Gobierno Corporativo de TI – Seguridad, Flexibilidad y Riesgo en los escenarios de TI

Esta entrada la publique originalmente el día 16 de febrero de 2012, pero se está convirtiendo en un documento vivo, ya que la iré actualizando con las noticias que se van difundiendo de como; las empresas y el gobierno de USA nos espían todo el tiempo, el gobierno de USA y otros cierran sitios y/o dominios, las aplicaciones nos roban nuestros datos sin que tengamos un conocimiento previo y leyes que aprueben los países para permitir el cierre de sitios de Internet por presión de la industria del entretenimiento. Ya lleva varias actualizaciones, la ultima el 11 de Julio de 2012.

Leyendo unas cuantas noticias y algunos artículos, me encontré con una problemática que se da en USA pero que nos afecta a todos los que estamos relacionados con la Tecnología de la Información y las Comunicaciones.

Uno de los artículos que me llamo la atención fue el de Jonathan Feldman; Want IT Flexibility? Demand Jailbreaking Be Legal. En el artículo se trata una discusión que se está dando en USA acerca de la excepción que tenía el método de Jailbreaking en la ley Digital Millennium Copyright Act (DMCA), una de las tantas leyes que intentan proteger el robo de propiedad intelectual, ya que está excepción llega a su fin y no quieren extenderla.

Citando a Jonathan – con su expreso permiso – recomiendo la lectura completa de la nota:

Ahora parece que las tiendas de aplicaciones están en silencio atacando la navaja del ejército suizo de TI – el computador de escritorio. Con Apple a la vanguardia en la creación de una tienda de aplicaciones con recinto de seguridad para Mac OS / X, donde no se permiten aplicaciones a nivel de sistema. En Windows 8 será necesario un arranque seguro, de confianza, que en algunos casos significará que los usuarios no pueden instalar otro sistema operativo. En particular, los dispositivos ARM con Windows 8 deben ofrecer Secure Boot, y el usuario no tiene que ser capaz de cambiarlo a fin de obtener el cumplimiento del logotipo de Windows.

Esto crea alegría en algunos círculos – “Oh, bueno, estamos seguros”, pero el hecho de la cuestión es que en realidad estás ante un menor número de opciones, y no eres todo lo seguro que parece. ¿No me creen? Pregunté a “Bunnie” Huang, el ingeniero educado en el MIT que se hizo conocido hackeando la seguridad de la Xbox, quién comenta;

“Sin una excepción en DMCA, esto significa que los equipos que están comprando las empresas, en realidad no son propiedad de ellas porque técnicamente no existe un método legal para circunvalar el “Secure Boot” para poder emparchar bugs, darle servicio a partes o reacondicionar viejos equipos”

Y esa es la pregunta importante: ¿Quién es realmente el dueño de la tecnología? Si usted quiere alquilar la tecnología, me lo arrienda y listo. Pero no, usted lo está comprando, con la excepción de que se trata como si no pertenece a su organización. No estoy diciendo que todos debemos salir a anular nuestras garantías en nuestros iPhones. Lo que digo es que la DMCA proporciona lo que Huang llama “La opción Nuclear” cuando se trata de la frágil tregua entre los OEM y TI. Es absolutamente necesario que TI se reserve el derecho a servicios y plataformas de apoyo después que los caprichos de la moda llevan a los OEM a otros lugares. y es necesario que TI se reserve el derecho a salir de la cadena de actualización y evitar la obsolescencia planificada. La opción nuclear tipifica como delito algo que no debe ser criminalizado”.

¿Por qué me llama la atención este artículo? Cuando en USA se discuten estas leyes que protegen la propiedad intelectual, y como estás viendo todos los días en las noticias, ellos consideran que en el mundo digital sus leyes se aplican en todo el mundo. Entonces que están discutiendo;

“Que tú como dueño de la tecnología que compras, no la puedas modificar de ninguna manera para poder salir de la trampa de la industria de TI, y debas siempre depender de los proveedores originales para poder actualizar tus equipos”

La traducción de depender es muy simple; más dinero para el fabricante del hardware y/o el software ya que no tienes posibilidad alguna de cambiar las configuraciones, si lo haces el sistema operativo no arranca, “Secure Boot”.

¿Suena conocido? Si completamente y quienes estamos experimentando el sistema cerrado de Apple – y no le hicimos el Jailbrake – con su Aplication Store lo vivimos todos los días, algunos ejemplos he descripto en la entrada El mundo de las APPS y la experiencia del cliente.

