Seguridad TI, ¿hemos perdido la batalla?



RSS

Hace unos días leí un tweet de un colega de una conocida firma de antivirus que decía algo así como que los malos de Internet ofrecían ANS con servicio 24x7. Y ciertamente así es, los ciber-delincuentes, que a partir de ahora denominaremos simplemente malos, se han profesionalizado. Cualquiera que quiera contratar un ataque a una empresa o institución puede hacerlo si es capaz de hacer frente a la factura que, por otra parte, tampoco es muy elevada precisamente. Los malos se encargan de mantener online a nivel mundial una vasta cantidad de PCs zombies que son capaces de actuar a voluntad cuando sus ilegítimos dueños les dan las órdenes.

Por otra parte, recientemente se publicaba la existencia de un nuevo virus, bautizado como stuxnet, cuyo objetivo es el sabotaje industrial en oleoductos y centrales eléctricas. Este virus, especialmente diseñado para atacar a una aplicación de Siemens muy habitual en este tipo de centrales, tenía como objetivo, según parece, una central nuclear en Irán.

Como última referencia de la situación actual, a principios de 2010 se hacía pública la intención de Google de abandonar China como respuesta a los constantes hackings a su servicio Gmail, supuestamente realizados o auspiciados por el propio gobierno chino, y a la censura impuesta a los resultados de su motor de búsqueda.

Y con toda esta cantidad de malos profesionales por la Red, ¿somos realmente capaces de garantizar la seguridad de nuestras redes y sistemas?

Los malos juegan con mucha ventaja

La peor de las preguntas que se le puede hacer a un responsable de seguridad (en TI o fuera de ella) es aquella en la que, después de enumerar una por una todas las inversiones en seguridad en los últimos años, se le insta a responder si sus sistemas están a salvo de sabotajes y fallos de seguridad. Porque salvo que el responsable de seguridad sea un inconsciente, es poco probable que responda de forma afirmativa independientemente de los recursos económicos destinados a su área en los últimos ejercicios. Como veremos, los malos tienen algunas ventajas.

La primera ventaja es el tiempo. Los malos tienen todo el tiempo que precisan para centrarse en un tipo de ataque en concreto, aquel que no prevemos. El ataque llegará en cualquier momento desde cualquier lugar incluyendo los 24 husos horarios. Sin embargo, los técnicos en seguridad de las compañías normalmente trabajan en 8x5 y deben abrir su radio de acción a todos los posibles ataques, con lo que no pueden dedicar el tiempo necesario a combatir a su adversario.

La segunda ventaja es la especialización extrema. Los malos disponen de los mejores expertos ya que es muy complicado que las compañías tradicionales mantengan en plantilla a expertos en seguridad al nivel necesario para ser digno adversario de los ciber-delincuentes. Tal vez alguna compañía disponga de personal de ese perfil pero resulta difícil de creer que personas con ese nivel de especialización e inquietud tecnológica (no olvidemos que un anti-malo debe saber de casi todo a nivel técnico) presten sus servicios en compañías fuera del ámbito de la seguridad TI. Por ello, cada día que pasa la diferencia entre el espectro de conocimiento de los malos y los expertos en seguridad de las compañías se agranda.

La tercera ventaja se basa en los condicionantes externos de la seguridad. Los técnicos de seguridad de las compañías deben conjugar sus objetivos con los de sus compañeros de desarrollo de aplicaciones y, sobre todo, con marketing y desarrollo de negocio. Estos últimos siempre tienen urgencia por poner nuevos contenidos y productos en la web incluso aunque para ello haya que sacrificar en parte la seguridad. Por el contrario, los malos no tienen que competir con nadie salvo con ellos mismos; no tienen ningún condicionante externo.

La última ventaja, y probablemente la más importante, es la capacidad de sorpresa. Los expertos en seguridad saben que un problema de seguridad deja de serlo cuando tanto el atacante como el atacado lo conocen y además ambos saben que la otra parte lo sabe. Es decir, si existe un problema de seguridad y ambas partes lo conocen, el problema ya no es tal porque el atacante no lo usará para atacar (el atacado estará esperándole) y el atacado sabe que el atacante no lo utilizará por la misma razón. Por ello, los malos siempre utilizarán un método que no esperamos, un cisne negro para el que no estamos preparados.


Esta es la base del éxito de los ataques del 11-S. Probablemente la Agencia de Seguridad Nacional  estadounidense estaba preparada para una gran cantidad de posibles ataques con armas más o menos convencionales, sobre diferentes puntos, con diferentes tecnologías, ... pero no lo estaban para un ataque con un arma nada convencional: un avión comercial. Tras ello nuestra escasa capacidad para razonar como un experto en estrategia militar nos lleva a convertir los aeropuertos en zonas cuasi-bélicas pese a que la probabilidad de que un ataque así se repita sea baja.
El siguiente cisne negro será aquel para el que nadie estaba preparado y que, una vez que se produzca, todo el mundo pensará que era obvio.

Volviendo a TI, todas las inversiones en seguridad están normalmente destinadas a cubrir los problemas de seguridad que ya se conocen. O sea, los que no son relevantes. Hay muy pocas inversiones -más bien ninguna- para proteger aquello en lo que nadie ha visto aún ningún riesgo pese a que la experiencia demuestra que los grandes ataques tienen éxito justamente en ellos.

Seguridad gestionada, seguridad en la nube

A quienes piensen que su sistema de seguridad es infalible no hay más que recomendarles que contraten un hacking ético en su perímetro. Es decir, contratar a empresas especializadas para que analicen sus sitios web, correo, ftp,...,  prueben sus vulnerabilidades e incluso traten de realizar accesos no autorizados. Gran parte cambiaría de opinión a no más de dos horas de comenzar el ataque.
Y para los que resistan ese test -que lo hay- que prueben con esta otra: facilitar una boca de red en la red interna de la empresa (muy recomendable en grandes organizaciones con muchos empleados, centros dispersos, etc.). No es preciso facilitar equipos corporativos, direcciones IP, usuarios y claves, etc; nada de eso, únicamente una toma de red. Es esta una prueba no apta para personas con problemas cardíacos porque es en ese momento cuando se toma verdadera conciencia de lo que un usuario interno (Gartner los considera igual de hostiles, o más, que los externos aunque nunca he tenido claro que sea correcto del todo) podría llegar a hacer. Seguir el ritmo de los malos es realmente muy complejo y en ocasiones bastante tienen los técnicos de TI con los atacantes externos como para preocuparse de los ataques internos que además tienen una superficie de exposición (potencial acceso a todos los sistemas) muy superior al externo.


Para dar respuesta a todas estas ventajas de los malos, cada vez con mayor profusión proliferarán los servicios de seguridad gestionada en los que empresas de seguridad en TI se encargarán de recibir los logs de todos los dispositivos de acceso de sus clientes y los analizarán en tiempo real detectando ataques o accesos no autorizados a sus sistemas. Estos servicios trabajarán en régimen de 24x7 con los mejores técnicos del mercado, porque ellos si pueden mantenerlos.

Estas empresas en ocasiones serán (y de hecho son porque son ya una realidad) organizaciones cuya misión y visión corresponda desde el inicio con una empresa de servicios de seguridad en TI. Pero es también muy probable que a ellas se les unan empresas que actualmente fabrican y venden tecnología de seguridad (antivirus, antispam, firewalls, IDS/IPS,...) y que, tal y como está ocurriendo en otros segmentos (ver Todos quieren ser globales), diversifiquen su actividad para crear servicios alrededor de su propia tecnología.

En definitiva, se trata de trasladar al mundo TI lo que hace varias décadas ocurrió en el mercado de la seguridad tradicional. En los años '70, '80 e incluso '90 del siglo pasado un parte importante de las compañías gestionaban la seguridad de sus edificios con personal propio. Hoy en día, caso de existir alguna, son la excepción en la medida en que son las empresas de seguridad con mayor formación y tecnología quienes se encargan de todo (excepto de la definición de los parámetros de seguridad, lógicamente) desde la instalación de la cámaras y alarmas, su gestión y monitorización, el personal de seguridad insitu, etc.

