Categoría: ¿Cómo hacerlo?

Métricas del modelo DevOps, para tomar mejores decisiones

El objetivo principal de la práctica DevOps es agilizar el ciclo de vida del software, asegurando la calidad en cada uno de los pasos y partiendo de la automatización y la monitorización como herramientas fundamentales para conseguirlo.

Por ello, MTP nos propone ciertas métricas que se centran en ese objetivo, manteniendo también el foco en la calidad, ya que tampoco hay que olvidar que lo que se desea no es producir mal software a gran velocidad:

  1. Número de commits asociados correctamente a un ticket. Por medio de esta métrica podremos conocer en todo momento si los equipos de desarrollo están contribuyendo a la trazabilidad del código, un aspecto fundamental.
  2. Porcentaje de código cubierto por test unitario. Aunque no hay que llevar al extremo la cobertura de código por test unitario, contar con un nivel adecuado ayuda a prevenir problemas en etapas posteriores.
  3. Ratio de construcciones fallidas. Si una build, con independencia del motivo, no se completa correctamente, se pierde un tiempo valioso que repercutirá en el resto del proceso de construcción del software.
  4. Ratio de despliegues fallidos. Ya sea por indisponibilidad de entornos, por fallos en la configuración o por defectos en los tests postdespliegue, conviene llevar traza de la cantidad de despliegues que no se han completado con éxito.
  5. Tiempo medio de despliegue. Esta métrica nos ayudará a identificar procedimientos que no estén del todo maduros, por ejemplo, pasos que aún no estén automatizados o que requieran de revisión manual.
  6. Frecuencia de despliegue. Uno de los objetivos debe ser hacer despliegues pequeños y frecuentes. Esta métrica nos ayudará a saber si estamos acercándonos o alejándonos de este objetivo.
  7. Porcentaje de éxito en tests automáticos. Los tests automáticos son fundamentales en un entorno DevOps. Un despliegue puede interrumpirse por errores en los tests automáticos. Relacionar esta métrica con otras, como el número de defectos encontrados por entorno, puede ayudar a saber si los tests automáticos construidos son o no suficientes.
  8. Defectos encontrados en entornos de integración y UAT. Ya sea por fallos detectados gracias a tests automáticos o a tests de usuario, es una métrica que debería tender a cero con el tiempo. Es un indicador de la madurez de todo el proceso.
  9. Ratio de indisponibilidad. Tanto en entornos intermedios como en entornos productivos, una indisponibilidad es un problema grave. Evidentemente, el problema es mayor si un entorno de producción deja de estar disponible. Por ello, podría tener sentido dividir esta métrica por tipo de entorno.
  10. Tiempo medio para salir de indisponibilidad. La rapidez con la que se reaccione para volver a dar servicio es clave para no interrumpir el ciclo de vida y para no dañar la imagen de cara al cliente, además de limitar una potencial pérdida de ingresos.
  11. Defectos encontrados en entorno productivo. Un defecto será más costoso de corregir cuanto más tarde se detecte en el ciclo de vida. El objetivo es que esta métrica tienda a cero. Como mencionábamos anteriormente, si no vemos disminuido este valor con el tiempo, convendría ajustar las baterías de test de todo tipo aplicadas al software.
  12. Tiempo medio de resolución de defectos en entorno productivo. Cada defecto que se da en un entorno productivo supone un coste en términos de deterioro de imagen, potencial pérdida de ingresos o corrupción de datos, por poner sólo algunos ejemplos. El tiempo de resolución debe ser mínimo para mantener estas consecuencias dentro de lo admisible.
  13. “Lead time” de un cambio. Tiempo medio transcurrido entre el registro de un ticket y la puesta en producción de la funcionalidad asociada. Nos ayuda a medir el tiempo de respuesta de todo el engranaje DevOps.

 

Todas estas métricas son una ayuda a la hora de tomar decisiones, pero también para conocer si los cambios aplicados van o no en el buen camino.

Claves para lograr mayor eficiencia en el Centro de Datos

¿Cómo puedo hacer más eficiente mi centro de datos?”. Este es un cuestionamiento perfectamente razonable, ya que cada vez es más importante poder optimizar costos y la infraestructura del negocio.