En este sistema tú solo puedes instalar aplicaciones que se venden – o son gratis – a través del Apps Store, entonces si tú desarrollas tú aplicación – para un iPad como ejemplo -, tienes que seguir los pasos indicados por Apple para poder instalarla en un dispositivo que se supone es tuyo.

Si juntamos esta noticia con algunas otras como las que estamos leyendo acerca del robo de datos por vendedores de APPS, que son aprobadas por Apple para ser vendidas en su Aplication Store y los secuestros de dominios y espionaje de los gobiernos, empezamos a tomar conciencia que;

  1. Twitter.com reconoció que también se roba tus datoshttp://www.readwriteweb.com/archives/twitter_is_the_latest_company_to_admit_it_uploads.php
  2. La Aplicación Path para smartphones oba tus datos; http://news.cnet.com/8301-1023_3-57377984-93/your-personal-data-isnt-safe-and-its-worse-than-we-thought/
  3. Los secuestros de dominios por el gobierno de USA, o el más resonante caso del cierre de Megaupload o la otra noticia, El Reino Unido secuestrando dominios fuera de su jurisdicción; http://alt1040.com/2012/02/el-miedo-se-instala-en-europa-por-primera-vez-reino-unido-confisca-un-dominio-de-estados-unidos
  4. Actualizada el 17 de febrero de 2012; Google espió a usuarios de iPhone y Mac http://www.elperiodico.com/es/noticias/ciencia-y-tecnologia/google-espio-los-usuarios-iphone-mac-1424224
  5. Actualizada 22 de febrero de 2012; El gobierno de USA bloquea 84.000 sitios por error http://ethicalshields.blogspot.com/2011/02/ee-uu-bloquea-por-error-84000-sitios.html
  6. Actualizada 3 de marzo de 2012.
    a. Estados Unidos cierra sitio de Canadiense de apuestas aplicando leyes nacionales, el razonamiento es que los dominios .com están sujetos a la legislación de Estados Unidos;  http://www.diarioti.com/noticia/Estados_Unidos_clausura_sitio_canadiense_de_apuestas/31160.
    b. Facebook admite espiar a los usuarios en sus mensajes de texto.  http://www.examiner.com/conservative-in-national/facebook-admits-spying-on-phone-users-text-messages
  7. Actualizada 5 de marzo de 2012, SOPA se aprueba en Irlanda convirtiéndose en ley, http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=1009:sopa-se-aprueba-en-irlanda-convirtiendose-en-ley&catid=38:prop-int&Itemid=59
  8. Actualizada 19 de marzo de 2012, La NSA está construyendo el mayor centro de espionaje del país, http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/?utm_source=twitter&utm_medium=socialmedia&utm_campaign=twitterclickthru
  9. Actualizada 20 de marzo de 2012, Hollywood consigue que ISP se conviertan en policías a partir del 12 de julio de 2012http://alt1040.com/2012/03/graduated-response-hollywood-consigue-su-sopa-a-partir-del-12-de-julio
  10. Actualizada 20 de marzo de 2012, Cierran el sitio Library.nu y como dice Christofer Kelly, “Leer será tener una copia ilegal en el cerebro”  http://www.pagina12.com.ar/diario/cdigital/31-188962-2012-03-06.html
  11. Actualizada 30 de marzo de 2012, Estados Unidos fue responsable de Stuxnet, http://www.diarioti.com/noticia/Estados_Unidos_fue_responsable_de_Stuxnet/31422
  12. Actualizada 2 de abril de 2012, Polémica en Reino Unido por ley para controlar Internet y llamadashttp://www.ambito.com/noticia.asp?id=631085
  13. Actualizada el 25 de abril de 2012, Facebook apoya la ley CISPA.  CISPA permitiría al gobierno de Estados Unidos solicitar información privada de los clientes/usuarios de servicios, sin necesidad de tener una orden judicial. http://www.fayerwayer.com/2012/04/facebook-apoya-la-ley-cispa/
  14. Actualizada 2 de mayo de 2012. La Fundación Mozilla ha asegurado que la recién aprobada Ley CISPA -Ley de Intercambio y Protección de Información de Inteligencia Cibernética- atenta contra su privacidad y concede “una inmunidad” a las empresas y el gobierno que son “demasiado amplias en torno al uso indebido de la información”. http://www.europapress.es/portaltic/internet/noticia-fundacion-mozilla-asegura-ley-cispa-atenta-contra-privacidad-20120502131027.html
  15. Actualizada 17 de Mayo de 2012. El gobierno de Estados Unidos tiene acceso a los servidores de Google en Europa. http://ar.globedia.com/estados-unidos-acceso-servidores-google-europa?utm_source=Twitter&utm_medium=link&utm_campaign=Compartir+Noticia
  16. Actualizada 12 de Junio de 2012, El FBI le dice a los usuarios de Megaupload que pueden olvidarse de sus archivos. http://alt1040.com/2012/06/megaupload-fbi-archivos
  17. Actualizada 11 de Julio de 2012. Obama firma orden acerca de Control de Internet en emergencias. http://news.cnet.com/8301-1023_3-57469950-93/obama-signs-order-outlining-emergency-internet-control/