Un ejemplo muy claro que permite visualizar de forma nítida el modelo es el cambio de los registros MX de correo a la nube. El proveedor de seguridad suplanta el nombre del dominio de correo de su cliente y se encarga de recibir y analizar todos los emails de forma que únicamente remite a los servidores internos de la compañía aquellos que vayan limpios de polvo (spam) y paja (virus). El cliente se olvida de actualizar constantemente sus ficheros de firmas en los sistemas de correo e incluso se beneficia de una drástica reducción en el tráfico de red. La estadística dice que más del 95% del correo que circula por Internet es spam y todos esos correos serían borrados por el proveedor de seguridad. Todo ello, dando por hecho que no se quiere hacer Cloud Computing del servicio completo de correo (ver Cloud Computing, ¿qué hay de nuevo viejo?).

Con este cambio de paradigma los marketinianos tendrán un problema: tendrán que sudar la camiseta para darle nombre dado que SaaS (podría ser de Security) ya está reservado para el Software as a Service y PaaS (de Proteccion) para el Platform as a Service. Tal vez ideen cosas como Cloud Security, XaaS,... o algún nombre algo más esotérico.


Vamos terminando

Uno de los mayores estrategas de la historia, Napoleón, dijo en cierta ocasión a uno de sus Generales que nunca debe atribuirse a la conspiración lo que bien podría explicar la incompetencia.

La obligación de los responsables de seguridad de TI es trabajar para tapar todos los agujeros de seguridad posibles aún a sabiendas de que la seguridad On Promise no llega al cien por cien. Todo sea porque cuando se produzca un ataque su posible éxito se achaque a la conspiración de los malos y no a la incompetencia de los técnicos.

Siempre existirá un porcentaje reducido de problemas de seguridad para los que no se estará preparado, simplemente, porque no se sabe que tales problemas existen. Y lo peor es que este pequeño porcentaje de problemas es el que resulta más dañino, es el más destructivo.

Cada vez que aparece un nuevo virus los usuarios de las redes corporativas no piensan en que el área de TI dispone de contra-medidas para millones de virus y ataques anteriores. Solo piensan en que su problema, el que está basado en una falla de seguridad publicada (cuando se publica) hace no más de 24 o 48 horas, les está provocando un enorme perjuicio. Y están en su derecho de pensar así porque probablemente sus compañías han hecho grandes inversiones en seguridad. Pero lo que no saben es que el personal de TI siempre está, cuando menos, medio paso por detrás de los malos.

Cuando se produce uno de esos momento de crisis se tiende a pensar que es algo nuevo, es un ataque muy específico, centrado en algo no previsto, con un método muy original, ... pero lo cierto es que en su esencia son siempre iguales: el aprovechamiento de un reciente mecanismo de ataque basado en el efecto sorpresa. De no ser así, el personal de TI estaría preparado y el ataque hubiera pasado sin pena ni gloria.

Hace muchos años un buen amigo me dijo que la seguridad total existe pero tiene un pequeño problema: su coste es infinito. Quienes tengan un presupuesto infinito, enhorabuena, porque no tienen de qué preocuparse. El resto deberán comenzar a analizar las posibilidades de la seguridad en la nube ya que, probablemente, en el corto o medio plazo será la única vía para ofrecer una verdadera mejora en la seguridad sin incrementar el coste en la misma proporción.

RSS

Consumerización de la Informática Corporativa



RSS

Es jueves 23 de septiembre de 2010 a las 20:30. A esa hora, tras una larga y apasionada jornada de trabajo coincides con la vecina del segundo en el ascensor, María. Nuestra vecina tiene un hijo de doce años al que recientemente le han comprado un ordenador nuevo ya que, según María, 'en el anterior ya no le cabía Internet'.

Tras los saludos y las conversaciones clásicas de ascensor, de repente, María nos pregunta: 'por cierto, tú que te dedicas a esto de los ordenadores, ¿no podrías echarle una mano a mi hijo? Tiene problemas con el feisbuc y creo que ha intentado meter algo en su tuiter pero le dice no sé qué de que está en la nube; es que este hijo mío... está siempre en babia'.

En ese momento, la primera reacción es decirle amablemente a nuestra vecina que sí, que nos dedicamos a 'cosas relacionadas con los ordenadores' pero más centradas en el uso profesional y no en las tareas propias de un usuario doméstico. A cosas serias vamos.

(Inciso - otra posible respuesta sería: 'señora, su marido es mecánico y yo nunca le pediría que me arreglase el coche gratis', pero no es de eso de lo que hablamos hoy).

Antes de que nuestra amígdala gane la batalla a la respuesta cabal generada en el cortex, preguntémonos ¿son menos serias las aplicaciones que usa un usuario doméstico? Reconstruyamos los hechos.

Desde hace unos años se está produciendo un fenómeno que puede denominarse Consumerización de la informática corporativa, según el cual cada vez hay menos diferencias entre el mercado empresarial y el mercado de consumo. Aplicaciones que hace unos años estaban en el ámbito personal tales como las redes sociales (Facebook, Twitter, MySpace, Tuenti,...), los blogs como Blogger o WordPress, los correos web como Hotmail o Gmail, las llamadas por Internet como Skype o las herramientas de generación de mapas como Google Maps o Bing Maps han pasado de repente a tener un enorme foco dentro de los sistemas informáticos empresariales. Veamos algunos ejemplos.

Hay quien ve en Facebook, con sus 500 millones de usuarios, una maravillosa herramienta para el marketing one to one y de masas, las ventas, el soporte post-venta,... Vaya, que casualidad, justamente a una parte de eso antes le llamábamos CRM. Uff, que decepción con el empaque que daba hablar de un CRM.

Por su parte, el mismo blog donde el hijo de nuestra vecina contaba sus andanzas es ahora 'leído' de forma automática por las empresas de análisis de opinión para determinar la valoración en el mercado de productos, ideas o personas. Estos analistas de mercados tienen a su disposición muchísima más información de la que nunca pudieron soñar y además la tienen gratis porque nosotros mismos la subimos a Internet porque nos apetece hacerlo. Otras empresas, ven en los blogs una forma muy directa, eficaz y barata de comunicarse con sus clientes.

Al correo web de toda la vida sobre Hotmail que utilizaba el hijo de nuestra vecina ahora le llamamos correo en la nube y todo el mundo está obsesionado en contarnos las ventajas de este modelo. Y las tiene, pero son las mismas ventajas que nuestro vecino ha estado disfrutando, sin saberlo, desde hace casi una década.

En cuanto a las llamadas por Internet, nuestro vecino usaba desde hace años Skype para hablar con sus amigos sin que le costase más dinero que el coste de su conexión de banda ancha. Los fabricantes IT del mundo empresarial descubren las ventajas del protocolo SIP y empaquetan todo eso junto con el correo y alguna cosita más y pasan a llamarle Unified Communications. Cualquiera le explica al pobre vecino que ese anglicismo técnicamente es poco más que el Skype que lleva usando años.

Por último, los mismos Google Maps o Bing Maps que nuestra vecina usaba para estudiar la ruta de sus próximas vacaciones son ahora usados por agencias de viajes, hoteles o empresas logísticas, muy serias ellas, y en general por cualquier empresa que tenga necesidad de geo-referenciar un dato.

Por lo tanto, antes de responder a nuestra vecina que nosotros nos dedicamos a cosas serias deberíamos tener en cuenta dos reflexiones.

La primera es que la consumerización provoca que eso que antes preguntaba nuestra vecina ahora lo empiece a preguntar nuestro Director General (en mayúsculas, que impone más). Por lo tanto, debemos entender que todas las herramientas que antes considerábamos exclusivamente del ámbito doméstico forman ya parte del perímetro de cosas que hay que conocer para poder realizar nuestro trabajo.

