Los profesionales de TI alertan sobre las mentiras menos blancas y los lados oscuros del negocio de tecnología.
Los profesionales de TI suelen saber dónde están enterrados los cuerpos. A veces, porque son ellos los que sostienen la pala.
Les preguntamos a los lectores de InfoWorld que revelaran los secretos más sucios de TI -las mentiras menos blancas y el lado oscuro de la tecnología del que otros no se dan cuenta. Entonces llevamos esos “secretos” a un detector de BS (Bullshit), comprobándolos con los expertos en el campo correspondiente. En algunos casos, los expertos estuvieron de acuerdo, en otros casos no lo hicieron.
¿Los administradores de sistemas ejercen poder más allá de las peores pesadillas del CIO? ¿Los empleados se llevan los equipos de la empresa rutinariamente? ¿Los datos que se almacenan en la nube realmente pueden desaparecer en un instante? ¿Está pagando demasiado por el soporte técnico?
Siga leyendo para averiguar lo que nuestros informantes y expertos creen.
Secreto N°1: Los administradores de sistemas tienen a su empresa sujetada de los cabellos
Cualquiera que haya seguido la historia de Edward Snowden sabe qué tipo de daño puede causar un administrador del sistema con una agenda propia. Pero incluso la gente puede no darse cuenta de la amplia gama de acceso de administrador sin restricciones y el tipo de dolor que puede causar.
“No hay secretos para TI”, señala Pierluigi Stella, CTO del proveedor de servicios gestionados de seguridad Network Box USA. “Puedo ejecutar un sniffer en mi firewall y ver cada paquete que entra y sale de una computadora determinada. Puedo ver lo que la gente escribe en sus mensajes, a dónde van en Internet, lo que publican en Facebook. De hecho, solo la ética previene que la gente de TI haga mal uso y abuso de este poder. Piense que es como tener una mini-NSA en su oficina”.
Esta situación es más común de lo que incluso la mayoría de los CIOs creen, anota Zión Gonen, director de estrategia de la firma de protección de datos SafeNet.
“Yo estimaría que esto es cierto en 9 de cada 10 organizaciones”, agrega. “La seguridad de la empresa es tan segura como la ética de los administradores de TI de confianza ¿Cuántos de ellos tienen administradores de sistemas que abusan de sus privilegios de acceso? es más difícil de decir; pero lo suficiente para alcanzar las noticias casi todas las semanas. Lo más espantoso es que las mismas personas que presentan el mayor riesgo son a menudo las mismas personas que aprueban el acceso”.
David Gibson, vicepresidente de Varonis, un proveedor de soluciones de gestión de datos, concuerda en que los administradores suelen ser capaces de acceder a los datos que no deberían sin que se note, pero pone el número más cerca de 50%. Y añade que no son solo los administradores, la mayoría de los usuarios tienen acceso a muchos más datos de los que necesitan para hacer su trabajo.
Él dice que la solución se reduce a la obtención de un mejor manejo de dos cosas: reducir el acceso para llegar a un modelo de “menor privilegio”, y la supervisión continua de quién accede a los datos.
“La organización debe ser capaz de ver quién tiene acceso a qué datos, a quién le pertenecen esos datos, y quien ha estado accediendo a qué archivos”, señala. “A partir de ahí, se puede involucrar a los propietarios de los datos directamente para que tomen decisiones informadas acerca de los permisos y el uso aceptable”.
Secreto N° 2: Sus empleados podrían estar ayudándose a sí mismos
Los equipos viejos de alta tecnología vieja rara vez mueren, solo encuentra un nuevo hogar – y, a veces, ese hogar es con sus empleados de TI.
“El robo de equipos desechados por parte de los empleados es algo común”, señala Kyle Marks, CEO de Retire-IT, una empresa especializada en problemas de fraude y cumplimiento de normas de privacidad relacionadas con la disposición de activos de TI. “Nunca he conocido a alguien de TI que no tenga una colección de hardware en casa. Para muchos, tener equipos jubilados es un crimen sin víctimas. La mayoría no lo ven como una amenaza a la seguridad. Una vez que se retiró el equipo, actúan como un juego legítimo”.
El problema con tomar equipos destinados a la basura o a la papelera de reciclaje es que a menudo todavía contiene datos sensibles, que en el caso de pérdida podría dar lugar a una responsabilidad enorme para la empresa que posee el equipo, señala Marks. Y, por supuesto, sigue siendo considerado como el robo de equipo de la compañía.
“El robo y el fraude son situaciones graves que generan masivos riesgos de privacidad”, añade. “Una fuente interna de TI caprichosa puede tener consecuencias costosas, si se deja sin revisar. Sin embargo, en la mayoría de los casos, los responsables de asegurar los activos están dispuestos de forma adecuada -con todos los datos eliminados- en TI. Las organizaciones necesitan tener un proceso de “adquisición inversa, que asegure que los activos son dados de baja correctamente”.
Pero ¿realmente todos los empleados de TI roban hardware antiguo? Un veterano de la industria de disposición de activos de TI, que pidió permanecer en el anonimato, señala que el problema no es tan común como lo hace parecer Marks.