Vamos juntando algunas condiciones de alto riesgo en este mundo de la Computación en la Nube y las Aplicaciones, que no solo implican el robo de datos a través de Aplicaciones – aprobadas por los dueños de esos Store – que tienen un dudoso criterio a la hora de explicar que hace y que no hace esa aplicación.

Si bien hay una escalada creciente de actualizaciones de Términos y Condiciones y Políticas de Privacidad, ni Apple, ni TomTom, ni Path, ni Twitter han reflejado en esas Políticas y/o Términos y Condiciones que se llevan datos privados de tus dispositivos y los almacenan en sus servidores por el tiempo que ellos quieran, y vaya a saber que han hecho con esa información robada de tus dispositivos, en el caso de TomTom es conocido que vendió la información a la policía de Holanda.

Hoy se conocen estos casos que dicen que solo se llevan tu agenda de contactos pero cada día son más y en algún momento – y sin pensar por ahora en los hackers – leeremos como alguna de estas aplicaciones reconoce llevarse más que tú agenda de contactos.

A que me lleva todo esto y supongo que también se estarán preguntando porque vengo insistiendo con estos conceptos;

Veo que se van juntando condiciones de riesgo que comienzan a ser de alta probabilidad y de alto impacto – la peor combinación de riesgo que uno quiere tener en su organización.

Tenemos una alta probabilidad que muchas de las aplicaciones que se instalan en los dispositivos electrónicos, hoy ya se hayan llevado muchos más datos de los que conocemos – y sigo insistiendo, no estoy hablando de hackers o personas denominadas delincuentes, estoy hablando de empresas como Apple, TomTom, Twitter.

Si eres CIO o IT Manager, estarás viendo, leyendo y sufriendo la escalada de los vendedores de computación en la nube – y sus aliados analistas de la industria -, como tus principales prioridades de TI deben ser – con alguna variante de acuerdo al analista;

  1. Computación en la nube
  2. Movilidad
  3. Analíticas y big data

También los analistas llegan al extremo de decirte que el gran ganador de las arquitecturas no será ningún browser sino que vamos al mundo de Apps de Internet, o sea Aplicaciones por todos lados para hacer cosas tan sencillas como dar la temperatura en uno de estos dispositivos, cuantas más aplicaciones necesitamos, más y más abrimos la puerta para que se lleven nuestros datos de estos mundos cerrados que, si avanzan las revisiones de la ley DMCA, tampoco podremos abrir legalmente estos equipos con hardware y/o software que no es el original.

Como no se puede ir contra la realidad, ni las presiones de la industria de TI y la presión que hoy ejercen los consumidores de Tecnología hacia adentro de la organización, vemos como muchos datos de la organización hoy están en esos dispositivos y la Junta Directiva comienza a llevar sus sesiones en dispositivos electrónicos con aplicaciones provenientes de empresas de dudosa integridad al momento de hacer negocios, nuevamente los nombres son Apple, Twitter, TomTom, Path.

