en particular. Ya en el caso del 鈥淐贸digo abierto鈥 la forma de observarlo es diferente: 茅ste tiene una filosof铆a muy distinta, basada en valores diferentes a los del software libre. Su definici贸n pr谩ctica tambi茅n es diferente, pero casi todos los programas de c贸digo abierto son, de hecho, gratuitos.

Para que un software sea considerado verdaderamente 鈥渓ibre鈥, su licencia debe garantizar libertades esenciales para sus usuarios, de acuerdo con el Free Software Movement.

Estas son las siguientes:

  • Libertad de ejecutar el programa como deseas, para cualquier finalidad.
  • Libertad de estudiar c贸mo el programa funciona y alterarlo para que este funcione como deseas. El acceso al c贸digo fuente es una condici贸n previa para eso.
  • Libertad de distribuir copias de sus versiones modificadas para otras personas. Al hacer eso, puedes dar a toda la comunidad una oportunidad de beneficiarse con tus cambios. El acceso al c贸digo fuente es una condici贸n previa para eso.

La FSF (Free Software Foundation) considera que cualquier software que no atienda a cada uno de esos criterios es considerado no-libre y por tanto, anti茅tico.

La OSI (Open Source Initiative) tambi茅n posee una lista de 10 principios que una licencia de software debe cumplir para que esta sea considerada de c贸digo abierto:

  1. Redistribuci贸n gratuita.- La licencia no debe restringir a ninguna de las partes el vender o distribuir el software como un componente de una distribuci贸n de software mayor, conteniendo programas de varias fuentes.
  2. C贸digo fuente.- El programa debe incluir el c贸digo fuente y debe permitir la distribuci贸n del c贸digo fuente, as铆 como del formato compilado.
  3. Trabajos Derivados.- La licencia debe permitir modificaciones y trabajos derivados, as铆 como debe permitir que 茅stos sean distribuidos bajo los mismos t茅rminos que la licencia del software original.
  4. Integridad del c贸digo fuente del autor.- La licencia puede restringir que el c贸digo fuente sea distribuido de forma modificada solamente si la licencia permite la distribuci贸n de 鈥渁rchivos de patch鈥 con el c贸digo fuente, para modificar el programa al momento de la creaci贸n.
  5. No Discriminaci贸n contra Personas o Grupos.- La licencia no debe discriminar a ninguna persona o grupo de personas.
  6. Ninguna Discriminaci贸n contra los Campos de Emprendimiento.鈥 La licencia no debe restringir a nadie de hacer uso del programa en un campo espec铆fico de actuaci贸n.
  7. Distribuci贸n de la licencia.- Los derechos anexados al programa deben ser aplicados a todos aquellos a quienes el programa es distribuido, sin la necesidad de ejecuci贸n de una licencia adicional por esas partes.
  8. La licencia no debe ser espec铆fica para un producto.- Los derechos asociados al programa no deben depender del hecho que el programa sea de una distribuci贸n de software espec铆fica.
  9. La licencia No debe restringir otro software.- La licencia no debe imponer restricciones a otro software que sea distribuido junto con el software licenciado.
  10. La licencia debe ser neutra en t茅rminos de tecnolog铆a.- Ninguna disposici贸n de la licencia puede ser basada en cualquier tecnolog铆a individual o estilo de interfaz.

驴C贸mo es la situaci贸n del software libre en M茅xico?

Cualquier programa, por tratarse de un trabajo escrito, implica por defecto el derecho autoral, que proh铆be la ejecuci贸n, copia, alteraci贸n o distribuci贸n del programa sin la autorizaci贸n expresa del creador del trabajo. Dentro de la legislaci贸n mexicana, que sigue las directrices de la Convenci贸n de Berna Para la Protecci贸n de Obras Literarias y Art铆sticas, el Art铆culo 5 de la Ley Federal del Derecho de Autor concede la protecci贸n 鈥渁 las obras a partir del momento en que fueron colocadas como soporte de material, independientemente del m茅rito, destino o modo de expresi贸n鈥.

En tal caso, los software libres no tienen lugar en la legislaci贸n mexicana. Sin embargo, el objetivo no es negar el derecho moral del autor dentro de su concepci贸n de software libre. La distribuci贸n del sistema operacional GNU/ Linux o Linus Torvalds es una cuesti贸n delicada para su creador, a tal punto que los medios expl铆citamente la llaman de GNU/ Linux y le atribuyen autor铆a conjunta. El problema est谩 m谩s relacionado con los derechos patrimoniales y con la imposibilidad de conceder las cuatro libertades fundamentales del software libre: ejecuci贸n, modificaci贸n, reproducci贸n y distribuci贸n.