La segunda reflexión es que si el fenómeno de consumerización no cesa, y nada apunta a que lo vaya a hacer, no solo debemos conocer las herramientas informáticas que usa con asiduidad nuestra vecina sino que debemos estar atentos a sus variaciones y evoluciones porque tal vez lo que ahora comienza a usar de forma un tanto caótica dentro de tres o cinco años sea un estándar en la informática empresarial. Quizá no perdiendo de vista a nuestra vecina podamos llegar a ser early adopters de alguna nueva tecnología que recién llegue a la 'informática de los mayores'.

Y además una tercera. Queda muy feo que el director general cuestione su informática porque los técnicos no saben sacar partido a las herramientas que hasta su hijo usa todos los días... hiere el orgullo.

RSS

El técnico de sistemas perfecto



RSS

No hay que fijarse demasiado para distinguir con claridad dos tipos de técnicos de sistemas radicalmente diferentes: los técnicos de sistemas host o mainframe IBM y los técnicos de sistemas Windows y Linux. Veamos sus características principales.

Los técnicos de sistemas host son personas altamente reflexivas que analizan cualquier detalle, por mínimo que sea, antes de llevar a cabo cualquier operación. Pueden estar trabajando en el diseño de un proceso durante días sin llegar a tocar máquina, no aceptan fallos de máquina que no tengan una explicación lógica y descartan la improvisación como un modo válido de realizar las cosas. Como contrapartida, no son personas demasiado dinámicas y, en general, prefieren trabajar en serie atacando los problemas de uno en uno.

A su vez, los técnicos de sistemas Windows y Linux son personas muy dinámicas, en ocasiones impacientes, tienen la capacidad de trabajar en varios proyectos en paralelo y a menudo utilizando la técnica del ensayo-error. En ocasiones sus planteamientos no son excesivamente reflexivos aunque lo compensan con una enorme capacidad de improvisación.

¿Quiere esto decir que los técnicos de Windows y Linux son irreflexivos o que los técnicos de host son pasivos? En absoluto, simplemente se describe la característica principal que segmenta e identifica a cada colectivo, lo que no implica que las demás características no se den.


Puede que la genética tenga algo que ver

Enlaces y secuencias genéticas
Los genetistas, bioquímicos y neurólogos parecen coincidir en que nuestra forma de ser y nuestras emociones están determinadas por nuestras hormonas.

Nuestra cantidad de cuatro hormonas, estrógeno, testosterona, dopamina y serotonina, determinan si seremos intuitivos y sociales, analíticos y lógicos, inquietos y optimistas o serenos y organizados respectivamente.

Este planteamiento induce a pensar que los técnicos de sistemas de host han desarrollado su carrera profesional en un ambiente en el que se fomentaba la testosterona y la serotonina, mientras que los técnicos de sistemas Windows y Linux han crecido profesionalmente fomentando mayores dosis de estrógeno y dopamina.

Porque pese a que todos nacemos con una carga genética que nos 'condena' a un determinado ratio de cada hormona, no es menos cierto que la plasticidad del cerebro nos permite aprender y educar nuestra forma de ser lo que, en definitiva, implica variar la preponderancia de una u otra hormona. Y ahí la cultura de la empresa en la que se trabaja tiene mucho que decir.


La cultura de empresa. Los técnicos de sistemas de mainframe

Técnicos de sistemas de IBM
Primera foto que aparece al buscar "técnico de IBM" en Google
Vayamos a los extremos. En un extremo está la división de mainframe de IBM y sus técnicos de bata blanca.

Su principal objetivo era, y sigue siendo, la estabilidad de los sistemas. Analizan cualquier detalle de la operatoria de la máquina y no dudan ni un segundo en reportar al laboratorio cualquier comportamiento no correcto.

Cualquier trap de la máquina es inmediatamente volcado para que los especialistas analicen el problema y den una solución.

Y eso ocurre incluso teniendo en cuenta que casi la mitad del código del sistema operativo zOS tiene como única misión recuperarse de forma autónoma de situaciones no previstas (probablemente, el código destinado a estas funciones en Windows o Linux no llegue ni al uno por ciento).

IBM colaboraba con esta cultura al mantener un cierto estatus de distanciamiento. Los técnicos de System z (antes 390) trabajaban, o eso se hacía creer, en tareas cuasi-esotéricas muy alejadas del entendimiento del resto de los mortales.

Curiosamente, este mismo efecto no se da en el resto de familias de IBM como xSeries, pSeries o iSeries (en este último caso en parte) que son muchos más similares al extremo contrario.


El otro extremo. Los técnicos de sistemas Windows y Linux

Siguiente, siguiente, siguiente
En el lado contrario está Microsoft y su filosofía de "Instalar - Siguiente - Siguiente - Siguiente": Se puede instalar cualquier software en la máquina y si no va bien se desinstala y listo. Si se produce un trap no se duda en reiniciar de forma inmediata en la confianza de que no hay nada mejor que un buen reinicio de vez en cuando: se auto convencen de ello.

De hecho, no conozco a ningún técnico de sistemas Windows o Linux que haya enviado un volcado de memoria para su análisis y consiguiente solución (no digo que no exista, digo que no le conozco).


La cultura de empresa fomenta la posición

Durante la conferencia 2009 de grandes clientes, Microsoft proyectó un vídeo en el que un niño de no más de diez años administraba el Directorio Activo de una compañía. Microsoft, probablemente, quería enviar el mensaje de la sencillez, algo que no es necesario al estar ya posicionado como una empresa que hace productos con una gran usabilidad. Como 'daño colateral', sin darse cuenta, la propia Microsoft colabora a esa cultura del todo vale dado que ¿hay algo más irreflexivo que permitir que un niño administre una infraestructura crítica como es el LDAP?

Estas diferencias entre unos y otros técnicos de sistemas fueron y son quizá la causa del escaso éxito comercial de Windows Datacenter, un sistema operativo hecho con tecnología Windows pero con procedimientos de uso propios de sistemas mainframe. A los técnicos de sistemas Windows no les subyuga la idea de tener que solicitar autorización a Microsoft antes de instalar un nuevo producto o versión de software. Algo está cambiando en Microsoft en este sentido pero no les será fácil deshacerse de una mochila tan pesada arrastrada durante tantos años.

Gadgeto-técnico de sistemas
La comunidad de administradores de sistemas Linux ha heredado e incluso fomentado esta forma de hacer de Microsoft hasta tal punto que es muy complejo distinguir a unos de otros (más allá de los evidentes rasgos físicos que en ocasiones parecen casi étnicos).

En el punto central de la balanza están empresas como Oracle que, centrada tradicionalmente en el mercado de las bases de datos donde la estabilidad es uno de los pilares fundamentales, ha sabido crear una cultura de gran dinamismo. Es decir, ha sabido conjugar ambas posturas de una forma muy acertada. Ahora tiene por delante el gran reto de absorber al personal de Sun, probablemente más cercano 'socialmente' a la forma de hacer de Windows y Linux (que le pregunten a los programadores sobre la estabilidad de las máquinas virtuales Java...).

Otra compañía que ha sabido conjugar excelentemente ambos roles ha sido HP tras su fusión con Compaq. En este caso, Compaq, que traía la carga de serotonina de Digital, ha tenido una gran simbiosis con la dopamina de la HP original. Todo ello, a costa de algunas fricciones internas tras unir dos formas de hacer tan diferentes.


Las características del futuro técnico de sistemas

Ambos tipos de perfiles son necesarios y la obligación de cualquier responsable de sistemas será la de llegar a un punto de equilibrio entre ambos tipos de profesionales. Bien sea por razones genéticas, bien sea por la nefasta gestión de la división mainframe de IBM en la relación con las universidades (¿alguien conocen alguna universidad que incluya en sus temarios el estudio de la tecnología hardware o software del mainframe IBM?), todo apunta a que en el futuro no será el modelo IBM mainframe el que prevalezca o no al menos el que 'venga de fábrica'.

Las nuevas generaciones llegan con una gran experiencia en la forma de hacer de Windows y Linux y el principal objetivo al incorporarlos al mercado laboral será el de conseguir que interioricen la disponibilidad de los sistemas como un valor indispensable de su trabajo. Algo que en los técnicos de mainframe venía de serie.

