miércoles, agosto 27, 2008

Robo de datos, seguridad y comunicación: el caso de Best Western

En los últimos días ha causado algo de ruido la noticia de que alguien (presumiblemente un delincuente) se hizo con los datos de un número aún indeterminado de clientes de la cadena de hoteles Best Western. La nota del Times es particularmente clara en explicar los bandazos que ha dado la empresa en sus reacciones a la noticia. Y de ser fiel a la realidad esta nota, la empresa ha dado varios ejemplos de lo que no se debe hacer en estos casos: mensajes inconsistentes. Hoy por hoy no se sabe públicamente la magnitud, ni con precisión el impacto, de este robo de datos. La nota inicial hablaba de 8 millones de clientes, la apreciación que Best Western está transmitiendo es que no son más de 10 los clientes afectados, todos en un solo hotel en Berlín.

Vale la pena leer dos entradas en el blog de Graham Cluley, quien bloguea en Sophos. La primerasegunda, más reciente, transmite el mensaje oficial de Best Western citado arriba y lo respalda llamándolo "robusto". En el mismo blog se puede leer la noticia de un virus en las computadoras de la Estación Espacial y la de la persona que compró un servidor usado en eBay y se llevó la sorpresa de que contenía los datos de un millón de clientes de un banco

Un detalle más: Best Western proporciona un número telefónico para los clientes que quieran preguntar si sus datos fueron comprometidos - un número 1-800 en Estados Unidos, que puede ser inaccesible desde muchos otros países. Menos mal que los clientes pueden usar Skype...
describe la confusión, y en el último párrafo da una guía útil para detectar afectaciones de este tipo; en la (absolutamente creíble para mí; alguna vez me tocó devolver a un alto funcionario una computadora rescatada de un almacén de bajas que contenía una montaña de información sensible). Estos y otros blogs discuten aspectos adicionales del asunto: la necesidad de una comunicación clara por parte de la compañía, la necesidad de mejorar la protección de los datos, las ventajas de contar con software anti-spyware (hubiera ayudado al hotel afectado inicialmente a repeler la intrusión), etc.

Recomendaciones para una Red Nacional del Conocimiento del Dr. Sam Pitroda

Este 26 de agosto de 2008 se llevó a cabo en la Cámara de Diputados el Foro sobre el proyecto Red Nacional del Conocimiento al que me he referido en este blog y sobre el cual me propongo hacer varias notas más. Partiendo de una definición relativamente amplia del concepto de "red nacional del conocimiento" (una infraestructura, una alianza, etc.) conviene destacar las recomendaciones y consideraciones del Dr. Sam Pitroda (Satyanaram Gangaram Pitroda) quien preside la Comisión Nacional del Conocimiento de India.

En la presentación del Dr. Sam Pitroda, presidente de la Comisión Nacional del Conocimiento de la India, se presentan las siguientes recomendaciones, que tienen mucho de aplicable en nuestro contexto nacional:

  1. Las redes de conocimiento deben ser nacionales, conectando a todas las instituciones del país que crean conocimiento. Son responsabilidad del gobierno, no de entes privados aislados.
  2. Hay muchas maneras de conectar la red. Convienen más aquéllas que utilizan infraestructuras existentes, por ejemplo, fibra óptica disponible. Hay una preferencia por usar fibra obscura. Partiendo de la infraestructura existente, hay que prever darle soporte y “upgrades” frecuentes, que deben ser planeados. El marco temporal de la obsolescencia para el reemplazo es de tres años.
  3. Debe definirse claramente una arquitectura de la red. Entre otros puntos, decidir cómo se va a manejar el protocolo IP, qué versión se va a utilizar, si la red va a tener un solo “core” o varios interconectados (y cómo). La arquitectura debe estar orientada a soportar las aplicaciones pues son éstas las que crearán la demanda. Debe enfocarse la operación inicial en grupos académicos y de desarrollo que demuestren los beneficios de la red en corto plazo para impulsar más rápidamente el impacto de la red.
  4. Conectar con e-gobierno, en especial con los proyectos que a la vez dan servicio e impulsan nueva tecnología. Una métrica de la India: 6,000 desarrolladores han trabajado por 20 años en los sistemas de e-gobierno. [Nota de APB: en México proyectos como sistemas de administración de identidad y sus aplicaciones como firma electrónica serían de “grand challenge” y servirían tanto para exigir e impulsar innovación tecnológica y formación de recursos humanos avanzados, como para dar servicio a la población más amplia.]
  5. La seguridad y la privacidad son consideraciones primordiales. Los investigadores, por ejemplo, tienen la doble consideración de que deben mantener confidenciales los datos en curso de su investigación y los desarrollos tecnológicos, y de que deben difundir ampliamente sus resultados, compartir datos a distancia en grandes colaboraciones, etc. Es indispensable definir estándares, jerarquías, etc.
  6. Se debe construir con la red un apoyo a las LANs [usa LANs en un sentido relativamente suelto – en muchos casos para nosotros serían WANs, MANs y más]. Todas las instituciones de la red tendrán que mejorar y hacer “upgrades” en sus redes para poder funcionar en la Red Nacional. Los fondos para este fin deben ser provistos por el gobierno.
  7. Se deben planear desde el principio costos y estructuras de costo. La estructura de costo define costos generalizados y locales, inversión y gasto, inversión inicial y actualizaciones posteriores, etc. Es imprescindible el fondeo del gobierno.
  8. La organización de la Red Nacional le debe dar autonomía.
  9. La “propiedad” de la Red Nacional debe residir en los usuarios. Éstos la ejercen a través de la estructura de gobierno corporativo (o gobernanza) de la Red, en sus órganos colegiados, consejo directivo, comités, etc.
  10. El trabajo inicial debe ser encabezado por un grupo de 8 a 10 personas comptentes, preocupadas por el tema, y comprometidas.

Pitroda añade las siguientes consideraciones memorables:

  1. México fue la capital del conocimiento de América hasta hace pocos siglos y debe volver a serlo.
  2. Hay muchísimos jóvenes sumamente talentosos en México. Necesitan dos herramientas para que su talento fructifique:
    1. Inglés (la Comisión Nacional del Conocimiento de la India llegó al extremo de proponer su enseñanza desde el primer año de primaria, pasando por encima de oposición que veía la propuesta como neocolonial.
    2. Redes.
  3. La Red Nacional no presta servicio a consumidores finales sino a las instituciones (a pregunta del público).
  4. Sobre Ciudades Digitales (a pregunta del público): es imprescindible la información de la ciudad para usuarios móviles; son valiosos los sistemas de pago móviles para servicios tan básicos como el estacionamiento; la instrucción para producir estos sistemas debe venir del mando más alto; los sistemas de la Ciudad Digital deben orientarse a satisfacer las necesidades de la población en educación, alimentación, salud, techo, y entretenimiento; conviene empezar con poco en cada una y construir progresivamente el sistema completo.
  5. México debe aprovechar el potencial de sus migrantes como lo ha hecho, en forma muy exitosa, la India.
  6. El operador de la red debe ser dedicado (no puede atender al mismo tiempo las necesidades de la red avanzada y las de sus clientes). La anchura de banda en México es demasiado cara. La operación de la Red no le sustrae ni roba clientes a los operadores comerciales; al contrario, los crea.

Mapa de buenos sitios en Information Architects

Gracias a Carlos Augusto Estrada Nava, en Facebook, me entero del sitio de Information Architects, que tiene un mapa (tipo "Metro") de sitios Web y portales innovadores y útiles, una combinación muy bien lograda y representada. Un rato de navegación por el sitio servirá de inspiración e informará mucho.