Vivimos en un mundo conectado en el que es vital proteger los datos y archivos importantes. Entonces, es prioridad asegurarse que la infraestructura física del centro de datos pueda adaptarse con rapidez para admitir futuras demandas por el Internet de las Cosas (IoT, por sus siglas en inglés) y el crecimiento en la nube o en ubicaciones periféricas sin comprometer eficiencia operativa.

Actualmente, estos escenarios son recurrentes por lo que será difícil saber dónde comenzar si no se ha implementado un análisis de eficiencia energética y determinar la criticidad de la operación o de procesos particulares. Se trata de algo básico, pero que con frecuencia es un escenario que se pasa por alto.

El monitoreo de energía es el punto de inicio para la eficiencia del centro de datos. Ya que nos da una visión de dónde se está consumiendo la energía y puede ayudar a descubrir posibles fuentes de ineficiencia.

Debemos tener presente que existen áreas donde es muy probable que las empresas estén perdiendo eficiencia y, sin sorprendernos, son los cuatro elementos más importantes para cualquier centro de información:

  • La carga del sistema que alimenta a los UPS (Densidad por rack).
  • El equipo de enfriamiento,es la configuración y diseño del aire acondicionado de precisión del Cuarto de Cómputo (CRAC, siglas en inglés) y la energía de entrada a estos.
  • La calidad de la energía en el suministro eléctrico.
  • La ubicación del centro de datos en sí misma y su distribución.

Las primeras tres hablan, en números, de la efectividad del uso energético (PUE, por sus siglas en inglés), que permiten referenciar sobre cómo se desempeña un centro de datos en comparación con otras organizaciones con infraestructura similar. De esta forma, se puede llegar a un primer escenario sobre qué está funcionando como se espera y qué no.

Por esto es muy importante tener presente los parámetros y controles que dan una historia más detallada sobre qué ha ocurrido. Mientras que los números PUE se enfocan solamente en la infraestructura, estas variables consideran infraestructura, equipo de sistemas conectado a éste y la instalación como un todo. Es importante ver todo el panorama y considerar cuáles son las áreas de oportunidad que se deben aprovechar.

Hay un número de cambios que se pueden hacer desde el comienzo para incrementar la eficiencia. Por ejemplo, revisar el inventario y analizar detenidamente qué es lo que hay, especialmente servidores viejos, routers, apagadores, almacenaje, que pueden no estar siendo utilizados y considerar retirarlos o consolidarlos.

También hay que analizar el contexto fuera del centro de datos, cualquier cosa que caiga bajo la misma denominación, como máquinas de fax (¿cuándo fue la última vez que se envió un fax?), impresoras, etcétera, especialmente si toman energía del UPS. Por otro lado, cuando hablamos del software, se debe pensar en las plataformas que existen y cuán eficientes son, junto con los procesos adicionales que pueden estar utilizando, incluso cuando no están siendo utilizadas.

Hasta se tiene que analizar el tipo de organización/limpieza del lugar de trabajo puede reducir el consumo de energía. Incluso cosas simples como asegurar que las luces estén apagadas cuando nadie esté en el centro de datos puede tener un gran impacto.

Ahora, si en verdad su organización necesita una gran cantidad de aparatos, valdría la pena invertir en OPEX para mejorar el equipo y reducir el número de aparatos y el tamaño total de la infraestructura. Cada equipo que retiren tiene un efecto dominó de impacto positivo de ahorro de energía, especialmente en el centro de información.

Lo que llama la atención es que es mucho más común de lo que se piensa la falta de visibilidad de muchos operadores de sistemas en cuanto en dónde y cómo se está consumiendo la energía. Cabe destacar que es difícil saber dónde comenzar si no se ha implementado un sistema de medición de energía, y sin embargo, esto es algo que con frecuencia es pasado por alto, por tal razón, los responsables de la infraestructura pasiva debe contar con las herramientas necesarias para cumplir con sus tareas, pero también saber optimizar los recursos para contribuir con el negocio desde todas las áreas.

