Servicios - Computerworld Colombia

More documents

Recommendations

Info

Bases de datos: ¿inseguras?Algunas reflexiones básicasJeimy CanoRecientemente la Independent Oracle Users Group's (IOUG) (verreferencias) liberó un estudio realizado con 430 de sus miembros sobrela seguridad en los datos, donde se revelan cinco puntos claves quemuestran por qué falla la seguridad en las bases de datos.las aplicaciones. Estas últimas son las que ante una actualizaciónpueden dejar de funcionar o hacerlo de manera errática, lo cual implicaun trabajo conjunto con los líderes funcionales de éstas con el fin deasegurar que la solución sigue funcionando como se tiene previsto.COMPUTERWORLD - Octubre 2010ESPECIAL SEGURIDAD22Los cinco puntos son:Aplicar un parche no es instalar un archivo ejecutable en un servidor yesperar a que se termine su realización; es todo un procedimiento formal1. Las organizaciones no saben aún dónde residen sus datos sensibles en la organización donde participan tanto el área de tecnología de2. El monitoreo de la seguridad sigue siendo aún irregular y no información como el área de negocio, para asegurar que las condicionessistemáticoy acciones requeridas para que el proceso de actualización se dé y que3. Los usuarios privilegiados se siguen ejecutando sin un adecuado ante cualquier eventualidad se tienen previstos los mecanismos decontrol y seguimiento“vuelta atrás” y respaldos, que permitan mantener la operación y4. Los parches en las bases de datos se despliegan y aplican lentamente exceptuar, si es necesario, la aplicación del parche en la máquina. Es5. Existe un evidente retraso en la aplicación de técnicas de cifrado claro que una situación como la anterior, exige de la organización unasobre las bases de datosrevisión de la aplicación afectada, con el fin de evaluar y revisar su códigopara ver alternativas de afinamiento según se requiera.Cuando se advierten estas cinco conclusiones sobre la seguridad de labases de datos, encontramos que son situaciones que en la mayoría se Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado,encuentran asociadas con ineficientes prácticas de seguridad de la las cuales son ampliamente conocidas y las cuales cuentan coninformación que la exponen y a la organización, a posibles fallas o aplicaciones de implementación tanto en bases de datos como envulnerabilidades que pueden ser explotadas tanto por atacantes internoscomo externos.El estudio afirma que las organizaciones no saben donde residen susdatos sensibles. Esta es una realidad en muchas empresas a nivelinternacional, la cual se manifiesta en una inadecuada o inexistenteclasificación de la información. Esto es, que las corporaciones no setoman el tiempo para adelantar el análisis de riesgos propios de los flujosde información en sus negocios, de tal manera que puedan identificaraquella que por su confidencialidad requiera niveles de proteccióndiferentes a las demás.Esta situación se agrava aún más cuando las prácticas de seguridad dela información no son constantes, lo que lleva a una aplicaciónsistemática de comportamientos inapropiados que pueden ser, ingenuospor el desconocimiento del nivel de confidencialidad o definitivamenteintencionales, sabiendo que por la ausencia de controles e indefinicionesfrente al tratamiento de la información, es posible filtrarla con lacomplicidad de un limitado seguimiento y control propio de losparticipantes en los procesos de la compañía.Lo anterior confirma la segunda conclusión del estudio: el monitoreosigue siendo irregular e inconstante. La seguridad de la informacióncuando se traduce en una inestable y débil gestión de reconocimiento dela inseguridad en los procesos de negocio, allana el camino para lamaterialización de incidentes de seguridad con consecuenciasinesperadas, dado que no se conoce el alcance ni impacto de cada unode los componentes del proceso y su interrelación con las otras áreas denegocio.Esta situación, exige de las organizaciones modernas, el que seincorporan prácticas de control interno, que le permitan afianzar elreconocimiento de los riesgos en el