Nuestra función como CIO o IT Manager debe ser, no solo la búsqueda de ventajas competitivas a través del uso de TI sino también tenemos que dotar a la arquitectura de computación que utilicemos, o como dice el MIT a nuestra estrategia digital o ADN digital, de un entorno de confiabilidad e integridad de los datos junto a medidas de seguridad para evitar el robo y/o pérdida de información, y este es el punto al que quería llegar; las arquitecturas de Computación en la Nube y los Application Store nos están demostrando día a día que nuestros datos en sus máquinas y/o aplicaciones no son;

  1. Ni Seguros
  2. Ni Privados
  3. Ni están disponibles cuando quiero

Si además juntamos el hecho que no voy a poder modificar la tecnología que compro, porque una ley de USA me va a decir que no lo puedo hacer sin perder las garantías y/o licencias por las que pague y deberían ser mías, estamos llegando a un punto donde la tecnología de la organización no la decidirá ninguna empresa en particular; ni su CIO, ni su CEO, ni su CMO, ni sus empleados a través del consumo de electrónica, la decidirán Apple, Microsoft, Intel, SAP, Oracle y cualquier otro proveedor de la industria de TI.

Pero la noticia que en el mes de marzo, logra demostrar demostrar lo altamente riesgoso del escenario, es que los Estados Unidos aplican la legislación local para cualquier sitio que sea punto-com y así seguirán luego con los punto-biz y cualquier cosa que se les ocurra.

Si tu empresa tiene un dominio que se administra en USA, prepárate para cambiar el dominio a uno local que se administre fuera de los Estados Unidos, en un país que no sea tan hipócrita como para cerrar un sitio de apuestas Canadiense cuando tienen ciudades como Las Vegas y Atlantic City. Como se está observando, Estados Unidos quieren destruir todo aquello que atente contra sus negocios.

Si el dominio de tu empresa está administrado por cualquier empresa donde un FUNCIONARIO DEL GOBIERNO DE LOS ESTADOS UNIDOS cree que se le pueden aplicar las leyes de USA;

¡TU NEGOCIO QUEDA EN MANOS DE ESE FUNCIONARIO QUE, PENSANDO EN EL BIEN COMÚN DE LOS CIUDADANOS DE USA o BAJO LAS PRESIONES DE LOS EMPRESARIOS AMERICANOS, PUEDE DETERMINAR QUE TU EMPRESA ES UN PELIGRO PARA SU ECONOMÍA.

Pero me puedo paralizar ante este escenario que se está armando, no por supuesto que no, como profesionales de tecnología de la información somos responsables de entender esta realidad, y actuar proactivamente frente a nuestro directorio para que ellos hagan lo que saben hacer; analizar riesgos y tomar decisiones. Decisiones que ayuden a entender hacia donde me lleva el escenario tecnológico si lo acepto tal cual lo quieren desarrollar hoy las empresas del sector, y prepare acciones que puedan minimizar el impacto de esos riesgos.

Lo que no puedo hacer es no decirlo ni prepararme, y cruzar los dedos y esperar que los datos privados de las sesiones de directorio no sean publicados en algún sitio de Internet y/o, peor aún, que mis competidores conozcan mis decisiones tomadas en la junta de dirección, reaccionar en ese momento ya será tarde.

Una de los grandes riesgos de la computación en la nube es que casi no hay vuelta atrás sino preparé un escenario que lo contemple, de la misma manera debo contemplar en mis escenarios los riesgos de ir hacia estas arquitecturas cerradas que nos llevan a casi la no propiedad de la tecnología pero sin estar en un esquema de alquiler, compro tecnología que no puedo tocar ni actualizar.

Si nada de esto te parece ni cercano a lo que puede ocurrir en tú organización, está muy bien y solo has perdido tiempo leyendo mis conclusiones que puedes compartir o no, que pueden ser atinadas o una locura y están abiertas para todo aquel que quiera debatirlas.

Finalmente, solo recuerda que en los negocios de hoy hay dos palabras de moda; velocidad e incertidumbre

Los negocios son cada día más rápidos con mayor nivel de incertidumbre en los escenarios.

¿Qué nos puede pasar con esta velocidad e incertidumbre?

Simplemente que acelere los procesos y materialice los riesgos con demasiada velocidad e incertidumbre, si eso pasa y no estoy preparado, ya será tarde. Nokia y Blackberry son nuestros grandes ejemplos.

Anuncios

2 comentarios el “Gobierno Corporativo de TI – Seguridad, Flexibilidad y Riesgo en los escenarios de TI

  1. Pingback: Gobierno Corporativo de TI – Computación en la nube y la privacidad de los datos | Gestión de Valor Inversiones IT

  2. Pingback: Gestión de TI – Utilización de computación en la nube « Gestión de Valor Inversiones IT

¿Qué opinan?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s