El técnico de sistemas perfecto, al margen de los conocimientos técnicos, será aquel que tenga una mezcla apropiada de estrógenos, serotonina, dopamina y testosterona y que, por tanto, interiorice la disponibilidad y la seguridad como valores fundamentales al tiempo que mantenga un grado de dinamismo, capacidad para la innovación e incluso en ocasiones para la improvisación.

Los genetistas tal vez piensen que hay poco que hacer dado que ese código está escrito es nuestras secuencias de ADN. Pero los evolucionistas nos dicen que es más que probable que con una buena cultura de empresa las disfunciones iniciales se corrijan en la mayor parte de los casos. A fin de cuentas, los genetistas también aseguran que hay relación entre la masculinidad (o feminidad) y la diferencia de tamaño entre los dedos anular e índice... pero eso es otra historia.

Nota: Léase con una buena dosis de humor. Cualquier intento de identificar y relacionar personas concretas con los ratios de hormonas expresadas es mera casualidad. Y no lleve a cabo esa correlación si no quiere que nadie lo haga con usted. ;-)


www.tonsofit.com


RSS

Cloud computing, ¿qué hay de nuevo viejo?



RSS

Imaginémonos esta situación: Alfredo y Santiago son profesionales de las Tecnologías de la Información y acaban de encontrase tras un año, tiempo que Alfredo ha estado en una misión espacial orbitando alrededor de Marte sin tener ningún tipo de noticia de lo que ocurría en la Tierra.

Alfredo: Santiago, tras tocar tierra he estado leyendo varias webs de tecnología y sorprende que todas hablen de Cloud Computing. ¿Tiene esto algo que ver con un viaje espacial o algo similar?
Santiago: No Alfredo, el Cloud Computing es una nueva forma de entender la infraestructura, los sistemas y las aplicaciones. En Cloud todo es servido desde la nube, desde Internet, de forma que se aprovechan al máximo las sinergias y las economías de escala de los proveedores de servicios que solo nos cobran por lo que consumimos.
Alfredo: ¿infraestructuras, sistemas y aplicaciones?
Santiago: Si, en el caso de las infraestructuras se llama IaaS por sus siglas en inglés Infrastructure as a Service y consiste en que todo el hardware que hasta ahora había que tener en los CPDs es servido por un proveedor de servicios desde su nube y de forma granular. Solo pagamos por la potencia de hardware que usamos lo que nos permite ir creciendo al ritmo que crece nuestro negocio. Y lo bueno es que convierte nuestros costes fijos en costes variables proporcionales al uso que hacemos de la infraestructura.
Alfredo: Pero, ¿eso no es lo mismo que el hosting de siempre? En el hosting el ISP nos ponía una máquina de la potencia que le pedíamos y nos cobraba un coste proporcional a esa potencia. Él se preocupaba de que la máquina estuviera en un estado saludable porque yo, por no saber, no sabía ni donde estaba. ¿No es lo mismo?
Santiago: Bueno sí, pero ahora se hace todo con protocolos estándar creados al efecto. Además, en la nube también es posible que el servicio se preste en formato PaaS -Platform as a Service- de forma que además de la infraestructura nos sirven el software de base ya instalado. Así no tenemos que preocuparnos de instalar o gestionar el sistema operativo ni el servidor de aplicaciones, tampoco de las copias de seguridad, de los virus,... Es una maravilla.
Alfredo: No sé si te das cuentas Santiago pero estás describiendo el housing de toda la vida con la única diferencia de que ahora las máquinas no son tuyas sino del ISP y además le hemos contratado también la gestión. ¿No es lo mismo?
Santiago: Bueno, vale, admito que es prácticamente lo mismo pero donde ya no me pillas es en el SaaS que supongo que ya sabrás que significa Software as a Service. En esta modalidad de servicio el proveedor lo provee todo desde su nube: las máquinas, los sistemas de base y las aplicaciones de usuario.
Alfredo: Pues va a ser que si te pillo. Por lo que me cuentas, SasS es el outsourcing de toda la vida en formato ASP. El proveedor de servicios se preocupa de todo y nosotros únicamente hacemos uso de una aplicación que está albergada en algún lugar... del planeta. Saber en qué país está únicamente es relevante para nosotros por si hubiera algún problema legal derivado de las leyes de protección de datos.
Santiago: Viéndolo así es cierto. En lo técnico no hay grandes diferencias pero ahora el número de aplicaciones disponibles es muy importante y además se hace todo con protocolos estandarizados.

Realmente hay muy poco de novedad tecnológica en el Cloud Computing porque si se piensa de forma crítica es la evolución natural del outsourcing de infraestructuras de hardware y software con las ventajas que aporta el aumento de caudal de las líneas de comunicaciones de Internet y la granularidad en la prestación de servicio que ofrece la virtualización del hardware. Entonces, ¿por qué surge el nombre de Cloud Computing como algo nuevo y no, por ejemplo, como Outsourcing 2.0 o Outsourcing mejorado?

Para dar respuesta a eso hay que conocer quiénes son los principales prestadores de Cloud Computing: Amazon, Google, Microsoft, Yahoo o Salesforce. Ninguno de ellos es un actor reconocido en el mercado del outsourcing por lo que, de haberse mantenido este término, hubieran entrado en un mercado dominado de una forma incontestable por compañías como IBM, Accenture o HP tras la compra de EDS. Es decir, serían proveedores residuales en un mercado ya maduro y establecido. Desde la perspectiva del marketing, es mucho más efectivo crear una nueva categoría, un nuevo negocio incipiente en el que ser líder.

Y tampoco hubiera servido crear seudónimos como outsourcing evolucionado, outsourcing 2.0 o tal vez outsourcing mejorado. Los expertos en neurología aplicada al marketing han conseguido demostrar que el cerebro humano no se abre a las categorías mejoradas; únicamente lo hace a las categorías nuevas.
Esto lo saben bien los fabricantes de detergentes que incluyen constantemente referencias al término 'nuevo' (invito a contar el número de veces que se cita la palabra 'nuevo' en cada anuncio) y rara vez al concepto  'mejorado'. Siempre tienen algo que hace nuevo al producto aunque en el fondo no se trate de una evolución real sino de una mejora, en ocasiones incluso menor.
Por ello, había que dar un nombre nuevo a una forma de hacer que, como mucho, es una mejora de lo que ya se venía haciendo desde hace mucho tiempo. Lo único que ha cambiado son los procedimientos, los protocolos en términos de TI. En definitiva, ha cambiado el cómo y no el qué.

Cloud Computing no significa lo mismo para todos. Para los proveedores tradicionales (IBM, HP o Accenture) significa una nueva oportunidad para expandir su negocio de outsourcing. Para Google o Amazon significa entrar en un nuevo mercado, diversificar, al posicionarse en el negocio del SaaS y el PaaS respectivamente. A su vez, para SalesForce es su leitmotiv, significa seguir creciendo en lo que han hecho siempre porque han nacido al cobijo del Cloud. Por último, para Microsoft significa reinventarse, fundamentalmente en dos de sus negocios más rentables, el de la suite ofimática y el de correo electrónico, porque tras el Cloud ya nada será igual y será complejo, muy complejo, seguir vendiendo el software en cajas.

En cualquier caso, el Cloud Computing ha venido para quedarse y su crecimiento será muy importante en los próximos años. Las economías de escala de los proveedores de servicios, bien sean de infraestructura, de plataformas o de aplicaciones, redundarán en una mejora de costes para las compañías sobre todo para compañías pequeñas y startups. Pero es importante no perder de vista que todas las ventajas e inconvenientes del outsourcing de siempre (puede encontrar una breve referencia a ellas en este post) son de aplicación punto por punto al Clouding. Porque en el fondo, Cloud Computing no es más que Outsourcing hecho al estilo de Google, al estilo de Internet.