 

Por: David Cabrera, Director de Desarrollo de Negocios de Vertiv.

Reportaje: Factores que impulsan la adopción de soluciones y estrategias de seguridad TI

De nueva cuenta, este año la seguridad TI se posiciona como la iniciativa tecnológica que atraerá el mayor porcentaje de inversiones a nivel mundial. Así lo revelan estimaciones de firmas de consultoría como IDC, las cuales destacan que la seguridad TI también será la que tendrá un mayor crecimiento en 2018 (53%) en comparación con el 33% obtenido el año anterior, superando las intenciones de inversión que habrá en otros rubros, como la consolidación de los ERP (37%) o para las configuraciones de nube (33%).

En México, las tendencias de inversión en el ámbito de seguridad de la información también vislumbran cifras prometedoras este año: de acuerdo con IDC, las soluciones de seguridad tendrán un crecimiento de 7% con respecto al 2017, una cifra superior al del resto de la industria TI.

reporte-especial-seguridad-edificiosEspecíficamente en lo que respecta a las soluciones para seguridad de nube, los recursos que destinen las organizaciones pasarán del 11% del mercado total obtenido en 2017 a un 13% en 2018, mientras que para los servicios de seguridad TI se vislumbra un incremento del 16.8%, que es prácticamente el doble de lo que crece el segmento de servicios en nuestro país.

Estas cifras son acordes a lo observado en los últimos tres años, periodo en el que el valor de los servicios TIC en México ha crecido a doble dígito, propiciado por factores tales como aspectos socioeconómicos, el entorno competitivo de las organizaciones, las tendencias de gasto e inversión, y la innovación tecnológica asociada con la tercera plataforma (nube, movilidad, analítica y redes sociales), de acuerdo con Hugo Guevara, Analista de Servicios para IDC México.

“Estos factores han ocasionado una reconfiguración del mercado TIC nacional en términos de competidores líderes y modelos de entrega, así como en la forma de adquisición tecnológica por parte de las organizaciones, lo que no ha sido ajeno para el segmento de servicios relacionados con ciberseguridad”, afirmó Guevara en un artículo publicado en CIO México.

 

¿Cómo armar una estrategia de seguridad TI efectiva?

De acuerdo con una encuesta aplicada por IDC a CISOs, los principales motivadores que definen una estrategia de seguridad TI son: el cumplimiento regulatorio, las vulnerabilidades descubiertas, las noticias sobre ataques difundidos por medios de información, el cumplimiento de las métricas de indicadores de riesgo, y el propósito de coordinar la estrategia de seguridad con la estrategia de negocio.

Foto-1-Reporte-Especial-Israel-Quiroz-IQsec
Israel Quiroz, Director General de IQsec.

En esto último coincidió Israel Quiroz, Director General de IQsec, al resaltar que, para ser efectiva, una estrategia de seguridad debe involucrar a la Alta Dirección de la empresa, para que respalde las iniciativas que se propongan realizar. También es importante que los recursos que se destinen para asegurar la información no se consideren como un gasto sino como inversión. “Esta labor debe involucrar tanto a la estrategia, la operación y la táctica para de esta manera asegurar los tres ejes de la seguridad de la información: tecnologías, personas y procesos requeridos”

Quiroz agregó que lo importante es definir cuáles son los riesgos que se aceptan, se mitigan y se administran en una organización. “Esto lo permite saber el análisis de riesgo”.

En efecto, una estrategia de seguridad basada en eventos no es eficaz; en cambio la que se fundamenta en el comportamiento humano, marca la diferencia, como señaló Ramón Salas, Director Regional para México y Centroamérica de Forcepoint. Más aún, dijo que “ésta debe ser una estrategia adaptativa, ya que los ataques son muy novedosos y la seguridad debe adaptarse a estos cambios para ser eficiente”.

Según datos de la Organización de Estados Americanos (OEA), el costo promedio de un incidente de seguridad en México es de un millón 581 mil 641 dólares.

Foto-2-Reporte-Especial-Ramon-Salas-Forcepoint
Ramón Salas, Director Regional para México y Centroamérica de Forcepoint.