tratamiento de la información paraasí, hacer de su ciclo de vida, una experiencia conocida y apropiada portodos y cada uno de los colaboradores empresariales.Ya la tercera conclusión, sobre la falta de monitoreo de los usuariosprivilegiados es un llamado de atención al sistema de control internoinformático de las organizaciones. Mientras los administradores de lasbases de datos, así como los administradores de servidores odispositivos de telecomunicaciones, mantengan su hálito de“intocabilidad” por su clara función crítica en el funcionamiento de lossistemas informáticos de las organizaciones y no se acojan a lasprácticas de seguridad y control, que exige básicamente la trazabilidadde sus operaciones, así como a la aplicación de guías de aseguramientode cada uno de sus dispositivos, mantendremos una gestión parcial deseguridad que podrá ver claramente lo que los usuarios desarrollan enlas aplicaciones, pero una vista borrosa e inexacta de lo que los usuariosprivilegiados aplican o ejecutan sobre los componentes básico de lainfraestructura computacional de las empresas.Hablar de parches y aplicación de los mismos es hablar de una operaciónde cirugía de alta precisión, pues esto implica conocer muy bien lasaplicaciones y la manera como ellas funcionan en los diferenteservidores. Cuando de aplicar un parche se trata, se hace necesarioestablecer una “ventana de tiempo” para que en un ambiente controladoy donde las aplicaciones no estén funcionando, se pueda instalar éstos yver los comportamientos de la máquina y del software base, así como deaplicaciones, con el fin de asegurar la confidencialidad en el tratamientode la información en los diferentes escenarios en los que la informaciónfluye.El uso de cifrado de la información en las bases de datos o en cualquierinformación bien sea en servidores de alto desempeño o en dispositivosmóviles, lleva consigo un impacto en desempeño propio de la aplicaciónde los algoritmos utilizados. Mientras la operacionalización de lastécnicas de cifrado se apalanquen en el uso intensivo del procesador,siempre habrá un costo base en el tiempo de respuesta, que estarádisminuido en la manera como cada implementador del algoritmo lodesarrolle. Así las cosas, en las bases de datos conocidas este es uncosto que debe ser considerado en el momento del diseño de laseguridad de la misma, siempre y cuando esta fase, haga parte de lapuesta en operación de un sistema manejador de bases de datos.Las conclusiones del estudio realizado por la Independent Oracle UsersGroup's (IOUG), demuestran una vez más que la seguridad de lainformación aún continúa siendo una realidad “externa” a la gestiónpropia de la tecnología de la información en las organizaciones, lo cualgenera el escenario ideal para que la maestra inseguridad encuentrenuevas razones para mostrarnos que mantiene su posición vigilante antenuestra inconstancia y falta de aseguramiento de acciones preventivasque nos permitan anticiparnos a las lecciones propias de la fallas deseguridad.En consecuencia, debemos reconocer que si queremos, podemosaumentar la predictibilidad de la operación de las tecnologías deinformación, no sólo desde las buenas prácticas de seguridad inmersasen los procesos de negocio, sino dentro del colectivo cultural y social delos participantes de la empresa, quienes son los que al final del día hacenla diferencia en la gestión de la seguridad de la información.
Eficiencia energéticaen centros de datosFernando García, vicepresidente para Latinoamérica de APCBy Schneider, dialogó con Computerworld Colombia sobrela evolución y los desafíos de las empresas en el diseño de loscentros de datos: “Este diseño se ha beneficiado de lainvestigación y desarrollo de las compañías que se hanatrevido a cambiar los esquemas y romper con tabúes que pormuchos años mantuvieron a los centros de datos en unacondición estática. El desarrollo de nuevas tecnologías comoservidores con múltiples procesadores, la virtualización y elcómputo en la nube han permitido que estas nuevastecnologías se estén aceptando de forma generalizada”.Según la compañía, con