RSS

Outsourcing si, outsourcing no



RSS

Hace dos siglos Samuel Butler afirmaba No conozco ninguna excepción a la regla de que es menos costoso comprar leche que tener una vaca. Es difícil no estar de acuerdo con esa máxima dado que sería tanto como negar las economías de escala. Por ello, sobre el papel, se puede afirmar que la externalización de un servicio o proceso genera una reducción de su estructura de costes.
Pero siendo los costes muy importantes, no es habitual que una decisión de externalización de las TI esté basada en ellos de forma única o, incluso en ocasiones, prioritaria. Es habitual que se desee externalizar para obtener más servicios a un precio no excesivamente superior al actual coste interno. Es decir, hay una voluntad inequívoca de hacer crecer la aportación al negocio de los sistemas de información pero sin realizar por ello un elevado incremento de costes.

Un ratio de enorme importancia en este caso es la relación entre unidades de TI y unidades de negocio. Es decir, ser capaz de responder a la pregunta de cuánto crece mi negocio por cada unidad de TI que invierto, bien sea por mayor número de unidades vendidas, mayor rentabilidad por unidad o el valor que se considere. Es este ratio el que se mejora de forma sustancial accediendo a los servicios de un outsourcer debido, fundamentalmente, a las economías de escala.

¿Puedo externalizar las TI? 

La primera idea sobre la que es preciso meditar cuando se está sopesando una decisión de externalización de las TI es la importancia de los sistemas de información en el negocio. Es decir, ¿están las TI en el core del negocio? Parece lógico pensar que su importancia no es la misma en un empresa cuya actividad fuese, por ejemplo, el estampado de estructuras metálicas que en otra que se dedique a la prestación de servicios financieros o de seguros. Este concepto debe quedar muy claro y definido desde el principio dado que será de importancia capital a la hora de tomar la decisión. El razonamiento para ello se basa en la definición de ventaja competitiva.

Las TI son importantes hoy en día en cualquier compañía (Firmado: Perogrullo). Pero más allá de esta obviedad, la cuestión clave es saber si, además de ser importante, puede suponer una ventaja competitiva en sí misma en el segmento producto-mercado en el que produce su devenir diario.

Podría admitirse como válido que las TI no sean un factor clave en una empresa de fabricación de telas o en una distribuidora de vinos. Esto no querría decir que su informática no fuese importante sino que no forma parte de las actividades clave que aportan un valor diferencial a sus productos o servicios.

Por el contrario, no podría decirse lo mismo de, por ejemplo, una empresa de telecomunicaciones o una entidad financiera. Nadie entendería un telco o un banco sin un buen sistema informático en el que todas las oficinas tuviesen acceso a la información de sus clientes, con un buen canal de venta online en la web (bien sean películas o hipotecas, según el caso), un correcto canal telefónico con servicios digitales, una eficaz red de cajeros automáticos... En este caso toda la capacidad de llegada a los clientes a través de múltiples canales está sustentada fundamentalmente por tecnología.

Hay que tener muy presente que la ventaja competitiva que aporten las TI puede ser o no ser percibida por el mercado. Un ejemplo de ventaja competitiva percibida podría ser Inditex. Esta compañía tiene un reducidísimo ciclo de fabricación-distribución-venta que permite fabricar casi en tiempo real aquello que más se vende –con las ventajas que ello supone, por ejemplo, en la reducción de sus fondos de maniobra- y los clientes, a su vez, tener siempre disponibles aquellas prendas que más demandan. Esta capacidad logística está sustentada, entre otras, en un potente sistema de información alimentado en tiempo real desde el punto de venta.

Sin embargo, hay sectores donde la ventaja competitiva para la empresa existe pero el cliente no la percibe. Un ejemplo podría ser una empresa de seguros en la que su sistema de información le diese información relevante sobre los clientes más rentables, los de mayor y menor riesgo, los costes del servicio personalizados por cliente, etc., todo ello en base a un potente sistema estadístico que permita cruzar los datos de cada cliente con los de lo ocurrido hasta la fecha.

En base a la importancia de las TI como ventaja competitiva podrían establecerse dos tipos de empresas. En primer lugar estarían aquellas donde los sistemas de información no son un factor clave para el negocio. En este caso podría, sin mayores dificultades, seguirse adelante en el estudio de externalización. En segundo lugar estarían aquellas donde las tecnologías de la información son una de las claves del negocio. En este tipo de empresas debería atenderse a una de las dos posturas respecto a la externalización de las TI:

  • La primera indica que no debería externalizarse. La razón es simple: ¿qué ventaja competitiva podría obtenerse cuando se subcontrata el servicio? Y la respuesta: ninguna, dado que si se produce la externalización todo el conocimiento de esa ventaja debe transferirse a un proveedor de servicios. Por ello, a partir de ese momento cualquiera podría hacer lo mismo y por tanto no sería tal la supuesta ventaja en la medida en que estaría al alcance de los competidores.


  • La segunda dice que sí podría externalizarse dado que hoy en día la tecnología es un enorme igualador: todo el mundo tiene acceso a ella. Esta postura distingue entre la tecnología propiamente dicha y las personas que diseñan los sistemas de información.

Habitualmente, los profesionales de TI tienden -Mode 1ª persona On, tendemos, Mode 1ª persona Off- a pensar que es elevado el número de empresas en las que los sistemas de información son una de las claves del negocio y que por, por tanto, no pueden externalizarse. Sin embargo, la empírica indica que, caso de existir, el número de estas empresas es muy reducido. La realidad es que la ventaja competitiva se deriva más del talento y la capacidad de gestión que de la tecnología. En línea con esto, Ochoa y Sotillos han acuñado el término soulware como “la disciplina que se ocupa de la dimensión emocional de los sistemas: la empatía con el diseño de una interfaz, la confianza en la contratación de un servicio, la percepción de seguridad de un proceso de compra, la sensación de confidencialidad de una votación electrónica, la motivación de un proceso de aprendizaje no presencial”. En definitiva, hace referencia a la aportación de las personas a los sistemas de información.

Estas reflexiones llevan, ineludiblemente, a otra que suelen confundir las empresas que se dedican de una u otra forma a las tecnologías de la información: la tecnología en sí misma rara vez crea valor; únicamente las personas, haciendo uso de la tecnología, pueden hacer propuestas de valor.

De acuerdo con esta máxima podría decirse que es posible externalizar la gestión del hardware y software de los sistemas de información. Cosa muy diferente será la externalización de los perfiles profesionales que diseñan conceptualmente la lógica de estos sistemas dado que son estas personas las únicas que no son imitables y que por tanto pueden aportar un valor diferencial a la compañía.

Llegados a este punto es de enorme importancia entender que el soulware en contadas ocasiones incluye conocimientos técnicos (a excepción de aquellas empresas cuyo producto o servicio sea la propia tecnología) dado que éstos debería estar incluidos en la documentación técnica de los proyectos, tanto en lo referente al software como al hardware.

Aclarado el concepto soulware podría caerse en la tentación de hacer recaer en esta idea a todo el personal y recursos IT de la empresa con lo que, en la práctica, se estaría negando el outsourcing. Y, ciertamente, fijar la frontera entre hardware/software y soulware puede no ser tarea sencilla.

Crear es diferente de resolver problemas. La mayor parte del personal TI de una compañía dedica una gran porción de su tiempo a resolver problemas, bien sean estos de software o hardware. Sin embargo, existe (o debería existir) un reducido grupo que realmente crea valor. Por ello, un buen método para determinar qué perfiles profesionales son externalizables podría basarse en el análisis de sus tareas habituales. Todos aquellos que dedican la mayor parte de su tiempo exclusivamente a resolver problemas sin aportar nada nuevo al proceso son claros candidatos a la externalización. Con el resto debería hacerse un estudio personalizado.

Con la no externalización del soulware se obtienen todas las ventajas de las economías de escala y especialización de tareas del outsourcer manteniendo intactas las ventajas competitivas que aportan las TI.

Como resumen de la primera cuestión que debe plantearse el CIO de una organización podría decirse que pueden externalizarse los servicios de TI en todas aquellas compañías donde las propias TI no supongan una ventaja competitiva principal o única. Donde TI sea una ventaja competitiva en sí misma podrá hacerse aunque prestando gran atención a las personas clave o soulware.

