Tecnologias de la Información y más..

Desde hace ya tiempo tenia la idea de empezar a trabajar en una aplicación SMS, pero no solamente para mandar publicidad y promociones, si no ir un poco mas allá y ofrecer un servicio donde nuestros clientes pudieran interactuar y solicitar información.

El día de hoy estuve jugando la mayor parte del día con esta aplicación y la verdad es que funciono muy bien. Básicamente la idea es que cuando se reciba un mensaje este puede filtrarse utilizando diferentes criterios y después ejecutar código acorde con el mensaje.

Por ejemplo:

• Podemos simplemente almacenar la informacion que manda el cliente para realizar alguna actividad manual.
• Ofrecer informacion que va cambiando dia a dia, como el tipo de cambio que la empresa utiliza para que se realizen los pagos.
• Podemos recibir información por parte del cliente y realizar algún cambio en nuestro backend.

En general la aplicación suena muy interesante, solo me hace falta realizar un poco de investigación acerca de si el numero de teléfono de donde se origina un mensaje SMS se puede impersonar. Es decir si se puede hacer un spoof del numero.

Actualmente en mi ambiente de pruebas simplemente tomo el numero de telefono como mi ID de validacion para saber quien es la persona que esta haciendo ese request. Si alguien por ahi tiene algo de informacion al respecto se lo agradeceria si la puede compartir.

Ayer me encontré con un artículo MUY interesante acerca del vector de ataque mas grande hoy en dia. (El navegador). Desde hace ya tiempo y obviamente debido a un motivo económico, los proveedores de tecnologías de seguridad “endpoint” han estado mencionando que cada vez mas los ataques dejan de estar en el perímetro y es realmente en las PCs donde el mayor peligro esta latente.

Y es verdad, hasta cierto punto. Sin caer en la mercadotecnia, los estudios cada vez mas muestran que los ataques mas peligrosos están ocurriendo al momento que los usuarios navegan en sitios de internet. Lo mas alarmante es que los sitios con vulnerabilidades son cada vez mas grandes y mas importantes. Justo ayer el sitio de PS3 de Estados Unidos, fue atacado y al momento que los usuarios los visitaban corrian el riesgo de infectarse.

Es aqui donde entra la parte que hasta cierto punto los ataques ya no son en el perimetro de la red, debido a que para que estos sitios tan conocidos se infecten, los atacantes deben poder llegar a ellos. Los simples firewalls ya no son suficientes, es a nivel aplicacion donde la inspeccion debe de llevarse a cabo.

Una medida que actualmente las empresas estan llevando a cabo es permitir el acceso unicamente a sitios web seguros (teoricamente hablando), lo que en ingles es conocido como “white listing”, sin embargo por lo mencionado anteriormente ya no es una opción segura al 100%, ya que desconocemos si las empresas con las que estamos haciendo negocios, están tomando todas las precauciones para estar protegidas y estén siendo un canal para la distribución de contenido malicioso.

Todo esto termina en la pieza de software mas utilizada y menos vigilada por los departamentos de TI. (El navegador web). Y alrededor de él, los plug-ins de mayor utilización (flash,adobe reader,real player), que son aún menos vigilados que el mismo navegador. Y es también por medio de estos plug-ins donde se dan muchos vectores de ataque.

Les voy a recomendar tanto para uso personal como para su empresa, un producto llamado Secunia PSI, el cual verifica los productos instalados y genera reportes si hay versiones nuevas o simplemente es un producto que ya no es soportado. Por ejemplo en el caso de Java, me mostro que aunque estaba ejecutando la version mas nueva, tenia instalada versiones previas (las cuales malamente no se eliminan al poner la version nueva), y las cuales tuve que remover manualmente. De la misma manera detectó que mis plug ins de java y adobe no eran los mas nuevos.

Asi que aun y cuando tenemos nuestro sistema operativo, nuestras definiciones de virus y nuestro firewall actualizados, podemos tener un vector abierto de ataque.

Así que no olvidemos actualizar nuestros navegadores, plug ins, soluciones antivirus y seguir manteniendo nuestras defensas en el perímetro, al final del dia la seguridad nunca es suficiente.

Uno de los puntos mas importantes en una aplicacion, despues de estar seguros que funciona correctamente y que es segura, es el monitoreo de la salud de la misma. En el caso de las aplicaciones .NET y de IIS,  las mas comunes son:

• Numero de requests por segundo.
• Memoria utilizada.
• Lectura de Disco
• Excepciones de .NET
• Tiempo de respuesta en los requests.