De hecho, la reglamentaci贸n mexicana protege los derechos econ贸micos del autor por 100 a帽os despu茅s de su muerte, algo que en el caso del software se vuelve todav铆a m谩s problem谩tico, porque la mayor铆a de los programas de computadoras no son creados por un individuo sino por un grupo, lo que significa que los derechos son protegidos por 100 a帽os despu茅s de la muerte del 煤ltimo miembro de este grupo.

Como se ve, todav铆a hay muchos puntos a ser discutidos en cuanto a la legislaci贸n de software libres, tanto en M茅xico como en el mundo. El asunto a煤n levanta muchas cuestiones y muchas discusiones en lo que se refiere a lo que realmente es software libre.

 

N. de P.聽Comstor

El papel del aprendizaje aut贸nomo en la ciberseguridad

A pesar del escepticismo sobre el papel del aprendizaje aut贸nomo en la seguridad, las organizaciones se pueden beneficiar de la inteligencia de las m谩quinas cuando combaten ataques sofisticados. Aunque algunos creen que el aprendizaje aut贸nomo es el 煤ltimo gran sue帽o imposible de la seguridad, en Aruba, una compa帽铆a de HPE, consideran que es al contrario.

Todo depende de c贸mo se aplique, en este texto se explica algunas maneras en las que la inteligencia automatizada puede hacer la diferencia y permitir que los analistas de seguridad dejen de perseguir fantasmas.

 

1. El aprendizaje aut贸nomo puede detectar anomal铆as con precisi贸n, a pesar de se帽ales d茅biles y atacantes inteligentes.

Las se帽ales que hay en ataques avanzados son d茅biles. Al usar aprendizaje aut贸nomo para generar alertas sobre todo aquello que pudiese ser un ataque (por ejemplo, todas las se帽ales d茅biles) solo agrava el problema conocido como 鈥渞uido de alertas鈥 que no es m谩s que la enorme cantidad de alertas con las que tiene que lidiar una empresa hoy en d铆a. Para producir alertas de calidad que permitan a los analistas concentrarse en los problemas verdaderos, el aprendizaje aut贸nomo debe ser capaz de relacionar muchas se帽ales d茅biles en un lapso, al nivel de un usuario o host, con una calificaci贸n de riesgo que refleje la acumulaci贸n de eventos an贸malos.

Por ejemplo, t茅cnicas de aprendizaje aut贸nomo, que sirven como bases de la Anal铆tica de Comportamiento de Usuarios y Entidades (UEBA por sus siglas en ingl茅s), pueden detectar un ataque comparando el comportamiento de acceso de un usuario, contra el de un atacante que ha ganado acceso a su equipo y est谩 intentando entrar como si fuese el usuario. Las motivaciones del atacante son muy distintas a las del usuario, en su intento por moverse por la red y robar informaci贸n importante. T茅cnicas de aprendizaje aut贸nomo podr铆an detectar la informaci贸n y desviaciones en el comportamiento que podr铆an indicar un riesgo.

 

2. El aprendizaje aut贸nomo facilita saber si los atacantes siguen dentro de la red.

El aprendizaje aut贸nomo puede monitorear continuamente las grandes cantidades de datos que una organizaci贸n posee, enriqueci茅ndola y complement谩ndola, incluso si cierta actividad sospechosa no ha alcanzado el nivel de alerta. Esto adem谩s sucede sin la necesidad de configurar reglas, una noci贸n predeterminada del bien y el mal, o la necesidad de producir resultados de detecci贸n en tiempo real.

Este pre-procesamiento resulta en una taxonom铆a de mayor nivel, que es clave en la aceleraci贸n del proceso de detecci贸n de amenazas. Comenzando con un solo trozo de evidencia, los analistas pueden usar esta nueva taxonom铆a para probar r谩pidamente hip贸tesis complejas y detectar ataques escondidos en la red. Estas anotaciones constantes, que ocurren 鈥渄etr谩s de c谩maras鈥 son una raz贸n importante por la que el aprendizaje aut贸nomo debe ser una parte importante de una estrategia de seguridad integral.

 

3. El aprendizaje aut贸nomo acorta el tiempo para detectar ataques.

Hoy, el tiempo promedio que toma identificar ataques dentro de la red es mayor a seis meses y una vasta mayor铆a de los atacantes est谩n burlando los sistemas de prevenci贸n y detecci贸n actuales. Durante este tiempo, los atacantes usan una variedad de m茅todos para explotar su presencia dentro de la red, pero al hacerlo dejan un gran rastro de datos. El aprendizaje aut贸nomo analiza autom谩ticamente estas grandes cantidades de datos para detectar ataques. E incluso si el ataque no se detecta autom谩ticamente con los procesos descritos en el punto 2, el aprendizaje aut贸nomo hace mucho m谩s f谩cil el proceso de detecci贸n.