Tomando en cuenta esta realidad, una visión de 360 grados debe ser el fundamento de una estrategia de aseguramiento digital como propone la empresa MTP International en México. “En esta estrategia integral contemplamos un principio amplio, enfocado desde la perspectiva del negocio y que está interrelacionado con aspectos de calidad interna (aplicativos) o experiencias de usuario”, explicó Javier Díaz, CEO de esta compañía. “Un enfoque que no sea holístico, presentará vulnerabilidades y áreas de oportunidad para las amenazas exteriores. La experiencia de usuario, la calidad y la seguridad entrelazadas deben ser consideradas de manera resiliente e integral”.

Más aún, lo importante sería considerar no sólo las tecnologías que están disponibles para quienes tengan el presupuesto suficiente para invertir en seguridad, sino también las habilidades y conocimientos técnicos que tenga el proveedor de seguridad, afirmó Julio Carvalho, Director de Preventa para Seguridad de CA Technologies.

 

¿Es suficiente la inversión que se hace en seguridad TI?

Las estimaciones de IDC señalan que el 5% del presupuesto destinado a las TI por parte de las organizaciones a nivel mundial se invierte en seguridad.

Foto-3-Reporte-Especial-Javier-Diaz-MTP
Javier Díaz, CEO de MTP International.

Por su parte, los últimos datos disponibles proporcionados por Gartner refieren que el gasto mundial en productos y servicios de seguridad de la información crecieron un 7% en 2017 con respecto al año anterior, para alcanzar unos 86,400 millones de dólares.

De acuerdo con esta firma, el incremento se situará en el 7.5% en 2018, lo cual se traducirá en 93,000 millones de dólares

Por áreas, las que están trayendo más inversiones son el testeo de seguridad, y sobre todo el Interactive Application Security Testing (IAST), debido al creciente número de brechas de seguridad que se están produciendo.

Asimismo, según Gartner, las organizaciones a nivel mundial han destinado las partidas presupuestales para ciberseguridad hacia la adaptación de sistemas tradicionales de protección (como la protección del endpoint, firewall, correo seguro, etc.), aunque cada vez emergen con más fuerza las tecnologías de monitoreo, detección y respuesta, ya sean propias o gestionadas.

 

La situación en México

Pero, ¿qué sucede en nuestro país? ¿La inversión que se está realizando es suficiente para enfrentar los riesgos y aminorar las vulnerabilidades?

Foto-4-Reporte-Especial-Julio-Carvalho-CA
Julio Carvalho, Director de Preventa para Seguridad de CA Technologies.

“Toda inversión realizada en aminorar riesgos y vulnerabilidades es buena, pero dado que hemos comenzado a considerarlas después de los problemas, siempre los costos son más elevados y su impacto puede percibirse como insuficiente”, aseveró Eduardo Rico, Director de Ventas de Symantec en México.

Agregó que también se deben incorporar a los procesos de seguridad las acciones requeridas para la remediación de los incidentes que puedan ocurrir. “Se necesita revisar y reevaluar el rubro de la inversión de este segmento para asegurar que su efectividad sea mucho mejor y por ende la suficiencia de la misma”, señaló Rico.

 

¿Hacia dónde se destinará la inversión?

La protección de los datos personales, así como la protección de código, las credenciales privilegiadas y la búsqueda desarrollos seguros serán algunos de los principales focos de la inversión por parte las organizaciones en México respecto a la seguridad TI. Así lo consideró Julio Carvalho, de CA Technologies. “Ahora vemos que un hacker o un defraudador tiene más herramientas disponibles para evaluar si hay vulnerabilidades en el código de una aplicación, por ejemplo. Por eso creo que las empresas comienzan cada vez más a invertir en protección de código, en el desarrollo de éste o en credenciales privilegiadas mediante las cuales se puede tener acceso a sus entornos, tanto internos como externos”.

 

Obstáculos para adoptar soluciones y estrategias

Foto-5-Reporte-Especial-Eduardo-Rico-Symantec
Eduardo Rico, Director de Ventas de Symantec en México.