¿Es interesante desde la perspectiva financiera?

Superada la primera cuestión clave llega la hora de entrar en cifras. A partir de aquí será preciso determinar los recursos dedicados por la compañía para la prestación de servicios de TI y compararlos con el coste anual de la empresa o empresas de outsourcing candidatas. Será preciso comparar las dos situaciones extremas de mantenimiento de la situación actual frente a la contratación de la empresa de outsourcing más los costes de arrastre por desinversión, si procede, en los recursos propios dedicados a las TI.

Para ello podrán utilizarse todos los mecanismos financieros que se consideren apropiados dado que es un puro análisis financiero que no difiere en absoluto del análisis de rentabilidad de un proyecto cualquiera de la compañía. Con ello no se quiere decir que sea tarea simple. Nada más lejos de la realidad. Simplemente, se quiere dejar claro que no es nada distinto de las tareas de estudio de interés de proyectos que se realizan habitualmente.

Suponiendo que se obtiene un resultado positivo puede, sin lugar a dudas, continuarse con el estudio. Si se obtiene un valor negativo no debe tirarse la toalla. Será preciso ponderarlo con los puntos siguientes y determinar si el coste añadido de la externalización merece la pena frente a las ventajas que puedan obtenerse de la misma.

¿Qué se debe esperar de la externalización?

Cuando se analizaban los aspectos financieros se dejaba la puerta abierta para que una solución de externalización fuese interesante incluso cuando no pudiera justificarse desde una perspectiva estricta de costes. La justificación se halla en la comoditización de las Tecnologías de la Información.

Ciertamente, en el estudio anterior se había concluido que había sectores donde las TI no era un elemento diferencial. Por tanto, podría entenderse que los servicios de TI se diferencian poco de recursos como el agua o la energía: son absolutamente vitales para el funcionamiento del negocio pero no se perciben elementos diferenciadores entre que los suministre una u otra empresa. Todo ello, manteniendo siempre presente la diferenciación que se hacía entre software/hardware y soulware.

Y dentro de este planteamiento parecería lógico pensar que una empresa de outsourcing será capaz de mantener la cintura necesaria para dar respuesta a la vertiginosa evolución tecnológica con mayor facilidad que el personal interno (generalmente reducido) que precisará de una cada vez más creciente formación en una gran multitud de campos. Esto llevará a corto o medio plazo a un escenario de mayor competitividad de la opción de externalización frente al desarrollo interno.

Pero no se debe olvidar que hay sectores para los que las TI, lejos de ser una commodity, son una ventaja competitiva en sí misma. En este caso el planteamiento debe ser radicalmente diferente dado que la relación con la empresa de outsourcing debe ser muy cercana a la alianza estratégica. Se ha de ser coherente: si los servicios de TI son estratégicos y están externalizados en una empresa de outsourcing, ésta compañía pasa, automáticamente, a ser un compañero de viaje estratégico. De ahí que la elección correcta del proveedor de servicios sea más importante, si cabe, que en el caso anterior.

Otros indicadores

A la hora de identificar la sencillez o complejidad de un proceso de outsourcing hay otros indicadores, en ocasiones mucho más mundanos, que las referencias a la ventaja competitiva o la diferenciación.

Un ejemplo de ello es la existencia de ERP estándar. Parece razonable pensar que será menos complejo externalizar los sistemas de información de una empresa cuando éstos se basan en un ERP estándar dado que si el sistema está basado en un software estándar que ha sufrido pocas adaptaciones podrá ser fácilmente replicado por el outsourcer.

Tampoco hay que esforzarse mucho para darse cuenta de que ciertas áreas de las compañías son menos propensas a la diferenciación y, por tanto, su informática puede externalizarse con menor complejidad. Un ejemplo evidente (aunque tal vez llevado al extremo) es la plataforma informática para la gestión y contabilización de facturas; la contabilidad está definida con un nivel de detalle que deja poco margen a la imaginación. De hecho, un contable con mucha imaginación suele terminar en la cárcel (en Enron tienen cierta experiencia).

El Acuerdo de Nivel de Servicio

Lo que la empresa contratante debería esperar de un outsourcing de TI debería estar claramente definido en un acuerdo de nivel de servicio. Esta es la pieza clave de toda operación de outsourcing dado que define lo que los unos ofrecen y lo que los otros esperan del servicio. Es fundamental dedicar todo el tiempo y esfuerzos necesarios a la definición de los términos de este acuerdo dado que, muy probablemente, será tiempo y quebraderos de cabeza que se ahorrarán en el futuro.

Pero hacer un ANS es realmente complejo ya que la dificultad para una correcta redacción parte de la definición misma del servicio. En el caso de una compañía eléctrica es relativamente simple medir la potencia suministrada así como los picos de tensión que pudieran producirse. Sin embargo, cuando se habla de tecnologías de la información hay blancos, negros y una gran variedad de grises -Mode 1ª persona On, Esto cuesta mucho explicarlo en foros donde hay personas que no se dedican a las TI. Mode 1ª persona Off-. Un ejemplo podría ser una consulta en una base de datos. Puede funcionar o puede no funcionar. Pero también puede que funcione aunque de forma muy degradada en el tiempo de respuesta. ¿Dónde está el punto –en este caso el tiempo- en el que el servicio no es de calidad? El ANS debe dar respuesta a esta pregunta para todos aquellos servicios que se consideren críticos o de interés, todo ello, dando por hecho que tales mediciones sean factibles.

Durante la redacción del acuerdo cabe la posibilidad de incluir cláusulas de penalización por incumplimiento de las condiciones de prestación del servicio. Calcular estas penalizaciones es tan simple (o complejo) como intentar estimar los costes que supondrá para el negocio la indisponibilidad de los servicios de información. Esto llevará a la empresa de outsourcing a asumir más riesgos que naturalmente querrán repercutir en el coste del servicio.

No obstante, no se debería pensar en las penalizaciones como el suculento pastel al que se tendrá acceso cuando las cosas vayan mal. Debería ser, más bien al revés, dado que su cuantía debería provocar la tensión necesaria para minimizar al máximo las paradas no planificadas. Estas condiciones deberían servir, únicamente, para que ambas compañías sean realmente conscientes de lo que hay en juego y de lo que cuesta realmente un minuto de downtime.

Como conclusión a esta fase, debe darse una enorme importancia a la correcta definición de los acuerdos de nivel de servicio dado que ellos determinan lo que cada cual espera de la relación, minimizando así las fricciones en el futuro.

Cuando la externalización se hace habitual

Realizada la elección del proveedor, redactado el acuerdo de nivel de servicio y firmado del pertinente contrato se llega al día en el que las tecnologías de la información, mediante un proceso gradual, están completamente externalizadas.

En este momento, el director de tecnologías de la información, lejos de desaparecer, pasa a ser una pieza clave dentro de la nueva configuración de la organización. Su misión se transforma pasando de ocuparse de los problemas del día a día –realizado ahora por la empresa de outsourcing- a lo que realmente es importante: participar en el diseño y evolución de los sistemas para que éstos permitan maximizar su aportación al negocio. Para ello debería apoyarse en su staff o soulware que, como se indicó anteriormente, conoce y diseña sus sistemas de información.

Asimismo, entre sus funciones estará la de servir de puente en los departamentos de negocio y los servicios de TI suministrados por el outsourcer así como, con la periodicidad que se determine, verificar el grado de cumplimiento de los acuerdos de nivel de servicio.

Habitualmente, la sintonía entre la empresa externalizada y la empresa de outsourcing vendrá determinada por la calidad del servicio ofrecido y percibido así como por el mantenimiento de las condiciones que determinaron su elección frente al resto de las compañías de TI. Sin embargo, es posible que las condiciones que hicieron decantarse por la empresa de TI ya no estén en vigor, bien por caída de la calidad de servicio e incumplimiento del ANS, por la reducción en la capacidad de innovación, por problemas financieros,… En este punto cabe pensar en dos posibles soluciones: la rescisión del contrato de outsourcing para su traspaso a un nuevo outsourcer o para la re-internalización del servicio. Sobre este aspecto las experiencias son realmente reducidas debido a la habitual larga duración de este tipo de contratos –el outsourcer necesita tiempo para recuperar la inversión en la que incurrió para comenzar la prestación del servicio- y a la relativamente corta vida de este modelo de externalización.

