Tecnologias de la Información y más..

Desde hace ya tiempo tenia la idea de empezar a trabajar en una aplicación SMS, pero no solamente para mandar publicidad y promociones, si no ir un poco mas allá y ofrecer un servicio donde nuestros clientes pudieran interactuar y solicitar información.

El día de hoy estuve jugando la mayor parte del día con esta aplicación y la verdad es que funciono muy bien. Básicamente la idea es que cuando se reciba un mensaje este puede filtrarse utilizando diferentes criterios y después ejecutar código acorde con el mensaje.

Por ejemplo:

• Podemos simplemente almacenar la informacion que manda el cliente para realizar alguna actividad manual.
• Ofrecer informacion que va cambiando dia a dia, como el tipo de cambio que la empresa utiliza para que se realizen los pagos.
• Podemos recibir información por parte del cliente y realizar algún cambio en nuestro backend.

En general la aplicación suena muy interesante, solo me hace falta realizar un poco de investigación acerca de si el numero de teléfono de donde se origina un mensaje SMS se puede impersonar. Es decir si se puede hacer un spoof del numero.

Actualmente en mi ambiente de pruebas simplemente tomo el numero de telefono como mi ID de validacion para saber quien es la persona que esta haciendo ese request. Si alguien por ahi tiene algo de informacion al respecto se lo agradeceria si la puede compartir.

Ayer me encontré con un artículo MUY interesante acerca del vector de ataque mas grande hoy en dia. (El navegador). Desde hace ya tiempo y obviamente debido a un motivo económico, los proveedores de tecnologías de seguridad “endpoint” han estado mencionando que cada vez mas los ataques dejan de estar en el perímetro y es realmente en las PCs donde el mayor peligro esta latente.

Y es verdad, hasta cierto punto. Sin caer en la mercadotecnia, los estudios cada vez mas muestran que los ataques mas peligrosos están ocurriendo al momento que los usuarios navegan en sitios de internet. Lo mas alarmante es que los sitios con vulnerabilidades son cada vez mas grandes y mas importantes. Justo ayer el sitio de PS3 de Estados Unidos, fue atacado y al momento que los usuarios los visitaban corrian el riesgo de infectarse.

Es aqui donde entra la parte que hasta cierto punto los ataques ya no son en el perimetro de la red, debido a que para que estos sitios tan conocidos se infecten, los atacantes deben poder llegar a ellos. Los simples firewalls ya no son suficientes, es a nivel aplicacion donde la inspeccion debe de llevarse a cabo.

Una medida que actualmente las empresas estan llevando a cabo es permitir el acceso unicamente a sitios web seguros (teoricamente hablando), lo que en ingles es conocido como “white listing”, sin embargo por lo mencionado anteriormente ya no es una opción segura al 100%, ya que desconocemos si las empresas con las que estamos haciendo negocios, están tomando todas las precauciones para estar protegidas y estén siendo un canal para la distribución de contenido malicioso.

Todo esto termina en la pieza de software mas utilizada y menos vigilada por los departamentos de TI. (El navegador web). Y alrededor de él, los plug-ins de mayor utilización (flash,adobe reader,real player), que son aún menos vigilados que el mismo navegador. Y es también por medio de estos plug-ins donde se dan muchos vectores de ataque.

Les voy a recomendar tanto para uso personal como para su empresa, un producto llamado Secunia PSI, el cual verifica los productos instalados y genera reportes si hay versiones nuevas o simplemente es un producto que ya no es soportado. Por ejemplo en el caso de Java, me mostro que aunque estaba ejecutando la version mas nueva, tenia instalada versiones previas (las cuales malamente no se eliminan al poner la version nueva), y las cuales tuve que remover manualmente. De la misma manera detectó que mis plug ins de java y adobe no eran los mas nuevos.

Asi que aun y cuando tenemos nuestro sistema operativo, nuestras definiciones de virus y nuestro firewall actualizados, podemos tener un vector abierto de ataque.

Así que no olvidemos actualizar nuestros navegadores, plug ins, soluciones antivirus y seguir manteniendo nuestras defensas en el perímetro, al final del dia la seguridad nunca es suficiente.

Después de haber primero intentado entrar al mundo de HD por medio de HD-DVD en el Xbox 360 (principalmente por el costo), al fin me decidí entrarle a Blu-Ray y no quedarme fuera del juego (por obvias razones de lo que paso con HD DVD).

¿Porque me decidí?

• Ya contaba con un equipo Home Theater PC de buena capacidad.
• El precio de los players para PC bajo increiblemente de 400 USD hace unos meses a 123 USD (que fue en lo que consegui el mio).
• Al usar un player de PC, las actualizaciones que se hagan a la especificación dependen del software para tocar los discos (PowerDVD), y no del hardware en si.