En referencia a los aspectos comerciales, organizacionales o tecnológicos que pueden dificultar la adopción de estrategias y soluciones integrales de seguridad TI en las organizaciones mexicanas, Julio Carvalho, de CA Technologies, dijo que el principal obtáculo no es el presupuesto asignado a este rubro, sino el conocimiento de las nuevas tecnologías que ya están disponibles.

Y es que en realidad, “nada hay que sea completamente invulnerable”, como refirió Sabas Casas del Río, Vicepresidente para América Latina de S21sec. Por ello, propuso que una organización debe contratar servicios, no productos.

“Algunas empresas proveedoras ofrecen ciertos productos para solucionar aspectos muy específicos. El problema es que éstos son muy sesgados, caros y requieren un tiempo de implementación largo. En cambio, si se adquieren servicios, la cadena de montaje ya está funcionando, porque existen otros clientes que lo utilizan y sólo basta configurar los procesos internos para que en cuestión de semanas se puedan obtener resultados relevantes para el negocio”, manifestó Casas del Río.

Asimismo, Israel Quiroz, de IQsec, destacó que no hay proveedor que pueda dar una solución de 360 grados y necesariamente se tiene que integrar con terceros, pues ninguno puede abarcar todas las áreas para proteger a una organización. “Una labor consultiva permite conocer cómo se puede brindar protección a la empresa de manera única e individual”. Esto, dijo, es semejante al DNA de una persona: “dependiendo del rubro y giro de una organización, requerirá una estrategia de seguridad específica”.

 

El mayor reto para los CIO en materia de seguridad

Foto-6-Reporte-Especial-Sabas-S21sec
Sabas Casas del Río, Vicepresidente para América Latina de S21sec.

Para finalizar, los entrevistados opinaron sobre cuál es el mayor desafío que tiene un CIO en México para alcanzar el nivel de seguridad óptimo en sus organizaciones.

Para Carvalho, de CA Technologies, uno de los desafíos ­–quizá el mayor– consiste en el cambio de mentalidad, ya que la mayoría de los CIO y CSO activos fueron formados en su momento para enfrentar riegos de tecnología en vez de riesgos para el negocio, como se requiere hoy. “Antes los CIO invertían en soluciones de seguridad para proteger los datos de empresa desde una perspectiva exclusivamente tecnológica; en la actualidad, una brecha de seguridad puede sacar a una empresa del mercado por el daño que ocasionaría a su reputación, por eso insisto en que el enfoque debe dirigirse hacia el impacto que producirían este tipo de fallas en el negocio”.

Ramón Salas, de Forcepoint, hizo referencia al concepto Shadow IT, que engloba todo aquello que un área de TI no tiene ya bajo su control, como las aplicaciones que están en la nube. Ante tal escenario, la seguridad debe dar un vuelco completo para crear una manera diferente que proteja el entorno que el CIO tiene bajo su cargo”.

Foto-7-Reporte-Especial-Renato-Ohno-Furukawa
Renato Ohno, Country Manager de Furukawa Electric México.

Desde la perspectiva de Renato Ohno, Country Manager de Furukawa Electric México, los directivos de TI se distinguen por su visión estratégica hacia los próximos dos años o más, porque deben vislumbrar el crecimiento de su organización. “Su desafío consiste en cómo colaborar y qué hacer para que la empresa o institución sea más rentable, brinde mejores servicios y capacidades, disminuya costos y sobre todo, entienda el core de su negocio”.

Otro de los retos es que el CIO trabaje en una especie de “ósmosis clara y progresiva” entre lo que es el área de Seguridad y las áreas de Desarrollo, aseveró Javier Díaz, de MTP International. “Su mayor tarea consiste en vincular a su equipo y en general a toda la organización en el desafío que implica la seguridad misma”.

Por su parte, Eduardo Rico, de Symantec, afirmó que el principal reto que enfrentan los directivos de TI hoy en día es el que se deje de considerar la infraestructura informática como un agregado del negocio y no como algo crítico y sustantivo para el desarrollo del mismo.