Un punto MUY importante y que muchas veces no tomamos en cuenta, es que la mayor parte de las veces las aplicaciones web dependen de un servidor de bases de datos. Esto significa que aunque la aplicacion y el servidor que la mantiene esten al 100%, el servidor de base de datos tiene un rol importantisimo en la salud general de la aplicacion.

Es por esto que ya sea que tengamos un control manual o por medio de una aplicacion, debemos incluir todos los servidores y procesos que interactuen con nuestra aplicacion para poder tener una metrica correcta.

El proximo 10 de Junio en “The Four Season Aviara”, en Carlsbad California estare en el evento Business Continuity Planning, donde Jon Toigo, un guru del disaster recovery estara presentando una ponencia de casi 5 hrs. (8:00 am a 12:30 pm).

En mi caso particular este tema es muy importante, sobre todo a que como empresas tenemos la ventaja binacional, donde la informacion puede replicarse de un pais a otro, y aprovechando los costos de ancho de banda mas economicos en EUA.

Si les llama la atencion y desean asistir, pueden registrarse en:    http://events.techtarget.com/cdw_dr/?Offer=SDonkin
Mandenme un email a webcool en hotmail punto com. y nos ponemos de acuerdo para vernos por alla.

Todos los que estamos involucrados en la investigación/compra de software empresarial, estamos familiarizados con el término de “mantenimiento anual”. Este se refiere a una cuota que se paga anualmente, regularmente entre el 15 y 20% del precio total del software adquirido (incluyendo licencias). Por ejemplo, supongamos que adquirimos un software con un precio de 10,000 USD, y 5 licencias de 1,000 USD cada una. Esto nos da un total de 15,000 USD a los cuales aplicándoles el 20% de mantenimiento anual nos da un monto de 3,000 USD que debemos desembolsar adicional al precio original del software.

Este pago nos da derecho a las actualizaciones que existan del software, asi como a una póliza de mantenimiento en caso que tengamos problemas con el desempeño del mismo.

En este post voy a ser un poco el abogado del diablo, ya que como desarrollador entiendo bien la postura de las empresas de desarrollo, y por otro lado el punto de vista del cliente (digase el cliente). En teoría el concepto del mantenimiento anual me parece correcto, sin embargo en el detalle esta el diablo, y es donde considero que la “industria” esta mal.

1. Si le preguntas a cualquier empresa (regularmente americana), el motivo de la tarifa del cobro, la respuesta constantemente es “industry standard”, esto es que las empresas no se preocupan por analizar si para su producto un porcentaje menor funcionaría, en base a que no todos los productos son iguales, si no que toman una postura muy cómoda de cobrar lo que todo mundo esta cobrando.
2. La mayoria de las empresas no especifica o no tiene bien definido su ”roadmap” de actualizaciones a sus productos. Esto significa que puede pasar el ano por el que supuestamente pagaste una actualizacion y nunca llego. Esta practica inclusive la hace Microsoft con Software Assurance, si no me creen preguntenles a todos los clientes que la compraron esperando migrar a Windows Vista. 
3. El mantenimiento del software cubre únicamente problemas con el mal funcionamiento del software (lo que en teoría debería funcionar desde el principio). Esto es que si por ejemplo el problema fue generado por hardware, o necesitas una reconfiguración o reinstalación del producto, el mantenimiento ya no lo cubre. En pocas palabras estas pagando por una garantía que el software deberia de incluir sin costo adicional.
4. Cuando por fin una actualización de software llega dentro del periodo de tiempo en la cual pagaste tu mantenimiento, resulta que los servicios para llevar a cabo esta actualización no estan incluidos. Lo que termina en 2 opciones, que el equipo interno de TI se atreva a hacer la actualizacion a expensas de cometer un error que despues puede salir mas caro repararlo, o volver a desembolsar dinero para que el proveedor realice el trabajo.
5. En ocasiones el servicio de soporte tecnico esta limitado a cierto numero de incidentes. Aun cuando el numero de licencias sea elevado. Al preguntar una vez a un proveedor la razon por la cual el mantenimiento tomaba en cuenta tambien las licencias (al estas no ser desarrollo), me contestó que era debido a que la lógica decia que a mayor número de licencias, mayor sería el número de incidentes de soporte técnico. Sin embargo esa teoria se invalida cuando se aplica el criterio de los incidentes.

Si a estas causas le agregamos que la mayoría del software no es 100% confiable por naturaleza, esto es que como usuarios finales estamos propensos a tener errores en el funcionamiento del software, teniendo que administrar e instalar parches, etc.. considero que la industria del software se ha aprovechado de la penetracion de los sistemas en las empresas un poco mas de lo correcto. Es verdad que debido a esto las empresas son mas rentables, pero considero tambien que la industria del software y en particular proveedor por proveedor no se analiza la estrategia que se esta tomando.