Lo que necesitas para poder hacer esto:

1. Equipo con buen poder de procesamiento, de preferencia nada menos que Dual Core.
2. 2 GB de memoria como mínimo.
3. Una tarjeta de video con soporte para HDCP (High Definition Content Protection), por parte de ATI todas las series HD 2600 y superiores lo tienen.
4. Un drive del Blu Ray (les recomiendo LITEON)
5. Una television de HD (720p,1080i y lo ideal 1080p). Si su tele es 720p/1080i asegurense que tenga entrada HDMI o DVI y que soporte HDCP. (en el manual viene esto). Todas las TVs 1080p traen soporte para HDCP por medio del conector HDMI.
6. Peliculas Blu Ray.

Si actualmente estas pensando en invertir 500+ USD en un player de Blu Ray, piensalo un poco y decidete a gastar un poco mas y quedarte con un Home Theater PC, la verdad vale la pena, ya que tendras un player de BluRay que te va a durar mucho tiempo y una computadora donde puedes escuchar musica, quemarla, ver TV, Youtube, etc… si a esto le adicionas windows vista media center, las posibilidad crecen mas.

Con el ultimo anuncio en el WWDC por parte de Steve Jobs que el Iphone de 8GB va a ser liberado en varios paises (incluyendo Mexico) y respetando el subsidio a un precio de 199 USD. Por lo pronto ya aparte mi equipo con Telcel, pero falta ver con que plan de datos nos salen aqui en Mexico. 30 USD es el precio en EUA, el cual lo veo bastante razonable (pero bueno, es EUA).

Ojala que Telcel nos sorprenda y nos de un buen producto y un buen plan. No considero correcto que traer un bonito smartphone (personalmente prefiero un Blackberry o un Windows Mobile), sea cuestion de lujo.

¿Cuanto pagarias por un plan de datos y tener el gusto de trae el Iphone en Mexico? (legal por supuesto).

Uno de los puntos mas importantes en una aplicacion, despues de estar seguros que funciona correctamente y que es segura, es el monitoreo de la salud de la misma. En el caso de las aplicaciones .NET y de IIS,  las mas comunes son:

• Numero de requests por segundo.
• Memoria utilizada.
• Lectura de Disco
• Excepciones de .NET
• Tiempo de respuesta en los requests.

Un punto MUY importante y que muchas veces no tomamos en cuenta, es que la mayor parte de las veces las aplicaciones web dependen de un servidor de bases de datos. Esto significa que aunque la aplicacion y el servidor que la mantiene esten al 100%, el servidor de base de datos tiene un rol importantisimo en la salud general de la aplicacion.

Es por esto que ya sea que tengamos un control manual o por medio de una aplicacion, debemos incluir todos los servidores y procesos que interactuen con nuestra aplicacion para poder tener una metrica correcta.

El proximo 10 de Junio en “The Four Season Aviara”, en Carlsbad California estare en el evento Business Continuity Planning, donde Jon Toigo, un guru del disaster recovery estara presentando una ponencia de casi 5 hrs. (8:00 am a 12:30 pm).

En mi caso particular este tema es muy importante, sobre todo a que como empresas tenemos la ventaja binacional, donde la informacion puede replicarse de un pais a otro, y aprovechando los costos de ancho de banda mas economicos en EUA.

Si les llama la atencion y desean asistir, pueden registrarse en:    http://events.techtarget.com/cdw_dr/?Offer=SDonkin
Mandenme un email a webcool en hotmail punto com. y nos ponemos de acuerdo para vernos por alla.

Con el nuevo XNA 3.0 Beta (framework para desarrollar juegos bajo la plataforma de Microsoft Windows/Xbox), ahora es posible desarrollar aplicaciones que corran bajo el dispositivo de Musica de Microsoft Zune.

El proceso es realmente sencillo, unicamente con el Visual C# Express y los bits de XNA 3.0, y obviamente el codigo del juego/programa que quieras instalar. Es simplemente cuestion de compilar la aplicacion y listo!.

Ya por fin tengo mi reloj en mi Zune.

Obviamente por ser un beta, lo que no me gusta es que al salir de la aplicacion, el equipo como que se reinicia para volver al menu original. Pero bueno cuando uno es betatester, son los tipos de cosas a lo que debemos de enfrentarnos.

Ojala estuviera de nuevo en la escuela y poder programar en este ambiente. Seria muy interesante.