“No estoy diciendo que el robo no existe”, anota. “Simplemente estoy diciendo que yo nunca he conocido a nadie en la industria con ese particular modo de pensar”.
La mayoría del equipo que se pierde simplemente desaparece por otras razones, menos nefastas -como si hubiera sido enviado al lugar equivocado, añade.
“Suena como una mala generalización cuando, en esencia, muchas de estas empresas se enorgullecen de ofrecer servicios seguros y actuar de una manera que es completamente honesta y llena de integridad”.
Secreto N°3: Almacenar datos en la nube es aún más riesgoso de lo que piensa
Almacenar sus datos en la nube es conveniente, pero esa conveniencia puede llegar a un alto precio: la pérdida de los datos en un bodrio legal totalmente ajeno.
“La mayoría de las personas no se dan cuenta que cuando sus datos se almacenan en una nube junto con datos de otras empresas, y se presenta una cuestión jurídica con una de las otras empresas, sus datos podrían ser revelados”, señala Mike Balter, director de la empresa de soporte de TI CSI Corp.
En otras palabras, los datos de la nube podrían ser barridos en una investigación de un asunto totalmente ajeno -simplemente porque tuvo la mala suerte de que estaban alojados en el mismo servidor que los de las personas que están siendo investigadas.
El ejemplo clásico de este principio se produjo en enero del 2012, cuando las autoridades de Nueva Zelanda y Estados Unidos cerraron Megaupload de Kim Dotcom. Junto con un tesoro de películas supuestamente pirateadas, las autoridades confiscaron los datos de miles de clientes que respetaban la ley y se negaron a devolvérselos. Saber si los clientes recuperarán sus datos, sigue sin resolverse.
“El riesgo de ataque es real”, confirma Jonathan Ezor, director del Instituto Touro Law Center for Business, Law and Technology. “Si hay alguna base legal para la aplicación de la ley de tal manera que funcionarios del gobierno se apoderen de los dispositivos o sistemas de almacenamiento -que puede requerir una orden judicial en determinadas circunstancias-, y esos sistemas contienen datos tanto de los sospechosos como de los que no lo son, todo podría ser tomado. En última instancia, cada vez que los datos de una organización se almacenan fuera de su control, no podrá evitar que alguien por lo menos tenga acceso al hardware”.
Los usuarios que quieran protegerse contra este ‘peor de los casos’ tienen que saber dónde están manteniendo sus datos en realidad y qué leyes los afectan, señala David Campbell, CEO de la empresa de seguridad JumpCloud.
“Nuestra recomendación es encontrar proveedores de la nube que garanticen la ubicación física de los servidores y los datos, como Amazon, para que pueda limitar su riesgo de manera proactiva”, señala.
El cifrado de los datos disminuirá la posibilidad de que cualquier persona que se apodere de ellos pueda leerlos, añade Ezor. Otra buena idea: Mantenga una copia de seguridad de datos recientes cerca. Uno nunca sabe cuándo puede llegar a ser la única copia.
Secreto N°4: El presupuesto es reducido, pero el jefe tiene un cheque en blanco
En prácticamente todas las organizaciones de tamaño mediano o grande, hay dos maneras de hacer que se aprueben las compras, señala Mike Meikle, CEO del Hawkthorne Group, una empresa consultora de gestión de boutique y tecnología de la información. Ahí está el procedimiento oficial de compras -un proceso que consume tiempo y que le obliga a saltar a través de aros en llamas como en un acto de circo. Y ahí está el carril especial de diamante, disponible solo para unos pocos.
“Las personas que están en el liderazgo de alto nivel tienen su propia línea de adquisiciones”, señala. “Lo que a una persona de TI le toma ocho meses para lograr por conductos oficiales, estos ejecutivos lo pueden conseguir en un par de semanas, si no antes. Es lo que yo llamo el plan Preferred Diamond. Nunca he trabajado con una organización en el gobierno o la industria privada que no tuviera un camino secreto para las adquisiciones”.
El propósito del proceso de adquisición oficial es dificultar que los empleados gasten el dinero de la compañía, anota Meikle -a menos que, por supuesto, sepan del acuerdo secreto. Desafortunadamente, añade, el CIO no suele ser un miembro de este club, lo que significa que las grandes compras de tecnología se pueden hacer sin un análisis de costo-beneficio o consideración seria de la visión estratégica de TI.
“Irán a almorzar, un vendedor le susurrará palabras dulces al oído, y lo siguiente que sabe es que han gastado medio millón en una solución de gestión de aplicaciones móviles, sin darse cuenta de que ya tenía una”, señala. “Ahora tienes dos”.
No es así, afirma un consultor privado de las empresas militares y Fortune 100, quien pidió permanecer en el anonimato. Si bien hay casos en los que las organizaciones pueden eludir los procedimientos ordinarios de contratación pública, casi siempre es por algo que el departamento de TI necesita de inmediato y no quiere perder semanas de corte a través de la burocracia para conseguirlo, añade.