El resultado es que el aprendizaje aut贸nomo puede ayudar a reducir el tiempo que toma detectar e investigar este tipo de ataques, lo que es una victoria para las organizaciones. Esto tambi茅n habla sobre la necesidad de un cambio de mentalidad fundamental en las empresas, ya que sus esfuerzos de detecci贸n y prevenci贸n fueron inadecuados para las necesidades de seguridad de hoy en d铆a. Balancear esto con el monitoreo y la respuesta para una detecci贸n pronta de amenazas, se est谩 convirtiendo en un requerimiento de seguridad vital.

 

Detenga las amenazas m谩s r谩pidamente

Las organizaciones enfrentan un panorama sofisticado de ataques, las defensas tradicionales que dependen de reglas de correlaci贸n y firmas de tiempo real se est谩n quedando cortas ante la mayor铆a de estas amenazas. Ataques sofisticados en m煤ltiples niveles casi nunca se pueden detectar en tiempo real, y sonar las alarmas por cada variante detectada durante todas las etapas solo aumenta el problema del 鈥渞uido鈥 causado para los analistas, en vez de aminorarlo. El aprendizaje aut贸nomo puede ayudar a detectar ataques autom谩ticamente Aunque tal vez no sea capaz de detectar todos los ataques, puede brindar informaci贸n que apoye el trabajo humano para detectar y responder a los ataques.

 

Costos ocultos de las brechas de datos aumentan los gastos para las empresas

IBM聽anunci贸 los resultados de un estudio global que examina el impacto financiero de una violaci贸n de datos en los resultados de una empresa. El estudio descubri贸 que los costos ocultos en las brechas de datos, como la p茅rdida de negocios, el impacto negativo en la reputaci贸n y el tiempo empleado en la recuperaci贸n, son dif铆ciles y costosos de administrar.

El Estudio sobre el Costo de una Brecha de Datos聽de 2018, de IBM Security y dirigido por el Ponemon Institute,聽descubri贸 que el costo promedio de una violaci贸n de datos a nivel mundial es de $3.86 millones de d贸lares, un aumento del 6.4% con respecto al informe de 2017.

Basado en entrevistas de profundidad a cerca de 500 compa帽铆as que experimentaron una violaci贸n de datos, el estudio analiza cientos de factores de costos que rodean una violaci贸n, desde investigaciones t茅cnicas y recuperaci贸n hasta notificaciones, actividades legales y regulatorias, y el costo de p茅rdida de negocios y reputaci贸n.

Este a帽o, por primera vez, el estudio tambi茅n calcul贸 los costos asociados con “mega infracciones” que van de 1 mill贸n a 50 millones de registros perdidos, proyectando que estas brechas les cuestan a las compa帽铆as entre $40 millones y $350 millones de d贸lares, respectivamente.

 

Calculando el costo de una 鈥渕ega infracci贸n鈥

En los 煤ltimos 5 a帽os, la cantidad de 鈥渕ega infracciones鈥 (infracciones de m谩s de 1 mill贸n de registros) casi se ha duplicado, desde solo 9 en 2013, a 16 mega brechas en 2017. Debido a la peque帽a cantidad de 鈥渕ega infracciones鈥 en el pasado, el聽Estudio sobre el Costo de una Brecha de Datos聽analiz贸 hist贸ricamente infracciones de alrededor de 2,500 a 100,000 registros perdidos.

Con base en el an谩lisis de 11 compa帽铆as que experimentaron una 鈥渕ega infracci贸n鈥 en los 煤ltimos dos a帽os, el informe de este a帽o usa modelos estad铆sticos para proyectar el costo de brechas que van desde 1 mill贸n hasta 50 millones de registros comprometidos. Los hallazgos clave incluyen:

  • El costo promedio de una violaci贸n de datos de 1 mill贸n de registros comprometidos es de casi $40 millones de d贸lares.
  • En 50 millones de registros, el costo total estimado de una infracci贸n es de $350 millones de d贸lares.
  • La gran mayor铆a de estas infracciones (10 de 11) se debieron a ataques maliciosos y criminales (a diferencia de fallas t茅cnicas o errores humanos).
  • El tiempo promedio para detectar y contener una 鈥渕ega infracci贸n鈥 fue de 365 d铆as, casi 100 d铆as m谩s que una brecha de menor escala (266 d铆as).