Con iniciativas como la de Open Source, los VARs de Microsoft tienen un camino duro que aprender y a ser mas conscientes en el licenciamiento que pretenden manejar, ya que aunado a esto como lo mencione en mi post pasado, la mayor parte de este software ofrecido por ellos y el cual esta agresivamente licenciado, viene encima de los productos de Microsoft.

Si se sigue presionando asi a las empresas el mercado del pago por soporte a las aplicaciones Open Source irá en aumento, donde por lo menos el licenciamiento es minimo o nulo.

Hace unos dias comente el hecho que estaba analizando una opción de SaaS, y esa opción es la de un CRM (Customer Relationship Management por sus siglas en inglés). El proveedor en cuestión es el respetadísimo Salesforce, el cual ya incluso tiene presencia en el mercado mexicano (por lo menos en su sitio web). Tuve ya una plática con un representante de la empresa y aunque son ventajas conocidas del modelo, quizo reafirmarlas mencionándolas:

• No hay inversión por parte del cliente en infraestructura.
• No hay mantenimiento por parte del cliente en infraestructura.
• Cuentan con un avanzado sistema de respaldo/replicación de información en varios datacenters.
• Cuentas con APIs “abiertas” para poder comunicarse entre el CRM y el backoffice de los clientes.
• La información incluso al final del contrato es propiedad del cliente. (descargandola).
• No hay un período mínimo de contrato, aunque obviamente puedes conseguir mejores tarifas al definir tiempos de servicio prolongados (12 meses por ejemplo).
• Tienen una plataforma llamada AppExchange donde ya existen widgets con funcionalidad que las empresas pueden comprar.
• Tienen un PaaS (Platform as a Service), donde una comunidad grande desarrolla aplicaciones para uso personal o venta por medio del ya mencionado AppExchange.
• Las actualizaciones a las versiones del software son inmediatas en todos los clientes y no afectan las modificaciones ya existentes.
• Gran inversión en seguridad perimetral en sus diferentes DataCenters

Como antes lo había mencionado, el hecho que la información y la aplicación esten fuera del control del DataCenter de la empresa son dos puntos que siempre me han incomodado y que (por lo menos para el ambiente empresarial) siempre me han hecho dudar en el modelo.

Sin embargo en este caso en particular hay dos puntos muy importantes que hacen que me parezca mas atractivo.

El primero es que el modelo de negocio de la empresa donde laboro no considero que explota al maximo el campo de acción del CRM, lo cual en un esquema tradicional de software haría que la inversion y el compromiso que la empresa deben tener sean muy grandes. Sin embargo en el modelo SaaS tengo la oportunidad de tener un “Try before you But It”, por ponerlo de una manera.

El segundo y mucho mas importante es que mientras más leo el libro de Microsoft 2.0 (del que hago mencion en mi post anterior), mas cauteloso soy de estar atrapado en un ecosistema practicamente cerrado. Y lo digo especialmente debido a que Dynamics CRM 4.0 (la opción tradicional), además de ser un CRM, es una plataforma para el desarrollo de aplicaciones verticales, usando obviamente .NET como pieza fundamental. Y estarán pensando, pues eso es bueno ¿que no?, por lo menos yo lo hubiera pensado hace tiempo. Por una parte si, porque como Microsoft shop hace que el valor agregado de los productos que “ya tienes” aumente. Sin embargo el hecho que los modelos funcionen solamente con productos de Microsoft cada ves cierran mas las opciones.

Estamos hablando de (Windows Server, SQL, Dynamics ERP, SharePoint, Office, Dynamics CRM, Exchange), 7 servers diferentes, 7 CALs diferentes, y con muy poco campo de acción para digamos moverme por un MySQL o un Documentum.  Quizás me puedan decir que CRM puede funcionar con Web Services, pero personalmente no se hasta que punto, en el caso de los ERP de Microsoft, es OBLIGACION el uso de SQL. Ni que decir de las aplicaciones de los VARs de Microsoft.

Tengo mas de 10 años utilizando los productos de desarrollo de Microsoft, y para ser honesto he trabajado muy agusto con ellos, son buenos y el time to market es excelente, sin embargo con el paso de tiempo también he empezado a ver la perspectiva del lado del negocio. La industria del software cada vez desea capitalizar mas sus recursos, y cerrar ecosistemas para tener un mayor control del mercado, y no lo digo solo por Microsoft, creo que cualquier empresa que estuviera en es posición, lo haría.