En cualquier caso, tanto si se decide una re-internalización del servicio como si se apuesta por un nuevo outsourcer será de enorme importancia contar con las personas que conocen el sistema de información. Como se aprecia, nuevamente toma importancia la no externalización del soulware.

Consideraciones legales

Tratándose de la externalización de los sistemas de información, al margen de las consideraciones legales relativas a la contratación propiamente dicha, será preciso tener en cuenta toda la normativa legal en relación al tratamiento de datos de carácter personal.

La Ley que regulaba el tratamiento automatizado de datos de carácter personal hasta 1999, la Ley Orgánica 5/1992 de 29 de octubre o LORTAD, no hacía distingo entre el propietario de los datos y el responsable de su tratamiento. Es decir, no tipificaba la figura del outsourcer y, por tanto, el propietario de los datos era legalmente responsable ante un incumplimiento de la Ley, aún cuando este fuese achacable al responsable del tratamiento.

Sin embargo, con la aparición en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) y su transposición de la Directiva 95/46/CE de 24 de octubre de 1995 del Parlamento Europeo y del Consejo se crea la figura del responsable del tratamiento como ente diferenciado al propietario de los datos.

Junto a este distingo, la LOPD obliga a la celebración de un contrato entre el propietario de los datos y el responsable de su tratamiento de forma que quede especificado el uso que éste puede y debe dar a los datos así como las medidas de seguridad que implantará para protegerlos, no considerando como cesión todos los datos que sean traspasados de acuerdo a este contrato. Igualmente, exime de responsabilidad al propietario de los datos cuando el responsable de su tratamiento utilice los datos para un uso diferente, los ceda a un tercero o los utilice incumpliendo las estipulaciones del contrato. En este caso, el outsourcer responderá de la infracción ante la Agencia de Protección de Datos como si del propietario de los datos se tratase.

Por tanto, puede afirmarse que desde la aparición de la LOPD queda normalizada la figura del outsourcer eximiendo a sus clientes de cualquier responsabilidad ante un mal uso de los datos de carácter personal por parte del responsable del tratamiento.

¿Y todo esto es de aplicación en la Administración Pública?

Analizando el problema desde la óptica de la ventaja competitiva puede haber dos planteamientos. El primero  de ellos alude a que la Administración Pública define sus procesos de acuerdo a la normativa legal y la Ley es igual para todas las Administraciones. Es decir, si todas tienen que definir sus procesos de igual modo no parece que haya una gran ventaja competitiva en las TI que le dan soporte.
Pero la realidad no es tan simple y aunque, obviamente, todas las Administraciones diseñan sus procesos cumpliendo la legalidad lo cierto es que unas lo hacen mejor que otras bien sea porque son más eficientes, más eficaces, ambas cosas a la vez, porque están más centradas en el ciudadano, porque tienen más clara su misión y visión,... Las TI tienen una cada vez mayor presencia en la Administración y en un futuro muy cercano (en algunos aspectos es ya presente) no será posible una Administración Pública que no ofrezca todos sus servicios de forma online.

La Administración pre-TI era un gran stopper; era ese obstáculo que había que salvar para realizar los trámites. Por contra, la Administración basada en TI debe ser capaz de utilizar la tecnología para hacer la vida más simple a los ciudadanos y las empresas. Y en ese sentido la tecnología estará -si no lo está ya- en el corazón del negocio de la Administración. Las TI serán una ventaja competitiva, no ya frente a sus competidores (el término suena raro en el contexto de las Administraciones Públicas) sino frente a sí misma.

Por otra parte, aunque de una forma un tanto diferente, muchas administraciones públicas están desde hace mucho tiempo, tal vez sin ser conscientes de ello, en un modo de funcionamiento muy cercano al outsourcing dado que son numerosas las AAPP que cuentan con sociedades públicas para gestionar los sistemas de información. Estas sociedades podrían equipararse a las alianzas estratégicas con compañías de TI de las que se hablaba anteriormente.
La mayor o menor semejanza entre estas sociedades públicas y los proveedores de TI habituales en las alianzas estratégicas será proporcional a la capacidad de las sociedades de formar parte del soulware. Es decir, cuanta mayor involucración, conocimiento y aportación al negocio faciliten estas sociedades más cerca estarán de formar parte de ese grupo imprescindible que diseña y gestiona los sistemas: el soulware.

Conclusiones, si las hay...

La conclusión fundamental debe partir de la definición que el negocio hace de las tecnologías de la información tanto en el momento presente como en el futuro. Dependiendo de ello y de su aportación a la ventaja competitiva deberá decantarse por un modelo u otro.

Por tanto, el primer y más importante ejercicio es analizar cómo de críticas e interesantes competitivamente son las tecnologías de la información para el negocio. Sabido esto se deberá marcar la frontera entre el puro conocimiento técnico sobre el hardware y software y el conocimiento de los sistemas de información de la compañía, el soulware, para determinar que puede hacerse desde fuera de la compañía y que debe quedar necesariamente como desarrollo interno. Hecho eso, se deben analizar los costes del proyecto, incluyendo los costes de arrastre de la situación actual, y... que cada cual decida.

Mode 1ª persona On. Como profesionales de TI debemos ser capaces de entrar, al menos durante una porción de nuestro tiempo, en el olimpo del soulware. Y aunque en ocasiones, muchas o pocas, nos toque resolver problemas (a quien no) debemos ser capaces de aportar valor e innovar en los procesos de negocio en los que participamos. Mode 1ª persona Off.

RSS

Todos quieren ser globales



RSS

Erase una vez que se era en el mundo de la informática en el que existían empresas dedicadas al hardware, empresas dedicadas a la seguridad, empresas dedicadas al almacenamiento, empresas dedicadas al networking, empresas dedicadas a hacer potentes gestores de bases de datos, empresas dedicadas al software en general, empresas dedicadas a la consultoría, empresas dedicadas a los sistemas operativos,... y algunas -muy pocas- dedicadas a todo ello.

En esos años, no era muy difícil asociar a Oracle con las bases de datos, a Microsoft con Windows, a Google con los buscadores, a Cisco con la electrónica de red, a Checkpoint o Juniper con los firewalls, a Symantec, Mcfee o Panda con los antivirus y la seguridad, a EMC, StorageTeckHitachi con el almacenamiento, a Compaq, Dell o HP con el hardware de PCs y servidores, a SAP con los ERPs, a Telefónica con la telefonía, a Accenture con la consultoría, a ninguna empresa con el software libre o a IBM con todo.

Es posible e incluso probable que si se le preguntase a cada una de estas empresas todas dijesen que estaban en algún otro sector adicional al descrito pero en general se podía acotar sin demasiadas dificultades el core de su negocio.


Centrarse en el core del negocio

La tendencia era deshacerse de todo aquello que no estaba en el corazón del negocio y en esa línea quizá IBM fue una de las pioneras. Se deshizo de su división de networking al tiempo que firmaba un contrato estratégico con Cisco. Posteriormente, se deshizo de su división de equipamiento de usuario (PCs, PDAs -que oemizaba de Palm-, impresoras, ...) mediante la venta a la china Lenovo. Más tarde vendió su división de impresión profesional a Ricoh (absorbida mediante InfoPrint).

El fin último era centrarse en el software, en el hardware (servidores, mainframe y almacenamiento) en el ámbito empresarial y, sobre todo, en los servicios. Todo lo demás sobraba. Se trataba de llegar al éxito mediante la especialización con presencia únicamente en los segmentos más rentables.