El segundo reto es que el CIO o CISO tenga la capacidad de poder conversar con los demás ejecutivos del negocio sobre la incorporación de sistemas y seguridad, y su afectación concreta en el usuario final, el cual debe ser reconocido como el actor clave y para quien se deben adecuar los procesos correspondientes. “Mientras no lo hagamos de esta forma, seguirá considerándose al área de TI y al CIO como un mal necesario y un centro muy elevado de costos”, aseveró el directivo.

 

Guía esencial para un CISO

La firma de análisis y consultoría IDC, distingue cuatro conceptos que debe tener en cuenta un CSO o CISO para el desempeño de sus funciones:

  1. El rol del CISO: Su papel consiste en alinear las inversiones de seguridad de TI con el “apetito de riesgo” que tiene la organización.
  2. “¿Estamos seguros?”: Es necesario que el CSO explique tanto al CEO y a los demás CxO de su organización que se trata de administrar riesgos y no de garantizar la seguridad, pues nadie está totalmente seguro.
  3. Tercerizar: La seguridad TI es una labor compleja y sólo las organizaciones más grandes pueden administrar internamente la totalidad de la misma. Otras deberían optar por la tecerización.
  4. Cooperación: Es importante que el CISO no olvide compartir información y prácticas con proveedores, agencias reguladoras e incluso clientes para contar con una estrategia de seguridad robusta.

 

-Por José Luis Becerra Pozas, CIO México

Diez consejos para minimizar las vulnerabilidades de seguridad de IoT

La nueva lista de Online Trust Alliance presenta 10 sugerencias para utilizar la tecnología IoT en la empresa sin hacerla más vulnerable a las amenazas de seguridad. La lista se centra en el conocimiento y la minimización del acceso a dispositivos menos seguros. Tener una sólida comprensión de qué dispositivos están realmente en la red, qué pueden hacer y qué tan seguros son desde el principio es la clave para una estrategia de seguridad de IoT exitosa.

 

1. Contraseñas. Cada contraseña en cada dispositivo debe actualizarse por defecto y cualquier dispositivo que tenga una contraseña predeterminada inmutable no se debe usar en absoluto. Los permisos deben ser lo más mínimos posible para permitir que los dispositivos funcionen.

2. Haga su tarea. Todo lo que sucede en su red, así como cualquier back-end asociado o servicios en la nube que funcionen con él, deben ser cuidadosamente investigados antes de que se ponga en producción.

3. Red Separada. Es una buena idea tener una red separada, detrás de un firewall y bajo supervisión cuidadosa, para dispositivos IoT siempre que sea posible. Esto ayuda a mantener los dispositivos potencialmente inseguros lejos de las redes y recursos básicos.

4. No use funciones que no necesita. El OTA brinda el ejemplo de un televisor inteligente que se usa solo para mostrar, lo que significa que definitivamente puede desactivar su micrófono e incluso su conectividad.

5. Busque el compromiso físico. Cualquier cosa con un interruptor de “restablecimiento de fábrica” ​​de hardware, un puerto abierto o una contraseña predeterminada es vulnerable.

6. Evite conexión automática a Wi-Fi. Los dispositivos que se conectan automáticamente a redes Wi-Fi abiertas son una mala idea. Asegúrate de que no hagan eso.

7. Bloqueo. Si no puede bloquear todo el tráfico entrante a sus dispositivos IoT, asegúrese de que no haya puertos de software abiertos que un malhechor podría usar para controlarlos.

8. Encriptación. La encriptación es una gran cosa, si hay alguna forma de que sus dispositivos IoT puedan enviar y recibir sus datos mediante encriptación, hágalo.

9. Software siempre actualizado. Las actualizaciones también son una gran ventaja, ya sea que tenga que verificar manualmente cada mes o la actualización de sus dispositivos por su cuenta, asegúrese de que estén recibiendo parches. No use equipos que no puedan obtener actualizaciones.

10. Actualice sus equipos. Subrayando lo anterior, no use productos que ya no sean compatibles con sus fabricantes o que ya no puedan ser protegidos.

– Jon Gold