Para 鈥渕ega infracciones鈥, la categor铆a de gasto m谩s grande tiene que ver con los costos asociados con la p茅rdida de negocios, que se estim贸 en casi $118 millones por brechas de 50 millones de registros, casi un tercio del costo total de una infracci贸n de este tama帽o. IBM analiz贸 los costos informados p煤blicamente de 鈥渕ega infracciones鈥 de alto perfil y descubri贸 que las cifras informadas a menudo son menores que el costo promedio encontrado en el estudio. Es probable que esto se deba a que los costos informados p煤blicamente a menudo se limitan a los costos directos, como la tecnolog铆a y los servicios para recuperarse de la infracci贸n, los honorarios legales y reglamentarios y las reparaciones a los clientes.

 

驴C贸mo afecta el costo promedio de una violaci贸n de datos?

Durante los 煤ltimos 13 a帽os, el Instituto Ponemon ha examinado el costo asociado con las infracciones de datos de menos de 100,000 registros y ha constatado que los costos han aumentado a lo largo del tiempo. El costo promedio de una violaci贸n de datos fue de $3.86 millones en el estudio de 2018, en comparaci贸n con $3.50 millones en 2014, lo que representa un aumento neto de casi 10% en los 煤ltimos 5 a帽os.

El estudio tambi茅n examina los factores que aumentan o disminuyen el costo de la infracci贸n, descubriendo que los costos se ven muy afectados por la cantidad de tiempo dedicado a contener una violaci贸n de datos, as铆 como las inversiones en tecnolog铆as que aceleran el tiempo de respuesta.

  • El tiempo promedio para identificar una violaci贸n de datos en el estudio fue de 197 d铆as, y el tiempo promedio para contener una violaci贸n de datos una vez identificado fue de 69 d铆as.
  • Las empresas que contuvieron un incumplimiento en menos de 30 d铆as ahorraron m谩s de $1 mill贸n de d贸lares en comparaci贸n con las que tardaron m谩s de 30 d铆as ($3,09 millones frente a un total promedio de $4,25 millones de d贸lares).

La cantidad de registros perdidos o robados tambi茅n afecta el costo de una infracci贸n, con un costo promedio de $148 d贸lares por p茅rdida o robo.

El estudio examin贸 varios factores que aumentan o disminuyen este costo:

  • Tener un equipo de respuesta a incidentes fue el principal factor de ahorro de costos, reduciendo el costo en $14 por registro comprometido.
  • El uso de una plataforma de inteligencia artificial para la ciberseguridad redujo el costo en $8 por p茅rdida o robo de registro.
  • Las compa帽铆as que indicaron una “prisa para notificar” tuvieron un costo m谩s alto por $5 por registro perdido o robado.

Este a帽o, por primera vez, el informe examin贸 el efecto de las herramientas de automatizaci贸n de seguridad que utilizan inteligencia artificial, aprendizaje autom谩tico, an谩lisis y orquestaci贸n para aumentar o reemplazar la intervenci贸n humana en la identificaci贸n y contenci贸n de una violaci贸n. El an谩lisis encontr贸 que las organizaciones que implementaron ampliamente las tecnolog铆as de seguridad automatizadas ahorraron m谩s de $1.5 millones de d贸lares en el costo total de una infracci贸n ($2.88 millones de d贸lares, en comparaci贸n con $4.43 millones de d贸lares para aquellos que no implementaron la automatizaci贸n de seguridad).

 

Anal铆tica deportiva, pase directo a la competitividad

En cada partido de f煤tbol soccer, b茅isbol, b谩squetbol, atletismo, f煤tbol americano, sin importar de qu茅 equipo, selecci贸n o temporada se trate, lo que los due帽os quieren es un estadio lleno, ya que los lugares vac铆os implica p茅rdida de ingresos, venta de boletos baja, poco movimiento de mercanc铆as y alimentos, aficionados insatisfechos y jugadores desmotivados.

Existen clubes visionarios que buscan sobresalir aprovechando las innovaciones tecnol贸gicas, como la anal铆tica, de forma exitosa para llevar a m谩s aficionados satisfechos a estadios y arenas, as铆 como para elevar sus ingresos.

No obstante, dar un paso de esas dimensiones no es sencillo. En primera instancia, en comparaci贸n con una empresa de otro sector, un club deportivo se encuentra rezagado en cuanto a sofisticaci贸n y uso de la anal铆tica, a lo que se suma su incapacidad de hacer grandes inversiones iniciales.