De su principal competidor (HP, tras la integración con Compaq que a su vez había comprado Digital) llegó a decirse, y así fue en la mayor parte de los casos, que tras la fusión con Compaq únicamente mantendría en su portfolio de productos aquellos en los que estuviera al menos en el tercer lugar en cuota de mercado. El resto eran rémoras que no hacían sino detraer recursos de los negocios más rentables. Y aunque la estrategia de HP e IBM no han sido exactamente paralelas (HP mantiene muy vivo su negocio de printing así como el de consumo) lo cierto es que ambos coincidían en la especialización.


Pero todo cambió...

De un tiempo a esta parte se está asistiendo a un nuevo periodo de concentración y des-especialización. Un periodo en el que todos quieren poder hacer de todo. Un periodo en el que todos quieren estar en todos los mercados y un periodo en el que parece que nadie quiere depender de nadie.

Hoy, Cisco e Hitachi son competencia de Dell, HP o IBM en el mercado de servidores, Intel es competencia de Symantec o Panda en el mercado de los antivirus, Oracle vende hardware, es competencia de SAP en el mercado de ERP y CRM e incluso de sí mismo con MySQL, EMC -a través de VMWare-
es competencia de Microsoft, Google con su Gizmo5 es competencia de Skype e incluso de Telefónica, Telefónica a su vez lo es de Facebook tras comprar Tuenti, Sony es competencia de Microsoft y pronto lo será de Google en el mercado del entretenimiento, Apple es competencia de Facebook en redes sociales y de Google en el mercado de la televisión online y la telefonía móvil, Accenture es competencia de IBM y HP en outsourcing y a su vez, IBM y Microsoft son competencia de Google o Amazón en los servicios de Cloud.

Algunas de estas concentraciones son entendibles -en términos de un economista son integraciones verticales, hacia adelante o hacia atrás dependiendo del caso-, como es el caso Telefónica con Tuenti, Google con Gizmo5 (Google Voice) o incluso Cisco con Skype -si finalmente la compra-. En ese caso se trata de estar en el mercado de los contenidos cuando ya se está en el mercado de las líneas de comunicaciones o viceversa.

Un operador tiene gran interés en generar más y más contenido dado que eso generará un mayor torrente de datos y con ello una mayor facturación. Y al revés, quien produce los contenidos que son consumidos por los usuarios tiene interés en estar en el negocio de las líneas de datos. Estas compras pueden ser entendidas desde la óptica de unificación de las comunicaciones IP. Tarde o temprano las llamadas de voz y vídeo, la radio, la televisión y en general cualquier medio de transmisión de datos acabará estando soportado por protocolos IP con lo que se producirá una convergencia de medios y con ello fricciones entre empresas que vienen de diferentes sectores y que se encuentran en un punto común: la Red.


Otras concentraciones no tan evidentes

Se están produciendo otras concentraciones cuya explicación no resulta tan evidente. De repente, los grandes fabricantes de sectores tan aparentemente dispares como el almacenamiento, el networking o la computación (servidores en general) están tomando posiciones a marchas forzadas para ser proveedores integrales. Estos movimientos se han hecho muy visibles en la reciente disputa entre HP y Dell por la compra de 3Par.

Es el caso de Cisco, Hitachi Data Systems, HP, Oracle o IBM. Cisco vende ya servidores además de su tradicional networking, HP se posiciona como un referente en el networking tras la compra de 3Com unido a sus tradicionales ProCurve, Oracle dispone de toda la línea de servidores y almacenamiento provenientes de la compra de Sun, HDS fabricará servidores integrados con su almacenamiento,... El siguiente paso natural parece ser que IBM compre una compañía de networking tras haber desmantelado la suya hace unos años (¿qué tal Juniper o Brocade?). ¡Todos quieren ser el corazón del Datacenter!

Estos movimientos no se explican con razonamientos puramente económicos. O no al menos con los mismos razonamientos que se usaban para justificar los movimientos anteriores en los que se podía hablar de diversificaciones verticales, sinergias en la función técnica,... y resto de jerga de los economistas. En este caso, la clave parece estar en la gestión de los futuros Datacenters y en el Cloud Computing porque parece -o eso es lo que estas compañías creen- que quien no esté ahí no sobrevivirá.

El Cloud Computing -o el outsourcing de siempre al estilo de Internet, porque realmente no es mucho más que eso- proyecta cambiar la forma en que las empresas conciben la infraestructura. Este hecho, junto a la virtualización y los blades, plantea a la mayor parte de los fabricantes la necesidad de ser globales. La razón es que con la tecnología actual no hay problemas técnicos para que el networking (switches, routers, firewalls, ids/ips, balanceadores,...), junto con el almacenamiento (san, nas, iscsi,...) y los servidores se encuentre todo junto en un mismo cajón, el cajón de blades, gestionados por un software único y resolviendo por diseño todas las complejidades de esa interconexión.

Tanto HP como IBM tenían ya un formato de cajón para incluir sus servidores, su almacenamiento y su electrónica de red, y lo mejor de todo, con un software de gestión que minimiza cuando no elimina las complicaciones derivadas de la interconexión de dispositivos. Es decir, los servidores, el almacenamiento y la red integrados out of the box por el propio fabricante. Esta situación es la quimera de quienes deben cuidar al máximo los costes -en sentido amplio- de la infraestructura para dar servicios gestionados desde la nube. Para ellos, la reducción de complejidad implica menores costes de gestión, menores costes en espacio (plantean incluso meter los CPDs en containers 100% autónomos en cualquier lugar el mundo), menores costes energéticos,...

Entonces, ¿cómo quedan los fabricantes que tenían una visión parcial de la infraestructura? ¿En qué situación se queda Cisco con sus dispositivos de red o Hitachi con su almacenamiento? El movimiento era inevitable y todos los jugadores de esos mercados parciales debían convertirse en globales.

Es por ello que Cisco ya vende servidores en su propio formato blade junto a su electrónica de red -y probablemente en el futuro junto a su almacenamiento-. Lo mismo pasa con Hitachi que comenzará a vender servidores integrados por diseño con su almacenamiento o con Dell que ha pujado hasta el final con HP por hacerse con una compañía de gestión del almacenamiento.


¿Qué dice la lógica que va a ocurrir a partir de ahora?

El punto de partida para responder a esto es que, a la vista de los hechos, en el corto o medio plazo habrá al menos cuatro o cinco proveedores que querrán competir por el mercado global ofreciendo soluciones completas e integradas. Entre ellos estarán Cisco, Oracle, IBM, HP, Dell y probablemente Hitachi.

Dicho así, suena incluso bien para los clientes. La competencia provoca aumentos en la eficiencia y es de esperar que esto genere tensiones que hagan contener el precio y aumentar las prestaciones. No es previsible que ninguno de los proveedores de este mercado global canibalice los productos pero no hay duda de que una mayor oferta es siempre buena para el cliente.

Pero ¿y en el largo plazo? La tendencia natural del mercado, de cualquier mercado, invita a pensar que tras un tiempo de expansión en el que todos harán y venderán de todo vendrá un tiempo de nueva concentración.
Los mercados maduros no permiten la existencia de más de dos proveedores, el líder y el retador, que hasta ahora eran IBM y HP, no necesariamente en ese orden. El resto serán proveedores residuales que serán fagocitados por los vencedores, enviados de nuevo a su mercado origen, reposicionados en un nicho o quién sabe qué.

Es decir, que compañías como IBM, HP o Dell corren el riesgo de pasar a no ser líderes en el segmento de las infraestructuras al tiempo que compañías como Cisco u Oracle corren el riesgo de comprometer su cuenta de resultados con el negocio de la infraestructura hasta el punto de que un mal resultado afecte a su negocio tradicional, en el que son líderes.

Algunos dirán que ser líder y referente en la electrónica de red o en el almacenamiento no es justificación suficiente para serlo también en el mercado de los servidores. Por contra, otros dirán que llegar a un nuevo mercado sin prejuicios ni rémoras del pasado permite innovar. El tiempo dará y quitará razones.

RSS

Los contenidos de Tons of IT están sujetos a licencia Creative Commons Reconocimiento 3.0 salvo donde se indique lo contrario.