base en la determinación de la cargainformática, se debe planear el diseño de un centro de datoscomo un modelo de flujo de datos, con una secuenciaordenada de tareas que transforman y refinan la informaciónde manera progresiva desde la concepción inicial hasta eldiseño final llevándolo de lo abstracto a lo específico.La arquitectura de un centro de datos amigable con el medioambiente es hoy en día una necesidad. “Debido al alto costode la energía eléctrica, cada día más empresas contemplan eluso de tecnologías eficientes y amigables con el medioambiente, no solo por el beneficio económico sino por laconciencia social. En general, los grandes proyectos decentros de datos en Latinoamérica consideran fuertemente elimpacto ambiental y los proyectos medianos y pequeñostambién se han visto beneficiados de esta mega tendencia”,destacó Fernando García.En el mediano plazo, poder soportar la alta densidad al mismotiempo que hacer un uso más efectivo de la energía eléctricaserán los principales generadores de cambios en lainfraestructura del centro de datos. Muchos de los mitosactuales, como evitar el uso de agua en el centro de datos,mantener una baja temperatura de operación, mantener lahumedad relativa al 50%, etc., serán olvidados y corregidospor nuevos conceptos de diseño arquitectónico, nuevossistemas de enfriamiento con medios más densos que el airey voltajes de operación, en busca de reducir al máximo eldesperdicio de energía y bajar el costo de operación.Vale la pena anotar que recientemente, APC by SchneiderElectric participó en Colombia en la “Conferencia y Expo deDatacenter Dynamics”, un evento internacional dirigido a losprofesionales que intervienen en el diseño, la construcción y lagestión de Centros de Procesamiento de Datos (CPD).Conectores de fibra múltiplesy sistemas Plug-N-PlayLos centros de datos son fundamentales para lainfraestructura de TI de las empresas. Gracias a su diseño deconexión rápida, los sistemas Plug-n-Play (PnP) de fibraóptica, se convierten en una alternativa por su rápida y fácilinstalación y reducen el tiempo de inactividad duranteexpansiones, mantenimientos programados y paradas deemergencia.Actualmente, se encuentran dos tecnologías en el mercado encuanto a conectores múltiples de fibra óptica se refiere. Losconectores MPO (Multi-Fiber Push On), reconocidos por losestándares TIA 604-5B y la IEC-61754-7, y la últimageneración de éstos, los conectores MTP, que presentamejoras en cuanto a fiabilidad, rendimiento y pérdidas deinserción.Los modernos sistemas de fibra óptica PnP consisten enconectores de fibra múltiples para interconectar varias fibrasópticas a la vez.Para lograr la capacidad de conexiones rápidas, la industria dela fibra óptica ha desarrollado sistemas llamados Plug-N-Play,basados en otros existentes y adoptados por proveedores dela industria informática. PnP son sistemas basados en cablestroncales y caseteras, que se componen de elementos de fibraóptica preconectorizados.Otra solución para lograr una conexión rápida es el uso deconectores de multifibras. El tiempo invertido en conectar unamultifibra de 12 fibras con conector MTP, corresponde a ladoceava parte de hacerlo con una fibra óptica hilo a hilo. Uncentro de datos puede alcanzar alrededor de 1.000terminaciones de fibra ó más, lo que hace el ahorro de tiempouna variable significativa.COMPUTERWORLD - Octubre 2010INFRAESTRUCTURA23
Page 1: www.computerworld.com.co Valor ejem
Page 4 and 5: COMPUTERWORLD - Octubre 2010OPINION
Page 6 and 7: COMPUTERWORLD - Octubre 2010NOTIBIT
Page 8 and 9: COMPUTERWORLD - Octubre 2010ACTUALI
Page 10 and 11: Schneider Electriccompra empresanac
Page 12 and 13: Foro de Líderes:Servicios: del out
Page 14 and 15: Servicios:evolución hasta en las n
Page 16 and 17: El poder del softwareLas exportacio
Page 18 and 19: COMPUTERWORLD - Octubre 2010ESPECIA
Page 20 and 21: Seguridad:afinando los patronesCon
Page 24: Los portátiles ASUSllegan de la ma
Page 27: Ya esperósuficiente.La arquitectur

Servicios - Computerworld Colombia

Create successful ePaper yourself

Delete template?

Save as template?