“Los ejecutivos que no saben de tecnología tampoco conocen lo suficiente de TI como para tomar una decisión de compra grande”, agrega. “Si un ejecutivo evita el proceso de adquisición, esa orden de compra tiene que tener una firma en ella antes de que el proveedor la envíe. Si algo sale mal con esa tecnología, el ejecutivo sería responsable y rastreable. Es como kriptonita para esos chicos”.
Secreto N°5: Está recibiendo el extremo corto de la vara de soporte al cliente
Deténganos si esto suena familiar: Está en el teléfono con el técnico de soporte el algún lugar del mundo, pero tiene la impresión de que saben menos que usted, y que están repitiendo un guión. ¿Sabe una cosa? Probablemente sea así.
“El soporte de TI es una mercancía barata”, señala Tim Singleton, presidente de Strive Technology Consulting, una firma boutique de soporte que atiende a pequeñas y medianas empresas. “Las herramientas que hacen la mayor parte son libres, y las computadoras requieren menos conocimiento ahora que en el pasado. La hija de su vecino o quienes sepan de tecnología en el área de contabilidad probablemente puedan arreglar su computadora, así como cualquier empresa de TI”.
Pero algunos dicen que la evaluación es demasiado amplia. Mientras que eso puede ser cierto para los problemas más simples, no es cierto para otros más complejos, señala Aramis Alvarez, vicepresidente de servicios y apoyo en Bomgar, que hace soluciones de soporte de TIU remotas para las empresas.
“El problema con llamar al soporte de TI como ‘mercancía barata’ es que no todos los problemas son iguales”, agrega Alvarez. “Algunas cuestiones básicas pueden ser diagnosticadas por cualquier persona conocedora de la tecnología; pero las difíciles, como los virus, no se pueden. La hija de su vecino puede estar armada con suficiente conocimiento como para ser peligrosa, pero podría llegar a destruir los datos en su computadora”.
Entonces puede terminar pagando mucho más para limpiar el desorden, añade Joe Silverman, CEO de New York Computer Help -lo cual ocurre a menudo cuando las empresas toman atajos por estafar o sobrecargar el soporte interno de TI.
“Hemos ido a muchas oficinas y departamentos de Nueva York para ver el rastro dejado por equipos con reparaciones de mala calidad o el trabajo de otra empresa, un familiar, o un amigo que actuaba como el chico de TI”, señala. “El tipo de contabilidad que a veces se hace cargo de los problemas de las computadoras probablemente está demasiado ocupado y es demasiado inexperto para arreglar un disco duro, placa base o la fuente de alimentación. Si se bloquea el servidor o la red, ¿realmente querrá que el chico de contabilidad haga el trabajo, o un ingeniero de redes senior con 20 años de experiencia?”
Secreto N°6: Sabemos mucho más sobre usted de lo que piensa
¿Cree que la NSA lo tiene bajo vigilancia? Son ‘bebes’ comparados con las empresas de marketing de los consumidores y los corredores de datos.
Uno de los mayores infractores son los casinos, señala JT Mathis, un ex gestor de bases de datos de casinos y autor de una publicación en la que expone su experiencia titulada I Deal to Plunder: A Ride Trough the Boom Town. Cuando entra en un casino, está jugando con algo más que el dinero -está arriesgando sus datos más personales. Mathis estima que la base de datos de marketing de su antiguo empleador contenía los nombres de más de 100 mil jugadores activos e inactivos.
“Desde el momento que entra en el casino, todo lo que hace es rastreado”, señala Mathis. “Si se sienta en una máquina tragamonedas, saben exactamente donde está, cuántas veces ha bajado el mango, y la cantidad de dinero que están poniendo. Ellos saben que le gusta comer a las 4:30 y pedir el plato de langosta. Saben de sus cigarrillos y vino favoritos, y si vio porno en su habitación. Y cuando llega durante el verano, saben que la señora que lo acompaña no es su esposa, para que los empleados se aseguren de llamarla Cindy y no Bárbara”.
El ex ejecutivo de casinos y profesor de LSU, Michael Simon, confirma la historia de Mathis. Pero, añade, que no es muy diferente del tipo de recolección de datos realizado por empresas como CVS, PetSmart, o Amazon.
“Yo enseño una clase de MBA en el análisis de bases de datos y la minería de los mismos, y todas las empresas que estudiamos recopilan información de los clientes y destinan ofertas específicas para los hábitos de los clientes”, comenta. Simon, autor de The Game of My Life: A Personal Perspective of a Retired Gaming. “Es una práctica rutinaria de las empresas actuales, y no es ningún secreto. Por ejemplo, yo llevo a mi perro a PetSmart por servicios y productos específicos, y las ofertas que me envían son específicas de acuerdo a mis hábitos de consumo, y eso me gusta. Por otro lado, PetSmart me da lo que quiero en lugar de perder el tiempo enviándome material que no usaré como descuentos en la comida para gatos o peces tropicales”.
Una cosa que es diferente: cuando Mathis fue despedido en mayo del 2012 aún tenía copias de la base de datos en la mano. Cuando trató de devolverlas, no tuvo suerte -el casino se negó a devolverle las llamadas. Hablamos de apostar con sus datos.
-Dan Tynan, InfoWorld