Todos los que estamos involucrados en la investigación/compra de software empresarial, estamos familiarizados con el término de “mantenimiento anual”. Este se refiere a una cuota que se paga anualmente, regularmente entre el 15 y 20% del precio total del software adquirido (incluyendo licencias). Por ejemplo, supongamos que adquirimos un software con un precio de 10,000 USD, y 5 licencias de 1,000 USD cada una. Esto nos da un total de 15,000 USD a los cuales aplicándoles el 20% de mantenimiento anual nos da un monto de 3,000 USD que debemos desembolsar adicional al precio original del software.

Este pago nos da derecho a las actualizaciones que existan del software, asi como a una póliza de mantenimiento en caso que tengamos problemas con el desempeño del mismo.

En este post voy a ser un poco el abogado del diablo, ya que como desarrollador entiendo bien la postura de las empresas de desarrollo, y por otro lado el punto de vista del cliente (digase el cliente). En teoría el concepto del mantenimiento anual me parece correcto, sin embargo en el detalle esta el diablo, y es donde considero que la “industria” esta mal.

1. Si le preguntas a cualquier empresa (regularmente americana), el motivo de la tarifa del cobro, la respuesta constantemente es “industry standard”, esto es que las empresas no se preocupan por analizar si para su producto un porcentaje menor funcionaría, en base a que no todos los productos son iguales, si no que toman una postura muy cómoda de cobrar lo que todo mundo esta cobrando.
2. La mayoria de las empresas no especifica o no tiene bien definido su ”roadmap” de actualizaciones a sus productos. Esto significa que puede pasar el ano por el que supuestamente pagaste una actualizacion y nunca llego. Esta practica inclusive la hace Microsoft con Software Assurance, si no me creen preguntenles a todos los clientes que la compraron esperando migrar a Windows Vista. 
3. El mantenimiento del software cubre únicamente problemas con el mal funcionamiento del software (lo que en teoría debería funcionar desde el principio). Esto es que si por ejemplo el problema fue generado por hardware, o necesitas una reconfiguración o reinstalación del producto, el mantenimiento ya no lo cubre. En pocas palabras estas pagando por una garantía que el software deberia de incluir sin costo adicional.
4. Cuando por fin una actualización de software llega dentro del periodo de tiempo en la cual pagaste tu mantenimiento, resulta que los servicios para llevar a cabo esta actualización no estan incluidos. Lo que termina en 2 opciones, que el equipo interno de TI se atreva a hacer la actualizacion a expensas de cometer un error que despues puede salir mas caro repararlo, o volver a desembolsar dinero para que el proveedor realice el trabajo.
5. En ocasiones el servicio de soporte tecnico esta limitado a cierto numero de incidentes. Aun cuando el numero de licencias sea elevado. Al preguntar una vez a un proveedor la razon por la cual el mantenimiento tomaba en cuenta tambien las licencias (al estas no ser desarrollo), me contestó que era debido a que la lógica decia que a mayor número de licencias, mayor sería el número de incidentes de soporte técnico. Sin embargo esa teoria se invalida cuando se aplica el criterio de los incidentes.

Si a estas causas le agregamos que la mayoría del software no es 100% confiable por naturaleza, esto es que como usuarios finales estamos propensos a tener errores en el funcionamiento del software, teniendo que administrar e instalar parches, etc.. considero que la industria del software se ha aprovechado de la penetracion de los sistemas en las empresas un poco mas de lo correcto. Es verdad que debido a esto las empresas son mas rentables, pero considero tambien que la industria del software y en particular proveedor por proveedor no se analiza la estrategia que se esta tomando.

Con iniciativas como la de Open Source, los VARs de Microsoft tienen un camino duro que aprender y a ser mas conscientes en el licenciamiento que pretenden manejar, ya que aunado a esto como lo mencione en mi post pasado, la mayor parte de este software ofrecido por ellos y el cual esta agresivamente licenciado, viene encima de los productos de Microsoft.

Si se sigue presionando asi a las empresas el mercado del pago por soporte a las aplicaciones Open Source irá en aumento, donde por lo menos el licenciamiento es minimo o nulo.