En este punto no puedo decir que estoy inclinandome por el modelo SaaS, sin embargo creo que estoy considerandolo como nunca lo habia hecho. Si empresas como Nokia, AMD, Sprint, Yamaha, etc… que son clientes de salesforce han migrado ya a este modelo es porque creen que el modelo funciona.  

Los ultimos dos dias he estado leyendo un libro que escuche en el podcast de TWIT, el cual me parecio muy interesante. El autor es Mary Jo Foley, una periodista que por mas de 25 años ha cubierto a Microsoft y ofrece una visión sobre como ve a esta empresa en esta etapa donde Bill Gates se retira de la empresa y vive en una lucha constante en contra de Google y Apple en lo referente a innovación.

Ya practicamente voy en el tercer capitulo y es una lectura bastante recomendable para la gente que desea conocer un poquito mas acerca del gigante de Redmond y verlo desde una perspectiva de alguien ajeno a la empresa, pero que sin embargo lo conoce bastante bien. Quizas se topen con algunos nombres bastante conocidos y otros no tanto, pero se pueden dar una idea de todas las divisiones que existen dentro de Microsoft.

Aqui les dejo la liga: Microsoft 2.0: how microsoft plans to stay relevant in the post-gates era

No tengo conocimiento que tantas empresas en Mexico ya estan usando de manera extensa soluciones SaaS, quizas dentro de muy poco en la empresa donde laboro empezemos a utilizar una. Obviamente respaldada por una de las empresas mas importantes en este rubro. Creo que sera una experiencia muy interesante, sobre todo porque la integracion se hace sobre estandares abiertos, y que la tecnologia que tenemos en el backend es propietaria.

Espero poder tenerles un review mucho mas profundo al respecto de este seguimiento. Asi como las ventajas y desventajas del modelo.

El día de hoy leí un articulo interesante acerca de como los títulos de los puestos en los departamentos de sistemas de las empresas deben de evolucionar al igual que la tecnología lo hace.

En lugar de simplemente ser de “soporte tecnico”, por ejemplo puede conocerse como  “soporte de alta disponibilidad”. Y es que en realidad la responsabilidad de cada uno de los elementos en los departamentos de sistemas se ha estado moldeando. Ya no solamente se trata de que la red “funcione“. Se trata también que sea segura, que sea rápida y que sea confiable. Que esté disponible no solamente en horario de trabajo si no las 24 horas del día.

Y obviamente esto no solamente involucra la parte del hardware, si no el software. Lo que significa que hablamos ya de por lo menos 2 capas de servicios con especialidades en cada una de ellas que necesitan habilidades y conocimientos.

En algunas ocasiones como Gerente de Sistemas he estado en presentaciones de proyectos internos que se muestran a los diferentes departamentos de la empresa y donde ven ya los productos terminados. Y la mayoría de las veces por lo limitado del tiempo en las presentaciones y las agendas de trabajo de los diferentes departamentos es dificil explicarles todo lo que hay detras del producto terminado que en ese momento estan viendo.

• Alta Disponibilidad
• Redundancia
• Seguridad
• Confiabilidad

Son solo algunos de los elementos que cada una de las personas del departamento de sistemas aportan a los proyectos. Debido a eso estoy de acuerdo en una mejor definición de los puestos, que puedan dar una mejor visibilidad de la responsabilidad y el conocimiento de cada uno de los miembros.

Además estas definiciones proporcionan una perspectiva del lado del negocio, vaya , una “alineación al negocio”, y no solo un enfoque puramente técnico.

Es tiempo de dejar atrás el paradigma que TI es un generador de gastos, y no un aliado en la misión de la empresa.

Después de esta semana en la capacitación del uso de un Warehouse Management System, he comprendido muchísimas cosas al respecto del area de logística de las empresas. Un sistema como este es un gran complemento para cualquier empresa que maneje muchos articulos y muchos almacenes, con conceptos como

• PEPS
• Localizaciones
• Codigos de Barra
• Contenedores
• Movimiento de Inventarios
• Ordenes de Compra

Un WMS es tan grande y complejo como lo es un ERP. Y como lo mencione antes es un gran complemento al ERP.

Obviamente la integración de un WMS al ERP es crucial y es muy importante que se haga de manera correcta, ya que la sincronia entre los dos sistemas debe ser total.

En México no existen todavía muchas empresas dedicadas a este rubro, pero las que existen son bastante buenas. En mi caso la búsqueda se hizo en USA debido al tipo de ERP que manejamos.