En 2003, Michael Lewis public贸 el libro Moneyball, en el que se describ铆a de qu茅 manera la anal铆tica pod铆a transformar los deportes profesionales (en este caso el equipo de b茅isbol, Oakland Athletics), marc贸 un antes y un despu茅s en la forma de aprovechar sus datos.

Los beneficios que otorga la anal铆tica han impactado de manera positiva varias 谩reas estrat茅gicas, tanto dentro como fuera del campo de juego.

Jugadores de alto desempe帽o. Sensores integrados a los uniformes y equipamientos generan informaci贸n que los entrenadores utilizan para conocer el desempe帽o de cada jugador, y del equipo en su conjunto. A partir de ah铆, se dise帽an programas de entrenamiento y se identifican las 谩reas de mejora.

Simulaciones. La anal铆tica ayuda a simular partidos antes de que sucedan, tomando en cuenta los resultados, estilo de juego y la alineaci贸n de encuentros anteriores. Los coaches pueden recibir datos en tiempo real del desarrollo de un encuentro.

Llenar estadios. Los eventos deportivos compiten con una amplia oferta de entretenimiento -incluyendo a servicios de streaming como Netflix. Los directivos se apoyan en diversas fuentes de datos que, despu茅s de procesarlas, les pueden indicar cu谩l ser谩 la experiencia que buscan los asistentes: mayor interacci贸n, boletos accesibles, venta de bonos para una temporada completa, aplicaciones m贸viles, estacionamiento accesible, etc.

Mercanc铆a y alimentos. Al conocer a detalle los patrones de compra de los fan谩ticos en el estadio se les presenta la mercanc铆a que realmente les atraer谩 (gorras, camisetas, pines, memorabilia), y los alimentos que consumir谩n. Por ejemplo, la anal铆tica ha revelado que el n煤mero de mujeres que asiste a estos eventos va en aumento, lo que permite ampliar el cat谩logo de productos dirigidos a este segmento.

Jugadas efectivas. El video y datos de ubicaci贸n se utilizan para analizar los movimientos en la cancha, como en el caso del f煤tbol, a fin de estudiar todos los desplazamientos de los jugadores y el bal贸n.

Atletas con potencial. La Universidad de Carolina del Norte en Chapel Hill utiliza herramientas anal铆ticas de SAS para reclutar y predecir el desempe帽o de sus atletas (a quienes se apoya con becas). De igual modo, las aprovechan para identificar a donadores, exalumnos, patrocinadores y miembros de la comunidad que contribuyan al fondo de becas para apoyar su educaci贸n y capacidad deportiva.

La aplicaci贸n de la anal铆tica tiene un alto potencial en el campo deportivo, y sus posibilidades son infinitas.

 

Por: Kleber Wedemann, Director de Marketing, SAS Latinoam茅rica.

Broadcom cae en la bolsa tras compra de CA Technologies

Tras hacerse p煤blico el anuncio de聽Broadcom聽iba a proceder a la compra de una compa帽铆a especializada en software como es聽CA Technologies, saltaron las reacciones de sorpresa y no solo esto, ya que el movimiento represent贸 un duro golpe para la compa帽铆a de chips que cay贸 con dureza en bolsa.

Tras anunciar el聽pacto de compra por 18.900 millones de d贸lares, el mercado reaccion贸 y no de la mejor manera, ya que las acciones de la compa帽铆a se desplomaron cayendo hasta聽un 19% llegando a perder una cantidad similar a la que ha ofrecido para cerrar la operaci贸n. Al cierre, cay贸 un 13,8%.

Los inversores han reaccionado con preocupaci贸n y la mayor铆a no entiende el movimiento. Por otro lado hay quien piensa que esta acci贸n signifique, tal y como sugieren desde el medio brit谩nico The Register,聽que聽Broadcom no conf铆e en聽que a sus empresas de chips centrales les quede mucho crecimiento. Otra posibilidad es que el crecimiento de CA es lento, por lo que es una adici贸n menos que estelar.

Durante este a帽o聽todo parec铆a indicar que Broadcom iba a adquirir los servicios de Qualcomm聽pero de la noche a la ma帽ana la historia dio un giro de 180潞 y la compa帽铆a de chips anunciaba el movimiento por CA Technologies sorprendiendo tanto聽a la competencia聽como a sus propios accionistas.

鈥淢e parece una noticia muy sorprendente, no veo cu谩les pueden ser las sinergias entre una compa帽铆a que se autodeclara como empresa global l铆der en el mercado de los semiconductores con una empresa de software tradicional” comentaba聽Jorge Dinar茅s, presidente para EMEA de Micro Focus, empresa que compite directamente con CA Technologies.

 

IDG.es