Hace unos dias comente el hecho que estaba analizando una opción de SaaS, y esa opción es la de un CRM (Customer Relationship Management por sus siglas en inglés). El proveedor en cuestión es el respetadísimo Salesforce, el cual ya incluso tiene presencia en el mercado mexicano (por lo menos en su sitio web). Tuve ya una plática con un representante de la empresa y aunque son ventajas conocidas del modelo, quizo reafirmarlas mencionándolas:

• No hay inversión por parte del cliente en infraestructura.
• No hay mantenimiento por parte del cliente en infraestructura.
• Cuentan con un avanzado sistema de respaldo/replicación de información en varios datacenters.
• Cuentas con APIs “abiertas” para poder comunicarse entre el CRM y el backoffice de los clientes.
• La información incluso al final del contrato es propiedad del cliente. (descargandola).
• No hay un período mínimo de contrato, aunque obviamente puedes conseguir mejores tarifas al definir tiempos de servicio prolongados (12 meses por ejemplo).
• Tienen una plataforma llamada AppExchange donde ya existen widgets con funcionalidad que las empresas pueden comprar.
• Tienen un PaaS (Platform as a Service), donde una comunidad grande desarrolla aplicaciones para uso personal o venta por medio del ya mencionado AppExchange.
• Las actualizaciones a las versiones del software son inmediatas en todos los clientes y no afectan las modificaciones ya existentes.
• Gran inversión en seguridad perimetral en sus diferentes DataCenters

Como antes lo había mencionado, el hecho que la información y la aplicación esten fuera del control del DataCenter de la empresa son dos puntos que siempre me han incomodado y que (por lo menos para el ambiente empresarial) siempre me han hecho dudar en el modelo.

Sin embargo en este caso en particular hay dos puntos muy importantes que hacen que me parezca mas atractivo.

El primero es que el modelo de negocio de la empresa donde laboro no considero que explota al maximo el campo de acción del CRM, lo cual en un esquema tradicional de software haría que la inversion y el compromiso que la empresa deben tener sean muy grandes. Sin embargo en el modelo SaaS tengo la oportunidad de tener un “Try before you But It”, por ponerlo de una manera.

El segundo y mucho mas importante es que mientras más leo el libro de Microsoft 2.0 (del que hago mencion en mi post anterior), mas cauteloso soy de estar atrapado en un ecosistema practicamente cerrado. Y lo digo especialmente debido a que Dynamics CRM 4.0 (la opción tradicional), además de ser un CRM, es una plataforma para el desarrollo de aplicaciones verticales, usando obviamente .NET como pieza fundamental. Y estarán pensando, pues eso es bueno ¿que no?, por lo menos yo lo hubiera pensado hace tiempo. Por una parte si, porque como Microsoft shop hace que el valor agregado de los productos que “ya tienes” aumente. Sin embargo el hecho que los modelos funcionen solamente con productos de Microsoft cada ves cierran mas las opciones.

Estamos hablando de (Windows Server, SQL, Dynamics ERP, SharePoint, Office, Dynamics CRM, Exchange), 7 servers diferentes, 7 CALs diferentes, y con muy poco campo de acción para digamos moverme por un MySQL o un Documentum.  Quizás me puedan decir que CRM puede funcionar con Web Services, pero personalmente no se hasta que punto, en el caso de los ERP de Microsoft, es OBLIGACION el uso de SQL. Ni que decir de las aplicaciones de los VARs de Microsoft.

Tengo mas de 10 años utilizando los productos de desarrollo de Microsoft, y para ser honesto he trabajado muy agusto con ellos, son buenos y el time to market es excelente, sin embargo con el paso de tiempo también he empezado a ver la perspectiva del lado del negocio. La industria del software cada vez desea capitalizar mas sus recursos, y cerrar ecosistemas para tener un mayor control del mercado, y no lo digo solo por Microsoft, creo que cualquier empresa que estuviera en es posición, lo haría.

En este punto no puedo decir que estoy inclinandome por el modelo SaaS, sin embargo creo que estoy considerandolo como nunca lo habia hecho. Si empresas como Nokia, AMD, Sprint, Yamaha, etc… que son clientes de salesforce han migrado ya a este modelo es porque creen que el modelo funciona.  

Los ultimos dos dias he estado leyendo un libro que escuche en el podcast de TWIT, el cual me parecio muy interesante. El autor es Mary Jo Foley, una periodista que por mas de 25 años ha cubierto a Microsoft y ofrece una visión sobre como ve a esta empresa en esta etapa donde Bill Gates se retira de la empresa y vive en una lucha constante en contra de Google y Apple en lo referente a innovación.

Ya practicamente voy en el tercer capitulo y es una lectura bastante recomendable para la gente que desea conocer un poquito mas acerca del gigante de Redmond y verlo desde una perspectiva de alguien ajeno a la empresa, pero que sin embargo lo conoce bastante bien. Quizas se topen con algunos nombres bastante conocidos y otros no tanto, pero se pueden dar una idea de todas las divisiones que existen dentro de Microsoft.

Aqui les dejo la liga: Microsoft 2.0: how microsoft plans to stay relevant in the post-gates era